Cibersegurança: o novo balanço patrimonial invisível das empresas

Cibersegurança: o novo balanço patrimonial invisível das empresas

Por muito tempo, a segurança digital foi considerada um custo. Trata-se de um investimento invisível, difícil de justificar em planilhas, e frequentemente adiado até que algo dê errado. Atualmente, esse comportamento tem um alto custo. O que antes era apenas um risco técnico passou a ser um elemento de governança corporativa, reputação e valor de mercado.

A segurança da informação não é mais um assunto exclusivo da área de TI, mas passou a ser o foco das discussões estratégicas. Em um mundo em que a maioria dos ativos corporativos é digital, o nível de proteção que uma empresa proporciona a seus dados e sistemas faz parte de seu balanço patrimonial invisível, mas que determina o valor real da companhia.

O preço do “depois”

Uma pesquisa recente da IBM calculou que o custo médio global de um vazamento de dados é de US$ 4,88 milhões por incidente. No Brasil, esse montante já ultrapassa US$ 1,4 milhão e aumenta a cada ano. Esses valores abrangem não apenas o resgate pago em casos de ransomware, mas também a perda de confiança dos clientes, interrupção das operações, litígios e penalidades regulatórias.

Empresas listadas na bolsa sentem esse impacto diretamente em suas ações: segundo estudo publicado pela Harvard Business Review companhias alvo de ataques cibernéticos podem experimentar uma queda de até 7,5% em seu valor de mercado nos dias posteriores a um incidente público. A segurança digital já faz parte da percepção de risco no mercado de capitais, e, consequentemente, do valuation.

Da infraestrutura à credibilidade

Os executivos entenderam que alocar recursos em cibersegurança vai além de proteger sistemas, trata-se de salvaguardar a confiança, que é o ativo mais precioso de qualquer empresa. Em áreas como finanças, saúde, telecomunicações e varejo digital, cada transação é sustentada pela confiança.

A segurança se tornou uma das métricas mais importantes nas agendas de ESG, especialmente no pilar da governança, e isso não é por acaso. Uma empresa que descuida da proteção de dados evidencia fragilidade institucional e imaturidade digital, fatores que, atualmente, são suficientes para afastar investidores e parceiros estratégicos.

De maneira semelhante, aumenta a quantidade de empresas que incluem indicadores de segurança em suas auditorias internas e relatórios anuais. O cyber risk não é mais só um problema técnico: trata-se de uma exposição financeira quantificável.

O CISO deixou a sala do servidor e se dirigiu ao conselho

Essa mudança de paradigma resultou em uma transformação cultural. O CISO (Chief Information Security Officer), que antes atuava nos bastidores da TI, agora tem voz nos conselhos de administração. Em diversas organizações, o setor de segurança reporta-se diretamente ao CEO, em vez de ao diretor de tecnologia, destacando seu papel estratégico renovado.

O CISO contemporâneo desempenha o papel de gestor de risco e articulador de valor. Ele converte vulnerabilidades técnicas em efeitos financeiros, transmite ameaças em termos empresariais e participa de decisões que afetam diretamente a continuidade das operações.

Empresas que compreendem essa dinâmica geralmente respondem mais rapidamente, reduzem danos e, em várias situações, previnem a ocorrência de incidentes.

A economia dos ataques

Há também um aspecto econômico perverso: o cibercrime se tornou uma indústria. Há um ecossistema global de hackers profissionais, com modelos de assinatura, suporte técnico e divisão de lucros, que vai desde ataques automatizados até serviços de RaaS (Ransomware as a Service). Trata-se de uma economia paralela extremamente rentável, que se expande na mesma medida em que as empresas se digitalizam.

A sofisticação é tão grande que pequenas e médias empresas, que antes não eram consideradas, passaram a ser os alvos principais, justamente por não terem defesas sólidas. E para elas, um único ataque pode representar o encerramento das atividades.

Da segurança de rede ao elemento humano

Apesar de todo o progresso tecnológico, o ponto mais vulnerável continua sendo o humano. Um relatório recente da Verizon indica que mais de 80% dos incidentes cibernéticos têm início por erros dos usuários, como senhas fracas, cliques em links maliciosos ou falhas em procedimentos.

Segurança não é algo que se implementa, é algo que se ensina. E essa é uma lição que as empresas aprendem da forma mais dura.

A nova medida de valor

Nos anos vindouros, a tendência é evidente: investidores, seguradoras e órgãos reguladores demandarão maior clareza em relação à postura de segurança das empresas. Assim como as auditorias financeiras ou práticas de sustentabilidade são hoje, a maturidade cibernética será um sinal de credibilidade e valor.

A empresa que compreende essa realidade e integra a cibersegurança em sua estratégia, em vez de vê-la como um custo, não só diminui riscos, como também gera valor. E em um mercado onde a confiança é o novo capital, resguardar dados é resguardar o negócio.

Por: Vinicius Olivério publicado originalmente publicado Infomoney

 Veja também:

• 9 falhas comuns de gerenciamento de riscos e como evitá-las
• Os riscos da IA que roda dentro da sua empresa
• Setor de manufatura amadurece o uso de IA e reduz riscos
• Guia do CISO para construir uma estratégia forte de resiliência cibernética
• Vulnerabilidade RDP permite Escalar Privilégios
• Confiança sob ataque
• Vazamento de dados em conversas com IA levanta alerta de privacidade
• Hackers exploram vulnerabilidade SSRF em GPTs
• Louvre senha: Louvre
• Cresce número de incidentes reportados à ANPD
• Empresas tem desafio de equilibrar segurança cibernética e inovação
• A falsa sensação de segurança