Agent-native article available: A IA empresarial está implantada há anos e apenas um em cada cinco executivos sabe o que temAgent-native article JSON available: A IA empresarial está implantada há anos e apenas um em cada cinco executivos sabe o que tem
A IA empresarial está implantada há anos e apenas um em cada cinco executivos sabe o que tem

A IA empresarial está implantada há anos e apenas um em cada cinco executivos sabe o que tem

Mais da metade das grandes organizações do mundo já tem inteligência artificial generativa operando em alguma parte do seu negócio. Isso é um fato documentado. O que não se documenta com a mesma facilidade é o que acontece por baixo dessa estatística: sistemas que processam dados sensíveis sem que ninguém tenha definido quem os supervisiona, agentes autônomos que tomam decisões dentro de fluxos de trabalho que nenhuma equipe de segurança auditou, e camadas de governança que chegaram tarde ou simplesmente não chegaram.

Simón ArceSimón Arce28 de junho de 20269 min
Compartilhar

A IA empresarial está implantada há anos e apenas um em cada cinco executivos sabe o que tem

Mais da metade das grandes organizações do mundo já possui inteligência artificial generativa operando em alguma parte de seus negócios. Isso é um fato documentado. O que não se documenta com a mesma facilidade é o que acontece por baixo dessa estatística: sistemas que processam dados sensíveis sem que ninguém tenha definido quem os supervisiona, agentes autônomos que tomam decisões dentro de fluxos de trabalho que nenhuma equipe de segurança auditou, e camadas de governança que chegaram tarde ou simplesmente não chegaram.

Um estudo publicado pela OpenText Cybersecurity em colaboração com o Instituto Ponemon apresenta um número que merece atenção sustentada: apenas um em cada cinco executivos pode afirmar que seus sistemas de IA estão completamente implantados com os riscos de segurança avaliados. Não é uma maioria desconfortável. É oitenta por cento das organizações que avançou na adoção sem resolver as perguntas mais básicas sobre controle, acesso e responsabilidade.

Este é o problema de maturidade sobre o qual ninguém quer falar com honestidade na sala de diretoria, porque nomeá-lo implica admitir que a pressão por adotar foi mais rápida do que a capacidade de governar.

Adoção sem arquitetura é outra forma de improvisação

A narrativa predominante em torno da inteligência artificial empresarial continua funcionando como se o problema central fosse o acesso à tecnologia. Como se bastasse implementar o modelo adequado, conectá-lo aos sistemas corretos e aguardar que os resultados chegassem. Essa narrativa tem algo de confortável para o C-Level: permite medir o progresso em número de pilotos, em ferramentas implantadas, em departamentos que "já usam IA".

O que essa narrativa oculta é mais custoso. Segundo os dados do mesmo estudo, a maioria das organizações reporta que a IA tornou mais complexo, e não mais simples, o cumprimento de seus requisitos de privacidade e segurança. E ainda assim, uma proporção significativamente menor estabeleceu as políticas e controles necessários para gerenciar esses riscos. A lacuna não é técnica. É de prioridades.

Sanjay Srivastava, que na Genpact construiu um dos marcos mais precisos para pensar a maturidade da IA empresarial, formula isso sem ambiguidades: o caminho em direção à maturidade em inteligência artificial passa diretamente pelos dados. Não pelos modelos. Não pelo orçamento de inovação. Pela arquitetura de dados, pela governança embebida nas operações, pela clareza sobre quem é responsável pelo quê e sob quais condições. Quando uma organização pula essa etapa, não adota IA com maturidade: implanta capacidade sem controle.

O problema não é exclusivamente técnico porque os sistemas de IA não operam no vácuo. Operam dentro de organizações onde as equipes mais próximas ao negócio raramente conversam com as equipes de segurança antes que algo falhe. Operam em ambientes onde os agentes autônomos podem interagir com dados financeiros, jurídicos ou de clientes sem que exista um inventário atualizado de quem tem acesso a quê. E operam sob pressão diretiva que frequentemente recompensa a velocidade de implantação em detrimento da solidez da arquitetura.

O analista Jason Snyder chama isso de "teatro de coordenação": aquela cena organizacional onde existem comitês de IA, dashboards de adoção e apresentações trimestrais que demonstram tração, enquanto os fluxos de trabalho reais permanecem sem redesenho, os dados sem integração e a governança sem definição. O resultado é uma adoção que se mede em métricas de atividade, não em impacto operacional ou financeiro. E quando chega a auditoria, ou o incidente, a organização descobre que adotou sem construir.

A segurança que chega tarde já não consegue chegar a tempo

Existe uma dinâmica específica que caracteriza as organizações com baixa maturidade em IA: a segurança e a governança são tratadas como camadas que se adicionam após a implantação, e não como condições de design. É um padrão que as equipes de segurança conhecem bem, mas que o C-Level tende a subestimar até que tenha custo direto.

Os dados da Forbes Research AI Survey 2025 quantificam a magnitude do problema com uma precisão que deveria preocupar qualquer conselho de administração: 62% dos líderes empresariais reconhecem que a IA complica a manutenção de suas defesas de cibersegurança, e 63% afirmam que as ameaças potencializadas pela IA podem tornar obsoletas suas defesas atuais em questão de meses. Um ano antes, esse segundo percentual era de 29%.

Isso não é uma tendência gradual. É uma aceleração brusca na percepção de risco, que coincide com a aceleração da implantação de IA nas operações. As organizações estão inserindo mais IA em seus sistemas precisamente quando sua exposição a ameaças habilitadas por IA cresce em velocidade maior do que sua capacidade de resposta.

A solução que esta análise propõe não é reduzir a velocidade de adoção, mas sim mudar a sequência das decisões. A segurança e a governança não podem funcionar como auditorias posteriores à implantação; devem estar embebidas no ciclo de vida completo do sistema, desde o design do modelo até sua integração com aplicações de negócio, passando pelo treinamento, a implantação e o monitoramento contínuo.

Isso implica, em termos concretos, várias coisas que as organizações com baixa maturidade frequentemente postergam. Primeiro, um inventário real de quais sistemas de IA operam no ambiente e ao que podem acessar. Sem essa visibilidade, não existe governança possível. Segundo, uma extensão do gerenciamento de identidades e acessos para incluir agentes não humanos: cada agente de IA deve ter um papel definido, permissões delimitadas e rastreabilidade de suas ações. Terceiro, um modelo de monitoramento contínuo que identifique comportamento anômalo em tempo real e que tenha protocolos de resposta definidos antes de o incidente ocorrer, e não depois.

Nenhuma dessas etapas é tecnologicamente sofisticada. O que elas exigem é algo mais difícil: vontade de desacelerar a implantação o suficiente para construir a arquitetura que a sustente. E essa vontade escasseia quando os incentivos diretivos estão alinhados com a velocidade de adoção, e não com a qualidade da governança.

O que os oitenta por cento revelam sobre como decidimos adotar

O número de vinte por cento de organizações com maturidade real em IA não é apenas um indicador de gestão tecnológica. É um sintoma de algo mais profundo em como as grandes organizações tomam decisões sob pressão de mercado.

Quando oitenta por cento adota sem ter avaliado seus riscos de segurança, não é porque carecem de informação sobre a necessidade de fazê-lo. As equipes de tecnologia, segurança e conformidade normalmente sabem o que é preciso. O problema está um nível acima: na conversa que não aconteceu entre o impulso de adoção e as condições para sustentá-la com responsabilidade.

Em muitas organizações existe uma conversa implícita que ninguém tem de forma explícita: a que deveria ocorrer entre o CEO que quer mostrar tração em IA ao conselho, o CISO que sabe que a arquitetura de segurança não está pronta, o CFO que precisa aprovar um investimento adicional em governança que não estava no orçamento inicial, e a equipe jurídica que ainda não definiu os limites de uso de dados sensíveis por parte de agentes autônomos.

Essa conversa não acontece a tempo porque tem custo político interno. Frear ou condicionar a implantação de IA em um momento em que o mercado pressiona na direção contrária exige que alguém no C-Level esteja disposto a sustentar essa posição diante do conselho, diante dos acionistas, diante da equipe comercial que quer resultados. E na ausência de um incidente que force essa conversa, a inércia institucional se inclina sempre para o avanço.

O problema de maturidade da IA empresarial, portanto, não se resolve apenas com melhores ferramentas de governança ou com mais orçamento para segurança. Esses são instrumentos necessários. Mas a condição prévia é que alguém na direção esteja disposto a nomear o que o sistema evita nomear: que a velocidade da implantação superou a capacidade de controle, que isso tem consequências reais e que corrigi-lo tem custo no curto prazo.

As organizações que conseguem cruzar esse limiar não o fazem porque descobriram uma metodologia mais elegante. Fazem isso porque alguém teve essa conversa antes de o incidente forçá-la.

A maturidade não é um estado, é uma decisão que se repete

A pesquisa do Instituto Ponemon estabelece que alcançar maturidade em IA implica que os sistemas estejam completamente implantados com os riscos de segurança avaliados. Essa conjunção é o que define o limiar. Não a implantação sozinha. Não a avaliação sozinha. As duas coisas simultaneamente.

O que torna esse limiar difícil para a maioria das organizações não é a complexidade técnica do problema, mas sim a estrutura de incentivos em torno da decisão. Os incentivos atuais recompensam a implantação. As métricas de sucesso que se reportam aos conselhos de administração são métricas de adoção: quantos departamentos usam IA, quanto tempo as ferramentas economizam, quantos processos foram automatizados. As métricas de governança, de inventário de acessos, de avaliação de risco em cada sistema implantado, raramente têm o mesmo peso nessa conversa.

Mudar isso não é um problema de cultura organizacional em abstrato. É um problema de design de incentivos concretos. Enquanto os líderes forem avaliados pela velocidade de adoção e não pela qualidade da arquitetura de controle, os oitenta por cento continuarão sendo oitenta por cento, e os incidentes continuarão sendo o principal mecanismo de aprendizado.

As organizações que estão cruzando esse limiar estão fazendo algo específico: estão incorporando critérios de governança e segurança na própria definição do que significa que um sistema de IA está "pronto para operar". Não como uma etapa adicional no final do processo, mas como condição de encerramento de cada fase da implantação. Estão estendendo o gerenciamento de identidades para incluir agentes não humanos com o mesmo rigor com o qual gerenciam acessos de funcionários. Estão monitorando o comportamento de seus sistemas de IA em tempo real e possuem protocolos definidos para responder a anomalias antes que se agravem.

Nada disso é revolucionário. O que é incomum é a vontade de fazê-lo antes que o incidente o exija.

Existe uma diferença significativa entre as organizações que aprendem com seus próprios erros e as que aprendem com os erros alheios. Os oitenta por cento que ainda não avaliaram seus riscos de segurança ainda estão escolhendo em qual dessas duas categorias querem estar.

Compartilhar

Você também pode gostar