A transformação digital das empresas criou um novo tipo de risco corporativo, que não aparece apenas nos servidores ou nas redes. Aparece na própria estrutura de decisão das organizações, quando conselhos de administração tratam segurança cibernética como checklist regulatório ou como problema técnico. Só que essa é uma ameaça estratégica. Os boards mais preparados entendem que governar segurança significa governar risco, liderança e resiliência.
A maioria dos conselhos hoje compreende que um grande ataque cibernético pode ser devastador para a organização. Uma violação pode paralisar operações, destruir reputações, comprometer dados sensíveis e afetar diretamente receitas e valor de mercado. Não por acaso, o relatório anual de crimes do FBI mostrou que as perdas globais associadas ao cibercrime cresceram 33% em um único ano, atingindo US$ 20,87 bilhões com a participação de chatbots e uso de IA para fraudes.
Acontece que muitos boards continuam tratando a segurança cibernética de forma reativa e superficial. Em muitos casos, a segurança aparece na pauta apenas quando ocorre um incidente relevante ou quando surgem novas exigências regulatórias. Isso cria uma ilusão de controle, como apontam Jeffrey Proudfoot e Stuart Madnick, ligados ao MIT Sloan. Após entrevistar mais de 75 diretores e executivos ligados a conselhos, eles concluíram que quando se trata de cibersegurança, a maturidade de governança evolui lentamente.
Outro levantamento citado em debates sobre governança digital mostra o mesmo padrão: 94% dos boards dizem estar confiantes em sua postura de segurança, mesmo diante de um cenário de ataques cada vez mais frequentes e sofisticados. Essa discrepância entre percepção e realidade ajuda a explicar por que tantas organizações continuam sendo surpreendidas por incidentes.
O primeiro problema: a falta de expertise em cibersegurança
A maioria dos boards foi historicamente formada por executivos com experiência em áreas como Finanças, Direito ou Gestão Corporativa. Isso faz sentido sob a ótica tradicional de governança, mas cria lacunas quando o assunto é tecnologia. O estudo “Cyber warrior or Cyber Washing? Examining the Expertise of Board Members Serving on Cybersecurity Committees” analisou 239 membros de comitês de cibersegurança em 62 empresas. O resultado foi revelador:
- 1 diretor possuía formação formal em Cibersegurança
- 5 tinham certificações na área
- 16 possuíam experiência prática relevante em segurança digital
Ou seja: mesmo em comitês dedicados ao tema, o conhecimento técnico costuma ser limitado. Isso ajuda a explicar por que muitos conselhos acreditam que a solução seria simplesmente adicionar um especialista em segurança ao board.
Mas a pesquisa sugere que essa abordagem pode ser insuficiente. O motivo é simples: o cenário de ameaças evolui rápido demais. Mesmo especialistas encontram dificuldade para acompanhar a velocidade das mudanças tecnológicas. Um diretor entrevistado no estudo resume o desafio: “Eu sou ‘o cara de tecnologia e cibersegurança’ em vários conselhos. Mesmo trabalhando no Vale do Silício e conhecendo tecnologia, tenho dificuldade para acompanhar a velocidade dessas mudanças.”
O problema não é apenas a falta de especialistas, é a forma como os conselhos entendem seu próprio papel.
O que os boards deveriam fazer de fato
Segundo os pesquisadores do MIT, os conselhos não precisam se transformar em especialistas técnicos. O papel deles é outro: garantir liderança adequada, supervisão estratégica e responsabilidade organizacional sobre segurança. Na prática, isso significa que a principal responsabilidade do board não é entender cada vulnerabilidade técnica, mas sim avaliar a qualidade da liderança em cibersegurança dentro da empresa. Isso inclui:
- selecionar e supervisionar CISOs e executivos de segurança competentes
- avaliar a capacidade desses líderes de responder a crises
- garantir que segurança esteja integrada à estratégia do negócio
Incidentes cibernéticos, inclusive, podem servir como momentos importantes de avaliação. Durante uma crise, conselhos conseguem observar como executivos respondem sob pressão, como comunicam riscos e como coordenam a organização. Quando esses momentos revelam falhas de liderança, o board precisa agir.
Outra prática recomendada é a realização de simulações de ataques cibernéticos, ou exercícios de resposta a incidentes. Esses testes permitem avaliar:
- capacidade de resposta da organização
- clareza na comunicação com o board
- prontidão de equipes executivas
Mais importante ainda: os testes ajudam o conselho a entender se a empresa realmente possui uma cultura de resiliência operacional, e não apenas uma coleção de controles técnicos.
A segunda falha: discutir IA sem falar de segurança
Enquanto executivos e conselheiros discutem como a Inteligência Artificial pode aumentar produtividade, reduzir custos e criar novos modelos de negócio, muitas vezes ignoram um aspecto fundamental: o impacto da IA na superfície de ataque digital das empresas. Segundo Jeffrey Proudfoot e Stuart Madnick, esse é um dos maiores pontos cegos da governança corporativa atual.
A mesma tecnologia que cria oportunidades de inovação também cria novos riscos, a partir de ameaças que são usadas em ataques sofisticados:
- Geração automatizada de malware
- Ataques em escala com uso de automação
- Phishing altamente convincente criado com IA
- Deepfakes usados em fraudes corporativas
Casos recentes mostram cibercriminosos utilizando voz sintética e vídeos falsos para enganar funcionários e autorizar transferências milionárias. Por isso, conselhos precisam tratar IA simultaneamente como oportunidade estratégica e risco de governança. O que implica em incorporar perguntas como
- Estamos adotando IA por estratégia ou por pressão do mercado?
- Estamos assumindo riscos desnecessários para acelerar a adoção?
- O que acontece se sistemas baseados em IA falharem ou forem comprometidos?
Essas discussões devem envolver não apenas comitês de tecnologia, mas também áreas de risco, compliance, estratégia e ética.
O terceiro erro: confundir compliance com segurança
Outro equívoco comum ocorre quando conselhos tratam conformidade regulatória como sinônimo de segurança. A proliferação de normas e certificações de cibersegurança contribuiu para essa confusão. Relatórios, auditorias e checklists dão a impressão de controle, mas muitas vezes não refletem o nível real de proteção da empresa.
Segundo os pesquisadores do MIT, a relação entre regulamentação e segurança efetiva pode ser mais fraca do que muitos imaginam. Isso ocorre por vários motivos:
- regulações frequentemente ficam defasadas em relação às ameaças
- processos burocráticos atrasam atualizações de normas
- empresas passam a focar em cumprir requisitos, não em reduzir riscos
O resultado é uma postura defensiva baseada em conformidade, em vez de resiliência. Para os autores do artigo publicado na Harvard Business Review, cibersegurança deve ser tratada menos como um problema regulatório e mais como uma questão de competitividade e continuidade operacional. A analogia feita no estudo, aliás, é interessante: a dinâmica se aproxima da segurança da aviação. As empresas melhoram continuamente para cumprir regras, mas principalmente porque as consequências de falhas são imediatas e severas.
O papel dos boards na construção de resiliência digital
Se compliance não é suficiente e expertise técnica isolada também não resolve, qual deveria ser o verdadeiro papel dos conselhos? A resposta passa por três responsabilidades principais.
1.Definir prioridades de proteção
Os conselhos precisam garantir que a organização saiba exatamente o que precisa ser protegido primeiro, incluindo
- Dados críticos
- Propriedade intelectual
- Sistemas operacionais essenciais
- Processos que sustentam receita
Sem essa priorização, organizações acabam tentando proteger tudo e não protegem nada adequadamente.
2.Integrar segurança à estratégia
A segurança cibernética não pode ser tratada apenas como custo. Ela precisa ser integrada ao desenvolvimento de produtos, serviços e operações. Em seu papel, os boards devem questionar
- Como segurança afeta experiência do cliente
- Como incidentes impactariam confiança do mercado
- Como proteção digital pode se tornar diferencial competitivo
3.Governar riscos além da empresa
Hoje, grande parte das vulnerabilidades não está dentro da organização, mas em seu ecossistema. Fornecedores, parceiros e cadeias de suprimento digitais ampliam a superfície de ataque. Por isso, conselhos precisam exigir que executivos avaliem riscos interorganizacionais, incluindo dependências tecnológicas críticas. Planos de continuidade de negócios devem considerar essas interdependências.
A importância de boards digitalmente preparados
Pesquisas do MIT Center for Information Systems Research reforçam esse argumento. Um estudo sobre “digitally savvy boards” mostrou que apenas 24% dos conselhos eram considerados digitalmente preparados em 2019. Quando os pesquisadores atualizaram os critérios para incluir tecnologias emergentes como Inteligência Artificial, o percentual subiu para 26% dos boards considerados com conhecimento digital e de IA em 2024.
As empresas com esse perfil de conselho apresentaram desempenho significativamente superior: ROE 10,9 pontos percentuais acima da média do setor, enquanto empresas sem boards preparados ficaram 3,8 pontos abaixo da média. Esses números indicam que a governança tecnológica, incluindo aí a segurança cibernética, pode impactar diretamente no desempenho financeiro.
Em um mundo hiperconectado, em que a tecnologia deixou de ser apenas um tema operacional para se tornar uma questão estratégica e fiduciária, os boards precisam desenvolver novas capacidades:
- Compreender riscos tecnológicos emergentes
- Integrar segurança à estratégia corporativa
- Supervisionar lideranças técnicas
- Avaliar impactos de IA e automação
Acima de tudo, os conselhos precisarão abandonar a ideia de que segurança é responsabilidade exclusiva da área de tecnologia. Quando um ataque acontece, a responsabilidade não recai apenas sobre o CISO: ela sobe diretamente até o CEO e até o conselho.