De CISO para CISO: 8 pilares para mudar a Cibersegurança ainda em 2025

Com ataques mais sofisticados e ambientes corporativos cada vez mais expostos, Bruno Moraes, CEO e fundador do Cyber Horizon Group, defende que a cibersegurança precisa sair da retaguarda e ocupar o centro da estratégia de negócios. Em conversa com a Security Report, o executivo detalha 8 pilares que devem nortear a atuação dos CISOs em 2025 e as mudanças estruturais urgentes para o setor.

Para ele, o primeiro ponto não é uma novidade, mas é preciso ser levado a sério: “O executivo de Segurança precisa entender o negócio e dialogar com os C-Levels com profundidade, até porque, muitos C-Levels têm ideias ótimas para uma convivência estratégica entre SI e business. Se o CISO continuar operando em silo, quem perde é o negócio”, alerta.

O segundo ponto é o avanço dos ataques destrutivos. Segundo ele, a maioria das empresas brasileiras tem apenas 10% de visibilidade sobre incidentes. “É preciso mudar completamente o modus operandi dos times de segurança digital e desafiar completamente o status quo. Os modelos tradicionais de defesa não acompanham mais a evolução dos ataques. A cabeça do CISO e das equipes precisa funcionar como a de um atacante. Criar um verdadeiro ecossistema de detecção e mitigação de técnicas de ATAQUE, com preparação de ALTO IMPACTO, adotando uma abordagem proativa de ATAQUE para aprimorar a DEFESA.”

Bruno lembra da experiência nas Olimpíadas Rio 2016, quando liderou o primeiro conceito de Purple Team e Cyber War Games no Brasil, integrando Red e Blue Teams para maior eficácia defensiva. “Essa abordagem precisa se tornar padrão. Quando entendemos que um atacante pode quebrar um perímetro de uma empresa em 15 minutos, como mostram diversos relatórios de mercado e pela nossa própria experiência, fica evidente que precisamos de outra mentalidade.”

O terceiro pilar é a revisão dos modelos de Zero Trust. Bruno critica a disparidade entre expectativa e realidade: “Não adianta querer implantar dezenas de projetos estruturantes se o básico da SI está falhando, simplesmente entregando inúmeras joias corporativas para os criminosos. O Zero Trust é um projeto top-down, que exige liderança e visão de negócio”, diz. Ele reforça a importância de ressignificar as camadas de Segurança para enfim contar com inovações tecnológicas, inclusive com a chegada da IA. Este é um tema de alta complexidade que envolve pessoas, cultura e tecnologia. Trata-se de uma mudança de paradigma que, com a adoção massiva da IA nas empresas e o consequente empoderamento dos colaboradores, faz do Zero Trust o principal pilar para sustentar uma estratégia segura diante dessa nova realidade. Nesse contexto, as pessoas e a cultura de segurança precisam assumir protagonismo, para que todos compreendam não apenas os riscos, mas também os benefícios para o aumento da performance e da velocidade. É como os guard rails e as áreas de escape em pistas de corrida: são essenciais para que os carros atinjam o máximo desempenho com segurança.

O quarto ponto é a descentralização da Segurança para áreas específicas por meio da figura do BISO (Business Information Security Officer). A proposta é criar lideranças de SI especializadas em cada unidade de negócio, com autonomia e visão de dono por meio de modelos personalizados atuando em riscos específicos e com dedicação exclusiva. “Existem muitos caminhos para essa configuração de atuação, o maior benefício é a integração com as iniciativas das linhas de negócio (como a própria IA que beneficia processos e potencializa resultados), alavancar a proteção dos produtos (aplicativos e sistemas específicos, por exemplo), ter pessoas sendo elos de confiança da cibersegurança com profundidade no negócio e vice-versa. Modelos de gamificação e maturidade customizados por apetites de risco e acordos do nível de segurança serão disruptivos nessa estratégia, com uma governança robusta e muito storytelling”

Essa visão pode, inclusive, dar uma boa tração para uma atuação conjunta da Cibersegurança em áreas complementares, trazendo luz para o quinto pilar destacado pelo executivo. Na visão de Bruno Moras, a convergência entre Cibersegurança e Prevenção a Fraudes pode e deve criar uma nova geração de Business SOCs com atuação mais analítica, integrada e sistêmica. “Já vemos até Red Teams dedicados à fraude operando lado a lado com os times de SI, por exemplo”.

O sexto pilar é a capacitação executiva junto aos decisores das empresas e conselhos administrativos. “Os programas de conscientização tradicionais não funcionam mais, principalmente para os C-Levels. O CISO precisa liderar a educação digital dos conselhos e executivos, com imersões, table tops, gestão de crises temáticas e treinamentos específicos para esse grupo. Só assim poderemos colocar o primeiro pilar em prática, aproximando ainda mais a SI do negócio. Essa nova abordagem de treinamentos personalizados pode definitivamente alavancar o engajamento de toda a liderança”, acrescenta.

Na sequência, no sétimo ponto, Bruno Moraes reforça a importância de proteger o ecossistema e a cadeia de suprimentos. “Defesa cibernética precisa ser profunda, não pode ser superficial ou reativa. É primordial construir políticas com os parceiros e de forma assertiva ser profundo nas integrações e principalmente nas diligências estendendo as capacidades core das empresas para ter uma visão real dos níveis de maturidade e riscos dos parceiros críticos de negócio. Casos recentes de incidentes como o que aconteceram no mercado que geraram impactos milionários só comprovam a importância de ter um ecossistema seguro.”

E por fim, o oitavo ponto destacado por Moraes traz a criação de equipes de alto desempenho. Um dos pilares para escalar a maturidade da segurança cibernética nas organizações é a formação de equipes de alto desempenho. O CISO, na posição estratégica que ocupa, precisa ir além da operação técnica: ele deve atuar como mentor, desenvolvedor de talentos e facilitador do diálogo com outras áreas da empresa.

“Na minha trajetória como CISO, sempre incentivei os gerentes seniores a participarem diretamente de reuniões e decisões com outros diretores. Essa prática proporcionava uma vivência real das pressões e responsabilidades do alto escalão, gerando empoderamento, ampliando a visão de negócio e desenvolvendo competências de liderança. Isso resultava em profissionais mais preparados, mais confiantes e com capacidade de tomar decisões estratégicas. Esses ingredientes eram perfeitos para a formação de futuros CISOs”.

Construir a próxima geração de líderes em cibersegurança é, antes de tudo, um ato de coragem e generosidade profissional. O CISO que compartilha, ouve, mentora, prepara e delega com inteligência contribui para a escalada da segurança da empresa e principalmente para o fortalecimento de todo o ecossistema e do nosso mercado.

Num outro aspecto o alto desempenho depende de o time de segurança atuar como parte ativa do negócio, sendo facilitador e agregando valor, e não apenas como “checker compliance” ou como equipe que entra no processo apenas para analisar e criticar. Por isso, programas como, por exemplo, Security Champions e BISOs devem ser implementados para criar uma sinergia genuína entre membros de todos os times técnicos, de negócio e de segurança. Essa aliança é um verdadeiro divisor de águas, com impacto muito maior do que qualquer tecnologia ou ferramenta isolada.

A partir desses oito pilares e da missão do empreendedorismo, nasceu o Cyber Horizon Group, um ecossistema de empresas puras de Cibersegurança criada por Bruno Moraes para apoiar empresas na construção de uma visão estratégica e prática. “Nossas empresas atuam com visão profunda de Ataque, Defesa, Estratégia e Desenvolvimento Seguro. Quero escalar a inteligência para construir programas de alto impacto no cenário da cibersegurança brasileira, incluindo uma nova geração de produtos criados no Brasil. Sabemos lidar com adversidades e temos conhecimento do nosso mercado. Ter a completa visão dos desafios dos nossos clientes, pela nossa experiência nos dois lados do balcão, nos permite entregar um valor muito diferenciado para quem servimos”.

Entre maio de 2024 e maio de 2025, a empresa cresceu 500% em faturamento e expandiu seu time em 400%. “Já superamos a fase mais difícil. Agora é hora de crescer com qualidade, lançar novos produtos, impactar o mercado, atrair investidores e levar essa visão mais longe”, conclui.