5 perguntas que todo CEO deve fazer sobre riscos cibernéticos

Pelo quarto ano consecutivo, o incidente cibernético é apontado como o principal risco global aos negócios. Segundo o Barômetro de Riscos 2025 da Allianz Commercial, 38% dos mais de 3,7 mil executivos de gestão de riscos entrevistados em mais de 100 países indicaram os crimes cibernéticos como sua maior preocupação, superando em mais de 5% os riscos de interrupção de negócios, que ocupam o segundo lugar.

Além disso, os cibercrimes movimentam atualmente US$ 8 trilhões e, segundo estimativas da AWS, devem atingir US$ 10,5 trilhões em 2025. Se fosse um país, o cibercrime seria a terceira maior economia do mundo.

Mas apesar de ser um tema em alerta nos últimos anos – e que deve seguir como urgente para os próximos – até que ponto ele faz parte da agenda executiva nas empresas brasileiras? O CISO tem caminho aberto para contribuir nas decisões de negócios sob a perspectiva dos níveis de riscos cibernéticos?

Leia mais: Ampliação da diversidade é o caminho para a nova geração de talentos em cibersegurança

Embora seja um tema central para a sobrevivência das empresas, a cibersegurança ainda é pouco discutida fora dos departamentos especializados. Por ser uma área técnica, exige alta especialização e constante atualização diante de ambientes digitais cada vez mais complexos. Contudo, todos os profissionais, de todas as áreas, podem impactar diretamente as chances de sobrevivência do negócio.

Quando pesa no bolso, a discussão ganha mais destaque: os incidentes cibernéticos podem gerar perdas de até 5-7% no valor de mercado de uma empresa em apenas seis meses, segundo dados do estudo da Harvard Business Review. Um fator que faz toda a diferença durante os processos de M&A, podendo enfraquecer sua credibilidade no mercado. Justamente por isso, deve ser algo gerenciado de maneira preventiva, em vez de reativa.

Diante dessa realidade, como o CEO pode se posicionar para mitigar riscos e assegurar a continuidade dos negócios?

Seguem algumas perguntas a serem consideradas nessa avaliação:

1. Como nossa liderança executiva é informada sobre o nível atual e o impacto dos riscos cibernéticos no negócio?

A comunicação entre o CISO e a liderança ainda é um desafio. Ainda existe uma desconexão, ainda pior quando se tratam de empresas que posicionam a área de cibersegurança no terceiro ou quarto nível hierárquico. Sem espaço para diálogo, os relatórios técnicos extensos não alcançam o objetivo de sensibilizar o alto escalão sobre a gravidade dos riscos. É essencial que os riscos cibernéticos sejam traduzidos em termos financeiros, legais e reputacionais, permitindo uma compreensão clara para a tomada de decisão. E isso também significa trazer essas pautas para agendas prioritárias do board.

2. Qual é o nível atual dos riscos cibernéticos em nossa empresa? Temos um plano claro para mitigá-los?

Sem uma visão consolidada do cenário de ameaças e um plano estruturado para mitigar os riscos, decisões estratégicas podem ser comprometidas. Quando os recursos são limitados, a priorização dos ativos críticos — as “joias da coroa” — é essencial para garantir que os esforços sejam direcionados às áreas que sustentam a operação. Obviamente riscos menores ainda precisam ser monitorados e fazer parte de um plano de resposta a incidentes, ainda que em um nível diferente de prioridade.

3. Nosso programa de cibersegurança adota padrões da indústria e boas práticas?

Aderir a frameworks como ISO, NIST ou CIS não é apenas uma questão de conformidade; é um passo estratégico para medir maturidade e robustez. Esses padrões permitem alinhar métricas claras de segurança, facilitando o diálogo entre o CISO, o CEO e o Conselho de Administração e, consequentemente, nas tomadas de decisões.

4. Quantos e quais tipos de incidentes cibernéticos detectamos regularmente? Quando eles são escalonados à liderança?

Monitoramento contínuo e protocolos de escalonamento bem definidos são cruciais para uma resposta ágil. Estabelecer critérios claros para a notificação ao alto escalão — alinhados aos frameworks adotados — ajuda a evitar surpresas e promove uma gestão mais eficaz dos riscos, além de evitar que todo o peso da responsabilidade seja centralizado na figura do CISO.

5. Nosso plano de resposta a incidentes é abrangente e testado regularmente?

A diferença entre uma organização resiliente e uma que reage apenas a crises está na preparação. Testar regularmente o plano de resposta a incidentes é indispensável para avaliar sua eficácia e identificar lacunas. Afinal, a questão não é “se” um ataque ocorrerá, mas “quando”.

A gestão do risco cibernético não é opcional

Os riscos cibernéticos continuarão a crescer exponencialmente. A questão central é se as organizações estão preparadas para gerenciá-los de forma diligente e responsável. CEOs têm um papel crucial nessa transformação, garantindo que a cibersegurança seja parte integrante da estratégia corporativa e não apenas uma preocupação técnica.

A segurança da informação é um investimento estratégico, um habilitador da inovação e, acima de tudo, um pilar para a continuidade e o sucesso no ambiente de negócios digital.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!