O papel do Chief Information Security Officer (CISO) passa por transformação significativa nas organizações. Historicamente associada à dimensão técnica da proteção de sistemas, a função migra de forma consistente para o centro das decisões estratégicas e da governança corporativa. O acompanhamento do risco cibernético pelos conselhos de administração tornou-se prática comum, embora pesquisas recentes apontem que a qualidade desse diálogo ainda apresenta lacunas.
Levantamento divulgado pela IANS Research em março de 2026, em parceria com a Artico Search e o The CAP Group, indica que o reporte de segurança aos conselhos atingiu maturidade estrutural, ainda que a profundidade das discussões varie. Segundo o estudo, 95% dos CISOs entregam atualizações regulares aos seus conselhos, sinalizando uma cadência de reporte consolidada. A relação, contudo, nem sempre é estratégica: apenas 30% dos conselhos descrevem o relacionamento com o CISO como forte e colaborativo.
A pesquisa evidencia que a eficácia da supervisão depende menos da frequência do reporte e mais da profundidade do diálogo. Conforme o levantamento, 82% dos diretores consideram satisfatório ou excelente o reporte dos CISOs sobre tendências regulatórias, mas apenas 47% avaliam da mesma forma a capacidade desses profissionais de articular o impacto das ameaças em evolução.
Na avaliação de Steve Martano, faculty da IANS e sócio da prática de cibersegurança da Artico Search, as melhores apresentações de segurança são aquelas que promovem discussões amplas sobre risco cibernético e risco de negócio. Segundo ele, esse resultado é conduzido por "um CISO que constrói uma narrativa concisa, baseada em dados, e fomenta a discussão em torno da tolerância a risco, da estratégia de risco e do retorno sobre investimento em risco cibernético e tecnológico".
O acesso ao conselho encontra-se amplamente estabelecido, mas o tempo disponível é curto. De acordo com o mesmo estudo, 60% dos CISOs reúnem-se com o conselho completo, ainda que a duração média desses encontros seja de cerca de trinta minutos. Em 35% dos casos, as atualizações de segurança ficam restritas a discussões em comitês. A capacidade de sintetizar riscos técnicos em linguagem de negócio, nesse contexto, figura como habilidade central da função.
A inteligência artificial desponta como tema prioritário de governança nesse diálogo. O levantamento aponta que parcela expressiva dos conselhos considera que o reporte sobre riscos associados à IA ainda precisa evoluir, refletindo a demanda por uma visão mais prospectiva sobre o tema.
Para Dario Caraponale, sócio-fundador e CEO da Strong Security Brasil, com mais de 30 anos de experiência atuando junto a líderes de segurança da informação, a transição do perfil técnico para o executivo é o principal desafio da carreira na área. "A maior barreira na trajetória de um líder de segurança raramente é técnica. O profissional que não consegue traduzir risco cibernético em linguagem de negócio dificilmente conquista influência junto ao conselho", afirma. Segundo o executivo, "essa transição não é um dom de nascença, mas uma competência que pode ser estruturada, praticada e desenvolvida por meio de formação adequada".
Nesse contexto, programas de capacitação voltados à dimensão executiva da segurança da informação têm sido apontados como caminho para o desenvolvimento dessas competências. A certificação CCISO (Certified Chief Information Security Officer), mantida pela EC-Council e oferecida no Brasil por empresas como a Strong Security Brasil, concentra-se em governança, gestão de riscos, comunicação com o conselho e liderança de equipes.
A convergência dos dados sugere que a liderança em segurança da informação se consolida como disciplina executiva, distinta, embora dependente, da competência técnica que historicamente caracterizou a área. A comunicação com conselhos, a quantificação de riscos em termos de negócio e a tomada de decisão sob pressão constituem o conjunto de competências que define a maturidade do profissional contemporâneo, fator que tende a determinar não apenas a eficácia da função, mas também a resiliência das organizações diante de um ambiente de ameaças em expansão.
