Vivemos um momento de grande incerteza para os líderes empresariais. Taxas de juros elevadas, tensões geopolíticas, interrupções na cadeia de suprimentos e mudanças repentinas em políticas comerciais criaram um cenário desafiador. Diante disso, é natural que muitas empresas adiem investimentos e procurem reduzir custos. Mas a cibersegurança não deve estar entre as áreas sacrificadas.

Como líder de TI ou de segurança, você provavelmente já entende os motivos. A questão é: será que o seu CEO e o conselho da empresa também compreendem? Pesquisas mostram que apenas 29% dos CISOs acreditam dispor de orçamento suficiente para atingir seus objetivos de segurança, enquanto 41% dos membros de conselhos consideram os recursos atuais adequados. Se essa diferença de percepção também existe na sua organização, é hora de reforçar o valor estratégico da cibersegurança.

E como outubro é o Mês da Conscientização sobre Cibersegurança, este é o momento perfeito para destacar a gravidade dos riscos digitais, reduzir lacunas de percepção, colocar a segurança no centro das decisões e, acima de tudo, transformar conscientização em ação.

PMEs ainda estão apagando incêndios

A cibersegurança é hoje mais reconhecida e valorizada pelos líderes empresariais do que no passado. No entanto, muitas pequenas e médias empresas ainda a enxergam como um custo, e não como uma necessidade estratégica. De acordo com a Global Technology Industry Association (GTIA), quase metade (46%) dessas empresas considera a segurança cibernética apenas de "importância moderada". Além disso, 12% dos entrevistados admitem atuar de forma tática ou reativa, o que significa que passam mais tempo apagando incêndios do que investindo na prevenção de incidentes.

Para mudar essa mentalidade, é preciso agir em duas frentes. Primeiro, comunicar de forma clara como a cibersegurança ajuda a evitar riscos críticos para o negócio. Segundo, reforçar que a segurança digital não é apenas uma proteção, mas também um fator essencial para o crescimento e a inovação.

Leia mais: Como a liderança especializada em tecnologia fortalece a cibersegurança

O custo da falta de cibersegurança adequada

Há inúmeros exemplos que podem ajudar a demonstrar ao conselho empresarial o impacto financeiro de não investir o suficiente em proteção digital:

  • A varejista M&S prevê uma perda de £300 milhões (cerca de R$ 2,1 bilhões) em lucro operacional após um ataque de ransomware que deixou seus sistemas de e-commerce fora do ar por várias semanas.
  • O grupo UnitedHealth estima que o ataque de ransomware à Change Healthcare pode gerar um prejuízo de quase US$ 2,9 bilhões (aproximadamente R$ 16 bilhões) em 2024.
  • A empresa de verificação de antecedentes National Public Data foi levada à falência depois de um vazamento de dados, também em 2024, que expôs quase três bilhões de registros.

Esses casos reforçam um ponto essencial: o custo de não investir em cibersegurança é, quase sempre, muito maior do que o investimento necessário para preveni-los.

Outro recurso importante é o relatório Cost of a Data Breach, da IBM, que não apenas revela o custo médio de uma violação de dados (US$ 4,4 milhões, aproximadamente R$ 24 milhões), mas também mostra quanto investimentos em tecnologias específicas e estratégias de cibersegurança podem reduzir essas perdas.

O ponto central é que quanto mais tempo os agentes maliciosos permanecem dentro da rede, mais caro se torna o incidente. Por isso, soluções como SIEM, SOAR e inteligência de ameaças são altamente eficazes na redução de custos. O relatório também destaca medidas estratégicas, como a implementação de DevSecOps, a nomeação de um CISO e a supervisão direta pelo conselho da empresa, que ajudam a fortalecer a segurança de forma proativa.

Esse tipo de inteligência pode contribuir para mudar o foco da organização, deixando de lado gastos reativos e avançando para a construção de uma cultura de segurança estratégica, incorporada desde o planejamento e o design de todas as operações.

De centro de custos a motor de negócios

Se o risco de perdas financeiras e danos à reputação não for suficiente para transformar a percepção sobre cibersegurança na sua organização, o argumento da conformidade pode ajudar a avançar essas discussões.

Regulamentos como NIS2 e DORA, na União Europeia, exigem que a cibersegurança seja tratada como um programa contínuo de gestão de riscos, com foco em aumentar a resiliência do negócio. A alta liderança deve definir, aprovar e supervisionar diretamente esses programas, além de participar de treinamentos obrigatórios para compreender os riscos e tomar decisões informadas. Os gestores podem ser responsabilizados pessoalmente pela implementação efetiva das medidas.

Leia mais: A crescente pressão sobre os CISOs está afetando a cibersegurança corporativa

No entanto, nem todas as PMEs estão sujeitas a regulamentações tão avançadas. Como, então, convencer executivos que acreditam que sua empresa é pequena demais para ser alvo de um vazamento de dados de que uma segurança "suficiente" na verdade não é suficiente? A chave é apelar para o instinto de negócio. Uma estratégia de cibersegurança eficaz pode, por exemplo:

  • Proteger a propriedade intelectual e os diferenciais competitivos: especialmente em setores como manufatura, tecnologia e mídia.
  • Facilitar a expansão para novos mercados: onde regulamentações rigorosas podem ser exigidas, como na União Europeia ou em alguns estados dos EUA (por exemplo, a lei de proteção de dados CCPA, da Califórnia).
  • Garantir a continuidade da transformação digital: um ataque cibernético crítico pode paralisar projetos, desviar recursos, abalar a confiança de stakeholders e alterar prioridades estratégicas.
  • Fortalecer a fidelidade do cliente e impulsionar resultados financeiros: lançar produtos inovadores e seguros contribui para a reputação da marca, enquanto produtos vulneráveis podem comprometer a confiança e a lealdade dos clientes.

A mensagem e o mensageiro

Mesmo tendo as ideias corretas, muitas vezes o conselho empresarial ainda não absorve a importância da cibersegurança. Por que isso acontece? A desconexão pode vir de ambos os lados. Líderes empresariais frequentemente enxergam a cibersegurança como uma "questão de TI", distante da gestão estratégica do negócio. Por outro lado, CISOs às vezes enfraquecem sua própria causa ao não se comunicar na linguagem do negócio.

Para superar esse desafio, considere as seguintes abordagens:

  • Enquadrar a cibersegurança como um risco de negócio: abandone o jargão técnico e destaque o impacto direto nos resultados e na continuidade das operações.
  • Usar métricas financeiras e alinhadas aos objetivos estratégicos, em vez de apenas indicadores de segurança. Estudos como o da IBM ou análises de Total Economic Impact podem servir como referência.
  • Apresentar exemplos concretos e casos de alerta, como os mencionados anteriormente, para convencer o conselho a aprovar investimentos específicos.
  • Contextualizar a postura de segurança da empresa: compartilhe informações sobre o que organizações similares estão investindo, os motivos e os resultados alcançados. Isso ajuda os líderes a perceberem possíveis lacunas.
  • Reportar de forma frequente e objetiva: apresentações curtas e diretas atraem atenção, enquanto atualizações regulares acompanham a velocidade com que o cenário de ameaças evolui.
  • Construir relacionamentos com membros do conselho e executivos seniores: ter um defensor na alta liderança facilita a aprovação e o avanço das iniciativas de cibersegurança.

As empresas mais resilientes são aquelas que passam a enxergar a cibersegurança não como um custo operacional, mas como um impulsionador de confiança e geração de valor de longo prazo. No fim das contas, é muito mais econômico incorporar a segurança desde o início em novos projetos e produtos do que tentar corrigi-la após um incidente. Você já sabe disso, e agora seu desafio é convencer o conselho a enxergar a situação da mesma forma.