Insights

O Papel do Líder na Gestão da Cibersegurança

Everson Probst
Por:
Everson Probst
15 dez. 20257 min leitura
Equipe vendo noticias na tv
Destaques

A crescente sofisticação dos ataques cibernéticos e a sua capacidade de paralisar operações inteiras deixaram claro um fato incontornável: a segurança digital não é mais uma questão técnica, é uma decisão de liderança. Quando um ataque acontece, o impacto não atinge apenas servidores e sistemas, ele afeta finanças, reputação, governança e, em muitos casos, a sobrevivência da empresa. E diante desse cenário, a atuação da alta gestão se torna não apenas desejável, mas inegociável. 

Liderança como o elo inicial da maturidade cibernética 

A pesquisa realizada pela Grant Thornton em parceria com o escritório Opice Blum mostra que apenas 58% das grandes empresas brasileiras têm a alta direção ativamente envolvida com a segurança cibernética. Esse dado é preocupante por um motivo simples: onde a liderança está ausente, a segurança tende a ser tratada como custo, não como prioridade estratégica. 

Sem o envolvimento do conselho, decisões sobre investimento, políticas de risco, planos de resposta a incidentes e definição de indicadores críticos acabam ficando restritas ao nível técnico-operacional. Isso cria uma lacuna perigosa entre o discurso institucional e a realidade da defesa. 

Empresas maduras em segurança são aquelas onde o board cobra, participa e lidera o processo. Não se trata de entender os detalhes técnicos, mas de reconhecer que risco digital é risco corporativo. 

O tempo em que ataques cibernéticos eram problemas “de tecnologia” já passou. Hoje, são crises organizacionais de alta complexidade. Casos como o ransonware que atingiu a operadora de turismo CVC, o ataque à Renner em 2021 e o impacto global sobre a JBS em 2021 demonstraram que o custo de uma violação vai muito além do resgate pago. 

Empresas perderam receita, acionistas, reputação e em alguns casos, sofreram quedas de liderança após a crise. Em todos os episódios, ficou evidente que a velocidade e a clareza da resposta estiveram diretamente ligadas à atuação do alto escalão: seja para acionar planos, comunicar-se com stakeholders ou tomar decisões sob pressão. Esse padrão reforça um princípio central: a liderança não apenas influencia o impacto de um ataque, ela o determina. 

Cultura se constrói com exemplo e começa no topo 

Um dos pilares da maturidade em segurança é a cultura organizacional, que não é implementada por decreto, mas construída pelo comportamento cotidiano da liderança. 

Quando o CEO e os diretores usam autenticação multifator, participam de simulações e seguem as políticas internas de segurança, o restante da organização tende a replicar esse comportamento. Por outro lado, se a liderança ignora treinamentos, repassa credenciais ou relativiza alertas de segurança, essa postura se dissemina silenciosamente. 

Esse aspecto é especialmente crítico no enfrentamento do fator humano, que ainda é o vetor mais explorado por atacantes, seja via phishing, engenharia social ou vazamento de credenciais. Criar uma cultura consciente, vigilante e proativa exige patrocínio visível da alta gestão, além de políticas claras e treinamentos recorrentes. 

A presença estratégica do CISO e CIO nos conselhos 

Apesar da crescente importância da segurança digital, ainda é comum que os profissionais de tecnologia e cibersegurança sejam excluídos das decisões estratégicas. Muitos CISOs e CIOs operam isoladamente, sem acesso direto ao conselho e com pouco poder de influência. Essa distância é um erro grave. Para que a liderança possa tomar decisões eficazes, ela precisa de informação qualificada e tempestiva sobre riscos reais, e ninguém está mais bem posicionado para oferecer essa visão do que os responsáveis pela segurança digital da organização. 

A presença de profissionais técnicos em conselhos ou comitês de risco permite traduzir ameaças técnicas em impacto de negócio, priorizar investimentos com base em risco real e antecipar cenários críticos com maior assertividade. 

A governança moderna exige que o board integre visões técnicas à estratégia corporativa, especialmente em um cenário onde o digital permeia todas as operações.  O IBGC (Instituto Brasileiro de Governança Corporativa) tem se posicionado de forma clara sobre a importância de incluir especialistas em segurança da informação e tecnologia, como CISOs e CIOs, nas discussões estratégicas do conselho de administração 

Em artigo publicado no blog do IBGC, são listadas nove responsabilidades dos conselheiros relacionadas à cibersegurança, incluindo:

  • Compreender os riscos cibernéticos do negócio
  • Garantir o alinhamento entre estratégia de negócio e de segurança
  • Aprovar políticas de segurança da informação e modelos de governança
  • Supervisionar a maturidade do ambiente de segurança
  • Participar de simulações de crises cibernéticas 

Essas responsabilidades evidenciam a necessidade de conselheiros com conhecimento técnico ou acesso direto a especialistas, como CISOs e CIOs, para tomada de decisão informada. 

Responsabilidade legal, reputacional e moral da alta gestão 

O avanço das regulamentações, como a LGPD, o Marco Civil da Internet e normativos do Banco Central e da CVM, consolidou uma nova realidade: a responsabilidade da alta gestão sobre a segurança da informação é objetiva, auditável e, em muitos casos, pessoal. 

Diretores e conselheiros podem ser responsabilizados por falhas de diligência, omissão ou descumprimento de obrigações legais relacionadas à proteção de dados e continuidade de negócio. Mais do que risco jurídico, há também um risco de reputação pessoal.  Além disso, investidores, analistas e parceiros avaliam cada vez mais a postura da liderança frente aos riscos digitais como critério para parcerias, valuation e até continuidade de negócios. Uma liderança omissa pode custar caro em todos os sentidos. 

Obviamente, a alta gestão não precisa (nem deve) acompanhar logs de firewall ou alertas técnicos, mas precisa acompanhar indicadores estratégicos que revelam o nível de maturidade e resiliência da organização, como: 

  • Tempo médio de detecção e resposta a incidentes; 
  • Frequência de exercícios de simulação de crise; 
  • Cobertura de autenticação multifator em contas privilegiadas; 
  • Avaliações periódicas de terceiros e fornecedores críticos; 
  • Evolução de gaps críticos detectados em auditorias internas. 

Mais importante do que o número absoluto, é a tendência de maturidade ao longo do tempo e a capacidade da organização de reagir e adaptar-se aos novos riscos. 

Barreiras à atuação da liderança e como superá-las 

É comum que executivos e conselheiros apresentem resistência ao envolvimento direto em temas de cibersegurança, alegando diversas razões variadas, como: 

  • Desconhecimento técnico, que pode ser resolvido com material de apoio claro e relatórios executivos traduzidos para linguagem de risco; 
  • Temor reputacional, que é facilmente superado com políticas de transparência e planos de resposta testados; 
  • Orçamento restrito, que deve ser combatido com simulações de impacto financeiro e análise de custo de inação; e 
  • Excesso de confiança em fornecedores, que pode tratado com due diligence e governança clara de terceiros. 

O papel do CISO, do CIO e do DPO é atuar como tradutores do risco técnico, viabilizando decisões conscientes e sustentadas. 

Alta gestão como diferencial competitivo 

O envolvimento da liderança em segurança digital não é mais opcional, é uma exigência do mercado. As empresas que demonstram governança ativa, responsabilidade clara e maturidade na resposta a incidentes, colhem diversos benefícios, como:  

  • Inspiram mais confiança entre clientes e parceiros; 
  • Tendem a sofrer menos impacto reputacional após crises, 
  • Atraem investidores mais conscientes e preparados; 
  • Reduzem o custo total de incidentes e o tempo de recuperação. 

Mais do que um requisito regulatório, a segurança bem liderada se tornou um ativo de valor, incorporado à marca, à cultura e à credibilidade da organização. 

Afinal, a cibersegurança não é um problema da TI e sim uma decisão estratégica, e o pilar que sustenta essa decisão é a liderança. Onde ela se omite, não há plano técnico que compense, mas onde ela atua, há resiliência, agilidade e capacidade de recuperação. 

Nos próximos anos, as empresas mais preparadas não serão as que mais investem em tecnologia, mas sim as que enxergam segurança como valor de negócio, e não como despesa operacional. E essa visão nasce, inevitavelmente, no boardroom. Em um mundo onde o risco digital é inevitável, a liderança que ignora a segurança não está neutra, está exposta. 

TAGS  
AUTORES

Últimos insights

Veja Mais
Auditoria como suporte estratégico para a governança
Inisghts Auditoria como suporte estratégico para a governança
Descubra como a auditoria externa fortalece a governança corporativa, impulsiona a transparência e prepara empresas para práticas ESG, garantindo credibilidade e sustentabilidade
Maria Regina Abdo
Maria Regina Abdo
| 2 min leitura | 12 dez. 2025
image depicting an abstract metal architecture
TRENDING TOPICS Evolução diante da disrupção
Descubra como as empresas podem transformar disrupções em vantagem competitiva com resiliência, agilidade e inovação estratégica.
29 out. 2025
Mulher sentada na grama
Insights O potencial da IA nas estratégias do setor de energia
Confira como as empresas de energia podem adotar a IA e otimizar seus processos e ganhos.
10 min leitura | 27 out. 2025
    Veja Mais