Apocalipse dos Patches: avanço da IA exige que conselhos de administração debatam cibersegurança de forma urgente
Max Mayorga, Vice-Presidente para a América Latina na Ivanti
Há cinco anos, a gestão de patches estava praticamente restrita à área de TI. Agendar, implementar, verificar e reportar. Um trabalho técnico importante que raramente chamava a atenção de pessoas fora da equipe responsável. Isso mudou.
Essa transformação é impulsionada por três forças convergentes. Modelos avançados de IA, como o Project Glasswing, da Anthropic, estão acelerando a descoberta de vulnerabilidades em uma escala sem precedentes em apenas 72 horas. E as divulgações públicas de vulnerabilidades já não seguem calendários previsíveis: elas acontecem quando acontecem, em volumes que ultrapassam a capacidade para a qual os programas tradicionais foram projetados.
O resultado, de acordo com https://www.ivanti.com/resources/research-reports/state-of-cybersecurity-report aponta que os invasores estão usando a mesma IA para fazer engenharia reversa dos patches é uma lacuna crescente na comunicação dos riscos. Muitos profissionais de segurança acreditam que os líderes da área não conseguem comunicar de forma eficaz a exposição aos riscos para a liderança mais ampla da empresa; 59% afirmam que essa comunicação é, no máximo, apenas moderadamente eficaz, segundo uma pesquisa da Ivanti. Quando o risco operacional passa a ser um risco estratégico, essa lacuna deixa o conselho administrativo sem os dados necessários para tomar decisões informadas sobre investimentos, tolerância ao risco e definição de prioridades.
Expondo o verdadeiro risco
A gestão da exposição traduz um cenário operacional complexo em algo que o conselho administrativo pode avaliar e sobre o qual pode agir. Em vez de tratar cada vulnerabilidade divulgada como igualmente urgente, uma abordagem de gestão da exposição estabelece prioridades com base no impacto real para o negócio. Quais ativos são críticos. Quais exposições são efetivamente exploráveis. Onde a redução do risco pode ocorrer com o menor atrito operacional possível.
Ainda segundo o relatório, 83% das organizações já possuem uma estrutura documentada para definir sua tolerância ao risco. Além disso, 79% afirmam quantificar o risco cibernético em seus processos de tomada de decisão. Isso significa que a infraestrutura necessária para tomar decisões bem fundamentadas já existe. O problema é que essas informações não estão chegando ao conselho em um formato que ele consiga utilizar.
O que o CIO precisa fazer agora
O trabalho imediato é simples em conceito, mas complexo na execução: verificar se a estrutura de risco documentada no papel corresponde ao programa de gestão de patches implementado na prática. Se ambos se distanciaram — e, na maioria das organizações, isso já aconteceu — o Apocalipse dos Patches ampliará rapidamente essa lacuna.
Aqui estão três perguntas às quais todo CIO precisa ser capaz de responder quando a próxima divulgação crítica chegar ao conselho administrativo:
Qual é o tempo médio entre a divulgação pública de uma CVE e a remediação no último endpoint afetado em nosso ambiente?
Qual percentual das nossas exposições exploradas mais críticas está sendo corrigido dentro da janela de 72 horas?
Qual é a nossa taxa de resolução das exposições de alta prioridade?
Se você não tiver respostas para essas perguntas, esse já é o principal diagnóstico: a lacuna existe. Se você tiver as respostas, mas os indicadores estiverem seguindo na direção errada, isso é um sinal claro de que o programa precisa ser discutido no nível do conselho administrativo.
A gestão de patches agora é um imperativo estratégico, e não mais uma questão operacional. Isso significa que exige atenção do conselho administrativo, e não apenas da área de TI; requer novas métricas e traz implicações diferentes casos falhe. O papel do CIO é comunicar essa mudança de forma clara — antes que a próxima grande divulgação de vulnerabilidades a imponha à organização.
Sobre o autor
Max Mayorga é Vice-Presidente para a América Latina na Ivanti, onde lidera iniciativas estratégicas e operações voltadas à geração de receita em toda a região.