Nenhuma organização está completamente protegida contra ataques cibernéticos, e os próprios líderes de segurança reconhecem que muitas estruturas ainda estão abaixo do nível necessário para acompanhar a velocidade atual das ameaças. A pressão sobre os CISOs cresce em um cenário no qual invasores adotam automação, inteligência artificial e exploração acelerada de vulnerabilidades, enquanto empresas ainda convivem com limitações de orçamento, equipes reduzidas, tecnologias legadas e dificuldades para transformar segurança em resiliência de negócio.

Segundo o relatório Proofpoint 2025 Voice of the CISO, um terço dos CISOs entrevistados afirmou que os dados dentro de suas organizações não estão adequadamente protegidos. Além disso, 58% disseram que suas empresas não estavam preparadas para responder a um ataque cibernético, enquanto apenas 67% acreditavam contar com orçamento, equipe e ferramentas suficientes para atingir seus objetivos de segurança.

Esses números indicam que lacunas críticas continuam presentes em muitas organizações. Algumas são estratégicas, ligadas à forma como a segurança é percebida pela liderança. Outras são operacionais, relacionadas à velocidade de resposta, qualificação das equipes, governança de inteligência artificial e modernização de ambientes legados. Para especialistas e líderes de segurança consultados pela CSO, seis pontos devem estar no topo da agenda dos CISOs.

1. A lacuna de percepção: segurança ainda é tratada como problema de TI

A primeira lacuna está na percepção do papel da segurança. Embora muitos CISOs tenham se aproximado mais das áreas de negócio nos últimos anos, parte deles ainda enxerga sua principal missão como proteger sistemas digitais, quando deveria considerar a segurança como um elemento essencial para garantir resiliência operacional.

Errol Weiss, CSO da Health-ISAC, afirma que muitos CISOs ainda interpretam um incidente a partir da perspectiva de TI, tratando segurança como um problema técnico. Para ele, é necessário mudar o foco: em vez de proteger sistemas a qualquer custo, a prioridade deve ser entender os impactos em cadeia quando algo falha e preparar a organização para manter suas operações mesmo diante de um ataque.

Essa mudança de visão é importante porque a continuidade de negócios, tradicionalmente conduzida por outros executivos, passa a depender cada vez mais da segurança cibernética. Quando o CISO avalia como uma ameaça digital pode afetar receita, atendimento, cadeia de suprimentos, reputação, obrigações regulatórias e continuidade operacional, a organização ganha uma visão mais precisa do risco real e do chamado raio de impacto de um incidente.

O ataque contra a Change Healthcare em 2024 é citado como exemplo dessa necessidade. A interrupção não afetou apenas uma empresa, mas provocou consequências em toda a indústria de saúde. Casos desse tipo mostram que o impacto de um ataque pode ultrapassar a infraestrutura de TI e atingir serviços essenciais, parceiros, clientes e processos críticos.

2. A lacuna de velocidade: invasores exploram falhas mais rápido do que as defesas reagem

A segunda lacuna está na diferença de velocidade entre invasores e equipes de segurança. O relatório 2025 Year in Review, da Cisco Talos, apontou uma aceleração sem precedentes na exploração de vulnerabilidades, com agentes de ameaça transformando falhas recém-divulgadas, como React2Shell e ToolShell, em armas quase imediatamente após a exposição pública.

Para Buck Bell, diretor de estratégia de segurança da CDW, muitas organizações ainda operam com uma mentalidade herdada de períodos anteriores, baseada em controles estáticos e ciclos lentos de correção. Práticas como testes de invasão mensais e janelas tradicionais de patching, embora ainda úteis em determinados contextos, não são suficientes para um ambiente em que a exploração pode ocorrer em horas ou dias.

O problema, segundo Bell, é principalmente de execução. As organizações precisam operar com maior velocidade, ajustando controles quase em tempo real e reduzindo o intervalo entre descoberta, priorização e correção. CISOs mais maduros têm buscado acelerar suas operações com automação, inteligência artificial e práticas como Continuous Threat Exposure Management, ou CTEM, abordagem voltada ao monitoramento contínuo da exposição a ameaças.

3. A lacuna entre segurança e negócio: a empresa acelera, mas a proteção nem sempre acompanha

A terceira lacuna envolve a velocidade do próprio negócio. À medida que empresas adotam inteligência artificial, computação em nuvem, automação, integração de sistemas e novos modelos digitais, a segurança precisa acompanhar esse ritmo sem se tornar um obstáculo. O relatório PwC 2026 CISO Outlook descreve o papel do CISO como estando em um momento decisivo, pressionado por tecnologias emergentes, riscos mais complexos e expectativas crescentes da liderança.

Chirag Shah, global information security officer e data protection officer da Model N, afirma que, se o negócio quer avançar mais rápido, segurança e compliance precisam correr junto. O desafio é que muitas equipes ainda trabalham em modo reativo, tentando se adaptar depois que projetos estratégicos já foram definidos ou implementados.

Para reduzir essa distância, Shah investiu na capacitação de profissionais de segurança em inteligência artificial, preparando a equipe para atuar junto às áreas de negócio em iniciativas prioritárias. Chris Cochran, field CISO e vice-presidente de segurança em IA do SANS Institute, também defende o uso de frameworks, padrões e colaboração entre pares como formas de acelerar a adoção de práticas já testadas, escaláveis e alinhadas às mudanças do negócio.

4. A lacuna de habilidades: o problema já não é apenas quantidade de profissionais, mas competências atualizadas

A quarta lacuna está nas competências disponíveis. Durante anos, o debate sobre força de trabalho em cibersegurança esteve concentrado na falta de profissionais. Agora, o problema passou a incluir também a defasagem entre as habilidades existentes e as competências necessárias para lidar com novas tecnologias, novos modelos regulatórios e novos tipos de ameaça.

O SANS 2026 Cybersecurity Workforce Research Report afirma que a força de trabalho em cibersegurança passa por uma transformação fundamental. A inteligência artificial está alterando pontos tradicionais de entrada na carreira, enquanto exigências regulatórias criam novas demandas de validação de habilidades. Como resultado, cresce a distância entre o que as organizações têm hoje e o que precisam para operar com maturidade.

Segundo o relatório, a necessidade de especialistas em novas funções quase dobrou em relação ao ano anterior, enquanto a demanda por contratação adicional em competências já existentes também aumentou. Entre líderes de segurança, 60% apontaram a lacuna de habilidades como o principal desafio de força de trabalho em 2026, acima dos 52% registrados no ano anterior. O índice supera os 40% que citaram a falta de pessoal como principal problema.

Beth Miller, global field CISO da Mimecast, observa que a lacuna não está apenas dentro das equipes de segurança. Mesmo uma equipe técnica bem qualificada não elimina o risco se as áreas de negócio não tiverem conhecimentos básicos de segurança. Para ela, a resposta passa por investir na camada humana em toda a organização, criando uma cultura de aprendizagem contínua, conscientização e responsabilidade compartilhada.

5. A lacuna na governança de IA: adoção avança antes dos controles de segurança

A quinta lacuna está na proteção de implantações de inteligência artificial. A adoção de IA tem avançado mais rápido do que a capacidade de governança de muitas organizações. Em alguns casos, a liderança anuncia iniciativas estratégicas de IA e, em poucas semanas, áreas de negócio já começam a desenvolver ferramentas, conectar dados e integrar modelos a sistemas existentes. Muitas vezes, os CISOs só descobrem essas iniciativas durante ou depois da implementação.

Além da adoção formal, há o avanço da chamada shadow AI, quando colaboradores ou áreas internas usam ferramentas de IA sem conhecimento ou aprovação das equipes de segurança, tecnologia ou governança. Para Chirag Shah, esse fenômeno ocorre em todo o mercado. Identificar essas iniciativas posteriormente não resolve automaticamente os riscos criados no processo.

O desafio é duplo. Primeiro, as empresas precisam desenvolver controles de segurança adequados para uma tecnologia que continua evoluindo rapidamente. Segundo, precisam garantir que áreas de negócio, tecnologia, jurídico e compliance aceitem e sigam esses controles. Beth Miller resume o problema como uma lacuna de governança disfarçada de problema de TI.

O relatório do SANS identificou que apenas 54% das organizações pesquisadas tinham políticas de segurança para IA em vigor, e somente 20% possuíam frameworks abrangentes de governança prontos. Cerca de 75% ainda estavam implementando ou construindo suas estruturas de governança. Para especialistas, isso mostra que a segurança em IA ainda está em estágio inicial em muitas empresas.

Para reduzir essa lacuna, CISOs precisarão combinar ferramentas de observabilidade, influência executiva, treinamentos específicos sobre riscos de IA, boas práticas emergentes e frameworks de governança. A proteção de dados, a validação de modelos, o controle de acessos, a rastreabilidade das decisões e a revisão de integrações passam a ser pontos essenciais em qualquer estratégia de IA segura.

6. A lacuna dos ambientes legados: sistemas antigos limitam a defesa moderna

A sexta lacuna envolve ambientes legados. Jason Lish, CISO global da Cisco, afirma que muitos líderes de negócio ainda adotam uma mentalidade de “configurar e esquecer” em relação à tecnologia. Enquanto sistemas continuam funcionando e não são percebidos como diferenciais competitivos, há resistência para modernizá-los.

Essa postura cria desafios para CIOs, que precisam integrar IA e novas tecnologias a sistemas antigos, e também para CISOs, que tentam aplicar práticas modernas de segurança em ambientes que muitas vezes não suportam controles atuais. O problema se agrava à medida que invasores usam IA para explorar sistemas fora de suporte e tecnologias legadas incapazes de receber proteções mais avançadas.

Um estudo de 2026 da National Association of State CIOs com a Deloitte & Touche indicou que CISOs apontam infraestrutura legada como uma das três principais barreiras para enfrentar desafios de cibersegurança, ao lado do aumento da sofisticação das ameaças e do financiamento insuficiente para segurança.

Para Lish, o caminho deve ser baseado em risco. O CISO precisa levar ao conselho ou à alta liderança uma priorização clara, indicando quais equipamentos, sistemas ou dispositivos legados são mais críticos e precisam ser substituídos primeiro. A discussão não deve se limitar ao custo de modernização, mas incluir o risco de manter tecnologias antigas em operação.

As seis lacunas apontam para uma conclusão comum: a função do CISO deixou de ser restrita à defesa técnica da infraestrutura. Hoje, segurança precisa acompanhar a velocidade do negócio, antecipar o movimento dos invasores, desenvolver competências novas, governar o uso de IA, reduzir dependências legadas e traduzir riscos cibernéticos em impactos operacionais compreensíveis para a liderança.

Para organizações que ainda tratam cibersegurança como um conjunto de ferramentas isoladas, o desafio será maior. A pressão atual exige execução rápida, visão de negócio, resiliência, governança e capacidade de adaptação contínua. Em um ambiente no qual ataques evoluem com automação e inteligência artificial, as lacunas que permanecem abertas tendem a ser exploradas com cada vez menos intervalo entre a descoberta do risco e o impacto real.