Quem nunca ouviu essa expressão no meio de uma crise: “E agora, quem vai pagar o pato?”
Ou, se tu foste ao Mind the Sec em SP, certamente te deparaste com um brinde que causou alvoroço no evento. O que era? Um bendito pato! Pois é. Acredite: um pato.
Mas o que um pato tem a ver com cibersegurança? Além de me inspirar a escrever este artigo… essa pergunta ecoa mais forte e provocativa do que nunca. Quer ver?
O que vemos hoje é um abismo entre dois mundos que deveriam caminhar lado a lado: a diretoria/board/conselho e os profissionais de tecnologia/cibersegurança.
De um lado, executivos falando de estratégia, governança e riscos. Do outro, especialistas de tecnologia mergulhados em frameworks, relatórios técnicos e um vocabulário que só eles mesmos entendem.
Duvida? Então te provoco novamente: quanto desta sopa de letrinhas tu conheces? MFA, EDR, MDR, SOC, XDR, SIEM, IAM, PAM, CIAM, IGA… E agora, o quanto tu achas que o teu executivo sabe, em essência, o que cada sigla dessas significa? E mais: será que eles deveriam mesmo saber?
Bem, é no meio disso… que surge a RUPTURA!
E quando essa ponte que deveria unir esses dois mundos não existe, quem paga o pato?!
- As empresas, que têm sua operação fragilizada.
- As operações, que param ou sofrem impactos severos em incidentes.
- E no fim da linha o consumidor, que vê seus dados expostos e sua confiança quebrada.
E não precisamos ir longe para ver as consequências desse fosso: basta olhar para o recente ataque à C&M Software, empresa que conecta instituições ao Banco Central e ao sistema PIX — prejuízos estimados entre R$ 800 milhões e R$ 1 bilhão, impacto em contas-reserva bancárias e suspensão de várias instituições do Pix por ordem do BC. Quando a ponte entre governança e tecnologia falha, a conta chega rápido — e ela não recai só sobre a empresa ou o banco, mas sobre toda a operação.
Não dá mais para cada parte caminhar isolada. Conselhos precisam ouvir — de verdade — os profissionais de tecnologia/cibersegurança. E os profissionais de tecnologia/cibersegurança precisam aprender a traduzir sua linguagem para os executivos, boards e conselhos.
O artigo publicado na Harvard Business Review “7 Pressing Cybersecurity Questions Boards Need to Ask” traz um ponto crucial: não basta o board delegar a segurança para a área técnica. Existe uma responsabilidade fiduciária e estratégica em jogo. E só fazer checklists não adianta — é preciso criar pontes!
Algumas perguntas que deveriam estar na mesa de qualquer conselho:
- Quais são nossos ativos mais críticos?
- Como sabemos se fomos invadidos?
- O que acontece no dia seguinte a um incidente?
- Estamos investindo o suficiente — e no lugar certo?
Não se trata de transformar conselheiros em especialistas em tecnologia, mas de criar uma cultura de diálogo e corresponsabilidade. A tecnologia não pode falar sozinha. Por outro lado, a governança não pode ser cega.
Portanto, cibersegurança não é apenas sobre dados ou sistemas — é sobre continuidade, reputação e confiança. E confiança, uma vez quebrada, não se recompra facilmente no mercado.
Então, volto à pergunta inicial: quem paga o pato? Enquanto o conselho não falar a língua da tecnologia, e a tecnologia não traduzir para a linguagem do executivo/conselho, quem acaba pagando o pato somos todos nós: empresas, operações e consumidores.
A verdade cruel é que, em cibersegurança, não existe “alguém” distante que paga e pagará essa conta. Cada ataque não compromete apenas uma empresa, mas fragiliza todo o ecossistema digital que é crucial para que possamos viver, trabalhar e confiar.
Enquanto continuarmos a tratar cibersegurança como um detalhe técnico ou um custo a ser cortado, o pato será sempre mais gordo — e a fatura, cada vez mais cara!
A escolha é simples: ou construímos pontes sólidas entre executivos e tecnologia, ou continuaremos pagando, juntos, a conta da ruptura.
Esse é o convite da reflexão de hoje no Café com Bytes.
E você, na sua organização: já sabe quem está pagando o pato?
Um grande Abs da Rafa e até a próxima semana! 👋
__________________________________________________________
Cibersegurança não é custo. É investimento em confiança. E confiança é o ativo mais caro de qualquer negócio.
