Cada semana falo com equipes de governança, risco e cumprimento (GRC) de grandes empresas que sabem, com detalhes, o que pode fazer a inteligência artificial agentiva pelo seu trabalho. Eles leram, viram demonstrações, e distinguem claramente entre uma IA que acelera uma tarefa e um agente que a executa por completo. No entanto, apesar de dispor do orçamento e do interesse técnico, há uma resistência persistente que nem sempre se pode explicar com argumentos racionais.
Quando a conversa se afasta da tecnologia, surge uma preocupação diferente: não estão seguros de quem serão quando as operações já não dependam deles. Não é só medo de perder o emprego; é uma inquietação identitária. Durante anos, muitos profissionais do GRC construíram seu prestígio e seu dia a dia sobre a excelência operacional - como coletar evidências, conduzir ciclos de auditoria e manter programas complexos funcionando com recursos limitados - e ver essas tarefas automatizadas por agentes provoca uma sensação de perda.
Esta tensão tem uma leitura mais esperançosa. Se a história da área for analisada, GRC não foi originalmente concebida como uma função operacional permanente, mas como um mecanismo para ajudar a organização a entender e gerir riscos. A coleta de testes, as folhas de seguimento e os relatórios foram sempre meios para um fim. O que aconteceu é que as ferramentas não escalaram o ritmo dos programas, e a carga operacional devorou a capacidade de pensar estrategicamente sobre riscos.
Os chamados agentes agentivos não se limitam a fazer mais rápido o que já se fazia; mudam a natureza do trabalho. Podem extrair evidências continuamente de sistemas integrados, monitorar controles em tempo real e acionar processos de remediação sem intervenção humana constante. Mas há um ponto-chave: os agentes não são concebidos sozinhos. O critério que define o que deve ser coletado, o que constitui um desvio, quando escalar, ou que provas convencerá um auditor vem da combinação de contexto de dados e julgamento humano.
No panorama de políticas e boas práticas, esse julgamento humano é imprescindível. Marcos como o AI Risk Management Framework do NIST Salientam a necessidade de controlos, de explicação e de responsabilidades claras quando se desenrolam sistemas autónomos. A tecnologia pode executar, mas a definição do risco aceitável, das métricas e das excepções recai sobre pessoas que compreendam o negócio e os seus custos.
A adoção precoce não será uma carreira de quem tem melhores modelos de IA, mas de quem redesenha a função GRC para aproveitar o tempo libertado pela automação. Quando as tarefas manuais desaparecem, emerge outra atividade que historicamente ficou relegada: pensar e decidir. As equipas que ganhem serão as que usem essa liberdade para elevar o nível do seu trabalho — de administrar um programa a liderar.
Se olharmos do ponto de vista profissional, a mudança é uma oportunidade para voltar às razões pelas quais muitos se incorporaram a GRC: se preocuparem se a organização está realmente protegida e não só aparentando estar. Aqueles que já passaram a mudança o descrevem como algo mais parecido a receber autorização para fazer o que sempre souberam fazer. Sua tarefa já não é testar e colar adesivos, mas definir quais controles contribuem valor, quando um alerta é relevante e como traduzir o contexto do negócio em lógica que possa executar um agente.
É preciso entender também que a transformação técnica acompanha uma transformação cultural e organizacional. A infra-estrutura de dados e a engenharia de controlos — o que alguns rotulam como "GRC como código" — permitem que os agentes trabalhem de forma confiável: controlos declarados em repositórios versionados, testes automatizados e implantaçãos através de pipelines. Essa abordagem técnica requer investimento e processos distintos, mas devolve às equipes a capacidade de se concentrarem na governança e na estratégia. Se você quiser aprofundar esta abordagem, há documentação prática que explica como começar a declarar controles como código, por exemplo em guias especializados como as que oferecem plataformas que trabalham nesta linha ( GRC Engineering 101).
Não é uma transição automática nem indolor. Redefinir responsabilidades implica rever descrições de posto, caminhos de desenvolvimento profissional e métricas de desempenho. Também exige estabelecer guardrails: os agentes precisam de limites, supervisão e auditoria contínuas. Recursos e quadros de controle externos ajudam a sustentar essa mudança: além do NIST AI RMF, normas internacionais de gestão da segurança da informação (por exemplo ISO/IEC 27001) permanecem relevantes para definir como é organizada a evidência e se protegem os processos automatizados.
Convém também recordar que a automação maciça altera a natureza das competências necessárias. Relatórios de agências e consultorias sobre o futuro do trabalho mostram que a automação não elimina a necessidade de talento humano, mas desloca a procura para capacidades de julgamento, gestão do risco e comunicação com o negócio ( McKinsey). Para GRC isso se traduz em profissionais que saibam traduzir cenários de negócio para regras de controle, que definam apetite de risco e prioridades e que supervisem a saúde dos processos automatizados.
Na prática, o caminho para uma adoção saudável combina várias medidas. É preciso conceber agentes com transparência e rastreabilidade, codificar controlos e testes, articular claramente quem decide em casos complexos e definir métricas que midam impacto em vez de atividade. Ao mesmo tempo, a organização deve facilitar a reinvenção profissional: formação em pensamento de risco, habilidades técnicas básicas para colaborar com equipes de engenharia e espaços para que o conhecimento especialista configure a lógica dos agentes.
A barreira psicológica que trava muitos equipamentos é compreensível: delegar a execução se sente como renunciar a uma parte da própria identidade. Mas se se acompanhar com uma reavaliação do que os profissionais do GRC contribuem — e com estruturas que canalizem esse valor para decisões reais — a automação deixa de ser ameaça e se torna catalisador. A transformação, afinal, é menos uma perda do que uma volta à essência do papel: pensar o risco, não só gere-o.
Para aqueles que querem explorar exemplos concretos de agentic GRC e como se articula tecnicamente, há iniciativas comerciais e repositórios técnicos que mostram implementações destinadas a integrar agentes com uma base de dados robustas e regras configuráveis. O debate público e acadêmico sobre agentes autônomos também avança com estudos e demonstrações que analisam limites, aplicação prática e riscos, como trabalhos de pesquisa sobre agentes gerativos ( Gerador Agents, Stanford/ArXiv) e as plataformas que têm popularizado modelos GPT configuráveis ( OpenAI: GPTs).
No final, a questão não é se a tecnologia pode substituir processos — porque em muitos casos já pode — mas como as organizações reconfiguram papéis, responsabilidades e marcos de governança para que o valor humano não só sobreviva, mas sim amplificado. Aqueles que lideram essa reconversão poderão transformar o GRC de uma função operacional sobrecarregada num comando estratégico que realmente gere o risco do século XXI.
Se você quer aprofundar exemplos práticos e recursos para dar os primeiros passos em agentic GRC, uma porta de entrada é rever iniciativas que combinam engenharia de controles e agentes automatizados, e estudar marcos de risco que estabeleçam como monitorar e responsabilizar essas novas capacidades. Mais informações e guias práticas estão disponíveis em recursos especializados como Anecdotes e nos documentos e quadros públicos citados acima.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...