O desequilíbrio que ninguém discute
Uma pesquisa da Cybersecurity Ventures traz um dado que deveria ser tratado como alarme: o mundo conta com aproximadamente 35 mil CISOs (Chief Information Security Officers) para servir um universo de 359 milhões de empresas. A conta é simples e brutal — 1 líder de segurança para cada 10 mil empresas.
Enquanto corporações do Fortune 500 mantêm equipes de segurança dedicadas com orçamentos de dezenas de milhões de dólares, a esmagadora maioria das pequenas e médias empresas opera sem qualquer liderança estruturada de cibersegurança. Muitas sequer possuem um framework básico de proteção.
Os números por trás da crise
O custo global do cibercrime deve atingir US$ 12,2 trilhões anuais até 2031, segundo projeções da Cybersecurity Ventures. Somente ransomware já responde por mais de US$ 74 bilhões em perdas. Esses números crescem ano a ano, mas a oferta de profissionais qualificados para combatê-los não acompanha.
O cenário no setor público é igualmente preocupante. O estudo NASCIO-Deloitte 2026, focado em CISOs estaduais nos Estados Unidos, revela uma queda dramática na confiança desses líderes em proteger dados públicos: de 48% em 2022 para apenas 22% em 2026.
Os três maiores desafios citados são:
- Infraestrutura legada com dívida técnica acumulada
- Ameaças armadas com IA por adversários estrangeiros
- Cortes orçamentários em um momento de ameaças crescentes
“A IA generativa avança mais rápido do que as estruturas de governança existentes conseguem acompanhar.” — CISO estadual entrevistado na pesquisa NASCIO-Deloitte
O paradoxo da IA na segurança
Os dois estudos convergem em um paradoxo: a mesma inteligência artificial que impulsiona ataques mais sofisticados é essencial para a defesa moderna. Atacantes usam IA para automatizar reconhecimento, gerar phishing personalizado e identificar vulnerabilidades em escala. Defensores precisam de IA para correlacionar eventos, detectar anomalias e responder em tempo real.
Mas a adoção de IA para defesa exige profissionais qualificados para implementar, configurar e supervisionar — exatamente os profissionais que estão em falta. O gap não é apenas de tecnologia, é de capital humano.
O que isso significa para empresas brasileiras
Se o cenário global é crítico, o brasileiro é ainda mais desafiador. O país enfrenta uma escassez crônica de profissionais de segurança da informação, com salários que nem sempre competem com o mercado internacional em regime remoto. Para médias empresas — o perfil típico do ICP da Audaz Tecnologia — isso cria um dilema concreto: contratar um CISO em tempo integral é caro demais, mas operar sem liderança de segurança é um risco existencial.
Algumas alternativas que ganham tração:
- CISO-as-a-Service: consultorias especializadas que fornecem liderança de segurança fracionada, com profissionais experientes atuando em múltiplas organizações
- SOCs centralizados: a pesquisa NASCIO-Deloitte recomenda SOCs compartilhados para entidades menores — o mesmo conceito pode ser aplicado a PMEs que compartilham um provedor de monitoramento
- Frameworks como ponto de partida: mesmo sem um CISO dedicado, adotar um framework como CIS Controls ou NIST CSF fornece um roteiro estruturado de maturidade de segurança
- Ferramentas com inteligência embutida: soluções como Wazuh, que combinam SIEM com detecção de vulnerabilidades, permitem que times menores operem com maior cobertura
O que observar daqui
A lacuna de liderança em segurança não vai fechar com formação de profissionais — o déficit é estrutural e cresce mais rápido que a capacidade de treinamento. Organizações que não podem contratar um CISO precisam encontrar modelos alternativos de governança de segurança antes que um incidente force a decisão. Para CTOs e heads de infra de médias empresas, a pergunta não é se sua organização será alvo, mas se terá alguém qualificado para responder quando acontecer.