Segurança digital deixa de ser tema técnico e passa a exigir decisão direta da alta liderança
Levantamento do IBM indica que o custo médio de um vazamento de dados no Brasil chegou a cerca de R$ 6 milhões por incidente em 2024, enquanto o Fórum Econômico Mundial mantém os riscos cibernéticos entre as principais ameaças globais aos negócios. Mesmo diante desse cenário, a definição sobre quem decide, prioriza investimentos e responde pela segurança digital ainda é difusa em muitas empresas.
Para Wagner Loch, CTO da Under Protection e especialista em cibersegurança e gestão de riscos corporativos, essa indefinição amplia a exposição ao risco. “Segurança digital não é decisão técnica. É uma decisão de negócio, porque impacta diretamente caixa, operação, reputação e continuidade”, afirma.
A confusão começa na própria estrutura organizacional. Em grande parte das companhias, CIO, CTO, CISO e CEO compartilham responsabilidades sem fronteiras claras. O CIO costuma responder pela operação e pelos sistemas que sustentam o negócio; o CTO, pela tecnologia ligada a produto e inovação; o CISO, quando existe, pela gestão de riscos de segurança da informação.
O problema surge quando essa função não está formalizada ou não tem autonomia para influenciar decisões estratégicas. “Quando ninguém assume oficialmente o risco digital, ele não desaparece. Ele apenas fica invisível até se transformar em incidente”, avalia Loch.
A decisão sobre cibersegurança deveria estar mais próxima da alta liderança. Não se trata de o CEO escolher soluções técnicas, mas de definir prioridades, orçamento e o nível de risco aceitável. “Quem decide quanto a empresa pode perder em uma paralisação ou em um vazamento é o topo da organização. Segurança precisa estar na mesa do board, assim como finanças, expansão e compliance”, destaca.
Quando essa tradução não acontece, o risco se acumula de forma silenciosa. Sistemas desatualizados, fornecedores sem avaliação adequada e ausência de monitoramento contínuo costumam passar despercebidos até que um ataque interrompa a operação. “Não é falta de tecnologia. É falta de decisão. A empresa sabe que existe o risco, mas não define quem responde por ele”, aponta.
Para organizações que buscam estruturar essa governança, o primeiro passo é definir claramente quem é o responsável pela segurança digital e a quem essa função se reporta. A partir daí, é fundamental conectar risco cibernético a indicadores de negócio, como impacto financeiro, parada operacional e exigências regulatórias. “Quando o risco é apresentado em números e cenários, a conversa muda. Segurança deixa de ser custo e passa a ser proteção de valor”, explica.
Quatro decisões que organizam a cibersegurança nas empresas
Antes de avançar para soluções, especialistas recomendam organizar algumas diretrizes básicas. A seguir, pontos que ajudam a evitar decisões fragmentadas e reativas:
1 – Definir a liderança do risco digital – estabelecer quem responde pela segurança e qual é o nível de autonomia dessa função.
2 – Mapear riscos de forma contínua – avaliações pontuais não acompanham a velocidade das ameaças.
3 – Priorizar investimentos por impacto no negócio – riscos devem ser classificados pelo potencial de dano financeiro, operacional e reputacional.
4 – Garantir monitoramento ativo e resposta rápida – a ausência de vigilância contínua amplia o tempo de exposição.
Na contratação de empresas especializadas, Loch recomenda atenção além da tecnologia ofertada. “É preciso buscar parceiros que falem a linguagem do negócio, entreguem relatórios executivos e ajudem a priorizar decisões. Segurança não pode ser uma caixa-preta”, diz.
O principal ganho de uma governança clara em cibersegurança é a previsibilidade. Empresas que sabem quem decide e como decidem conseguem antecipar riscos, reduzir perdas e evitar crises evitáveis. “Quando a segurança é tratada como estratégia, a empresa ganha clareza. E clareza, hoje, é um dos ativos mais valiosos para quem quer crescer sem surpresas”, conclui.
Sobre Wagner Loch
Wagner Loch é CTO da Under Protection e atua na área de cibersegurança desde 2013, onde construiu uma sólida trajetória iniciada como estagiário e consolidada como sócio da empresa. Formado em Gestão de Tecnologia da Informação pela FAEC, lidera atualmente áreas estratégicas como Implantação, MSSP, NG SOC, Gestão de Vulnerabilidades e Threat Intelligence, coordenando mais de 50 profissionais.
Ao longo da carreira, acumulou certificações como CCSE, CCSA e NSE (níveis 4, 5 e 7), além de ser auditor líder das ISOs 27001, 9001 e 22301. Entre suas conquistas, destacam-se a implantação do primeiro SOC proprietário da empresa, projetos de grande porte com tecnologias Fortinet e a obtenção das certificações ISO 27001, 27701 e 9001.
Sobre a Under Protection
Com mais de 20 anos de atuação, a Under Protection é especializada em cibersegurança e continuidade operacional. Criadora das metodologias LISA e NG LISA, combina monitoramento em tempo real, resposta imediata e análise integrada de pessoas, processos e tecnologia. Atua com planos priorizados e clareza executiva para proteger ambientes digitais com eficiência e resiliência.
A empresa também opera um centro de operações de segurança (NG SOC) que monitora ambientes 24/7, processando eventos em tempo real e executando ações automatizadas para contenção de ameaças. Com presença nacional e atuação em diversos setores, a Under Protection é reconhecida por sua abordagem estratégica e capacidade de adaptação às necessidades específicas de cada organização.
Para mais informações, acesse o site underprotection.
Fontes de pesquisas
IBM – Cost of a Data Breach Report 2025
https://www.ibm.com/reports/data-breach
Fórum Econômico Mundial – Global Risks Report
https://www.weforum.org/reports/global-risks-report-2024/
Verizon – Data Breach Investigations Report
https://www.verizon.com/business/resources/reports/dbir/
Sophos – State of Ransomware
https://www.sophos.com/en-us/content/state-of-ransomware