De todos os grandes temas que fizeram parte da comunidade de Segurança da Informação e Cibernética no Brasil, 2025 consolidou-se como o ano a Inteligência Artificial, do amadurecimento do Marco Legal da Cibersegurança no Brasil e da crescente vulnerabilidade das cadeias de suprimentos. Estes três pontos foram os destaques desse ano no balanço da Security Report, que analisa como a convergência entre tecnologia autônoma e regulação rigorosa redefiniu o papel do CISO, transformando a segurança digital em um pilar inegociável de governança corporativa e continuidade de negócios.
As pesquisas Global Cybersecurity Outlook 2025 e Global Risk Report 2025, ambas do Fórum Econômico Mundial (WEF) já sinalizavam esses desafios. A organização ressaltou como pontos cruciais as preocupações com os avanços da Inteligência Artificial na realidade corporativa, trazendo novos desafios na proteção de dados; bem como a continuidade dos negócios em um cenário de insegurança dos ecossistemas digitais e gerenciamento de riscos críticos gerados a partir do ciberespaço global.
Tais desafios apontados pelo WEF foram se concretizando ao longo do ano durante incidentes de grande porte que atingiram não apenas organizações, mas países inteiros. Dois casos marcantes foram: o grande apagão que atingiu nações da União Europeia em de abril e um ataque hacker que paralisou aeroportos em Londres, Bruxelas e Berlim.
Diante dessa realidade, o bloco econômico, que é referência nas discussões sobre Cibersegurança, viu a necessidade de aplicar uma nova diretiva com foco sobre Segurança Cibernética tanto em empresas locais como em organizações multinacionais que atuem ali. Com isso, a NIS2 visa garantir temas como gestão de riscos, resposta a incidentes, continuidade de negócios, segurança da cadeia de suprimentos e práticas de ciber-higiene.
Arcabouço Legal no Brasil
A expansão dessas discussões levou a mudanças importantes no cenário legal e nas estruturas de gerenciamento desse espaço no poder público e na iniciativa privada do Brasil. No Congresso Nacional, a Frente de Apoio à Cibersegurança no Senado propôs o novo Marco Legal da Cyber, com o objetivo de sacramentar ações por mais resiliência cibernética da administração pública nacional.
Da mesma forma, a Lei 2338/23, conhecida como Lei da Inteligência Artificial, foi aprovada também pelo colegiado de senadores do país, com vistas a definir a regulamentação de desenvolvimento da IA no Brasil. A lei tem como base a classificação de risco de soluções concebidas com essas tecnologias, baseado no impacto na Segurança, nos direitos fundamentais e na integridade física ou moral dos brasileiros.
Nesse sentido, tanto uma Lei quanto a outra exigiam um novo conjunto de organizações que tenham a função de garantir a aplicação dessas Leis. Assim, por um lado, o governo buscou fortalecer a Autoridade Nacional de Proteção de Dados (ANPD) ao reclassificá-la como Agência Reguladora, ao mesmo tempo, em que foram ampliadas as conversas por uma instituição que gerencie as demandas focadas em Cibersegurança.
Incidentes de supply chain e riscos de terceiros
Foram necessárias poucas semanas até que esses tópicos essenciais à Cibersegurança em 2025 batessem à porta das instituições públicas e privadas do país, muitas vezes de formas tão impactantes quanto as europeias. Foi esse o caso de incidentes contra provedoras de tecnologia atuantes no país, como Sinqia, Cloudflare, AWS, Salesforce, entre outros.
Esses casos, somados ao ciberataque a C&M Software e que caracterizou o maior ataque cibernético da história do país, levaram as instituições públicas, como o Banco Central, a fecharem o cerco sobre a responsabilidade das empresas nos riscos que seus terceiros representam.
Conforme discutiram os CISOs brasileiros nos diversos Painéis de Debate no Roadmap do Security Leaders em 2025, à medida que cadeias de fornecimento se tornam mais complexas e a exposição operacional cresce, o risco de terceiros emergiu como um dos pontos de vulnerabilidade e impacto para o negócio.
Cyber Risk e Fator Humano
As discussões sustentadas nos fóruns regionais e nacional do Security Leaders também reforçaram outros temas importantes durante o ano, como o papel do risco cibernético nas organizações. Conforme explicou o Assessor da Secretaria de Estado da Ciência, Tecnologia e Inovação de Santa Catarina, Ramicés Silva, o ambiente dinâmico reforça a necessidade de construir uma estratégia de atuação resiliente capitaneada pelos CISOs, e pela alta gestão.
Essas questões também foram tratadas durante o Painel de Debates no Cyber Risk Conference Brazil, organizado pela parceria entre Qualys e Security Leaders. Nessa discussão, os Líderes de Cyber reforçaram ser crucial não apenas evidenciar a importância de se precificar o risco cibernético, mas também estabelecer a SI como um setor crítico para a gestão dele.
Por fim, o fator humano seguiu como tendência importante no ano, reforçada inclusive pelo keynote de abertura do SL Nacional. Na apresentação, Victor Thomazetti, Head de Prevenção a Fraudes do Itaú, comentou que 80% das perdas financeiras são causadas por fraudes – evento onde o cliente fornece os dados. A mesma realidade foi apontada pelo palestrante inicial do Security Leaders Salvador, o CISO da LM Mobilidade, Filipe Loner.
Nesse sentido, os CISOs reforçaram a importância de conscientizar e preparar colaboradores, clientes e parceiros com as melhores práticas de Segurança da Informação, de modo a proteger as infraestruturas e os dados internos. Na visão dos líderes, Há uma união de baixo foco no usuário como perímetro do ambiente, bem como a falta de verificação de comportamento pós-login e de anomalias.
Diante disso, a proposta mais aplicada pelos Líderes envolve “hackear” os hábitos de colaboradores para entender por que o ser humano continua como um fator de risco e como usar essa força para proteger a empresa. Isso inclui trabalhar com os “Três Ps” da Proteção humana: Treinar, capacitar e conscientizar as pessoas; estabelecer práticas eficientes e comportamentos sustentáveis; e alinhar a estrutura corporativa em torno desse objetivo.
