Originalmente publicado por CSO Online, por Mary K. Pratt. Traduzido e adaptado pelo time da Nexoria. Conteúdo original disponível aqui.
De ameaças crescentes habilitadas por IA a orçamentos que não acompanham a expansão do cenário de riscos, líderes de segurança estão reformulando suas agendas para lidar com questões críticas, tanto antigas quanto emergentes.
O cargo de CISO nunca foi simples, e está ficando ainda mais complexo. Segundo o relatório State of Cybersecurity 2025 da ISACA, 66% dos líderes de segurança afirmam que suas funções estão mais estressantes hoje do que há cinco anos, mesmo considerando o período da pandemia.
Ao analisar os desafios enfrentados, fica evidente o motivo da pressão crescente: os CISOs precisam lidar com riscos em ascensão, prioridades conflitantes, orçamentos limitados e outras demandas simultâneas.
A seguir, estão os 10 principais temas que dominam a atenção desses profissionais atualmente.
1. Proteger a infraestrutura de IA
Qualquer CISO experiente sabe que novas tecnologias evoluem mais rápido do que as ferramentas e estratégias disponíveis para protegê-las. O mesmo se aplica à inteligência artificial.
“Estamos diante de um cenário em que a cibersegurança e as diretrizes para o uso de IA ainda estão em estágio inicial, enquanto o uso da tecnologia já é massivo”, afirma Bryce Austin, CEO da TCE Strategy e consultor especializado em segurança cibernética e gestão de riscos.
Os dados confirmam essa percepção. De acordo com o Voice of the CISO Report 2025, da empresa de tecnologia de segurança Proofpoint, 60% dos CISOs globais acreditam que a IA generativa representa um risco para suas organizações, um aumento em relação aos 54% registrados em 2024.
Robert T. Lee, Chief AI Officer e Chief of Research do SANS Institute (instituição referência em treinamento e certificação em segurança), observa que muitas equipes ainda tratam a IA como uma tecnologia convencional, sem compreender que ela requer novos conhecimentos, habilidades e estruturas de segurança específicas.
“Não se trata de apontar culpados, estamos todos aprendendo”, afirma Lee. “O mercado exige que as empresas adotem e avancem rapidamente com a IA. Conselhos e executivos C-level dizem: ‘Precisamos investir nisso’, e então recorrem às equipes de segurança para apoiar essa adoção. Mas a segurança ainda não entende totalmente os riscos. Ninguém domina o tema porque tudo está evoluindo muito rápido.”
Como resultado, muitas organizações acabam negligenciando etapas essenciais de fortalecimento da segurança em sua corrida para adotar a IA. Mesmo assim, os CISOs começam a avançar nesse processo. Segundo a pesquisa da ISACA, 47% dos líderes de segurança afirmam já ter participado do desenvolvimento de estruturas de governança de IA (em 2024 eram 35%), e 40% estão envolvidos na implementação de projetos de IA (ante 29% no ano anterior).
2. Crescimento (e aceleração) dos ataques habilitados por IA
Uma pesquisa da Boston Consulting Group (2025) revelou que 80% dos CISOs em todo o mundo consideram os ataques cibernéticos baseados em IA sua principal preocupação, um aumento de 19 pontos percentuais em relação ao ano anterior. Outro levantamento, realizado pela Darktrace, mostrou que 78% dos CISOs relataram impactos significativos de ameaças impulsionadas por IA, 5% a mais que em 2024.
“Uma das coisas que mais me preocupam é o fato de que a IA reduziu o tempo de comprometimento de sistemas para minutos ou segundos”, afirma Jenai Marinkovic, CTO e CISO virtual da Tiro Security e especialista em cibersegurança da ISACA.
Para lidar com essa nova realidade, Marinkovic reforça as defesas dos ambientes sob sua responsabilidade e prepara as equipes para ataques habilitados por IA e para a velocidade com que eles ocorrem. “Antes, bastava fazer um exercício de simulação uma vez por mês; agora, precisamos fazê-los quase diariamente”, acrescenta.
3. Proteger dados em um mundo movido por IA
De acordo com o Voice of the CISO Report 2025 da Proofpoint, 67% dos líderes de segurança consideram a proteção e governança da informação uma prioridade. Apesar disso, apenas dois terços acreditam que os dados de suas organizações estão adequadamente protegidos, mesmo com tecnologias de prevenção de perda de dados implementadas.
O Data Threat Report 2025, da Thales, identificou que 36% dos profissionais não se sentem totalmente confiantes em saber onde seus dados estão armazenados.
Além disso, Todd Moore, vice-presidente global de segurança de dados da Thales, alerta que os CISOs estão enfrentando uma avalanche de dados gerados por IA (em sua maioria não estruturados, como registros de conversas) que também precisam ser protegidos.
“Em alguns aspectos, a IA está se tornando a nova ameaça interna das organizações”, afirma. “Muitos dados estão sendo armazenados em locais inesperados. Os CISOs precisam identificar essas informações, avaliar sua criticidade e garantir sua proteção.”
4. Um cenário de ameaças em constante expansão
O volume, a velocidade e a sofisticação dos ataques cibernéticos vêm aumentando há décadas — e a IA apenas intensificou essa tendência, observa Katell Thielemann, da Gartner.
“No contexto da IA, o cenário de ameaças mudou radicalmente. A superfície de ataque cresceu rapidamente, e o uso de tecnologias não autorizadas (‘shadow tech’) está ainda mais disseminado”, explica. “Os CISOs sempre lidaram com isso, mas agora tudo é muito mais complexo.”
Os invasores estão mais organizados, frequentemente associados a grupos criminosos e governos, e desenvolveram suas próprias cadeias de suprimentos para aprimorar a capacidade de ataque. O uso de IA amplia sua eficiência, escala e taxa de sucesso.
Ao mesmo tempo, o ambiente corporativo que os CISOs precisam proteger se tornou mais amplo e interconectado.
“Com a produção just-in-time e a integração de diferentes tecnologias, os CISOs enfrentam um ecossistema maior e mais interligado do que nunca”, diz Thielemann.
Segundo o relatório Global Digital Trust Insights 2026, da PwC, apenas 6% das organizações se consideram totalmente preparadas para resistir a ataques cibernéticos, enquanto metade admite ter capacidade apenas parcial. Com o aumento das explorações de vulnerabilidades, cresce o interesse em repensar a gestão de vulnerabilidades.
5. Ataques cada vez mais agressivos
Embora especialistas alertem há anos que qualquer um pode ser vítima de um ataque cibernético, ainda persistia a ideia de que certos alvos estariam fora do alcance. Essa percepção caiu por terra após a invasão da rede de escolas Kido International Preschool em setembro de 2025, quando hackers usaram fotos e nomes de cerca de 8.000 crianças para extorquir a empresa — um caso amplamente visto como um novo limite ético ultrapassado.
“Estamos chegando a um ponto em que ninguém está fora dos limites”, afirma Simon Backwell, head de segurança da informação da Benifex e membro do grupo de tendências emergentes da ISACA. “Os grupos de ataque estão mais ousados e indiferentes às consequências. Eles querem causar destruição em larga escala.”
6. Restrições orçamentárias
Pesquisas mostram que, embora a maioria das organizações aumente seus gastos com segurança a cada ano, os investimentos não acompanham o crescimento e a gravidade dos ataques, o que eleva a pressão sobre os CISOs, afirma Thielemann.
“Eles precisam manter-se dentro do orçamento enquanto lidam com ameaças crescentes, tecnologias legadas difíceis de proteger e novos vetores de ataque que tornam o trabalho ainda mais complexo”, explica.
Brian L. DePersiis, líder de estratégia de cibersegurança das Américas na EY, prevê ainda maior pressão financeira nos próximos meses, diante da instabilidade econômica global.“Há uma pressão crescente para reduzir custos”, afirma. “Os CISOs estão automatizando processos, simplificando suas pilhas tecnológicas, eliminando soluções personalizadas e terceirizando algumas funções para ganhar eficiência e reduzir despesas.”
7. Preparar funcionários para golpes cada vez mais sofisticados
Bryce Austin, da TCE Strategy, relata um novo tipo de ataque de phishing: um hacker criou um falso histórico de e-mails trocados por meses entre um suposto CEO e um fornecedor, com logotipos e informações legítimas. A mensagem final, encaminhada ao setor financeiro, pedia o pagamento de uma fatura “em atraso”.
O sistema de filtragem da empresa conseguiu bloquear o e-mail, mas, segundo Austin, ele passaria facilmente por filtros menos rigorosos. Um ataque desse tipo, caso chegue à caixa de entrada de um colaborador, tem alta chance de sucesso.
Casos semelhantes já ocorreram, com deepfakes e mensagens quase perfeitas criadas por IA enganando funcionários e resultando em pagamentos fraudulentos.
Diante disso, CISOs estão intensificando campanhas de conscientização e treinamentos práticos para combater essa nova geração de golpes.
Austin, por exemplo, realiza simulações frequentes de phishing e aplica medidas disciplinares aos colaboradores que caem nessas armadilhas, como comunicação à liderança ou ao RH.
“O objetivo é fazer com que as pessoas assumam uma postura de desconfiança no ambiente digital”, explica. “Com mais treinamento e exercícios, esperamos que os funcionários desenvolvam um olhar crítico para identificar até as fraudes mais sofisticadas.”
8. Computação quântica
Enquanto ainda enfrentam a rápida adoção da IA e as ameaças associadas, os CISOs também precisam se preparar para a chegada da computação quântica, alerta Tony Velleca, CISO da UST e CEO da CyberProof.
O relatório Data Threat Report, da Thales, aponta como principais riscos de segurança quântica a comprometimento de criptografia, distribuição de chaves e decodificação futura de dados atuais, os chamados ataques harvest now, decrypt later.
Para se antecipar, Velleca explica que os líderes de segurança estão revisando seus mecanismos de criptografia, definindo quais dados precisam de proteção quântica e em que momento migrar para algoritmos resistentes a essa nova tecnologia.
9. Definir as prioridades certas
Resolver todos esses desafios, por si só, já é um dos principais problemas enfrentados pelos CISOs, afirma Matt Gorham, líder do Cyber and Risk Innovation Institute da PwC.
“O que mais consome tempo dos CISOs hoje são as prioridades conflitantes”, explica. “Eles precisam decidir o que vem primeiro em um cenário de ameaças cada vez mais complexo, e fazer isso com equipes reduzidas, devido à escassez de talentos. Esse é o cerne da dificuldade atual: priorizar entre uma imensa carteira de riscos e demandas.”
10. Gerir o risco de forma eficaz
Para definir prioridades, os CISOs precisam entender quais riscos são mais relevantes para o negócio. No entanto, muitos ainda têm dificuldade em alinhar a segurança às estratégias corporativas, afirma Chris Simpson, diretor do Center for Cybersecurity da National University.
Segundo o relatório da Proofpoint, o alinhamento entre CISOs e conselhos de administração caiu de 84% em 2024 para 64% em 2025, evidenciando um distanciamento preocupante.
“A cibersegurança existe para apoiar o negócio”, explica Simpson. “Os CISOs precisam compreender a tolerância ao risco da organização, pois isso orienta as decisões sobre o que implementar e como mitigar riscos. É um trabalho contínuo.”
