Estudo da Proofpoint aponta os principais desafios dos CISOs na era da IA

A Proofpoint, empresa global de segurança cibernética e conformidade, divulgou as descobertas de seu quinto relatório anual Voice of the CISO, explorando os principais desafios, expectativas e prioridades dos diretores de segurança da informação (CISOs) em todo o mundo. O relatório de 2025, que entrevistou 1,6 mil CISOs globais em 16 países, destaca duas tendências críticas: o aumento dos ataques cibernéticos está alimentando uma ansiedade crescente entre os CISOs – juntamente com uma crescente disposição de pagar resgates quando ocorrem incidentes – e a rápida ascensão da GenAI está forçando os líderes de segurança a equilibrar inovação com risco, apesar das crescentes preocupações com a exposição e uso indevido de dados.

À medida que as ameaças cibernéticas se tornam mais frequentes e multifacetadas, os CISOs estão cada vez mais preocupados com a capacidade de sua organização de resistir a um ataque material. 76% dos CISOs se sentem em risco de sofrer um ataque cibernético material nos próximos 12 meses, mas 58% dizem que não estão preparados para responder. Dois terços dos CISOs sofreram perda de dados materiais no ano passado, com incidentes internos no topo da lista de causas. Com 92% atribuindo pelo menos alguma perda de dados a funcionários que estão saindo, de acordo com dados da pesquisa, o comportamento humano continua sendo uma vulnerabilidade crítica. Refletindo a pressão, 66% dos CISOs dizem que considerariam pagar um resgate para evitar vazamentos de dados ou restaurar sistemas, com base nas respostas da pesquisa.

A IA emergiu rapidamente como uma prioridade e uma preocupação para os CISOs: 64% dos CISOs globais dizem que habilitar o uso da ferramenta GenAI é uma prioridade estratégica nos próximos dois anos, mesmo que as preocupações com a segurança persistam. Nos EUA, 80% dos CISOs expressam preocupação com a perda potencial de dados de clientes por meio de plataformas públicas GenAI. À medida que a adoção acelera, as organizações estão mudando da restrição para a governança, com 67% implementando diretrizes de uso e 68% explorando defesas baseadas em IA, embora o entusiasmo tenha caído em relação à alta de 87% do ano passado.

“As descobertas deste ano revelam uma crescente desconexão entre confiança e capacidade entre os CISOs”, disse Patrick Joyce, CISO global da Proofpoint. “Embora muitos líderes de segurança expressem otimismo sobre a postura cibernética de sua organização, a realidade conta uma história diferente – o aumento da perda de dados, as lacunas de prontidão e o risco humano persistente continuam a minar a resiliência. À medida que a adoção da GenAI acelera a oportunidade e a ameaça, os CISOs estão sendo solicitados a fazer mais com menos, navegar por uma complexidade sem precedentes e ainda proteger o que é mais importante. Está claro que o papel do CISO nunca foi tão importante – ou tão pressionado”, afirmou.

As principais descobertas globais do relatório Voice of the CISO 2025 da Proofpoint incluem:

Confiança vs. realidade: os CISOs se preparam para ataques em meio à crescente perda de dados e lacunas de prontidão. Em 2025, 76% dos CISOs pesquisados correm o risco de sofrer um ataque cibernético material nos próximos 12 meses, acima dos 70% do ano passado. No entanto, 58% admitem que sua organização não está preparada para responder. Dois terços sofreram uma perda material de dados no ano passado (acima dos 46% em 2024), apesar da maioria dos CISOs expressarem confiança em sua cultura de segurança cibernética.

Ataques de todos os ângulos, mesma consequência: os CISOs enfrentam um cenário de ameaças cada vez mais fragmentado, sem um único risco dominante – fraude por e-mail, ameaças internas, ransomware e controle de contas na Nuvem são as principais preocupações. Apesar das táticas variadas, a maioria dos ataques leva ao mesmo resultado: perda de dados. Refletindo os altos riscos, 66% dos CISOs dizem que considerariam pagar um resgate para restaurar sistemas ou evitar vazamentos de dados – subindo para 84% no Canadá e no México.

Os dados não saem sozinhos: 92% dos CISOs que sofreram perda de dados dizem que a saída de funcionários desempenhou um papel – acima dos 73% do ano passado. Apesar da adoção quase universal de ferramentas de prevenção de perda de dados (DLP), um terço diz que seus dados permanecem inadequadamente protegidos. À medida que a GenAI acelera, 67% agora classificam a proteção e a governança das informações como uma prioridade, levando a uma mudança para uma segurança dinâmica e sensível ao contexto.

O problema das pessoas persiste: o erro humano continua sendo a principal vulnerabilidade de segurança cibernética em 2025, com 66% dos CISOs citando as pessoas como seu maior risco, apesar de 68% acreditarem que os funcionários entendem as melhores práticas de segurança cibernética. Essa desconexão destaca uma lacuna crítica: a conscientização por si só não é suficiente. Quase um terço das organizações ainda carece de recursos dedicados ao risco interno para ajudar a preencher a lacuna entre conhecimento e comportamento.

Amigo ou inimigo? A faca de dois gumes da IA: a rápida ascensão da GenAI está ampliando as preocupações com o risco humano. Três em cada cinco CISOs se preocupam com a perda de dados do cliente por meio de ferramentas públicas GenAI, com plataformas de colaboração e chatbots GenAI vistos como as principais ameaças à segurança. Apesar disso, 64% dizem que permitir o uso seguro da GenAI é uma prioridade, destacando uma mudança da restrição para a governança. A maioria está respondendo com proteções: 67% implementaram diretrizes de uso e 68% estão explorando defesas baseadas em IA, embora o entusiasmo tenha esfriado de 87% no ano passado. Mais da metade (59%) restringe completamente o uso de ferramentas GenAI pelos funcionários.

O alinhamento da sala de reuniões desliza à medida que a pressão do CISO aumenta: o alinhamento da diretoria com os CISOs caiu de uma alta de 84% em 2024 para 64% este ano. Ainda assim, a avaliação de negócios emergiu como a principal preocupação dos conselhos após um ataque cibernético – acima do final da lista no ano passado – sinalizando que o risco cibernético está ganhando força como uma prioridade estratégica.

Ano diferente, mesmas pressões: os CISOs continuam a enfrentar uma pressão crescente diante de ameaças crescentes e recursos limitados: 66% relatam enfrentar expectativas excessivas e 63% dizem ter experimentado ou testemunhado esgotamento no ano passado. Enquanto 65% agora dizem que suas organizações tomaram medidas para protegê-los de responsabilidade pessoal, um terço ainda sente que não tem recursos para atingir suas metas de segurança cibernética.

“A Inteligência Artificial passou do conceito ao núcleo, transformando a forma como defensores e adversários operam”, comentou Ryan Kalember, diretor de Estratégia da Proofpoint. “Os CISOs agora enfrentam uma dupla responsabilidade: aproveitar a IA para fortalecer sua postura de segurança e, ao mesmo tempo, garantir seu uso ético e responsável. Esse ato de equilíbrio os coloca no centro da tomada de decisões estratégicas. Mas a IA é apenas uma das muitas forças que remodelam o papel do CISO. À medida que as ameaças se intensificam e os ambientes se tornam mais complexos, as organizações estão reavaliando como realmente é a liderança em segurança cibernética nas empresas de hoje”, finalizou.