E isso é bom.

Há uma transformação em curso nas organizações que dependem da tecnologia para gerar valor. Silenciosa para quem observa de fora, mas profundamente sentida por quem trabalha com segurança da informação há algum tempo.

À medida que processos críticos se tornam digitais, dados se consolidam como ativos centrais e a continuidade operacional passa a depender de ecossistemas cada vez mais interconectados, a segurança da informação deixa de ser uma função de suporte. Ela passa a ser condição de operação.

Esse movimento não surge como resposta a crises isoladas, tampouco como reação pontual a incidentes. Trata-se de um processo de maturidade organizacional. E toda maturidade carrega implicações inevitáveis: quando o negócio depende da tecnologia, proteger a tecnologia é proteger o próprio negócio. E proteger o negócio é, por definição, atribuição da alta direção.

De função de suporte a pilar estratégico

A tecnologia deixou, há muito, de ser apenas ferramenta. Em diversos setores, ela se tornou infraestrutura essencial de geração de valor. Em alguns casos, é o próprio produto. Em outros, é o meio pelo qual valor é entregue, escalado e sustentado.

Mesmo em segmentos onde o produto final não é digital, a dependência é inequívoca. Indústria, energia, logística e agronegócio operam apoiados em tecnologia operacional, sensores, automação e redes conectadas. A produção física tornou-se inseparável da infraestrutura digital que a sustenta.

A segurança da informação, entretanto, em muitas organizações não acompanhou esse movimento na mesma velocidade. Posicionada como disciplina de controle, ficou defasada do negócio que deveria proteger. O risco tornou-se sistêmico, enquanto a governança permaneceu fragmentada.

Este é o verdadeiro ponto de inflexão. Não se trata de tecnologia, mas de organização.

O que os dados revelam

Afirmar que o envolvimento da alta direção melhora a postura de segurança é uma intuição razoável. Mas intuição sem evidência é apenas opinião. Os dados disponíveis tornam o argumento muito mais difícil de ignorar.

Números que orientam a decisão

  • US$ 4,88 mi — custo médio global por violação de dados (IBM, 2024)
  • US$ 2,20 mi — economia média com uso de IA e automação em segurança (IBM, 2024)
  • 68% — das violações envolveram fator humano (Verizon DBIR, 2024)

O relatório Cost of a Data Breach 2024, da IBM, analisou 604 organizações em 16 países e regiões, identificando que o custo médio global de uma violação de dados atingiu US$ 4,88 milhões por incidente, o maior valor registrado até o momento.

Mais relevante do que o número absoluto é o que ele indica: o custo não é uniforme. Ele varia de forma significativa conforme decisões organizacionais. O próprio relatório aponta que contextos como escassez de profissionais de segurança elevam substancialmente o impacto financeiro dos incidentes, evidenciando que governança, investimento e estrutura organizacional influenciam diretamente o resultado. 

O mesmo estudo mostra que organizações que utilizaram amplamente IA e automação em segurança reduziram o custo médio dos incidentes em aproximadamente US$ 2,2 milhões em relação àquelas que não utilizaram. Mas a adoção dessas capacidades depende de decisão e investimento contínuo — o que, na prática, não ocorre sem patrocínio da alta direção.

O Verizon Data Breach Investigations Report 2024, que analisou 30.458 incidentes e 10.626 violações confirmadas, reforça outro ângulo: o fator humano esteve presente em 68% das violações.

Esse dado desloca o foco da discussão. Segurança não é apenas controle tecnológico; é comportamento organizacional. Programas de cultura e conscientização que funcionam não nascem de iniciativas isoladas. Eles emergem de decisões consistentes da liderança que sinalizam, de forma inequívoca, que segurança é prioridade. 

No Brasil, o cenário adiciona uma camada regulatória relevante. A LGPD, em vigor desde 2020, estabelece multas de até 2% do faturamento anual, limitadas a R$ 50 milhões por infração. 

Não se trata mais de risco hipotético.

Uma transição que ainda encontra resistência

Apesar das evidências, muitas organizações continuam operando sob premissas que já não se sustentam. O risco cibernético ainda é tratado como tema técnico. Decisões continuam sendo delegadas sem conexão com a estratégia, e investimentos seguem pressionados por demandas de curto prazo.

Um padrão recorrente: o CISO apresenta um roadmap bem fundamentado, o conselho aprova o orçamento com cortes de 30%, e o critério usado para os cortes raramente tem relação com o risco real. Tem relação com o que parece caro e com o que o conselho não entende. Esse modelo cria um problema estrutural: decisões críticas passam a ser tomadas sem visibilidade completa do risco envolvido.

Há também uma resistência estrutural que precisa ser nomeada. Em muitos conselhos e comitês executivos, segurança ainda é percebida como assunto de TI repassado para a agenda por obrigação regulatória. O CISO é convocado para explicar um incidente, não para contribuir com a estratégia. Essa dinâmica não muda com treinamentos internos. Muda quando os incentivos mudam: quando órgãos de administração passam a ter deveres explícitos de supervisão e prestação de contas sobre risco cibernético, como reforçam DORA e as regras de divulgação da SEC.

Nesse cenário, a ausência da alta direção não é neutra. Na prática, representa a aceitação de riscos sem governança.

O que os frameworks já consolidaram

Os principais referenciais internacionais não antecipam tendências. Eles formalizam práticas já adotadas por organizações mais maduras.

O NIST Cybersecurity Framework 2.0, ao introduzir a função Govern como núcleo central do modelo, reconhece a governança como elemento estrutural no mesmo nível das capacidades operacionais. Sem governança, a segurança pode ser eficiente do ponto de vista técnico, mas permanece cega do ponto de vista estratégico.

A ISO 27001:2022 reforça esse entendimento ao exigir envolvimento ativo da alta direção, não apenas como patrocinadora formal, mas como responsável pela integração da segurança à estratégia e à alocação de recursos. A cláusula 5 da norma é explícita: liderança e comprometimento não são opcionais.

Com a expansão do uso de inteligência artificial, esse desafio se torna ainda mais complexo. O NIST AI RMF e a ISO 42001 ampliam o escopo da governança para incorporar novos tipos de risco: decisões opacas, vieses algorítmicos, dependência de modelos e fornecedores, impactos éticos e reputacionais. Governar IA sem envolvimento da alta direção é uma contradição em termos.

Uma ressalva importante: estar certificado na ISO 27001 ou aderente ao NIST CSF não equivale a ter governança efetiva. Certificações atestam conformidade em um momento específico. Governança é o que acontece entre as auditorias.

O que muda quando a governança se materializa

Quando a alta direção assume um papel ativo, a mudança não se limita à estrutura. Ela altera o comportamento do sistema organizacional.

O risco passa a ser discutido em linguagem de negócio. Incidentes deixam de ser descritos sob uma ótica exclusivamente técnica e passam a ser compreendidos por suas consequências: interrupção de receita, impacto em acordos de nível de serviço, exposição regulatória e danos reputacionais.

O apetite a risco deixa de ser implícito. Uma organização que decide não investir em redundância de infraestrutura crítica está assumindo um risco. Quando isso é decidido conscientemente pela liderança, com visibilidade das implicações, é governança. Quando acontece por omissão ou por contenção orçamentária automática, é exposição não gerenciada.

A resiliência deixa de ser plano e se consolida como capacidade. Organizações mais estruturadas não operam sob a premissa de que incidentes não ocorrerão. Elas partem do princípio de que incidentes são inevitáveis e, portanto, priorizam a capacidade de resposta, contenção e recuperação.

Essa mudança não depende apenas de tecnologia. Ela depende de coordenação, clareza de responsabilidades e continuidade de investimento — elementos que, na prática, só se estabilizam quando existe direção estratégica.

A cultura deixa de depender de iniciativas isoladas. Quando a alta direção prioriza o tema, aloca recursos de forma coerente e integra o risco cibernético à agenda estratégica, a organização internaliza que segurança não é opcional. É parte do modelo de gestão.

Governança como diferencial competitivo — com qualificações

A incorporação da segurança da informação à agenda da alta direção não se limita à proteção. Ela representa o desenvolvimento de uma capacidade organizacional.

Organizações que avançam nesse caminho tomam decisões com maior consciência de risco, operam com mais previsibilidade e constroem relações de confiança mais sólidas com clientes, parceiros e reguladores. Isso não apenas reduz perdas. Pode criar vantagem competitiva.

A qualificação é necessária: em setores altamente regulados como financeiro, saúde e infraestrutura crítica, segurança não é diferencial, é requisito de entrada. Uma instituição financeira sem governança robusta não compete — simplesmente não opera. O diferencial, nesses casos, está na capacidade de executar com consistência e de se adaptar mais rapidamente às mudanças regulatórias.

Em setores menos regulados, a relação entre maturidade em segurança e vantagem competitiva é mais difusa, mas existe. Especialmente em processos de M&A, onde a due diligence cibernética se tornou padrão, e em contratos com grandes empresas ou governos, onde requisitos de segurança para fornecedores são cada vez mais exigentes.

Ignorar essa evolução não preserva o estado atual. Significa operar com risco crescente, sem visibilidade e sem controle estruturado.

Perguntas que revelam o nível de maturidade

Algumas questões são suficientes para expor o estágio real de uma organização:

  • A segurança influencia decisões estratégicas ou apenas reage a elas?

O CISO é consultado antes de lançar um novo produto digital ou só depois que ele está no ar?

  • A cadeia de decisão em situações de crise está claramente definida e testada?

Não apenas documentada: testada. Exercícios de simulação de incidente foram realizados nos últimos 12 meses? A liderança participou?

  • A governança cobre novas fronteiras de risco, como o uso de inteligência artificial?

A organização adota IA em processos críticos sem um modelo claro de gestão de riscos associado a esses sistemas?

  • O orçamento de segurança é definido a partir do risco ou a partir do histórico?

Organizações que definem orçamento com base no que gastaram no ano anterior raramente têm visibilidade real do risco que estão assumindo.

Quando essas respostas não são claras, o risco já está presente, ainda que não formalmente reconhecido.

O papel do CISO neste contexto

Nesse novo cenário, o papel do CISO não diminui. Ele se redefine.

Deixa de atuar predominantemente como especialista técnico para assumir uma posição de articulação estratégica. Torna-se responsável por traduzir risco em impacto de negócio, conectar tecnologia e governança e facilitar decisões informadas.

Quando a alta direção assume sua responsabilidade, o CISO deixa de atuar em busca de legitimidade e passa a operar com alinhamento, prioridade e influência real.

Essa transição tem um lado que raramente é discutido com franqueza: ela exige que o próprio CISO mude. Um profissional que comunica risco em jargão técnico, que apresenta ao conselho com dezenas de slides de dashboards operacionais sem traduzir o impacto em termos de negócio, não está aproveitando o espaço que a governança estruturada abre. A responsabilidade é bilateral.

Encerramento

A governança da segurança não é uma camada adicional sobre a operação. É a estrutura que permite que a organização opere de maneira sustentável em um ambiente de risco crescente.

Organizações que compreendem essa realidade não tratam segurança como custo. Tratam como condição de existência.

E quando essa compreensão se estabelece no nível da alta direção, a mudança não é incremental.

É uma mudança de patamar.

Referências

IBM Security. Cost of a Data Breach Report 2024. IBM Corporation, 2024.

Verizon. Data Breach Investigations Report 2024. Verizon Business, 2024.

NIST. Cybersecurity Framework 2.0. National Institute of Standards and Technology, 2024.

ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection.

ISO/IEC 42001:2023. Artificial intelligence — Management system.

NIST. AI Risk Management Framework (AI RMF 1.0). 2023.

Brasil. Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n.º 13.709/2018.

União Europeia. Digital Operational Resilience Act (DORA), Regulamento (UE) 2022/2554.

U.S. Securities and Exchange Commission. Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure. 2023.

Como este artigo foi produzido

Este artigo foi desenvolvido com apoio de ferramentas de inteligência artificial como assistentes editoriais. Todas as etapas substantivas foram conduzidas pelo autor: definição do tema, orientação da abordagem, validação das fontes, revisão crítica e ajuste do conteúdo. As evidências e referências foram verificadas individualmente. O uso de IA aqui é consistente com o que o autor defende em suas aulas e artigos: tecnologia como ferramenta de amplificação do conhecimento humano, não como substituta da análise e do julgamento.

Tags

gestão de riscos Governança Inteligência Artificial ISO 27001 ISO 27701 ISO 29834 ISO 41000 NIST AI RMF NIST CSF NIST RMF segurança da informação
CA

Autor

Carlos Bernardo

Consultor, Instrutor e Mentor em Segurança da Informação e Gestão de Riscos
IT SECURE Consulting · São Paulo, Brasil

Consultor em Segurança da Informação com formação em Engenharia pela Escola de Engenharia Mauá e MBA em Governança, Riscos, Controles e Compliance. Possui ampla experiência no desenvolvimento e implantação de soluções em hardware, software, sistemas distribuídos, infraestrutura de TI, ambientes internet, segurança da informação, gerenciamento de riscos tecnológicos e computação forense. Atua também como professor em cursos de Segurança da Informação, Segurança Cibernética e Gestão de Riscos na ABNT, no Instituto Mauá de Tecnologia e na TIexames.

Perfil no LinkedIn