Quando o risco cibernético nasce na sala de reunião, ele não vem mascarado como um malware sofisticado ou uma vulnerabilidade zero-day. Ele aparece em forma de planilha de custos, de metas agressivas de redução de despesas, de decisões de terceirização aceleradas e de projetos de nuvem aprovados sem o devido olhar de segurança. É ali, no ambiente onde se define estratégia, que muitas empresas plantam as sementes de futuras violações.
Os números mostram isso com clareza. Violações envolvendo terceiros dobraram no último ano. Pelo menos 82% das brechas já atingem dados que estão em ambientes de nuvem, enquanto mais de 60% dos aplicativos utilizados no dia a dia das empresas funcionam como “shadow IT”, isto é, sistemas adotados por áreas de negócio sem aprovação ou visibilidade das equipes de segurança e TI. No Brasil, onde somente cerca de 5% das organizações alcançam um nível considerado maduro em cibersegurança, o impacto financeiro é brutal: o custo médio de um incidente de vazamento já chega a R$ 7,19 milhões.
Isso não é, em sua essência, um problema técnico isolado. Não se trata apenas de uma porta mal configurada, uma senha fraca ou um patch atrasado. São sintomas de decisões corporativas: terceirizações sem due diligence mínima, migração para a nuvem sem estratégia de proteção, contratos sem cláusulas robustas de segurança e modelos de governança que deixam o CISO fora das discussões em que se decide o futuro tecnológico da organização.
A forma como a segurança é tratada no orçamento traduz bem essa mentalidade. Segundo dados de mercado, a cibersegurança responde, em média, por apenas 5,7% do orçamento de TI. Em muitas empresas, essa fatia ainda é vista como “despesa de apoio”, e não como investimento em continuidade do negócio. Sob pressão por resultados trimestrais, executivos frequentemente escolhem cortar justamente onde o retorno não é percebido de imediato: na proteção.
O resultado aparece na conta final. Organizações que operam com déficit severo de profissionais e recursos de segurança desembolsam, em média, R$ 29,6 milhões por violação. Já aquelas que contam com equipes e estruturas minimamente adequadas pagam cerca de R$ 20,5 milhões por incidente. A diferença de R$ 9,1 milhões por evento supera, e muito, qualquer economia pontual obtida com congelamento de contratações, enxugamento de times ou cortes em ferramentas de monitoramento.
A nuvem é um exemplo emblemático de como uma decisão de negócio pode, inadvertidamente, se converter em um vetor estratégico de ataque. Mover aplicações e dados para provedores cloud é, em tese, uma escolha racional: menor investimento em infraestrutura própria, escalabilidade, rapidez na entrega de produtos e serviços. Porém, quando essa migração é feita sob o prisma exclusivo de redução de TCO e aumento de eficiência, a segurança vira um apêndice – quando não é simplesmente ignorada.
Dados recentes mostram que pelo menos 82% das violações registradas em 2024 envolveram dados armazenados em nuvem. Em cenários multicloud, o estrago é ainda maior: incidentes nesses ambientes custaram, em média, mais de R$ 25 milhões e levaram 283 dias para serem identificados e contidos. Quase um ano convivendo com um invasor, perda de dados sensíveis, impacto reputacional e riscos regulatórios.
Uma grande parte das empresas opta pela abordagem “lift and shift”: pegar sistemas legados e simplesmente transportá-los para a nuvem, com o mínimo de ajustes. Do ponto de vista de segurança, essa opção costuma ser desastrosa. Com 89% das organizações operando em estratégia multicloud e 79% usando mais de um provedor ao mesmo tempo, a complexidade explode. Cada nova conta, cada novo ambiente, cada integração adicional é mais uma superfície de ataque a ser configurada, monitorada e protegida.
Quando decisões de migração são tomadas por CFOs ou CEOs focados exclusivamente em custo total de propriedade, sem a participação efetiva do CISO e da área de Segurança, o que nasce é uma arquitetura em nuvem cheia de vazios estruturais: permissões excessivas, falta de segmentação de redes, ausência de criptografia adequada, logs incompletos ou inexistentes, dependência de configurações padrão do provedor. É como mudar toda a empresa para um prédio moderno e esquecer de instalar portas, trancas e câmeras.
No Brasil, essa realidade é ainda mais crítica. Quase metade (47%) das violações analisadas envolveu dados espalhados por múltiplos ambientes – combinação de data center próprio, nuvem pública, nuvem privada e aplicações SaaS. Esses incidentes custaram, em média, R$ 7,29 milhões e levaram 355 dias entre a detecção inicial e a contenção completa. Ambientes em nuvem mal configurados foram vetor inicial de 15% dos ataques no país, com custo médio de R$ 5,95 milhões por ocorrência.
Se a nuvem expõe as fragilidades arquiteturais, a cadeia de suprimentos escancara o impacto das decisões comerciais. O Verizon DBIR 2025, que analisou mais de 22 mil incidentes e mais de 12 mil violações confirmadas em 139 países, mostrou que 30% das brechas envolveram fornecedores ou parceiros – o dobro em relação ao ano anterior. Ou seja, a porta de entrada do atacante não foi um servidor interno, mas sim um terceiro com acesso privilegiado ou com integração direta aos sistemas críticos.
No centro desse problema está a distância entre quem contrata e quem gerencia o risco. Uma empresa de porte médio lida hoje com cerca de 286 fornecedores. Porém, menos da metade dos programas de gestão de risco de terceiros tem poder real para barrar a entrada de um novo parceiro por razões de segurança. Em outras palavras, áreas de Compras e Negócio seguem aprovando contratos, ainda que a área de Segurança aponte riscos significativos.
O retrato é ainda mais alarmante quando se olha para a percepção de eficácia. Apenas 16% das organizações acreditam, de fato, mitigar com eficiência os riscos associados a terceiros, embora 98% admitam manter relacionamento com pelo menos um fornecedor que já sofreu algum tipo de violação. Ou seja, a grande maioria aceita conscientemente conviver com riscos conhecidos, sem mecanismos consistentes de compensação.
Na terceirização de operações de segurança – SOC e NOC gerenciados – essa lógica se repete. Relatórios recentes indicam que 66% dos incidentes envolvendo serviços gerenciados tinham conexão direta com a cadeia de suprimentos ou com terceiros. Quando uma empresa delega a vigilância do seu ambiente sem uma due diligence rigorosa, sem cláusulas contratuais claras de responsabilidade, sem indicadores e auditorias periódicas, o que se cria é uma perigosa sensação de “segurança terceirizada”. A diretoria acredita que está protegida, mas na prática apenas transferiu parte da visibilidade para fora, mantendo intactas as fragilidades de governança.
Outro ponto frequentemente negligenciado nas salas de reunião são as cláusulas de segurança nos contratos. Em muitos casos, elas são tratadas como formalidade jurídica, copiadas de modelos genéricos, sem ligação com a realidade técnica do negócio. Fala-se em “melhores práticas de mercado” de forma vaga, sem definir padrões mínimos de criptografia, resposta a incidentes, tempo máximo de notificação em caso de vazamento, requisitos de segregação de dados ou de testes de segurança recorrentes.
Quando ocorre um incidente, descobre-se que o contrato não estabelecia direitos de auditoria, nem exigia evidências periódicas de conformidade do fornecedor, tampouco definia penalidades concretas pelo descumprimento de controles. A discussão que deveria ter ocorrido na fase de negociação – envolvendo jurídico, compras, negócios, TI e segurança – acaba sendo feita às pressas, em meio a uma crise, sob pressão de clientes, imprensa e reguladores.
A própria arquitetura dos sistemas, muitas vezes, nasce vulnerável por decisão de design tomada com foco exclusivo em prazo de entrega e experiência do usuário. Para lançar um produto digital mais rápido, elimina-se uma camada de validação, posterga-se a autenticação multifator, simplifica-se o controle de acesso, libera-se acesso amplo em vez de privilégios mínimos. Essas escolhas, que parecem inofensivas no escopo de um projeto, somadas ao longo do portfólio de sistemas, criam vulnerabilidades estruturais difíceis de corrigir depois.
A isso se soma o fenômeno do “shadow IT”. Pressionadas por metas e prazos, áreas de negócio contratam aplicativos em nuvem, soluções de produtividade e serviços de armazenamento de forma autônoma, com cartão corporativo, sem passar por avaliação formal. Do ponto de vista do usuário, é uma resposta rápida a uma dor imediata. Do ponto de vista da segurança, é a criação de um ecossistema oculto de dados sensíveis, acessos não monitorados e integrações improvisadas. Mais de 60% dos aplicativos corporativos operando fora do radar são, na prática, uma rede paralela de risco construída com a anuência silenciosa da gestão.
Tudo isso expõe um problema de governança: a distância entre o CISO e a mesa onde as decisões realmente são tomadas. Em muitas empresas, o executivo de segurança ainda responde hierarquicamente a TI, sem assento nos fóruns estratégicos. Ele é chamado apenas quando o projeto está em fase final, para uma “validação” de última hora. Nessa etapa, qualquer recomendação mais incisiva é vista como entrave, e o caminho mais comum é flexibilizar controles em nome do prazo. Na prática, a empresa escolhe conscientemente conviver com risco maior, mas sem medi-lo com rigor.
Tratar a segurança como premissa de negócio significa inverter essa lógica. A pergunta da diretoria deixa de ser “quanto custa implementar esse controle?” e passa a ser “quanto custará lidar com o incidente se não implementarmos?”. Em vez de enxergar a área de cibersegurança como um centro de custo, passa-se a vê-la como mecanismo de proteção de receita, de reputação e de cumprimento regulatório. Cada decisão estratégica – migração para nuvem, entrada em novo mercado, adoção de IA, contratação de um grande fornecedor – precisa vir acompanhada de uma análise explícita de risco cibernético.
Na prática, isso exige algumas mudanças concretas:
1. CISO próximo do board
O executivo de segurança precisa ter canal direto com a alta administração, com autonomia para dizer “não” quando o risco for inaceitável, e para propor alternativas viáveis. Relatórios de risco cibernético devem fazer parte da rotina do conselho, assim como indicadores financeiros.
2. Segurança embutida na arquitetura de nuvem
Toda iniciativa cloud deve começar com desenho de controles: identidade e acesso, segmentação, criptografia, monitoramento, gestão de chaves, backup e resposta a incidentes. O modelo “lift and shift” precisa ser substituído por “lift, rearchitect and secure”: mover, redesenhar e proteger.
3. Gestão estruturada de terceiros
Programas de risco de terceiros não podem ser figurativos. Eles precisam ter autoridade para vetar fornecedores, exigir planos de remediação, definir requisitos mínimos (como MFA, criptografia, SOC certificado, testes periódicos) e realizar avaliações contínuas, não apenas na contratação.
4. Contratos com cláusulas técnicas claras
Em vez de generalidades, contratos devem trazer parâmetros objetivos: SLA de notificação de incidentes, padrões mínimos de proteção, obrigação de testes de segurança, direito de auditoria, segregação de ambientes, requisitos para subcontratados e multas proporcionais ao dano causado.
5. Orçamento alinhado ao risco real
Empresas devem comparar, de forma recorrente, o custo de fortalecer controles versus o impacto potencial de um incidente, usando dados de mercado e históricos internos. Cortes em segurança precisam ser encarados como aumento deliberado de exposição – e aprovados como tal.
6. Combate ao shadow IT com alternativas seguras
Em vez de apenas proibir, TI e Segurança devem oferecer catálogos de soluções aprovadas, com onboarding simples, para que áreas de negócio possam inovar com agilidade sem recorrer a atalhos arriscados.
7. Cultura de risco em todos os níveis
Diretores, gerentes e líderes de produto precisam ser capacitados para enxergar implicações de segurança em suas decisões. Segurança não é apenas um tema técnico; é um atributo de qualidade do próprio negócio.
No fim, a maior ilusão corporativa é acreditar que risco cibernético é um problema “do time de TI”. Não é. É um subproduto de como a empresa decide crescer, economizar, inovar e se relacionar com parceiros. Cada contrato assinado sem análise, cada migração feita às pressas, cada corte orçamentário em segurança é um voto a favor de uma brecha futura.
Empresas que compreendem isso transformam a segurança de obstáculo em diferencial competitivo. Passam a lançar produtos sem medo de vazamentos, a negociar com grandes clientes que exigem padrões elevados de proteção, a responder de forma estruturada quando um incidente ocorre. E, principalmente, deixam de ser reféns de decisões tomadas na sala de reunião sem que o risco digital estivesse na pauta.
O risco cibernético nasce, de fato, na alta gestão. Mas é também ali, na mesa do conselho e da diretoria, que ele pode ser reduzido a um nível aceitável – desde que a segurança pare de ser uma formalidade e passe a ser tratada como aquilo que sempre foi: uma condição básica para o negócio existir amanhã.