IA expõe lacunas na governação do risco ao nível dos conselhos de administração

A relação entre conselhos de administração e responsáveis de cibersegurança está a tornar-se mais estruturada nas organizações, mas continua a existir um défice de discussão estratégica sobre risco digital. Esta é a principal conclusão do relatório “2026 Benchmark Report: How Boards are Partnering with CISO”, desenvolvido pela IANS, em parceria com a Artico Search e a The CAP Group.

O estudo indica que 95% dos CISO inquiridos apresentam atualizações regulares aos conselhos de administração, sinal de que a cibersegurança passou a fazer parte da agenda formal de governação empresarial. No entanto, a maioria destas interações mantém-se centrada na partilha de informação e não em debates aprofundados sobre o impacto dos riscos no negócio.

O relatório baseia-se num inquérito realizado em dezembro de 2025 a 17 administradores de conselhos de administração de organizações públicas, privadas e sem fins lucrativos. Os resultados foram complementados com dados do IANS CISO Compensation and Budget Survey 2025, que reuniu respostas de 663 CISO na América do Norte.

A diferença é visível na perceção dos próprios administradores. Cerca de 82% consideram satisfatórios ou excelentes os relatórios sobre tendências regulatórias, mas apenas 47% dizem o mesmo relativamente à capacidade de os CISO explicarem o impacto das ameaças emergentes nas organizações.

Segundo os autores do relatório, a eficácia da supervisão não depende apenas da frequência dos relatórios, mas sobretudo da qualidade do diálogo estratégico e da clareza sobre decisões relacionadas com risco cibernético.

“Os relatórios de cibersegurança aos conselhos de administração evoluíram estruturalmente, com mais tempo dedicado aos CISO nas reuniões, mas ainda existem lacunas”, afirma Steve Martano, membro da IANS Faculty e partner da Artico Search na área de cibersegurança. “As melhores apresentações de segurança promovem discussões abrangentes sobre risco cibernético e risco de negócio, com uma narrativa baseada em dados que estimula o debate sobre tolerância ao risco, estratégia e retorno do investimento em segurança.”

O relatório mostra também que muitas atualizações continuam a ser mais transacionais do que estratégicas. Embora os conselhos tenham visibilidade sobre o estado atual dos programas de segurança, iniciativas em curso e necessidades de recursos, mais de metade considera que a comunicação sobre o impacto de ameaças emergentes (53%) e riscos associados à Inteligência Artificial (IA) (47%) precisa de melhorar.

Outro desafio identificado prende-se com a qualidade da relação entre os conselhos e os responsáveis de segurança. Embora a cibersegurança seja cada vez mais reconhecida como uma responsabilidade permanente de supervisão, apenas 30% dos conselhos descrevem a relação com o CISO como forte e verdadeiramente colaborativa.

Mesmo quando existe contacto regular, o tempo dedicado ao tema é limitado. O estudo indica que as atualizações de segurança duram normalmente cerca de 30 minutos, e em 35% das organizações os temas de cibersegurança são discutidos apenas em comités especializados, não chegando ao plenário do conselho.

“O que estamos a observar é que, embora os conselhos estejam consistentemente informados, muitos ainda estão a aprender a transformar relatórios de cibersegurança em decisões estratégicas”, explica Nick Kakolowski, Senior Director de investigação sobre CISO na IANS. “Os administradores procuram sobretudo compreender o que vem a seguir, especialmente numa altura em que a IA está a transformar o panorama de ameaças e o risco empresarial.”

A IA surge, aliás, como um dos temas centrais para a governação futura do risco digital. À medida que os modelos de IA se tornam ativos críticos e simultaneamente ferramentas utilizadas por atacantes, o impacto para as organizações tende a aumentar.

“A IA é agora um dos principais motores do risco cibernético, tanto por permitir ataques mais sofisticados como por criar novos tipos de perdas à medida que os modelos se tornam ativos valiosos”, afirma Brian Walker, CEO da The CAP Group. “IA e cibersegurança estão intrinsecamente ligadas, e os conselhos precisam de compreender os riscos de negócio associados a ambas.”