Por quase cinco d\u00e9cadas, a governan\u00e7a de seguran\u00e7a corporativa operou sobre uma premissa raramente questionada: existe uma separa\u00e7\u00e3o clara entre quem usa tecnologia e quem a constr\u00f3i. <\/p>\n\n\n\n
Programas de seguran\u00e7a, modelos de auditoria e controles regulat\u00f3rios foram todos desenhados com essa divis\u00e3o como ponto de partida. Essa separa\u00e7\u00e3o est\u00e1 desaparecendo, e a velocidade com que isso acontece n\u00e3o d\u00e1 margem para respostas improvisadas.<\/p>\n\n\n\n
Ferramentas de gera\u00e7\u00e3o de c\u00f3digo permitem hoje que profissionais sem forma\u00e7\u00e3o em engenharia de software criem aplica\u00e7\u00f5es funcionais, integrem sistemas e automatizem processos corporativos a partir de instru\u00e7\u00f5es em linguagem natural. <\/p>\n\n\n\n
O fen\u00f4meno popularizado como vibe coding n\u00e3o \u00e9 uma tend\u00eancia passageira; \u00e9 uma mudan\u00e7a estrutural na forma como o software passa a ser produzido dentro das organiza\u00e7\u00f5es, e ela j\u00e1 est\u00e1 em curso na sua empresa, com ou sem a sua ci\u00eancia.<\/p>\n\n\n\n
Para a seguran\u00e7a, o efeito \u00e9 direto: a superf\u00edcie de risco cresce de forma descentralizada, fora dos processos formais de arquitetura, desenvolvimento seguro e gest\u00e3o de riscos. Surge uma nova categoria de exposi\u00e7\u00e3o, que proponho denominar Shadow Engineering. O problema n\u00e3o \u00e9 tecnol\u00f3gico, \u00e9 de governan\u00e7a. A capacidade de desenvolver software foi distribu\u00edda por toda a organiza\u00e7\u00e3o, mas a responsabilidade por incidentes, vazamentos e viola\u00e7\u00f5es regulat\u00f3rias permaneceu concentrada na empresa.<\/p>\n\n\n\n
Shadow IT, Shadow Cloud <\/em>e Shadow SaaS<\/em> descrevem o consumo n\u00e3o governado de tecnologia. O vibe coding<\/em> exige uma categoria nova, porque o que est\u00e1 em jogo deixou de ser consumo e passou a ser produ\u00e7\u00e3o.<\/p>\n\n\n\n Shadow Engineering \u00e9 o desenvolvimento, a implanta\u00e7\u00e3o ou a opera\u00e7\u00e3o de componentes tecnol\u00f3gicos corporativos fora dos processos formais de arquitetura, engenharia, seguran\u00e7a, conformidade e gest\u00e3o de riscos. N\u00e3o se trata de usu\u00e1rios acessando ferramentas n\u00e3o homologadas; trata-se de usu\u00e1rios criando ativos digitais que processam dados sens\u00edveis, automatizam decis\u00f5es e sustentam processos de neg\u00f3cio, sem qualquer rastro nos invent\u00e1rios ou nos registros de risco da organiza\u00e7\u00e3o.<\/p>\n\n\n\n O motor dessa transforma\u00e7\u00e3o \u00e9 econ\u00f4mico. Historicamente, desenvolver software era caro e exigia equipes especializadas, o que funcionava como uma barreira natural: a engenharia permanecia concentrada em \u00e1reas control\u00e1veis. <\/p>\n\n\n\n As ferramentas de gera\u00e7\u00e3o de c\u00f3digo derrubaram esse custo de forma estrutural, e atividades que antes demandavam departamentos inteiros passam a ser executadas por um \u00fanico profissional munido de um assistente.<\/p>\n\n\n\n Quando uma tecnologia reduz o custo de uma atividade dessa forma, sua ado\u00e7\u00e3o se torna inevit\u00e1vel. Estrat\u00e9gias baseadas exclusivamente em bloqueio ser\u00e3o contornadas, gerando ironicamente ainda mais Shadow Engineering. O caminho vi\u00e1vel \u00e9 tornar a produ\u00e7\u00e3o descentralizada de software vis\u00edvel, mensur\u00e1vel e govern\u00e1vel.<\/p>\n\n\n\n Em 2023, colaboradores da Samsung inseriram c\u00f3digo-fonte propriet\u00e1rio em ferramentas de gera\u00e7\u00e3o de texto durante atividades de desenvolvimento. A exposi\u00e7\u00e3o nasceu de boa inten\u00e7\u00e3o, operando na aus\u00eancia de controles, mas houve lacuna de governan\u00e7a. \u00c9 exatamente esse o perfil do risco de Shadow Engineering<\/em>.<\/p>\n\n\n\n No mesmo ano, no caso Mata v. Avianca, advogados submeteram ao tribunal refer\u00eancias jur\u00eddicas inexistentes, produzidas por uma ferramenta de gera\u00e7\u00e3o de texto e n\u00e3o verificadas. O resultado foi san\u00e7\u00e3o por falha profissional grave. A falha n\u00e3o esteve na ferramenta, mas na aus\u00eancia de valida\u00e7\u00e3o humana sobre o que foi produzido.<\/p>\n\n\n\n J\u00e1 em 2024, no caso Moffatt v. Air Canada, a companhia foi responsabilizada judicialmente ap\u00f3s um assistente virtual fornecer informa\u00e7\u00e3o incorreta sobre sua pol\u00edtica de tarifas. O tribunal rejeitou o argumento de que a empresa n\u00e3o responderia pelas respostas de um sistema automatizado. <\/p>\n\n\n\n Aplicada ao Shadow Engineering, a conclus\u00e3o \u00e9 que a organiza\u00e7\u00e3o responde por aplica\u00e7\u00f5es que talvez nem saiba que existem. O tra\u00e7o comum aos tr\u00eas casos \u00e9 que o ponto de falha n\u00e3o foi a tecnologia, foi a lacuna de governan\u00e7a ao redor dela.<\/p>\n\n\n\n Aplica\u00e7\u00f5es constru\u00eddas fora dos controles formais tendem a manipular dados sem classifica\u00e7\u00e3o ou minimiza\u00e7\u00e3o, expondo informa\u00e7\u00f5es sens\u00edveis que trafegam por servi\u00e7os externos sem acordo de tratamento. <\/p>\n\n\n\n C\u00f3digo gerado por assist\u00eancia automatizada continua sujeito \u00e0s vulnerabilidades catalogadas no OWASP Top 10 e no CWE Top 25, e sem revis\u00e3o de seguran\u00e7a essas vulnerabilidades chegam \u00e0 produ\u00e7\u00e3o em ativos que ningu\u00e9m auditou.<\/p>\n\n\n\n Do ponto de vista regulat\u00f3rio, LGPD, GDPR, PCI DSS, DORA e NIS2<\/strong> imp\u00f5em controles que usu\u00e1rios de neg\u00f3cio, em regra, desconhecem, e uma aplica\u00e7\u00e3o constru\u00edda sem essa consci\u00eancia pode violar exig\u00eancias legais desde o primeiro dia de opera\u00e7\u00e3o. <\/p>\n\n\n\n Operacionalmente, sistemas cr\u00edticos surgem sem invent\u00e1rio, sem plano de continuidade e sem gest\u00e3o de configura\u00e7\u00e3o e, quando falham, n\u00e3o h\u00e1 processo formal para restaur\u00e1-los porque formalmente nunca existiram. Al\u00e9m disso, \u00e0 medida que o desenvolvimento se descentraliza sem registro, a organiza\u00e7\u00e3o perde a no\u00e7\u00e3o de quantos sistemas possui, e com isso perde tamb\u00e9m a capacidade de governar.<\/p>\n\n\n\n A resposta ao Shadow Engineering precisa partir da visibilidade e avan\u00e7ar at\u00e9 a resili\u00eancia. <\/p>\n\n\n\n Nos primeiros seis meses, o foco deve ser mapear o que j\u00e1 existe: inventariar ferramentas de gera\u00e7\u00e3o de c\u00f3digo em uso, identificar agentes e automa\u00e7\u00f5es em opera\u00e7\u00e3o e atualizar a pol\u00edtica de uso aceit\u00e1vel para contemplar o desenvolvimento descentralizado.<\/p>\n\n\n\n De seis a doze meses, o trabalho passa a instituir governan\u00e7a dedicada com participa\u00e7\u00e3o de seguran\u00e7a, jur\u00eddico, conformidade e neg\u00f3cio, e definir requisitos m\u00ednimos que toda aplica\u00e7\u00e3o deva cumprir antes de processar dados corporativos. <\/p>\n\n\n\n No segundo ano, o objetivo \u00e9 escalar esse modelo com um ciclo de desenvolvimento seguro, adaptado \u00e0 produ\u00e7\u00e3o descentralizada e monitoramento automatizado dos ativos criados fora dos canais formais. <\/p>\n\n\n\n A partir do terceiro ano, a meta \u00e9 resili\u00eancia, integrando o tema ao programa corporativo de Enterprise Risk Management, quantificando a exposi\u00e7\u00e3o financeira com metodologia FAIR e conduzindo simula\u00e7\u00f5es de crise envolvendo falhas de aplica\u00e7\u00f5es que nasceram fora da governan\u00e7a formal.<\/p>\n\n\n\n Ao longo de mais de vinte anos em seguran\u00e7a da informa\u00e7\u00e3o, acompanhei o per\u00edmetro de prote\u00e7\u00e3o ser redefinido repetidas vezes. <\/p>\n\n\n\n O Shadow Engineering representa uma transforma\u00e7\u00e3o de escopo compar\u00e1vel \u00e0s anteriores, com uma diferen\u00e7a relevante: nenhuma das ondas anteriores colocou a capacidade de criar tecnologia nas m\u00e3os de toda a organiza\u00e7\u00e3o ao mesmo tempo.<\/p>\n\n\n\n A pergunta que os conselhos de administra\u00e7\u00e3o deveriam fazer n\u00e3o \u00e9 qual \u00e9 a pol\u00edtica da empresa para essas ferramentas. E sim, como a organiza\u00e7\u00e3o est\u00e1 governando os milhares de desenvolvedores em potencial que j\u00e1 existem dentro dela. <\/p>\n\n\n\n As empresas que responderem a isso de forma estruturada construir\u00e3o uma vantagem real. <\/p>\n\n\n\n As demais descobrir\u00e3o que a maior superf\u00edcie de ataque da pr\u00f3xima d\u00e9cada n\u00e3o ter\u00e1 sido aberta por advers\u00e1rios externos, mas criada pelos pr\u00f3prios colaboradores, movidos pelas melhores inten\u00e7\u00f5es e pelas ferramentas mais poderosas j\u00e1 colocadas em suas m\u00e3os.<\/p>\n\n\n\n Se este tema j\u00e1 chegou \u00e0 sua organiza\u00e7\u00e3o ou voc\u00ea ainda est\u00e1 mapeando o tamanho da exposi\u00e7\u00e3o, os especialistas do Ivy Group S\/A est\u00e3o dispon\u00edveis para conversar. Entre em contato. <\/p>\n","protected":false},"excerpt":{"rendered":" Por quase cinco d\u00e9cadas, a governan\u00e7a de seguran\u00e7a corporativa operou sobre uma premissa raramente questionada: existe uma separa\u00e7\u00e3o clara entre quem usa tecnologia e quem a constr\u00f3i. Programas de seguran\u00e7a, modelos de auditoria e controles regulat\u00f3rios foram todos desenhados com essa divis\u00e3o como ponto de partida. Essa separa\u00e7\u00e3o est\u00e1 desaparecendo, e a velocidade com que isso acontece n\u00e3o d\u00e1 margem para respostas improvisadas. A mudan\u00e7a estrutural que j\u00e1 est\u00e1 em curso Ferramentas de gera\u00e7\u00e3o de c\u00f3digo permitem hoje que profissionais sem forma\u00e7\u00e3o em engenharia de software criem aplica\u00e7\u00f5es funcionais, integrem sistemas e automatizem processos corporativos a partir de instru\u00e7\u00f5es em<\/p>\n","protected":false},"author":8,"featured_media":2079,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,51,53],"tags":[90,82],"class_list":["post-2078","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","category-ciber","category-tecnologia","tag-ciberseguranca","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts\/2078","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=2078"}],"version-history":[{"count":1,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts\/2078\/revisions"}],"predecessor-version":[{"id":2080,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts\/2078\/revisions\/2080"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/media\/2079"}],"wp:attachment":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=2078"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=2078"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=2078"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Por que n\u00e3o \u00e9 poss\u00edvel conter isso por proibi\u00e7\u00e3o<\/h3>\n\n\n\n
O risco j\u00e1 se materializou<\/h3>\n\n\n\n
Os cinco vetores de risco<\/h3>\n\n\n\n
Roadmap para l\u00edderes de seguran\u00e7a<\/h3>\n\n\n\n
A pergunta que os conselhos ainda n\u00e3o est\u00e3o fazendo<\/h3>\n\n\n\n