Todo ano, o relatorio Voice of the CISO da Proofpoint captura insights de líderes em cibersegurança nas linhas de frente. Em 2025, os CISOs estão navegando em um cenário moldado por ameaças cibernéticas persistentes, ambientes de dados complexos, tecnologias emergentes como IA generativa (GenAI) e pressões profissionais e pessoais cada vez maiores.
Com base em uma pesquisa global com mais de 1.600 CISOs de 16 países, o relatório mais recente oferece insights fundamentais sobre seus desafios, prioridades e a natureza do cargo em evolução. Veja a seguir as descobertas mais contundentes em sete temas principais.
1: Conflito entre confiança e preocupação
Embora 67% dos CISOs afirmem que sua cultura de cibersegurança é forte, impressionantes 76% acreditam que suas organizações estão sob risco de um ataque cibernético real nos próximos 12 meses — mais do que 70% em 2024. Esse paradoxo reflete um sentimento crescente: violações são cada vez mais consideradas inevitáveis em vez de evitáveis.
O aumento na preocupação não é injustificado. Dois terços (66%) dos CISOs relataram uma perda real de informações confidenciais no ano passado — consideravelmente mais que 46% em 2024. Apesar de investimentos na postura de segurança e em conscientização, mais da metade (58%) dos CISOs ainda se sente despreparada para um ataque cibernético em 2025.
2: As ameças cibernéticas vêm de todos os lados
Com tantas opções à sua escolha, os CISOs mostraram-se divididos em relação ao que constitui a maior ameaça cibernética. Fraude de e-mail e ameaças internas empataram na primeira colocação (37%), seguidas de perto por ransomware (36%), sequestro de contas de nuvem (34%) e ataques a cadeias de fornecimento (33%).
O denominador comum de todas essas ameaças? Perda de dados. Independentemente do vetor de ameaça, informações confidenciais continuam sendo o prêmio definitivo para os criminosos cibernéticos. Não surpreende que dois terços (66%) dos CISOs admitam que suas organizações pagariam um resgate para restaurar sistemas ou evitar exposição de dados com base nas respostas à pesquisa.
3: A disseminação de dados supera os controles de segurança
Os dados não estão apenas crescendo, eles estão se espalhando ou sendo “aspergidos” — em nuvens, dispositivos e, agora, em ferramentas de IA generativa. Essa distribuição disseminada torna a classificação, governança e proteção dos dados mais difícil que nunca. Embora 98% dos CISOs afirmem que possuem um programa de prevenção de perda de dados (DLP) em vigor, somente 6% têm recursos exclusivos para gerenciá-los.
E os resultados mostram: 66% dos CISOs consultados sofreram uma perda de dados real nos últimos 12 meses. É digno de nota que as principais causas foram humanas em sua origem — elementos internos descuidados, comprometidos ou maliciosos. Como diz Phil Ross, CISO da Air New Zealand, “Dados não se perdem sozinhos. Pessoas perdem dados.”
4: O problema com as pessoas persiste
As pessoas continuam sendo tanto o maior ativo de uma organização quanto sua maior vulnerabilidade cibernética. 66% dos CISOs concordam que o risco humano é a maior ameaça à cibersegurança enfrentada pelas organizações — ainda que 68% acreditem que os funcionários compreendem seu papel na proteção dos dados.
Apesar disso, muitas organizações carecem de proteções adequadas centradas em pessoas. O treinamento dos funcionários em segurança não é priorizado na lista de tecnologias implantadas e apenas 70% das organizações têm um programa dedicado de gerenciamento do risco interno. Essa discrepância entre a percepção da conscientização dos funcionários e seu comportamento real continua a ser um ponto cego.
5: Migração de restrição para governança com IA
A IA generativa já é indispensável nas corporações e no cenário de ameaças cibernéticas. 60% dos CISOs encaram a IA generativa como um risco à segurança, mais do que 54% no ano passado. Suas principais preocupações incluem vazamento de dados através de ferramentas públicas de IA generativa, o uso de plataformas de colaboração como Slack e Teams e a facilidade com a qual os funcionários podem criar e compartilhar dados confidenciais fora da proteção tradicional.
Ainda assim, os CISOs reconhecem o potencial da IA. 64% afirmam que viabilizar o uso seguro de IA é uma alta prioridade para os próximos dois anos e 68% estão explorando capacidades à base de IA para se defenderem de erro humano e ameaças avançadas.
6: Dança das cadeiras na diretoria
Após um pico em 2024, o alinhamento entre CISO e diretoria sofreu uma queda. Este ano, apenas 64% dos CISOs acham que suas diretorias têm o mesmo posicionamento que eles em relação à cibersegurança — uma queda significativa em relação aos 84% do ano passado. Enquanto isso, somente 66% dos CISOs acreditam que o conselho diretor deve ter conhecimentos de cibersegurança, uma queda expressiva em relação a 84%.
Mesmo assim, houve progressos. Pela primeira vez, o impacto sobre o valor da empresa é a principal preocupação da diretoria no caso de um ataque cibernético, o que sinaliza uma apreciação mais estratégica do risco cibernético em nível de diretoria.
7: Pressão crescente e alívio limitado
As exigências em relação aos CISOs continuam implacáveis. 66% dizem enfrentar expectativas excessivas — estáveis em relação ao ano passado, mas ainda maiores que nos anos anteriores. Ainda mais preocupante é que: 67% sentem que são responsabilizados pessoalmente no caso de um incidente cibernético e, apesar disso, apenas 67% acreditam ter os orçamentos, ferramentas e pessoal adequados para cumprir suas metas.
Há, contudo, um lado positivo. 65% dos CISOs afirmam que suas organizações tomaram providências no sentido de protegê-los de responsabilização pessoal — um passo fundamental para lidar com a epidemia de burnout que continua aumentando ano a ano.
Considerações finais
O relatório Voice of the CISO de 2025 descreve um quadro complexo: os líderes de segurança estão mais qualificados e mais visíveis do que nunca, mas estão também mais vulneráveis — a ataques, burnout e expectativas possivelmente não razoáveis.
O desafio agora é converter confiança organizacional em verdadeira resiliência. Isso significa tecnologia mais inteligente, sim, mas também governança mais forte, mais investimento em pessoal e um engajamento significativo da diretoria. Conforme o cenário de ameaças evolui, o mesmo deve ocorrer com nossa abordagem à proteção do que mais importa: nosso pessoal e nossos dados.
Faça o download do relatório Voice of the CISO de 2025 completo aqui.
Inscreva-se em nosso próximo webinar Voice of the CISO para conferir nossas principais descobertas e obter insights de CISOs ao vivo.