Web Summit 2025: “Saber onde focar é o mais importante porque não é possível garantir a segurança de tudo”

Nicholas Muy, CISO da Scrut Automation, com responsabilidade pela estratégia de cibersegurança, data privacy e GRC, e Justin Rende, Fundador e CEO da Rhymetec, um MSSP dedicado a soluções de compliance e data privacy, juntaram-se para uma conversa sobre “Balancing automation and human expertise in modern cybersecurity & compliance” num dos palcos da Web Summit 2025.

Os oradores concordaram com a ideia de que a automação chegou para ficar, mas, ainda assim, continua dependente do julgamento humano. 

Nicholas Muy começou por partilhar a atual experiência da Scrut Automation, onde “99% dos clientes são cloud native. O que estamos agora a observar é que empresas com dez, 15 e 20 anos também se estão a tornar cloud-first”. A adoção destes modelos traz, contudo, uma alteração profunda nos perfis de risco das empresas tidas como mais tracionais e industriais.

Nestes casos, estas organizações estão a mover-se para a cloud de forma “mais agressiva do que as grandes empresas enterprise”, passando a exigir ferramentas automáticas de governance e segurança. “Com a adoção de negócios cloud-based e com os negócios a moverem-se mais para a cloud, conseguimos observar muito mais automação”, reiterou.

A IA começa a ganhar espaço na segurança

As abordagens que as duas empresas tiveram com a IA tiveram em conta a sua utilização como uma ferramenta para uso interno que auxilia na automatização de tarefas operacionais e de segurança como, por exemplo, questionários de compliance, no caso da Rhymetec.

Já na Scrut Automation, os últimos dois anos foram dedicados a desenvolver produto com IA incorporada, num processo que o CISO descreve como “trabalhoso”, “complexo”, mas, ainda assim, com resultados que começam a surgir: “percebemos que alguns dos nossos maiores clientes já estão a tirar partido destas soluções”, revelou Nicholas Muy. Os produtos desenvolvidos com IA assumem igualmente funções internas ao ajudarem, por exemplo, o departamento de segurança, e em conjunto com parceiros, a recorrer à IA para monitorização 24/7. A equipa de Nicholas Muy tem trabalhado igualmente em ferramentas de IA que ajudam nas práticas e exercícios internos de segurança.

Panorama de ameaças em tempos de IA

Questionados sobre o atual ecossistema de ameaças e aquelas que são as principais dores dos clientes no que diz respeito à segurança na era da IA, Nicholas Muy sublinhou a necessidade de garantir a adoção de um programa de gestão de risco bem definido para garantir a monitorização e o compliance.

“Há muito barulho. Saber onde se devem focar é o mais importante para os nossos clientes porque não é possível garantir a segurança de tudo”, reiterou o CISO.

Da experiência Justin Rende, ainda não são visíveis grandes ameaças ligadas à IA. No entanto, o CEO considera que estas ameaças vão começar a surgir, enquanto aumentam também os tipos de defesa.

A organização tem também parcerias ao nível de red team, onde recorre a ferramentas de IA para realizar pentesting, uma realidade diferente daquela que é vivida na Scrut Automation: “Não fazemos red teaming para agentes de IA. Fornecemos avaliação de vulnerabilidades, pentesting para alguns clientes, e nós próprios somos clientes deste tipo de serviços”, referiu o CISO.

A equipa de segurança de Nicholas Muy realizou já alguns PoC e experimentações red team para empresas de agentes de IA. No entanto, o especialista em segurança acredita que os resultados estão ainda aquém do esperado e que é necessário existir um trabalho conjunto. “Tentam identificar vulnerabilidades do tipo prompt injection nos agentes, mas, na minha opinião, ainda não fazem um bom trabalho de correlação no caso das ameaças à segurança de aplicações, nas lacunas de segurança na cloud e na elaboração de um quadro mais completo.”

Justin Rende reiterou a ideia de que as ferramentas de AI pentesting existentes no mercado são boas perante as ordens que recebem, mas falham ao não compreenderem todo o contexto que as rodeia. O CEO acredita que “para fazer um pentest completo ou uma atividade de red team, ainda há muitas nuances a ter em conta para que estas ferramentas de IA funcionem neste contexto”. Aqui, a perceção e o julgamento humano ainda têm uma palavra a dizer.

Garantir capacidades para um futuro cada vez mais seguro

Com a escassez de talento a destacar-se como um dos principais obstáculos ao crescimento do negócio, o CEO da Rhymetec enalteceu o pensamento crítico, as capacidades de comunicação e a resolução de problemas como algumas das caraterísticas mais importantes a ter em conta nos profissionais de hoje. “A segurança é tão diversa, e existem tantas componentes, que se torna complicado ensinar alguém a antecipar todo o panorama”. Nicholas Muy acrescentou ainda outra componente a esta equação – a curiosidade: “qualquer que seja o tema em segurança e compliance, é bom ter opiniões”.

Para Justin Rende a contratação de talentos continua a ser um dos maiores desafios e as escolhas não recaem, necessariamente, em diplomados: “Há muita gente que diz que trabalha em segurança, mas não tem interesse genuíno pela área. Este é um dos meus maiores desafios: encontrar pessoas que têm, de facto, estas capacidades e a aptidão para nos continuarem a ajudar a crescer”.

No fim, e numa perspetiva de futuro, os dois oradores reforçaram a necessidade de continuar a aprofundar a relação com clientes e antecipar as tendências e mudanças do mercado onde, apesar do rápido crescimento da IA e da automação, a cibersegurança ainda continua dependente de questões como a inteligência humana e a aprendizagem contínua.