Nº 292 • JUN 25/JUL 25

Acesso direto aos capítulos

Diversidade Educação Financeira Espaço Apimec Brasil Gestão de Risco
IBGC Comunica IBRI Notícias Inteligência Artificial Livro
Mercado de Ações Opinião Orquestra Societária Ponto de Vista
Voz do Mercado      

Gestão de Risco

RISCO CIBERNÉTICO: BATE À PORTA - E AO BOLSO!

O cenário de negócios digitalmente interconectado trouxe eficiências sem precedentes, mas também amplificou exponencialmente uma classe de risco que não pode mais ser relegada a um departamento técnico: o Risco Cibernético.

Incidentes recentes, como o acesso não autorizado a dados de clientes da XP Investimentos hospedados em um fornecedor externo (divulgado em março de 2025), e mesmo o blackout do final de abril na Espanha e Portugal, cuja primeira suspeita foi, pelo alto impacto, um ataque cibernético, servem como um alerta contundente e próximo da nossa realidade. Os eventos expõem vulnerabilidades inerentes ao ecossistema digital e levantam questões cruciais sobre a preparação das empresas e a comunicação com seus stakeholders, incluindo o mercado de capitais.

A compreensão da maturidade da empresa em relação à segurança e, mais importante ainda, à resiliência cibernética, tornou-se fundamental. Falhas podem resultar não apenas em custos operacionais diretos e multas regulatórias (como as previstas pela LGPD), mas também em danos reputacionais severos, perda de confiança do cliente e, consequentemente, impacto negativo no valor das ações e na percepção de risco da companhia. A segurança cibernética deixou de ser um custo de TI para se tornar um componente essencial da governança corporativa e da gestão estratégica de riscos.

O Elo Perdido: A Falha na Comunicação entre CISO e Conselho
Paradoxalmente, enquanto a importância estratégica da cibersegurança cresce, a comunicação eficaz entre os especialistas técnicos (liderados pelo CISO - Chief Information Security Officer) e o Conselho de Administração continua sendo um desafio significativo. Pesquisas recentes, como o "The CISO Report 2025" divulgado pela Splunk/Cisco, pintam um quadro claro dessa desconexão.

O estudo revela que, embora 82% dos CISOs agora se reportem diretamente ao CEO (um aumento expressivo de 47% em relação a 2023) e 83% participem frequentemente das reuniões do Conselho, um gap de habilidades e entendimento persiste. Significativamente mais membros do Conselho (55%) do que CISOs (40%) acreditam que os líderes de segurança precisam desenvolver mais visão de negócios. Da mesma forma, a comunicação (52% vs 47%) e a inteligência emocional (45% vs 35%) são apontadas como áreas de melhoria pelos conselheiros.

Essa dificuldade em traduzir riscos técnicos complexos para uma linguagem de impacto no negócio tem consequências tangíveis. Uma das mais preocupantes é a divergência sobre o orçamento: apenas 29% dos CISOs sentem que têm recursos adequados, enquanto 41% dos membros do Conselho acreditam que a área já está bem financiada. Essa dissonância não é trivial. O mesmo relatório aponta que 18% dos CISOs tiveram que abandonar iniciativas de negócio por cortes orçamentários no último ano, e alarmantes 64% desses CISOs afirmaram que essa falta de suporte levou diretamente a ciberataques. Para o investidor, isso se traduz em risco material não gerenciado adequadamente devido a falhas de comunicação e alinhamento estratégico no topo da organização.

Além da Muralha: A Imperativa Mudança para a Resiliência Cibernética
Diante da sofisticação crescente das ameaças e da constatação de que a prevenção total é uma utopia, a discussão estratégica precisa evoluir. O Fórum Econômico Mundial (WEF), em colaboração com a Universidade de Oxford, aborda essa necessidade no seu relatório "The Cyber Resilience Compass: Journeys Towards Resilience". O documento define a resiliência cibernética como "a habilidade de uma organização minimizar o impacto de incidentes cibernéticos significativos em seus objetivos primários de negócio e objetivos".

Essa definição muda o foco: não se trata apenas de construir muros mais altos (prevenção), mas de garantir que a organização possa absorver o impacto, continuar operando funções críticas e se recuperar rapidamente quando os muros forem inevitavelmente transpostos. O relatório do WEF, baseado em práticas de líderes globais, sistematiza a resiliência em sete áreas interconectadas, das quais duas são cruciais para a governança e, portanto, para a análise dos investidores:

  1. Liderança: Cabe ao Conselho e à alta administração um papel decisivo e estratégico na gestão do risco cibernético. A liderança deve definir claramente a tolerância ao risco cibernético, integrando-a plenamente ao planejamento estratégico da organização. É fundamental identificar e proteger as "joias da coroa" – processos e ativos críticos ao negócio –, priorizando a alocação de recursos para garantir sua proteção e recuperação. Além disso, compete à alta administração estabelecer e disseminar uma cultura organizacional sólida de segurança e resiliência, garantindo que as decisões relacionadas ao risco cibernético estejam sempre alinhadas aos objetivos estratégicos gerais da companhia.
  1. Governança, Risco e Compliance (GRC): Refere-se ao estabelecimento de estruturas claras de propriedade e responsabilidade pelo risco cibernético em toda a organização – não pode ser apenas "o problema do CISO". Inclui a avaliação contínua dos riscos (internos e do ecossistema de fornecedores), a implementação de medidas de mitigação e a garantia de conformidade com regulamentações (como a LGPD) e padrões setoriais. A governança eficaz garante que os controles estejam implementados e que haja um processo para monitorar sua eficácia.

O Plano de Resposta a Incidentes: Do Papel à Prática Exercitada
Um pilar central da resiliência cibernética é o Plano de Resposta a Incidentes (PRI). Contudo, ter um documento bem escrito arquivado não confere resiliência. A verdadeira medida está na capacidade de executar esse plano sob pressão. É aqui que muitas organizações falham.

Um Plano de Resposta a Incidentes (PRI) eficaz vai além de procedimentos técnicos, sendo um roteiro coordenado que inclui: detecção rápida e análise precisa da extensão do incidente; contenção imediata dos danos; erradicação completa da ameaça; recuperação técnica detalhada, priorizando a retomada dos serviços críticos com backups testados e protegidos; comunicação estratégica clara e antecipada com stakeholders, prevendo porta-vozes e mensagens pré-definidas para diferentes cenários; e, por fim, uma análise pós-incidente para identificar causas e aprimorar continuamente os controles de segurança e o próprio PRI.

A chave para a eficácia do PRI é o teste rigoroso e regular. Simulações de mesa (tabletop exercises) envolvendo a alta administração e o Conselho, exercícios de "war games" e testes técnicos de recuperação são essenciais para identificar falhas, familiarizar as equipes com seus papéis e garantir que o plano funcione na prática.

A Perspectiva do Investidor: Perguntas Chave sobre Resiliência Cibernética
Administradores e investidores precisam ir além das métricas financeiras tradicionais e incorporar a resiliência cibernética em sua avaliação de risco e engajamento com as empresas. Algumas perguntas pertinentes a serem feitas (ou buscadas nos relatórios da empresa) incluem:

  • O risco cibernético é tratado explicitamente na matriz de risco estratégico da empresa e discutido pelo Conselho de Administração?
  • Existe clareza sobre a propriedade e responsabilidade pelos riscos cibernético dentro da organização? O CISO tem acesso direto e comunicação eficaz com o Conselho?
  • Como a empresa avalia e gerencia o risco cibernético em sua cadeia de suprimentos e fornecedores críticos?
  • A empresa possui um Plano de Resposta a Incidentes abrangente e testado?
  • Existem métricas para medir a eficácia dos controles de segurança? Como o Conselho supervisiona essas métricas?
  • A empresa possui seguro cibernético? Qual a sua cobertura e como ele se integra à estratégia geral de gestão de risco?

Conclusão: Protegendo o Valor na Era Digital
A resiliência cibernética não é mais uma opção, mas uma necessidade estratégica e um imperativo de governança. Ignorar sua importância é expor a empresa a riscos financeiros, operacionais e reputacionais significativos, que inevitavelmente preocupam e afastam investidores. Por outra lado, também é um diferencial competitivo, protegendo não só o valor existente, mas também impulsionando futuras oportunidades de negócio.

Uma comunicação transparente e eficaz entre a liderança técnica e o Conselho, juntamente com um foco proativo na capacidade de resposta e recuperação – devidamente planejada e testada –, são fundamentais para construir e manter a confiança do mercado.

Para a área de Relações com Investidores, compreender e comunicar a postura de resiliência cibernética da empresa é, cada vez mais, parte essencial da narrativa de proteção e criação de valor a longo prazo.


Ricardo Castro
Bord Member, Senior Advisor A&M Performance. Conselheiro certificado pelo IBGC. Experiência como conselheiro e administrador em empresas de diversos setores. Formado em engenharia pela UFRJ, mestrado em Tecnologia da Informação pela PUC-Rio e com MBAs executivos na Stanford, Insead, Kellog, Columbia, FDC, StarSe/NovaLisboa. Co-autor do livro High Tech High Touch. Professor MBA FIA.
ricardo.castro@accurotec.com


Continua...

Desenvolvido por Innova