Por que o investimento em cibersegurança ainda é visto como custo não essencial para CEOs?

A segurança da informação ainda é tratada como um custo secundário por muitos CEOs, que a enxergam como um gasto não essencial para a saúde da organização. Essa percepção equivocada quase sempre está atrelada a três principais fatores: a dificuldade de mensurar o retorno sobre o investimento (ROI) em cibersegurança, o distanciamento da alta cúpula das discussões sobre segurança digital e a falsa sensação de que as ameaças cibernéticas impactam apenas grandes corporações ou setores específicos.

A ausência de incidentes cibernéticos pode até dar a impressão de que os investimentos em segurança são desnecessários. No entanto, segundo a 3ª Pesquisa Nacional BugHunt de Segurança da Informação, quase 43% das empresas enfrentaram ao menos uma tentativa de ataque nos últimos 12 meses, sendo que 35% das ocorrências envolveram phishing e 30% estavam relacionadas a vazamento de dados. Esses números demonstram que as ameaças são constantes e que a melhor estratégia para manter uma operação segura é a prevenção.

Em contrapartida, a falta de envolvimento da liderança das empresas na cultura de segurança da informação muitas vezes se mostra um obstáculo para que recursos sejam alocados na área de cibersegurança. Muitos c-levels delegam o tema exclusivamente à área de TI, sem integrar a segurança digital à estratégia corporativa e à cultura da companhia. Quando CEOs não compreendem a importância da proteção de dados e sistemas, a cibersegurança passa a ser vista como um assunto técnico, distante das prioridades de negócio.

Transformação de cultura

Para mudar essa mentalidade, é fundamental aproximar os tomadores de decisão e detentores do poder de compra das empresas das questões de segurança digital. Isso pode ser feito por meio de treinamentos específicos, simulação de ataques e benchmarking com organizações que investem em proteção e colhem benefícios financeiros e reputacionais. Demonstrar com clareza o impacto financeiro da cibersegurança também é essencial, já que empresas que sofrem ataques podem enfrentar desde multas regulatórias até perdas significativas de clientes e danos à reputação.

Nesse processo, os especialistas em cibersegurança e os compradores de soluções têm um papel essencial. São eles os agentes responsáveis por traduzir os riscos técnicos para uma linguagem alinhada aos objetivos de negócio, tornando o tema tangível para a liderança. Além disso, devem garantir que os investimentos sejam feitos de forma estratégica, priorizando soluções eficazes e aderentes à realidade da empresa.

A adoção de práticas robustas de segurança digital é um desafio global, mas, em alguns países, as empresas encontram na legislação o incentivo necessário para dar atenção à cibersegurança. Nos Estados Unidos e na União Europeia, por exemplo, regulamentações como o GDPR tornaram a segurança digital uma pauta estratégica, com penalidades significativas para organizações que não protegem adequadamente seus dados.

Mudar essa perspectiva exige educação, conscientização e uma postura proativa dos líderes. Afinal, a responsabilidade sobre o sucesso da operação recai sobre os CEOs. Por isso, já passou da hora de a segurança da informação deixar de ser vista como custo, mas como pilar decisivo para a saúde organizacional, reputação perante parceiros e clientes e competitividade no mercado atual.

*Ao lado do irmão, Bruno Telles, Caio Telles é cofundador da BugHunt, empresa de cibersegurança referência em Bug Bounty, programa de recompensa por identificação de falhas. É formado em Engenharia de Computação e atua na área de segurança há mais de 15 anos, com foco em segmentos como segurança ofensiva, defensiva, conscientização, GRC, entre outros.