*Abílio Branco
Abílio Branco, Diretor Regional de Data & App Security Brasil pela Thales
Regulamentações de privacidade de dados dominarão globalmente
De acordo com a United Nations Trade and Development (UNCTAD), 80% dos países já possuem ou estão desenvolvendo legislações de proteção e privacidade de dados.
As regulamentações cada vez mais exigirão que dados sejam armazenados e processados dentro de jurisdições específicas para mitigar riscos associados à aplicação de leis internacionais.
Provedores de nuvem e empresas precisarão cumprir leis locais de soberania de dados. As organizações adotarão cada vez mais princípios de privacidade por design, com proteção de dados integrada ao desenvolvimento de novos sistemas e aplicativos.
Tecnologias de aprimoramento de privacidade baseadas em criptografia serão as principais medidas técnicas implementadas para mitigar esses riscos.
Embora a regulamentação de privacidade tenha sido historicamente liderada pelos EUA, ela está ganhando força em nível federal. Por exemplo, 2024 viu a introdução da APRA (Lei Americana de Direitos de Privacidade), que, apesar de ainda estar em fase de aprovação, aproximou a regulamentação federal de se tornar realidade.
O futuro da APRA é incerto e, enquanto não é possível prever a evolução dessas regulamentações, espera-se que a APRA e a privacidade de dados continuem no centro das discussões nos EUA. Isso trará mais atenção para a privacidade de dados e levantará questões sobre como as dinâmicas de dados podem mudar para as empresas, desde o armazenamento até o compartilhamento e análise de dados sob a perspectiva da privacidade.
As empresas adotarão proativamente a conformidade
Com a aceleração dos ataques cibernéticos, no contexto global de transformação digital e da rápida adoção de serviços em nuvem e tecnologias de IA pelas organizações, os países estão tomando medidas para regulamentar melhor o espaço digital. Eles estão adaptando seus frameworks de conformidade para formalizar e reforçar a responsabilidade das empresas sobre seus ativos digitais (dados, identidades, cargas de trabalho) e resiliência empresarial.
O panorama da cibersegurança em 2025 verá uma mudança de medidas reativas para proativas. O monitoramento contínuo e a antecipação de ameaças potenciais se tornarão práticas padrão, junto com medidas de autenticação mais robustas.
A conformidade com novas regulamentações, como NIS2, DORA, PCI 4.0, o UK Cyber Resilience Act e o EU AI Act será crucial.
Algumas empresas optarão por gerenciar seus dados localmente, exigindo posturas de segurança tão rigorosas quanto as aplicadas em ambientes de nuvem.
Organizações mudarão para uma abordagem focada em riscos
Com o aumento da frequência e escala dos ataques cibernéticos causados por IA, as organizações enfrentarão restrições de recursos e equipes em 2025.
Isso tornará insustentável depender apenas de medidas reativas para proteger os dados. Consequentemente, elas buscarão maneiras de priorizar os riscos de forma eficaz, concentrando recursos onde terão maior impacto.
Para proteger dados em ambientes locais e na nuvem, será adotada uma estratégia de segurança mais abrangente e holística.
Além das ferramentas de DSPM (Gerenciamento de Postura de Segurança de Dados), as empresas mudarão para plataformas integradas de segurança de dados, visando melhorar sua postura de segurança ao entender seu perfil de risco e implementar as medidas de remediação necessárias.
Em 2025, as organizações precisarão passar de uma abordagem focada apenas em conformidade para uma estratégia proativa centrada em riscos. Isso exige uma compreensão clara dos riscos em dimensões-chave, incluindo organizacionais, de ativos e regulatórios.
A visibilidade dos riscos deve ser priorizada com base em seu impacto potencial nos negócios. Ao usar indicadores-chave de risco de dados de todo o ambiente de dados, as organizações poderão criar uma visão acionável de riscos, permitindo decisões informadas para fortalecer a segurança dos dados.
Zero Trust permanecerá como o principal modelo de segurança em 2025
O modelo Zero Trust assume que nenhum dispositivo ou usuário, dentro ou fora da rede corporativa, deve ser confiável por padrão.
A segurança deve ser aplicada continuamente. Em vez de depender da segurança baseada em perímetro tradicional, as organizações implementarão segurança focada em dados para proteger informações sensíveis contra acessos não autorizados e monitorar continuamente a atividade de dados para detectar anomalias.
Em 2025, a arquitetura Zero Trust será essencial para a maioria das empresas. Essa mudança será impulsionada pela crescente probabilidade de conflitos globais e pela necessidade urgente de mecanismos de defesa robustos.
Setores de defesa civil precisarão adotar medidas de segurança mais abrangentes além das defesas tradicionais de TI, incluindo treinamentos robustos para seus funcionários.
A migração para a nuvem impulsionará DevSecOps e segurança “Shift-Left”
À medida que mais empresas continuam migrando para a nuvem, a adoção de tecnologias nativas da nuvem, arquiteturas baseadas em API e práticas de DevSecOps (Desenvolvimento, Segurança e Operações) aumentará.
A segurança será integrada no ciclo de desenvolvimento desde o início (“shift-left security”) e automatizada em pipelines CI/CD e chamadas de API de proteção de dados, tornando-se o mais transparente possível para as equipes de DevOps.
De acordo com o Thales Data Threat Report 2024, entre as preocupações emergentes, o gerenciamento de segredos (56%) foi identificado como o maior desafio.
Ferramentas e técnicas que permitem que os desenvolvedores definam e implementem controles proativamente maximizam a segurança e a eficácia na publicação de softwares.
Além disso, o monitoramento de atividades e a detecção de anomalias são componentes críticos de uma estratégia de segurança proativa, baseando-se na observação contínua de dados e comportamento de usuários para identificar desvios do padrão.
Ferramentas de IA apoiarão, mas não substituirão, os papéis de segurança
A IA e o aprendizado de máquina (ML) desempenharão um papel cada vez mais central na cibersegurança.
Eles serão usados para aprimorar a detecção e resposta a ameaças (com detecção de anomalias mais eficaz), melhorar a caça às ameaças (identificação proativa de vulnerabilidades) e combinar o gerenciamento da postura de segurança com análises comportamentais para monitorar e proteger grandes volumes de dados em tempo real, identificando riscos como tentativas de “exfiltração” de dados ou padrões incomuns de acesso.
Os fornecedores de cibersegurança estão integrando cada vez mais copilotos assistidos por IA para aprimorar seus serviços.
Essas ferramentas são excelentes para ajudar a preencher lacunas causadas pela escassez de talentos, que o ISC atualmente estima em 4,8 milhões em todo o mundo, mas não substituem as equipes internas.
No próximo ano, a questão será menos sobre a adoção dessas ferramentas e mais sobre como as equipes de segurança utilizam suas capacidades.
Aqueles que buscam permanecer ágeis provavelmente utilizarão essas ferramentas para levar suas habilidades de investigação de ameaças a um novo patamar.
Ataques com IA generativa dispararão
A adoção de tecnologias de IA também é uma realidade para as ameaças cibernéticas. Hackers podem usar IA para tornar seus ataques mais complexos. Além disso, a IA facilita o desenvolvimento de scripts automatizados por um número maior de hackers menos experientes.
Com empresas sendo alvo de um aumento de ataques de phishing avançados, a probabilidade de alguém dentro de uma organização ser vítima está em um nível recorde, e esperamos ver um aumento constante desses ataques em 2025.
Quando credenciais são comprometidas, toda a segurança da rede de uma empresa desmorona, e com a IA generativa avançando rapidamente em métodos de engenharia social, as medidas típicas de defesa contra o comprometimento de credenciais não conseguirão acompanhar.
Ataques a infraestruturas críticas aumentarão
Os ataques direcionados a infraestruturas críticas cresceram exponencialmente nos últimos anos.
A grande maioria desses ataques, voltados à tecnologia operacional (OT) e infraestruturas críticas, começa no ambiente de TI. Infelizmente, muitos dentro do espaço operacional – de manufatura a automotivo – não fazem essa conexão, frequentemente se vendo como separados das preocupações de segurança de dados.
Esse foco no desenvolvimento de produtos levou a um atraso nos controles de segurança, com muitas indústrias ainda dependendo de sistemas legados desatualizados e inseguros.
Dado que a infraestrutura crítica será sempre um alvo prioritário para os cibercriminosos devido ao seu potencial de impacto generalizado, a desconexão entre TI e OT, combinada com questões geopolíticas, cria a tempestade perfeita para que ameaças internas prosperem.
No próximo ano, abordar essa lacuna será crucial para proteger infraestruturas críticas.”
Fortificação de dados e resiliência do eco sistema de aplicativos serão intensificadas
Em 2025, a segurança da infraestrutura de software será uma prioridade, especialmente após grandes violações, como o caso SolarWinds, e o aumento de ataques à este eco sistema.
As organizações realizarão avaliações de segurança mais profundas em seus fornecedores terceirizados, incluindo provedores de nuvem, para garantir que seus softwares e serviços sejam seguros.
Proteger os dados contra comprometimentos causados por aplicativos ou serviços terceirizados descontrolados será ainda mais crítico, exigindo mais visibilidade sobre os serviços utilizados.
Com a proliferação de dados por meio de plataformas de colaboração, as empresas precisarão se concentrar no monitoramento de atividades de arquivos e na identificação de dados (data watermarking) para proteger informações sensíveis.
A segurança desta infraestrutura também será uma preocupação significativa, já que vulnerabilidades na cadeia podem levar a violações de segurança generalizadas.
A geração de dados pessoais por usuários por meio de vários aplicativos e serviços aumentará o risco de exposição de dados, exigindo medidas mais fortes de proteção de dados.
Criptografia pós-quântica destacará a necessidade de agilidade criptográfica
No início deste ano, o NIST lançou seus primeiros conjuntos de algoritmos de criptografia pós-quântica. Antes da divulgação desses padrões, muitas empresas tinham dificuldade em entender a necessidade de Post-Quantum Cryptography (PQC).
Os padrões do NIST trouxeram urgência para abordar o impacto dos avanços quânticos e a necessidade de enfrentar essas ameaças.
Apesar de os protocolos TLS e SSH terem sido atualizados para atender aos novos padrões, o NIST já está trabalhando em seu próximo conjunto de algoritmos, o que significa que os algoritmos implementados hoje serão diferentes quando a ameaça da computação quântica chegar.
Isso ressalta a importância da agilidade criptográfica que é a capacidade de adaptar rapidamente os sistemas de criptografia para responder a novas ameaças e desafios.
Embora os protocolos TLS e SSH estejam sendo atualizados para atender aos padrões do NIST, as empresas precisarão abraçar a agilidade criptográfica em 2025.
O maior obstáculo será garantir que elas tenham tempo e recursos para identificar sua exposição, realizar o inventário de seus ativos e implementar a descoberta criptográfica.
Isso resultará em um aumento constante de centros de excelência criptográfica entre grandes empresas.
As organizações devem colocar a agilidade no centro de sua preparação para o cenário quântico, garantindo que soluções criptográficas ágeis sejam aproveitadas para acompanhar a evolução da criptografia resistente a ameaças quânticas.
*Abílio Branco é Diretor Regional de Data &App Security Brazil pela Thales