A cibersegurança é uma das poucas funções do negócio em que o sucesso costuma ser silencioso. Do lado de fora, pode até parecer que nada está acontecendo. No entanto, internamente, ela reflete uma sequência de processos e controles aparentemente pouco chamativos fazendo exatamente aquilo para que foram projetados: evitar que incidentes técnicos escalem e se transformem em crises de negócio. Usando uma analogia bastante comum, ninguém pensa no cinto de segurança do carro quando a viagem é tranquila. Mas, quando ele é necessário, a perspectiva muda.
Pode parecer um ponto estranho para começar, mas essa dinâmica está no centro de um problema antigo da cibersegurança: quando funciona, muito pouco muda na superfície. Todas as pessoas na organização conseguem fazer seu trabalho e o dia parece como qualquer outro. Mas quando falha, o que acontece? Todos percebem, nem que seja porque a diferença se torna evidente e os custos começam a se acumular rapidamente.
Embora a necessidade de prevenir interrupções seja inegável, justificar o custo de fazê-lo diante de outras prioridades de negócio nem sempre é simples. Outras áreas da empresa, especialmente aquelas que geram receita, normalmente conseguem apontar mudanças visíveis, como aumento nas vendas ou redução no time-to-market. A segurança raramente tem esse privilégio. Em vez disso, precisa se justificar com base em situações que idealmente nunca deveriam acontecer. Na disputa por orçamento, essa diferença pesa.
E, caso você pense que essas preocupações são exageradas, considere o seguinte: um estudo da IANS e da Artico revelou que “o crescimento médio anual do orçamento de cibersegurança [em 2025] caiu para 4%, o nível mais baixo em cinco anos e uma queda significativa em relação aos 8% registrados em 2024”. De forma ainda mais significativa, o estudo também apontou que “houve mais CISOs enfrentando orçamentos estagnados ou reduzidos do que aqueles que registraram crescimento, evidenciando um desafio cada vez maior para garantir recursos adequados para a cibersegurança”.
As contas não fecham?
Quando se pergunta “como provar o valor da segurança quando nada deu errado?”, tenta-se justificar os gastos apontando para desastres que não aconteceram. Esse enquadramento coloca a cibersegurança em uma posição defensiva e, além disso, ignora grande parte do que ela faz no dia a dia, acabando por obscurecer seu verdadeiro valor.
Como diz o ditado, “não há respostas corretas para perguntas incorretas”, então talvez seja melhor começar de novo, definindo como o valor deve ser entendido. Medir aquilo que não aconteceu também significa que só é possível falar de economias finitas, e não do crescimento e das oportunidades que operações seguras tornam possíveis. A capacidade de continuar operando de forma segura em um ambiente inseguro, onde seus concorrentes não conseguem fazê-lo, é uma vantagem competitiva que raramente é medida ou discutida.
Isso também pode alimentar um tipo de viés de sobrevivência: executivos em uma empresa que conseguiu operar com um orçamento limitado de segurança podem acreditar, com base na própria experiência, que o que foi gasto até agora foi suficiente. No entanto, alguns anos em que o negócio permaneceu fora de perigo dizem pouco sobre o que pode acontecer no ano seguinte. Além disso, a segurança frequentemente envolve o que se conhece como “fat tail risk” (risco de cauda longa), ou seja, riscos de eventos pouco prováveis, mas de alto impacto. É o tipo de risco em que tudo parece estar bem, até que, de repente, deixa de estar, e o prejuízo pode ser existencial. Com muitas ameaças evoluindo e os requisitos regulatórios se tornando cada vez mais rigorosos, as probabilidades não melhoram com o tempo; na verdade, podem até piorar.
Como diz o ditado, “não há respostas corretas para perguntas incorretas”, então talvez seja melhor recomeçar definindo como o valor deve ser entendido. Medir aquilo que não aconteceu também significa que só é possível falar de economias finitas, e não do crescimento e das oportunidades que operações seguras tornam possíveis. A capacidade de continuar operando de forma segura em um ambiente inseguro, onde seus concorrentes não conseguem fazê-lo, é uma vantagem competitiva que raramente é medida ou discutida.
Uma pergunta útil seria: “o que a segurança nos permite fazer que, de outra forma, não poderíamos?”
Isso não deve ser entendido de forma abstrata, mas sim literal e operacional. Assim, em vez de tentar provar uma eventualidade negativa que não ocorreu, é possível demonstrar uma realidade positiva. Em outras palavras, o que a segurança habilita ou transforma é a realidade diária e as perspectivas futuras da organização.
Onde a teoria encontra a realidade
A realidade da cibersegurança costuma ser dura, especialmente em organizações menores que vivem permanentemente com recursos limitados e são desproporcionalmente atacadas. Como a experiência em segurança digital não é fácil de encontrar, manter cobertura 24/7 internamente geralmente está fora do seu alcance. O monitoramento de segurança, por exemplo, pode significar que logs são coletados e alertas existem, mas a atenção e os recursos limitados acabam resultando em acompanhamentos tardios ou até inexistentes.
Essas limitações podem ter consequências muito práticas. Quanto mais tempo um atacante consegue operar sem ser detectado dentro da rede de uma empresa, mais longe e mais profundamente ele pode chegar: exfiltrar informações críticas, identificar backups ou descobrir o que causará o maior prejuízo.
O relatório Cost of a Data Breach 2025, da IBM, não apenas expõe o custo médio de uma violação de dados (US$ 4,44 milhões), mas também mostra quanto determinadas medidas de segurança podem reduzir esse valor. Existem frameworks específicos para calcular o ROI da segurança e para quantificação de risco cibernético, mas detalhá-los é assunto para outra conversa. O foco aqui está em algo mais difícil de medir.
Esse também é o contexto em que um serviço como Managed Detection and Response (MDR) começa a fazer sentido. Suas variantes podem diferir, mas o serviço é essencialmente ativo: combina detecção, resposta, pesquisa e inteligência de ameaças e remediação em operações contínuas, oferecendo até mesmo a organizações menores um tipo de cobertura que antes era exclusivo de grandes empresas. Entre outras coisas, isso significa que sempre há alguém monitorando e capaz de decidir se um sinal anômalo é inofensivo ou indica atividade maliciosa.
Essa mudança pode se manifestar em pequenas situações, mas gerar grandes impactos. Até mesmo incidentes sutis, como tentativas de roubo de credenciais, podem ser interrompidos desde o início, antes de evoluírem para algo mais grave, como um ataque de ransomware. Além disso, contar com esse tipo de cobertura é, cada vez mais, o que ciberseguradoras esperam das organizações.
O essencial
Argumentos limitados, baseados apenas na ideia de evitar custos, ignoram o que esse serviço ou a segurança em geral realmente faz. O investimento em segurança pode não gerar um momento de recompensa visível e satisfatório. Ao mesmo tempo, os intangíveis são poderosos e se multiplicam. A segurança está alinhada com os objetivos estratégicos essenciais de qualquer organização, até porque contribui para operações ininterruptas, confiança do cliente e conformidade regulatória. Sob essa perspectiva, a segurança é o resultado necessário, e não apenas um produto ou serviço.
Para quem não pensa apenas no curto prazo, os investimentos em segurança se pagam muitas vezes. A segurança permite que as organizações cresçam, porque o que estão adquirindo é capacidade: operar em escala, entrar em novos mercados e melhorar os resultados do negócio. Em outras palavras, estão comprando margem de ação. Para organizações com visão de futuro, isso deveria ser tão atraente quanto parece.
Por isso, quando todos na sua empresa conseguem seguir com suas rotinas diárias, vale a pena perguntar o motivo. Pode ser que a segurança esteja funcionando e conquistando seu lugar.
