O cibercrime é uma das atividades ilegais mais rentáveis da atualidade, mais até do que o tráfico de drogas. A afirmação parece forte, contudo, de acordo com o relatório de Tendências e Ciberameaças da NTT Data, o primeiro semestre deste ano registrou estimativas de US$ 13,2 trilhões em perdas com invasões em todo o mundo e o pagamento de resgate em casos de ransomware somaram US$ 6,3 trilhões. Violações de dados e sanções legais atingiram cerca de US$ 7 trilhões. Esse valor de quase US$ 27 trilhões é maior do que o PIB da China.

Enquanto o crime cibernético escala suas operações com o modelo Crime-as-a-Service (CaaS) e até grupos tradicionais — como máfias e cartéis — avançam suas ações para o ciberespaço, muitas empresas seguem tratando segurança cibernética como uma questão somente técnica, e não como parte central da estratégia corporativa.

Uma parte expressiva das companhias ainda não incorporaram a segurança cibernética ao centro da estratégia corporativa e os investimentos ainda são motivados por questões de conformidade ou quando a companhia sofre com os danos de um ataque.

O primeiro fator é bastante comum no setor financeiro, por exemplo, quando o Banco Central condiciona a operação mediante a comprovação de práticas robustas de segurança. O segundo motivo é o incidente, uma ação reativa.

Algumas empresas investem em segurança depois de um ataque, quando o prejuízo já está consolidado. O excesso de otimismo faz com que muitos gestores acreditem que as suas empresas jamais serão alvo. Mesmo cientes dos riscos, postergam decisões sobre o investimento em proteção — até que o incidente acontece.

O avanço da maturidade em cibersegurança passa pela capacidade das lideranças da área de dialogarem com a alta administração e se posicionarem como parte ativa da estratégia corporativa. Em empresas familiares – que representam 90% dos CNPJs do país e, juntas, totalizam 65% do PIB, de acordo com levantamento do Sebrae de 2024 – o investimento em cibersegurança não recebe a importância devida.

Para que a segurança cibernética deixe de ser reativa e passe a ocupar espaço estratégico, o CISO precisa constantemente aprimorar a capacidade de dialogar com as áreas de negócios e com os executivos da empresa. Por exemplo, com o CFO — quem, na prática, controla a alocação dos recursos. Em grande parte das empresas brasileiras, especialmente nas familiares, o executivo financeiro é o guardião do orçamento, o responsável pela disciplina fiscal e, muitas vezes, a voz mais cética diante de investimentos que não se traduzem imediatamente em receita.

O desafio do CISO, portanto, não é apenas técnico; é comunicacional. Ele precisa traduzir ameaças, vulnerabilidades e impactos operacionais em linguagem financeira, conectando riscos tecnológicos a consequências mensuráveis no fluxo de caixa, no valuation da empresa, na continuidade das operações e no custo do capital. Em outras palavras, deve transformar “alertas” em argumentos econômicos concretos capazes de sustentar decisões de investimento.

Quando o diálogo entre CISO e CFO não acontece de forma madura, a segurança perde espaço para demandas consideradas mais urgentes, como expansão comercial, contratação, modernização de máquinas ou ajustes de caixa. Mas quando essa ponte é construída, o efeito é imediato: o CFO deixa de enxergar segurança como custo e passa a vê-la como mitigação de perda, proteção de receita e blindagem de valor.

Para elevar a maturidade em cibersegurança é indispensável que CISOs desenvolvam fluência financeira. Entender o ciclo orçamentário, o processo de aprovação de investimentos, o cálculo de ROI, a perspectiva de risco corporativo e a lógica de priorização do CFO é o caminho para transformar segurança em decisão de negócio, e não apenas em chamado de urgência depois do incidente. O futuro das empresas não será definido apenas pela inovação tecnológica, mas pela confiança que conseguirem preservar em um mundo cada vez mais digital e vulnerável.