No primeiro encontro CISO Next, realizado pela MIT Technology Review Brasil, em parceria com a Claro empresas, o ponto de partida não foi a busca por respostas fechadas, mas a tentativa de qualificar melhor as perguntas. O debate mostrou um grupo atento à importância de testar, a partir da prática, onde estão, hoje, os atritos reais entre segurança, operação, regulação e estratégia.
O encontro partiu de uma constatação relevante: a cibersegurança já não cabe na moldura de barreira, custo ou área de contenção. Passa a operar como variável de viabilidade do negócio. Isso altera o papel do CISO, amplia a pressão sobre lideranças técnicas e exige tradução contínua para a linguagem corporativa.
A discussão local converge com um movimento mais amplo identificado pelo MIT Internet Policy Research Initiative e pelo Federal Reserve, em um encontro que resultou no relatório Measuring Cyber Risk in the Financial Services Sector, de 2024, segundo o qual o risco cibernético segue difícil de ser quantificado por falta de dados padronizados, o que limita decisões de gestão, definição de apetite a risco e comparação entre pares. Em caráter complementar, o paper Mind the Gap, também do MIT, propõe justamente comparar postura de segurança com a de grupos equivalentes, para tornar o risco mensurável e acionável. Dessa base emergiram quatro eixos centrais, que veremos a seguir.
Eixo 1: Mensuração do risco
Houve ceticismo em relação a estatísticas de mercado usadas como argumento de autoridade, sobretudo quando descoladas de método, amostra e contexto operacional. O recado é direto: sem métrica confiável, a cibersegurança perde potência na mesa executiva e vira retórica.
Esse diagnóstico reaparece no próprio encontro promovido pelo MIT com o Federal Reserve, que reforça a necessidade de indicadores comuns para orientar governança, gestão e comunicação com conselhos e alta liderança.
Eixo 2: Da proteção para a resiliência
Os relatos indicam que a expectativa de prevenção total já não sustenta a realidade operacional. Responder rápido, manter continuidade e pactuar responsabilidades entre negócio, tecnologia e fornecedores tornou-se mais importante do que prometer invulnerabilidade. A maturidade em gestão de risco tende a estar associada à colaboração, à padronização e ao reconhecimento de que risco de terceiros, de quarta parte e de cadeia ampliada já compõem parcela crescente da exposição total. No Global Cybersecurity Outlook 2025, por exemplo, o Fórum Econômico Mundial informa que 54% das grandes organizações apontam a cadeia de suprimentos como principal barreira à resiliência cibernética.
Eixo 3: Regulação
No encontro, a percepção foi a de um ambiente mais denso, com mais camadas de exigência, mas nem sempre claro o suficiente. A tensão não está em regular ou não regular, mas em como harmonizar obrigações sem deslocar recursos demais para conformidade e de menos para defesa real.
O relatório do Fórum Econômico Mundial ajuda a dimensionar esse ponto: mais de 76% dos CISOs ouvidos afirmam que a fragmentação regulatória entre jurisdições afeta significativamente a capacidade de manter a conformidade. No debate do CISO Next, isso apareceu de forma concreta, quando executivos apontaram a dificuldade de inovar, testar e modernizar com o “avião no ar”.
Eixo 4: Inteligência Artificial
A conversa começou sobre Shadow AI, mas avançou para um problema maior: a entrada acelerada de modelos, automações e promessas de produtividade sem lastro proporcional em governança, dados, responsabilidade e validação.
Esse diagnóstico encontra eco em duas referências recentes. A primeira é o AI Risk Repository, do MIT, que hoje consolida mais de 1.700 riscos extraídos de 74 frameworks, e organiza o tema em sete domínios; entre eles privacidade e segurança, desinformação, uso malicioso e falhas de governança.
A segunda é o Cost of a Data Breach Report 2024, da IBM com o Ponemon Institute, estudo segundo o qual o custo médio global de uma violação chegou a US$ 4,88 milhões, 10% acima de 2023, enquanto o uso de IA e automação em prevenção reduziu em média US$ 2,2 milhões por incidente entre as organizações pesquisadas.
O mesmo estudo ressalta que dados espalhados por múltiplos ambientes, inclusive cargas associadas a IA, tornam identificação e contenção mais lentas e caras. Em outras palavras, a automação pode gerar eficiência, mas, sem governança, também amplia a superfície de incerteza.
Próximos passos
A devolutiva desse primeiro CISO Next é objetiva. O grupo não pediu mais discurso sobre tendência. Pediu melhor formulação de risco, melhor comunicação com stakeholders e um reposicionamento da segurança como disciplina de negócio.
A agenda que sai do encontro, portanto, não é a de evangelização tecnológica. É a de construir métricas mais úteis, reportes mais inteligíveis, governança mais clara para Inteligência Artificial e colaboração mais madura entre empresas, reguladores e ecossistema. Para além da principal entrega do encontro, passa a ser também o seu critério de continuidade.
