Levantamentos internacionais indicam que o risco digital deixou de ser um tema restrito à tecnologia e passou a influenciar decisões de investimento e crescimento. O Cost of a Data Breach Report 2024, da IBM, estima em US$ 4,88 milhões o custo médio global de um vazamento de dados, valor que segue em trajetória de alta. Ao mesmo tempo, o Global Risks Report 2025, do World Economic Forum, mantém os riscos tecnológicos no centro das preocupações sobre continuidade dos negócios.

Herson Hori, sócio e diretor de Risk Assessment da Under Protection, afirma que a avaliação de risco cibernético passou a ser tratada como etapa inicial das decisões estratégicas. Segundo ele, quando o planejamento não começa pela mensuração da exposição digital, o investimento tende a se tornar mais caro e menos eficiente. “Quando o risco não é quantificado, o orçamento de segurança tende a ser reativo e fragmentado. A empresa corre atrás do problema depois que ele já impactou a operação e o caixa”, diz.

Na prática, a ausência de diagnóstico transforma a cibersegurança em centro de custo. Recursos são aplicados em ferramentas desconectadas das prioridades do negócio, sem critérios claros de impacto financeiro ou operacional. “Boa parte das organizações compra tecnologia antes de entender onde estão seus riscos mais relevantes. Isso distorce a alocação de capital e amplia desperdícios”, afirma.

A mudança reflete também a pressão crescente de investidores, conselhos de administração e órgãos reguladores por transparência sobre riscos não financeiros. Estudos da PwC mostram que incidentes cibernéticos já figuram entre os principais fatores de interrupção operacional e perda de valor de mercado.

Na avaliação do executivo, o diagnóstico funciona como um check-up corporativo. “Sem um retrato claro da exposição, a empresa toma decisões baseadas em percepção, e não em evidência”, afirma.

O processo envolve o mapeamento de ativos críticos, fluxos de informação, dependências tecnológicas e fatores humanos capazes de comprometer a operação. Essa leitura integrada evita investimentos dispersos e desconectados da estratégia corporativa, permitindo priorização por impacto real.

Governança versus segurança ofensiva

A consolidação da diagnose cibernética também evidencia a diferença entre governança e segurança ofensiva. Testes de intrusão e varreduras de vulnerabilidades continuam relevantes, mas não substituem a definição de prioridades e critérios de decisão.

Para o diretor de Risk Assessment, é a governança que conecta segurança aos objetivos corporativos. “Testar sistemas mostra falhas técnicas. Governar riscos mostra onde investir primeiro e qual impacto aceitar”, explica.

Essa distinção tem ganhado peso em processos de expansão, fusões e aquisições. Relatórios da Accenture indicam que empresas que integram a avaliação de risco digital à estratégia reduzem o tempo de recuperação após incidentes e preservam melhor sua reputação.

O diagnóstico prévio, segundo ele, reduz surpresas. “O risco existe independentemente de ser mapeado. A diferença está em decidir de forma consciente”, observa.

As joias da coroa e o impacto para o negócio

Outro conceito central nesse tipo de avaliação é o das chamadas joias da coroa, ativos digitais cuja indisponibilidade ou vazamento gera impacto desproporcional para a empresa. Podem incluir dados de clientes, sistemas financeiros, plataformas operacionais ou propriedade intelectual.

Identificar esses ativos redefine a lógica do investimento. “Quando a empresa entende o que realmente não pode parar, o foco deixa de ser tecnologia e passa a ser continuidade do negócio”, aponta.

Os efeitos de um incidente nesses ativos vão além do aspecto técnico e atingem caixa, reputação e capacidade de cumprir contratos. A IBM aponta que interrupções prolongadas elevam de forma significativa o custo total dos incidentes.

Para o executivo, essa relação direta com o negócio explica por que a diagnose cibernética passou a anteceder decisões relevantes. “Hoje, avaliar risco digital é tão básico quanto analisar fluxo de caixa ou endividamento”, conclui.

Sobre Hesron Hori

Hesron Hori é sócio e diretor de Risk Assessment da Under Protection, especialista em gestão de riscos corporativos e segurança da informação. Atua há mais de uma década na avaliação de vulnerabilidades, governança digital e continuidade operacional, apoiando empresas na identificação e mitigação de riscos que afetam resultados, operações e reputação.

Formado em Segurança da Informação, possui MBA em Administração, Finanças e Geração de Valor pela Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS). Sua atuação integra tecnologia e estratégia de negócios, com foco em normas internacionais e boas práticas de segurança aplicadas ao ambiente corporativo.

Para mais informações, acesse linkedin.

Sobre a Under Protection

Com mais de 20 anos de atuação, a Under Protection é especializada em cibersegurança e continuidade operacional. Criadora das metodologias LISA e NG LISA, combina monitoramento em tempo real, resposta imediata e análise integrada de pessoas, processos e tecnologia. Atua com planos priorizados e clareza executiva para proteger ambientes digitais com eficiência e resiliência.

A empresa também opera um centro de operações de segurança (NG SOC) que monitora ambientes 24/7, processando eventos em tempo real e executando ações automatizadas para contenção de ameaças. Com presença nacional e atuação em diversos setores, a Under Protection é reconhecida por sua abordagem estratégica e capacidade de adaptação às necessidades específicas de cada organização.

Para mais  informações, acesse o site underprotection.