Decisões estratégicas tomadas em salas de reuniões podem ser a maior ameaça à segurança digital. CEOs e CFOs, sem perceber, abrem portas para ataques devastadores. Saiba os riscos.
A segurança cibernética, frequentemente vista como uma questão puramente técnica, tem suas raízes em decisões estratégicas tomadas no mais alto escalão das empresas. O artigo “Quando o risco cibernético nasce na sala de reuniões”, escrito por Ramon Ribeiro, Diretor Comercial da Solo Network e CTO da Solo Iron, aponta que a maior ameaça à segurança digital não provém de hackers sofisticados, mas sim de escolhas feitas por CEOs, CFOs e CTOs que, inadvertidamente, criam vulnerabilidades significativas.
O cenário atual é alarmante: violações de dados envolvendo terceiros dobraram no último ano, com pelo menos 82% das brechas afetando dados armazenados em nuvem. Além disso, mais de 60% dos aplicativos corporativos operam como “shadow IT”, fora do controle das equipes de segurança. No Brasil, a maturidade em cibersegurança ainda é baixa, com apenas 5% das organizações atingindo níveis adequados, e o custo médio de um vazamento já soma R$ 7,19 milhões. Contudo, essas falhas não são isoladas; são reflexos diretos de decisões de negócio, como terceirização sem a devida diligência, migrações para nuvem sem planejamento de segurança, contratos com cláusulas insuficientes e estruturas de governança que excluem o CISO das discussões estratégicas.
A Cibersegurança no Orçamento de TI
De acordo com a Forrester, a cibersegurança representa, em média, apenas 5,7% do orçamento de TI. Executivos, sob pressão por resultados trimestrais, frequentemente optam por cortes de custos que atingem a segurança em primeiro lugar. A consequência é uma economia ilusória: organizações com escassez severa de profissionais de segurança pagam R$ 29,6 milhões por violação, enquanto aquelas com equipes adequadas desembolsam R$ 20,5 milhões. Essa diferença de R$ 9,1 milhões por incidente supera em muito qualquer economia obtida com a redução de pessoal.
A Nuvem: Decisão de Negócio e Vetor de Ataque
A migração para a nuvem é, em sua essência, uma iniciativa voltada para a eficiência operacional e a redução de custos de infraestrutura. Entretanto, quando desacompanhada de um planejamento de segurança robusto, ela se transforma em um dos principais vetores de vulnerabilidades corporativas. A IBM aponta que 82% de todas as violações de dados em 2024 envolveram dados armazenados em nuvem. Violações em ambientes multicloud podem custar mais de R$ 25 milhões e demandar até 283 dias para serem identificadas e contidas.
A abordagem de “lift and shift”, que consiste em mover sistemas legados para a nuvem sem redesenhar a segurança, pode ser extremamente arriscada. Com 89% das organizações operando em estratégias multicloud e 79% utilizando múltiplos provedores, a complexidade aumenta exponencialmente. Cada ambiente adicional representa uma nova superfície de ataque que necessita de monitoramento, configuração e proteção constantes. Quando a decisão de migrar é tomada por focos de TCO (Custo Total de Propriedade), sem o envolvimento do CISO, o resultado previsível é uma arquitetura cloud com brechas estruturais.
No contexto brasileiro, 47% das violações envolveram dados distribuídos em múltiplos ambientes, com um custo médio de R$ 7,29 milhões e um ciclo de identificação e contenção de 355 dias. Ambientes de nuvem mal configurados foram responsáveis por 15% dos vetores iniciais de ataque no país, gerando um custo de R$ 5,95 milhões por incidente.
Terceirização e Supply Chain: Um Risco em Dobro
A explosão de violações originadas por meio de terceiros é um dos indicadores mais claros do impacto das decisões de negócio na cibersegurança. O Verizon DBIR 2025, que analisou mais de 22.000 incidentes, revelou que 30% das brechas envolveram fornecedores ou parceiros, o dobro do ano anterior. O cerne do problema reside na desconexão entre a decisão de contratação e a avaliação de risco associada.
Uma empresa de médio porte gerencia cerca de 286 fornecedores, mas apenas 49% dos programas de gestão de risco de terceiros possuem autoridade para barrar novos fornecedores por questões de risco. Apenas 16% das organizações acreditam mitigar efetivamente os riscos de terceiros, mesmo mantendo relacionamento com pelo menos um fornecedor que já sofreu uma violação. No segmento de SOC (Security Operations Center) e NOC (Network Operations Center) terceirizados, o relatório Barracuda Managed XDR 2025 indicou que 66% dos incidentes de segurança envolveram a cadeia de suprimentos ou terceiros. A terceirização de operações de segurança, quando realizada sem uma due diligence rigorosa, cria uma falsa sensação de proteção, pois o provedor de serviços recebe acesso a sistemas e dados críticos, tornando qualquer falha em sua segurança um problema direto do contratante.
Cláusulas Contratuais: Formalidade Perigosa
Uma das maneiras mais sutis, porém perigosas, de como decisões de negócio criam vulnerabilidades é através de contratos de tecnologia desprovidos de cláusulas de segurança adequadas. Análises jurídicas apontam que muitos contratos utilizam linguagem vaga, como “medidas razoáveis de segurança”, sem especificar padrões, frameworks ou métricas verificáveis. Organizações que implementam programas estruturados de gestão de risco de terceiros – com avaliações padronizadas, cláusulas de SLA (Service Level Agreement) de segurança, direito a auditoria e planos conjuntos de resposta a incidentes – atingem uma eficácia de 40% a 50% maior na gestão de risco, segundo o Gartner. No entanto, somente 4% das organizações confiam que seus questionários de avaliação refletem o risco real do fornecedor.
No Brasil, a Lei Geral de Proteção de Dados (LGPD) estabelece a responsabilidade solidária ou separada de controladores e operadores por violações. A Resolução CD/ANPD Nº 15/2024 formalizou a obrigação de comunicação de incidentes em até 3 dias úteis, com retenção de registros por cinco anos. A nova regulamentação do Banco Central (Resolução BCB Nº 498/2025) exige credenciamento para provedores de serviços de TI do sistema financeiro, com capital mínimo de R$ 15 milhões, nomeação de diretores de segurança da informação e separação de ambientes computacionais.
Arquitetura e Vulnerabilidades Estruturais
Escolhas técnicas, como o desenho de APIs (Application Programming Interfaces), a adoção de microsserviços ou a manutenção de sistemas legados, são, na verdade, decisões estratégicas com impacto direto na postura de segurança. Estudos de mercado indicam que em 2024, mais de 90% das empresas enfrentaram problemas de segurança em APIs em produção, e apenas 7,5% implementaram programas dedicados de teste e modelagem de ameaças em APIs. O volume de APIs cresceu 167% naquele ano, expandindo a superfície de ataque.
O débito técnico é outro multiplicador silencioso de risco. Quase 46% das vulnerabilidades exploradas conhecidas (KEV) catalogadas pela CISA estão ligadas a software ou sistemas operacionais em fim de vida, que continuam operando por falta de prioridade na modernização. No Brasil, o ransomware WannaCry, que explora uma vulnerabilidade de 2017, ainda é responsável por 40,59% das detecções de ransomware na América Latina, segundo a Kaspersky.
Segurança como Premissa Básica do Negócio
A tendência regulatória global, com diretrizes como as da SEC, NIS2 e DORA, e a legislação brasileira E-Ciber, caminha para a responsabilização pessoal de executivos e conselheiros. A questão fundamental agora é quando as organizações começarão a tratar cada decisão estratégica como uma decisão de segurança. No Brasil, com uma maturidade média de 5,8 em 10 e custos de violações em ascensão, essa transformação é urgente. A cibersegurança não deve ser vista apenas como responsabilidade do CISO; ela precisa ser integrada à matriz de decisão do C-level. Isso implica que projetos de transformação digital incluam avaliação formal de risco cibernético, terceirizações críticas passem por due diligence robusta e contratos de tecnologia contenham obrigações claras e verificáveis.
Ramon Ribeiro, Diretor Comercial da Solo Network e CTO da Solo Iron, ressalta que as decisões de negócio moldam a arquitetura de risco de uma organização. Quando tomadas sem integração entre estratégia, tecnologia e governança jurídica, podem gerar vulnerabilidades internas tão relevantes quanto qualquer ataque externo sofisticado. Nesse cenário, a porta não foi arrombada, mas sim aberta.
Categorias: Economia, Meio-Ambiente, Tecnologia
Tags: risco cibernético, segurança digital, sala de reuniões, decisões estratégicas, cibersegurança, Solo Network, Solo Iron, LGPD, nuvem, terceirização, supply chain, contratos, APIs, débito técnico, WannaCry
precisa de uma estratégia de comunicação integrada? Conheça nossos serviços de Comunicação.
