Durante anos, a cibersegurança foi tratada como uma questão operacional. Em 2026, o tema é prioridade nas reuniões de diretoria, mas essa mudança de status trouxe um novo problema: a falsa sensação de controle.
Embora os conselhos de administração reconheçam que incidentes cibernéticos causam danos financeiros e reputacionais graves, a capacidade real de mitigação desses riscos estagnou. Conforme analisam Jeffrey Proudfoot e Stuart Madnick, pesquisadores do consórcio Cybersecurity at MIT Sloan (CAMS), a ênfase dada ao risco cibernético não tem se traduzido em uma governança mais eficaz.
A falha na estratégia de especialização
Existe um movimento para incluir especialistas técnicos em segurança diretamente nos conselhos. No entanto, essa é uma solução superficial. A cibersegurança, no nível de diretoria, não deve ser tratada como um debate técnico, mas como uma variável de gestão estratégica sob incerteza. O papel do conselho não é dominar a execução técnica, mas garantir a qualidade da liderança executiva. A eficácia da governança deve ser medida pela capacidade de recrutar, avaliar e supervisionar líderes de cibersegurança (CISOs) que consigam manter a resiliência operacional sob pressão. A métrica de sucesso não é a presença de um especialista no conselho, mas a robustez da liderança que a organização mantém à frente da operação.
IA: O descompasso entre inovação e governança
A inteligência artificial domina as discussões estratégicas pelo seu potencial de eficiência e vantagem competitiva. No entanto, há um desequilíbrio crítico: o uso da IA para acelerar o negócio ignora que a mesma tecnologia está sofisticando os ataques na mesma proporção. A automação de ameaças e o uso de IA para fraudes de identidade já são realidades operacionais. O erro não está na adoção da IA, mas na sua implementação sem uma governança de segurança proporcional. Quando o entusiasmo comercial ignora a proteção de dados e a ética algorítmica, a organização cria vulnerabilidades estruturais. A discussão sobre IA precisa ser integrada e envolver simultaneamente as áreas comercial, de risco e ética.
O perigo de confundir conformidade com segurança
Outro erro persistente é tratar a conformidade regulatória como o objetivo final da segurança. Relatórios e certificações criam uma organização documental, mas não necessariamente protegida. As ameaças evoluem mais rápido que as regulações, que geralmente baseiam-se em contextos passados. Organizações que se limitam ao cumprimento de normas operam com uma visão atrasada dos riscos. A cibersegurança deve ser encarada como resiliência e continuidade de negócios, e não como uma lista de requisitos burocráticos.
Do acompanhamento passivo à governança ativa
Para que o conselho exerça uma supervisão eficaz, é imortante focar em três pilares:
● Supervisão da liderança: Priorizar a contratação de executivos de segurança com
alta capacidade estratégica e dar-lhes autonomia para agir.
● Gestão de riscos de IA: Garantir que cada nova implementação de IA passe por
uma análise rigorosa de impacto e segurança antes de ir ao mercado.
● Resiliência sobre conformidade: Tratar a segurança como uma vantagem
competitiva e um ativo de reputação, superando o foco estrito em normas
governamentais.
No cenário digital atual, a ideia de controle absoluto é inexistente. Empresas resilientes não são as que se consideram invulneráveis, mas as que possuem processos maduros pararesponder e se recuperar de ataques inevitáveis. O desafio para os conselhos em 2026 não é dedicar mais tempo à cibersegurança, mas garantir que esse tempo seja investido na construção de uma estrutura capaz de suportar falhas. O maior risco não é o ataque em si, mas a convicção equivocada de que o risco foi eliminado.
*Coluna escrita por Renato Batista, formado em Administração de Empresas e Sistemas de Informação e com MBAs em Marketing e Cyber Security Governance & Management, fundador e CEO da Netglobe Cyber Security
*As opiniões transmitidas pelo colunista são de responsabilidade do autor e não refletem, necessariamente, a opinião da BM&C News.
*Leia mais colunas do autor aqui.
