A consolidação de arquiteturas, o uso mais consciente da Inteligência Artificial e a elevação do debate para o nível executivo marcaram 2025 para a Cibersegurança. Para 2026, o desafio que se impõe aos CISOs é equilibrar essa balança. De um lado, a pressão por inovação, eficiência operacional e adoção de IA. Do outro, o rigor crescente da conformidade regulatória, a responsabilidade jurídica e a necessidade de garantir resiliência em ambientes cada vez mais complexos e interconectados.
A partir das discussões, painéis e entrevistas que marcaram a cobertura da Security Report em 2025, os pontos de atenção para o próximo ano refletem uma mudança significativa: a Segurança deixa definitivamente o papel de defesa reativa para assumir uma posição estratégica, orientada a risco, continuidade de negócio e governança.
Do “AI First” para o “AI Governance”
Se 2025 foi o ano de vivenciar a Inteligência Artificial, tanto na potência dessa tecnologia para potencializar ataques quanto para fortalecer defesas, 2026 será marcado pela consolidação da governança da IA. Na visão dos CISOs, o ponto crítico deixa de ser apenas “usar IA” e passa a ser controlar, auditar e justificar esse uso.
A preocupação central está na confiabilidade dos modelos, na exposição de dados sensíveis e nas chamadas alucinações, que podem gerar decisões equivocadas ou comprometer ativos estratégicos. Ganha força a necessidade de auditorias contínuas, não apenas sobre ferramentas internas, mas também sobre soluções de terceiros incorporadas à cadeia tecnológica das organizações.
Para o Gartner, a adoção generalizada da Inteligência Artificial, embora traga ganhos de produtividade, abriu novas áreas de risco. Oscar Isaka, Analista Diretor Sênior do Gartner, avalia que 2026 será o ano de lidar com as consequências de políticas mais flexíveis adotadas no início da corrida pela IA. Vazamento de dados por meio de prompts inseguros, uso de modelos enviesados e exposição indevida de informações sensíveis estão entre as principais preocupações.
“À medida que o uso de IA expande a superfície de ataque, os profissionais de SI devem se tornar parceiros de confiança das organizações para lidar melhor com o aumento iminente do risco”, acrescenta ele.
Gestão de terceiros
Em 2026, os debates destacam a preocupação dos CISOs em projetar o amadurecimento da gestão de risco de terceiros, tratado não mais como um requisito de compliance, mas como um risco operacional crítico.
A expectativa é por visibilidade contínua da postura de Segurança dos parceiros, com métricas claras, monitoramento em tempo real e corresponsabilidade em incidentes. A segurança da cadeia de suprimentos passa a ser encarada como uma extensão direta do perímetro corporativo.
Na visão de Ticiano Benetti, CISO da Natura, a gestão de terceiros é um ponto crítico porque amplia diretamente a superfície de risco do negócio. Com mais de 10 mil fornecedores em sua cadeia, o executivo destaca que proteger a empresa também significa proteger o ecossistema ao redor. “Ransomware as a service, engenharia social feita por IA, aliciamento de funcionários são apenas alguns desafios. Não li isso no jornal, lidei com esses cenários na empresa”, disse durante o Congresso Security Leaders.
Para Benetti, a gestão de terceiros passa por uma relação baseada em parceria e responsabilidade compartilhada, na qual Segurança e áreas de negócio atuam juntas para identificar fornecedores críticos desde o cadastro, entender a maturidade de TI desses parceiros e definir, de forma proporcional à relevância de cada um, o nível de investimento e apoio necessário para fortalecer a segurança ao longo da cadeia.
Resiliência e alinhamento com o negócio
Não se discute mais “se” um ataque vai ocorrer, mas quão rápido a organização consegue se recuperar. A resiliência, mais do que a prevenção, se consolida como indicador-chave de maturidade em Cibersegurança.
Com o avanço do Marco Legal da Cibersegurança e o aumento da responsabilização das organizações, o CISO de 2026 assume um papel ainda mais transversal. O diálogo com o departamento jurídico e com o conselho de administração deve se intensificar no próximo ano. Responsabilidade civil, impacto reputacional e continuidade do negócio entram no radar como métricas centrais de risco discutidas junto ao board.
Na visão da IDC, uma das transformações mais profundas observadas em 2025, e que tende a se consolidar em 2026, é a evolução do próprio papel do CISO. Segundo Chris Kissel, Vice-Presidente de Pesquisa da IDC Security & Trust, a Segurança deixou de ser um apêndice da TI para se tornar uma função independente, com acesso direto ao conselho.
“A adequação apropriada do programa de Cyber de uma organização deve ser impulsionada por influências internas, como desafios orçamentários, e externas, como questões geopolíticas e preocupações com o risco de terceiros e fornecedores. Associado a isso, o uso de tecnologias de IA está aumentando os riscos e, sem uma governança eficaz e controles, pode causar impactos prejudiciais e inesperados nas organizações”, conclui Oscar Isaka.
