Dark
Light
Por 

O CISO Está Sozinho

A mudança que está a acontecer nas organizações mais maduras não é uma mudança de ferramentas nem de processos, é uma mudança de mentalidade sobre onde a segurança começa e onde termina a responsabilidade executiva.
20 de Março, 2026

Existe uma cena que se repete com regularidade perturbadora nas organizações e que qualquer pessoa que tenha estado numa sala de conselho de administração nos últimos anos reconhece imediatamente: o CISO apresenta durante trinta minutos, responde a algumas perguntas sobre o número de incidentes do trimestre e sobre o estado do plano de compliance, e depois sai da sala enquanto o conselho passa para os temas “importantes” da agenda. A segurança foi reportada, os temas estão assinalados, e todos regressam confortavelmente à sensação de que o assunto está tratado. Na minha experiência, esta sensação dura exactamente até ao próximo incidente grave, que é quando toda a gente percebe, tarde demais, que nunca esteve realmente a par do que importava.

O relatório IANS 2026 Benchmark Report publicado a 3 de março revela que praticamente todos os CISO entregam hoje atualizações regulares ao conselho de administração, o que sinaliza uma maturidade estrutural no reporting de cibersegurança que genuinamente não existia há cinco anos. Mas os mesmos dados mostram que apenas cerca de um terço dos conselhos descreve a sua relação com o CISO como forte e colaborativa, e que as discussões permanecem largamente focadas em compliance em vez de diálogo estratégico, deixando muitos conselhos sem visibilidade suficiente sobre os riscos que realmente importam.

Quase toda a gente está a falar. Muito pouca gente está a ter a conversa certa.

A frequência do reporting criou uma ilusão de governação sem que a substância da governação tenha acompanhado a forma (e aqui está o problema que ninguém quer dizer em voz alta) os conselhos recebem atualizações sobre o que aconteceu, sobre o estado dos programas de segurança e sobre as obrigações regulatórias, mas raramente recebem a visibilidade estratégica necessária para tomar decisões informadas sobre apetite ao risco, alocação de investimento e posicionamento competitivo face a uma paisagem de ameaças que muda a uma velocidade que os ciclos trimestrais de reporting simplesmente não conseguem capturar. A esmagadora maioria dos administradores diz estar satisfeita com o que recebe do CISO em matéria regulatória. Menos de metade se sente confiante na capacidade do CISO de articular o impacto real das ameaças emergentes no negócio. Estes dois números, lidos juntos, dizem tudo.

Este desalinhamento não é culpa do CISO, nem é culpa do conselho, e é precisamente por isso que é tão difícil de resolver. É uma falha estrutural que emerge da forma como as organizações foram construídas numa época em que a cibersegurança era genuinamente um problema técnico com implicações operacionais limitadas e que nunca foi atualizada para refletir a realidade de um mundo em que uma vulnerabilidade num controlador de rede pode paralisar operações durante semanas, em que uma campanha de phishing gerada por IA pode comprometer credenciais executivas em minutos, e em que a exposição regulatória de um único sistema de IA não conforme pode representar coimas na ordem das dezenas de milhões de euros. 

O alinhamento do conselho com os CISOs caiu de forma significativa entre 2024 e 2025, um sinal de aviso claro de que a influência que muitos CISOs assumiam ter era em parte ilusória e que a distância entre a função de segurança e o centro de decisão estratégica está a aumentar precisamente no momento em que deveria estar a diminuir.

A raiz do problema é uma questão de linguagem antes de ser uma questão de estrutura organizacional. Os CISOs foram treinados para falar em vetores de ataque, superfícies de exposição, pontos de entrada e métricas técnicas de deteção e resposta. Os conselhos de administração foram treinados para pensar em termos de risco financeiro, continuidade operacional, reputação de mercado e retorno sobre investimento. São duas línguas diferentes faladas na mesma sala, e durante anos fingimos que a tradução acontecia naturalmente. Não acontecia. 

Em 2026, os conselhos que estão a funcionar bem são aqueles que exigiram dos seus CISOs uma mudança de registo, deixando de aceitar dashboards técnicos e passando a exigir narrativas de risco de negócio com impacto financeiro quantificado. Não porque os aspectos técnicos não importem, mas porque as decisões que os conselhos precisam de tomar requerem a linguagem do negócio, não a linguagem da tecnologia.

Há um dado desta semana que me parece o mais revelador de todos: mais de dois terços das organizações afirmam que as suas ferramentas de IA têm acesso a sistemas centrais de negócio como o Salesforce e o SAP, mas apenas uma pequena minoria afirma que esse acesso é governado de forma eficaz. Isto significa que na maioria das organizações existem hoje sistemas autónomos com acesso privilegiado a dados críticos de negócio sobre os quais o conselho de administração não tem visibilidade, não tomou decisões conscientes e não estabeleceu limites formais. Não porque ninguém se preocupe, mas porque a estrutura organizacional não criou o canal pelo qual esta informação sobe naturalmente até ao nível onde as decisões sobre apetite ao risco deveriam ser tomadas. Três em cada quatro CISOs já descobriram ferramentas de IA não sancionadas a correr nos seus ambientes, com acesso a sistemas que ninguém autorizou explicitamente e com privilégios que ninguém estabeleceu conscientemente. Isto não é um problema técnico de segurança. É um problema de governação corporativa que pertence ao conselho, ponto final.

A mudança que está a acontecer nas organizações mais maduras não é uma mudança de ferramentas nem de processos, é uma mudança de mentalidade sobre onde a segurança começa e onde termina a responsabilidade executiva. Com os reguladores europeus a mudar de expectativas baseadas em políticas para accountability baseada em resultados, e com a transposição da NIS2 em Portugal a tornar os administradores pessoalmente responsáveis pelo incumprimento, a questão já não é se o CISO reporta ao conselho, mas se o conselho tem as ferramentas conceptuais, a cadência de envolvimento e a relação de confiança necessárias para exercer supervisão estratégica real sobre o risco digital da organização. A governação fragmentada por silos organizacionais não vai proteger a organização. E em tribunal, não vai proteger o administrador.

A conversa sobre risco ciber no interior das salas de conselho mudou. Os administradores já começaram a discutir cibersegurança com a mesma gravidade e o mesmo escrutínio financeiro que aplicam a rácios de liquidez, concentração de fornecedores e tempo de inatividade operacional ( pelo menos os que perceberam o que está em jogo). Os que ainda não fizeram esta transição não estão apenas atrasados na maturidade de governação: estão a acumular uma exposição estratégica, regulatória e pessoal que vai cobrar fatura mais cedo do que esperam.

O CISO não pode estar sozinho nesta conversa porque os problemas que enfrenta em 2026 não têm solução técnica sem decisão estratégica. A velocidade dos atacantes, a proliferação de IA não governada, a complexidade regulatória do AI Act e do NIS2, e a dependência crescente de infraestrutura digital para a continuidade do negócio são todos problemas que requerem escolhas sobre apetite ao risco, priorização de investimento e cultura organizacional que apenas o conselho de administração tem a autoridade e a perspetiva para fazer.

O CISO não pode estar sozinho. E em 2026, já não há desculpa para que esteja.

Rui Ribeiro é Consultor em Tecnologia e Gestão. Especialista em projetos de transformação digital.

Ver mais

Opinião

Cibersegurança e soberania digital: uma nova frente da guerra

Luís Magalhães

A realidade perturbadora da internet aberta

Bruno Castro

Agentes de IA: não é o sistema, mas o contexto que faz a diferença

Tiago Machado

Os CEO de Davos estão preocupados com a Ciberguerra. A sua empresa está no caminho do conflito

Filipe Domingues e Marco Raposo

O NIS2 como medida preventiva contra emergências: estratégias de interligação para a cadeia de abastecimento de TI

Thomas King

NIS2: Portugal Entrou, Espanha ficou para trás, mas o problema é nosso 

Rui Ribeiro
Ver mais

Relacionados