Por Leandro Coelho – Head de Produtos Serasa Experian
Ao longo do RSAC 2026, uma percepção ficou muito clara para mim: a cibersegurança entrou definitivamente em uma nova fase. Não estamos mais discutindo apenas ferramentas de defesa, detecção ou automação. Estamos falando de como governar a IA autônoma, proteger cadeias cada vez mais frágeis, preservar a integridade dos sistemas e responder a ameaças que já misturam tecnologia, geopolítica, crime organizado e pressão regulatória.
Esse movimento apareceu de diferentes formas ao longo dos quatro dias de evento: nos keynotes sobre IA agentic, nos debates sobre defesa ativa e ofensiva cibernética, nas conversas sobre criptografia e futuro quântico, nas discussões sobre liderança, e até nas sessões que trataram do papel do CISO diante de um cenário mais complexo e exigente.
Neste conteúdo, vou compartilhar os principais aprendizados que levo do RSAC 2026, os temas que mais chamaram atenção e por que essas tendências importam para empresas que estão construindo estratégias de confiança digital, prevenção à fraude e segurança em escala.
Neste conteúdo você vai ler (Clique no conteúdo para seguir)
- O principal recado do RSAC 2026: a segurança da IA agora é estratégica
- Resiliência, supply chain e integridade deixaram de ser temas secundários
- A defesa não pode mais ser apenas passiva
- A criptografia seguiu relevante, e o futuro continua passando por ela
- O papel do CISO ficou ainda mais exigente
- O RSAC 2026 também falou sobre pessoas, narrativa e liderança
- Quais tendências eu levaria do RSAC 2026 para a agenda das empresas?
- Minha conclusão sobre o RSAC 2026
O principal recado do RSAC 2026: a segurança da IA agora é estratégica
Se eu tivesse que resumir o evento em uma única frase, diria o seguinte: o próximo ciclo da cibersegurança será definido menos por quem usa IA e mais por quem consegue governá-la com segurança.
Esse tema apareceu logo na abertura. Vasu Jakkal, da Microsoft Security, falou sobre uma segurança contínua, autônoma e “self-healing”, capaz de construir confiança na era da IA agentic. Jeetu Patel, da Cisco, ampliou a discussão ao mostrar que uma força de trabalho apoiada por agentes exige novos modelos de governança, acesso e accountability. Em paralelo, o último dia reforçou que as ameaças impulsionadas por IA estão entre os principais riscos do próximo ciclo de ataques.
Para mim, esse é um ponto decisivo: a conversa sobre IA amadureceu. O foco deixou de ser apenas produtividade ou automação e passou a incluir observabilidade, controle, rastreabilidade e decisão responsável. Em outras palavras, não basta incorporar IA ao negócio. É preciso entender como ela se comporta, quais riscos ela introduz e como garantir que seu uso esteja alinhado à segurança, à conformidade e à confiança digital.
A vitória da Geordie AI mostrou para onde o mercado está olhando
Um dos sinais mais interessantes do evento foi a escolha da Geordie AI como “Most Innovative Startup 2026” no Innovation Sandbox. A empresa venceu com uma proposta voltada à governança de IA oferecendo às equipes corporativas entendimento contínuo sobre o comportamento de agentes autônomos.
Esse resultado me chamou atenção porque sintetiza muito bem uma mudança de mercado. Durante muito tempo, grande parte do investimento em IA esteve concentrada em ganho de produtividade, aceleração de tarefas e geração de conteúdo. No RSAC 2026, o destaque foi para uma camada diferente: como controlar, supervisionar e reduzir riscos em sistemas autônomos que passam a operar em ambientes corporativos reais.
O histórico do próprio Innovation Sandbox reforça o peso desse sinal. Segundo a própria RSAC, em 21 anos de competição, os Top 10 finalistas acumularam mais de 100 aquisições e mais de US$ 50,1 bilhões em investimentos, e os finalistas de 2026 receberam US$ 5 milhões cada para impulsionar a inovação em cibersegurança. Isso mostra que o RSAC continua funcionando como um radar importante para venture capital, estratégia corporativa e M&A em cyber.
Resiliência, supply chain e integridade deixaram de ser temas secundários
Outro eixo muito forte do evento foi a percepção de que o risco cibernético está cada vez mais distribuído entre cadeias de software, infraestrutura, dependências operacionais e ecossistemas interconectados. Pat Opet, do JPMorgan Chase, defendeu a necessidade de adaptação diante de ameaças movidas por IA e de cadeias de software e infraestrutura cada vez mais frágeis. Richard Horne, do UK National Cyber Security Centre, reforçou a ideia de uma defesa multidimensional, adequada a um cenário em que ataques afetam empresas, supply chains e sociedades inteiras.
Esse ponto conversa com um tema que considero especialmente relevante para os próximos anos: a integridade. Em sua sessão, Bruce Schneier argumentou que a integridade está se tornando o desafio definidor da cibersegurança moderna. À medida que sistemas ficam mais conectados, automatizados e críticos para a operação, garantir que dados, decisões, identidades e fluxos permaneçam íntegros passa a ser tão importante quanto proteger acesso ou evitar indisponibilidade.
Na prática, isso muda a forma como empresas precisam pensar sobre segurança. Não se trata apenas de adicionar controles. Trata-se de revisar arquitetura, cadeia de confiança, políticas de acesso, capacidade de recuperação e mecanismos de validação contínua. É uma agenda menos centrada em resposta pontual e mais voltada à resiliência sistêmica.
A defesa não pode mais ser apenas passiva
O RSAC 2026 também mostrou que o setor está debatendo com mais seriedade os limites entre defesa cibernética passiva e ativa. Sandra Joyce, do Google Security, defendeu que as organizações precisam ir além da postura puramente defensiva e trabalhar para disrupt adversaries, ou seja, interromper e desorganizar ativamente a atuação dos atacantes.
Essa discussão ganhou ainda mais densidade no painel com quatro ex-diretores da NSA, ex-comandantes do US Cyber Command e lideranças militares de alto escalão. O debate abordou o futuro do offensive cyber, os dilemas éticos e políticos em torno do “hack-back” e os riscos de escalada quando esse tipo de resposta passa a ser considerado também no setor privado.
No quarto dia, a sessão sobre The Evolution of Cyber War adicionou uma camada importante a essa conversa: a dimensão humana e social do conflito digital. O painel trouxe reflexões sobre como desencorajar jovens talentos a migrarem para o cybercrime e sobre a responsabilidade coletiva de fortalecer resiliência em um ambiente sem fronteiras. Para mim, isso reforça um ponto essencial: cibersegurança não é apenas uma questão de tecnologia. É também uma questão de incentivo, cultura, responsabilidade social e coordenação institucional.
A criptografia seguiu relevante, e o futuro continua passando por ela
Mesmo com toda a atenção voltada à IA, outro aspecto que me pareceu importante no RSAC 2026 foi a permanência de temas estruturantes, especialmente criptografia, matemática aplicada e pesquisa de base. O tradicional Cryptographers’ Panel voltou a atrair grande interesse ao discutir o impacto da IA na segurança, a preparação para um futuro quântico e as pesquisas que devem influenciar a próxima geração de defesas.
Além disso, o RSAC Award for Excellence in the Field of Mathematics reconheceu Yehuda Lindell e Nigel Smart por avanços em multi-party computation e threshold cryptography. Esse reconhecimento é relevante porque mostra que, por trás das grandes narrativas sobre IA, o setor continua valorizando os fundamentos que sustentam privacidade, confiança e proteção em ambientes complexos.
Também vale destacar a criação e entrega do primeiro RSAC Frontier Award a Maria Spiropulu, do Caltech, reforçando a intenção da conferência de conectar ciência de fronteira, tecnologias disruptivas e o futuro da segurança digital.
O papel do CISO ficou ainda mais exigente
Se há um profissional que saiu maior, e mais pressionado dessa edição, foi o CISO (Chief Information Security Officer). O encerramento com CISOs Unchained III trouxe uma conversa franca sobre a evolução do cargo e sobre as novas camadas de complexidade enfrentadas por líderes de segurança.
Na minha leitura, isso faz total sentido. O CISO hoje precisa transitar entre tecnologia, risco, regulação, supply chain, experiência do cliente, continuidade do negócio e reputação. E, quando adicionamos IA, automação, crime organizado digital e dependências terceirizadas a essa equação, o papel deixa de ser apenas operacional ou técnico. Ele se torna cada vez mais estratégico.
Para empresas que atuam em ecossistemas sensíveis, esse ponto é central. Segurança não pode ficar isolada em um único time ou em um conjunto de ferramentas. Ela precisa ser tratada como capacidade transversal de negócio, conectada à confiança, à prevenção e à tomada de decisão.
O RSAC 2026 também falou sobre pessoas, narrativa e liderança
Um aspecto que considero especialmente positivo nesta edição foi o esforço do evento em ampliar a conversa de cibersegurança para além do campo técnico. Jacinda Ardern trouxe reflexões sobre liderança empática, confiança e valores em momentos de crise. Adam Savage abordou a importância da mentalidade maker para quebrar problemas complexos em partes menores e iterar com mais eficácia. Michael Lewis discutiu como o storytelling pode revelar padrões e tornar sistemas complexos mais compreensíveis.
No encerramento, James Lyne, CEO do SANS Institute, chamou atenção para as grandes concepções equivocadas sobre cibersegurança, incentivando a plateia a questionar narrativas prontas, separar hype de realidade e tomar decisões mais sólidas. Achei essa mensagem muito importante porque ela conversa diretamente com o momento atual da indústria. Em um cenário de excesso de informação e velocidade extrema, clareza virou vantagem competitiva.
Quais tendências eu levaria do RSAC 2026 para a agenda das empresas?
Na minha visão, há cinco frentes que merecem atenção imediata:
1. Governança de IA
Empresas precisarão investir mais em supervisão, controle, rastreabilidade e observabilidade de agentes e fluxos autônomos. O tema já deixou de ser experimental e passou a ser estratégico.
2. Resiliência de ecossistema
Supply chain, dependências tecnológicas e continuidade operacional devem ganhar ainda mais peso nas estratégias de segurança.
3. Integridade como prioridade
Garantir que identidades, dados, modelos, sinais e decisões permaneçam íntegros tende a ser um diferencial cada vez mais crítico.
4. Defesa mais ativa
A indústria continuará discutindo mecanismos de disrupção dos adversários, inteligência operacional e novas fronteiras entre resposta e ofensiva.
5. Liderança e comunicação
Traduzir risco técnico em linguagem de negócio, para conselhos, clientes e sociedade, será cada vez mais importante para gerar adesão, confiança e velocidade de resposta.
Minha conclusão sobre o RSAC 2026
Saio desta edição com a convicção de que a cibersegurança está se tornando menos uma disciplina isolada e mais uma capacidade central de construção de confiança digital. O RSAC 2026 mostrou que o desafio à frente não será apenas bloquear ataques, mas governar sistemas autônomos, proteger cadeias críticas, preservar integridade, lidar com tensões geopolíticas e traduzir complexidade em decisões melhores.
Para quem atua em produto, identidade, prevenção à fraude, análise de risco e inovação, a mensagem é clara: o futuro da segurança não será definido por um único controle ou tecnologia. Ele será definido pela capacidade de combinar dados, inteligência, arquitetura, governança e visão estratégica em uma resposta coerente a um ambiente cada vez mais dinâmico.
Por fim, se eu tivesse que resumir o espírito do evento em uma última frase, seria esta: a cibersegurança do futuro será definida menos pela tecnologia que adotamos e mais pela confiança que somos capazes de construir a partir dela.
