CYBER SECURITY COMO RISCO FINANCEIRO: O CFO DEVERIA SER O PRINCIPAL PATROCINADOR DA SEGURANÇA?

A segurança da informação acompanha a evolução tecnológica e os ganhos de produtividade proporcionados pela digitalização dos negócios. Automação, computação em nuvem, inteligência artificial e plataformas digitais ampliaram significativamente a eficiência organizacional. Entretanto, esse avanço também ampliou a superfície de ataque das organizações.

Todavia temos uma realidade que ainda persiste, especialmente em muitos contextos organizacionais, a percepção de que a segurança da informação é apenas uma função técnica, restrita à área de tecnologia da informação (TI). Frequentemente, trata-se de um componente operacional, similar à infraestrutura de TI, ou confundida com mecanismos de proteção financeira comparáveis a seguros corporativos, com isto, a segurança passa a ser vista apenas como uma resposta a riscos percebidos, e não como um elemento estratégico da governança corporativa.

Um olhar atual ainda persiste a cultura de que a responsabilidade pela proteção de sistemas e dados esteve concentrada na TI. Contudo, a crescente dependência digital das organizações e a sofisticação dos ataques cibernéticos transformaram o cenário de risco empresarial, passando a ser utilizados por organizações criminosas estruturadas para fins de extorsão, fraude financeira, sequestro de dados, espionagem industrial, roubo de propriedade intelectual e até mesmo operações de guerra híbrida conduzidas por Estados nacionais. Tal contexto levou ao surgimento de uma indústria global de cibersegurança voltada à proteção de ativos empresariais. Enquanto no passado os ativos críticos eram predominantemente físicos, hoje grande parte do valor das organizações está concentrado em ativos digitais: dados, algoritmos, sistemas, plataformas e infraestruturas digitais.

Observa-se que os riscos cibernéticos passaram a afetar diretamente o valor econômico das empresas, segundo Gordon, Loeb e Zhou (2015), sendo cada vez mais considerados pelos investidores e pelos mercados financeiros. Além disso, os impactos financeiros de incidentes cibernéticos alteraram a lógica tradicional de governança tecnológica. A área de TI isoladamente não possui capacidade organizacional suficiente para responder à complexidade atual das ameaças, especialmente quando se consideram os efeitos sistêmicos de um incidente: paralisação operacional, perda de receita, interrupção da cadeia de suprimentos, impacto reputacional, perda de clientes e sanções regulatórias decorrentes de legislações como a Lei Geral de Proteção de Dados (LGPD).

O cenário há uma discussão estratégica: qual deve ser o papel dos executivos financeiros — especialmente o Chief Financial Officer (CFO) — na governança da segurança da informação? Embora a função tradicional do CFO esteja associada à gestão de custos, controle financeiro e eficiência econômica, a crescente materialização dos riscos cibernéticos demonstra que a segurança da informação não é apenas um centro de custo. Ela se tornou um elemento fundamental para a continuidade do negócio, a proteção de receitas e a preservação do valor corporativo.

Ataques Cibernéticos Industrializados e o Foco no Financeiro

Nas últimas duas décadas, os ataques cibernéticos passaram por um processo de industrialização. Diferentemente do passado, quando invasões eram frequentemente conduzidas por indivíduos isolados ou grupos motivados por curiosidade técnica, atualmente o ecossistema do cibercrime funciona como uma verdadeira economia paralela.

Modelos como Cybercrime-as-a-Service, Ransomware-as-a-Service (RaaS) e mercados clandestinos de dados transformaram o crime digital em uma atividade altamente organizada e escalável. Segundo estudos conduzidos por Anderson et al. (2013), o mercado global do cibercrime movimenta bilhões de dólares anualmente, criando cadeias de valor que incluem desenvolvedores de malware, operadores de ataques, corretores de acesso inicial e operadores de lavagem de dinheiro.

Nesse contexto, os ataques passaram a ser conduzidos com forte foco financeiro. Diferentemente de ataques ideológicos ou políticos, grande parte das campanhas atuais busca ganhos econômicos diretos.

Entre os vetores de ataque mais comuns destacam-se:

• Fraudes em pagamentos corporativos
• Comprometimento de contas a pagar
• Ataques de Business Email Compromise (BEC)
• Manipulação de transferências bancárias
• Fraudes na cadeia de suprimentos
• Sequestro de dados corporativos por ransomware

Segundo o relatório anual da Verizon Data Breach Investigations Report (DBIR), ataques relacionados a fraude financeira e engenharia social representam parcela significativa das violações corporativas, com destaque para esquemas de comprometimento de e-mail corporativo que exploram falhas em processos financeiros.

Uma característica relevante desses ataques é a utilização intensiva de automação. Ferramentas automatizadas realizam varreduras massivas na internet em busca de vulnerabilidades, credenciais expostas ou sistemas mal configurados. Essa automação reduz drasticamente o custo operacional do cibercrime e amplia o número de vítimas potenciais.

Phishing, por exemplo, evoluiu de mensagens simples para campanhas altamente sofisticadas, muitas vezes utilizando inteligência artificial para criar comunicações convincentes ou imitar padrões linguísticos de executivos e parceiros comerciais.

A Cadeia de Suprimentos Financeira como Alvo

Um dos focos preferenciais dos atacantes são os processos financeiros das organizações. Áreas como contas a pagar, gestão de fornecedores e operações bancárias corporativas tornaram-se alvos recorrentes de ataques.

Entre os métodos mais utilizados está o Business Email Compromise, no qual criminosos se passam por executivos ou fornecedores para induzir colaboradores a realizar transferências financeiras fraudulentas.

Outro vetor crescente envolve o comprometimento da cadeia de suprimentos digital. Nesse modelo, os criminosos infiltram-se em sistemas de fornecedores ou parceiros comerciais e utilizam essa posição para manipular processos de faturamento ou pagamentos.

Estudos de Romanosky (2016) indicam que incidentes cibernéticos possuem impacto mensurável no valor de mercado das empresas afetadas, especialmente quando envolvem perdas financeiras ou exposição de dados sensíveis.

O Desafio da Governança Cibernética

Atualmente há a percepção, em especial em setores imaturos, ao qual o risco cibernético foi tratado como um problema técnico, todavia, a crescente complexidade das ameaças e os impactos financeiros associados levaram ao reconhecimento de que a segurança da informação é, essencialmente, um tema de governança corporativa!

Modelos modernos de governança, como o NIST Cybersecurity Framework, destacam a necessidade de integração entre segurança, gestão de riscos e estratégia organizacional. A função Govern introduzida na versão mais recente do framework enfatiza o papel da liderança executiva na gestão do risco cibernético.

Segundo estudos de Kwon e Johnson (2014), organizações que integram a gestão de segurança da informação às estruturas de governança corporativa apresentam maior maturidade em gestão de riscos e melhor desempenho na resposta a incidentes.

O CFO passa a desempenhar papel fundamental. Isso ocorre porque grande parte das consequências de um incidente cibernético são financeiras:

• perdas operacionais
• interrupção de receita
• custos de resposta a incidentes
• custos jurídicos
• multas regulatórias
• impacto no valor das ações
• perda de confiança de investidores

Assim, a gestão do risco cibernético se aproxima da gestão tradicional de riscos financeiros.

Métricas Financeiras do Risco Cibernético

Uma das principais razões para a aproximação entre CFO e cibersegurança é a crescente capacidade de quantificar riscos digitais.

Modelos como Annual Loss Expectancy (ALE) permitem estimar perdas financeiras potenciais decorrentes de incidentes de segurança. Esse modelo combina três variáveis principais:

• valor do ativo
• fator de exposição
• frequência anual de ocorrência

Segundo Gordon e Loeb (2002), o investimento ideal em segurança da informação tende a ser inferior a aproximadamente 37% da perda esperada. Esse modelo, conhecido como Gordon-Loeb Model, tornou-se referência acadêmica para análise econômica de investimentos em segurança.

A utilização dessas métricas permite transformar discussões técnicas em análises financeiras compreensíveis para executivos e conselhos de administração.

Segurança da Informação como Proteção de Valor Corporativo

Do ponto de vista estratégico, a segurança da informação deve ser entendida como um mecanismo de proteção do valor corporativo.

Empresas altamente digitalizadas possuem grande parte de seus ativos em forma de dados e sistemas. A indisponibilidade ou comprometimento desses ativos pode gerar impactos econômicos equivalentes ou superiores a perdas de ativos físicos.

Além disso, investidores institucionais passaram a considerar a maturidade em cibersegurança como indicador de governança corporativa. Estudos de Kamiya et al. (2021) indicam que empresas com práticas robustas de segurança apresentam menor volatilidade financeira após incidentes.

Isso reforça a necessidade de integrar a segurança da informação às agendas estratégicas do conselho e da diretoria executiva.

Conclusão: Um Chamado aos Executivos Financeiros

A transformação digital da economia redefiniu profundamente a natureza dos riscos corporativos. Atualmente, uma parcela significativa das valor das organizações depende de infraestruturas digitais, dados e sistemas interconectados. Por conseguinte, o risco cibernético deixou de ser um problema técnico e passou a representar um risco financeiro estratégico.

Já a participação ativa do CFO na governança da segurança da informação torna-se fundamental, de outro modo, o executivo financeiro possui a capacidade de traduzir riscos tecnológicos em métricas econômicas compreensíveis para o conselho de administração, facilitando decisões de investimento e priorização estratégica.

Cabe a reflexão, “mais do que aprovar orçamentos de segurança, o CFO deve atuar como patrocinador institucional da gestão de riscos cibernéticos, integrando a segurança à estratégia financeira da organização”. Os Executivos financeiros que compreendem o atual cenário tendem a posicionar suas organizações de forma mais resiliente em um ambiente digital cada vez mais hostil que corrobora que o impacto de um ataque cibernético não é tecnológico, mas financeiro!

Referências Bibliográficas

ANDERSON, Ross et al. Measuring the Cost of Cybercrime. The Economics of Information Security and Privacy, Springer, 2013.

GORDON, Lawrence A.; LOEB, Martin P. The economics of information security investment. ACM Transactions on Information and System Security, 2002.

GORDON, Lawrence A.; LOEB, Martin P.; ZHOU, Lei. The impact of information security breaches: Has there been a downward shift in costs? Journal of Computer Security, 2015.

KAMIYA, Shinichi et al. What is the impact of successful cyberattacks on target firms? Journal of Financial Economics, 2021.

KWON, Juhee; JOHNSON, M. Eric. Proactive versus reactive security investments in the healthcare sector. MIS Quarterly, 2014.

ROMANOSKY, Sasha. Examining the costs and causes of cyber incidents. Journal of Cybersecurity, Oxford University Press, 2016.

VERIZON. Data Breach Investigations Report (DBIR). Verizon Enterprise, edições anuais.