Skip to main content
Marsh logo

Artigo

Cibersegurança: uma decisão estratégica de negócio

Saiba por que a cibersegurança deve ser gerida como risco estratégico pela alta direção.

06/15/2026

A cibersegurança não pode mais ser analisada apenas como uma questão tecnológica. Hoje impacta diretamente a continuidade operacional, a geração de receita, a reputação, o cumprimento regulatório, a confiança dos clientes, a relação com terceiros e a capacidade de obtenção de seguros.

Os dados mostram por que deve estar na agenda do CEO, CFO e CRO. Os ataques públicos dos principais grupos de ransomware na América Latina e no Caribe cresceram mais de 40% entre 2023 e 2025. Em 2025, o Brasil concentrou 32% dos casos, o México 17% e a Argentina 12%. Segundo o relatório The state of ransomware 2025, da Sophos, a nível global a perda média por ransomware chega a USD 1,53 milhões, sem considerar pagamentos de extorsão, e 49% das empresas afetadas pagaram a extorsão.

Para a alta direção, a pergunta já não é se a empresa pode impedir todos os ataques. A pergunta é se ela pode resistir, responder e recuperar-se sem comprometer sua operação crítica quando um incidente de segurança significativo se materializar.

O risco cibernético já é um risco estratégico

Um incidente cibernético pode paralisar plantas, bloquear sistemas financeiros, afetar entregas, interromper serviços, comprometer dados sensíveis e gerar custos legais, regulatórios e reputacionais, e até colocar em risco a vida das pessoas. Segundo o relatório da Sophos, apenas 16% das organizações consegue recuperar-se de um ataque de ransomware em menos de um dia. Esse dado muda a conversa: a cibersegurança não deve ser mensurada apenas pela prevenção, mas pela capacidade real de recuperação.

A alta direção deve ter clareza sobre três pontos:

  • Quais ativos e processos são realmente críticos.
  • Quanto tempo a empresa pode operar sem sistemas essenciais.
  • Quais decisões devem estar aprovadas antes de uma crise.

Planos não testados, ausência de planos de continuidade, capacidades de contingência insuficientes, backups sem monitoramento e inventários tecnológicos incompletos aumentam o impacto de um incidente.

A gestão de cibercrises deve ser uma capacidade de negócio

A gestão de uma crise cibernética não começa quando o ataque ocorre. Começa antes, com um governo claro, papéis definidos, cenários priorizados, planos estabelecidos, capacidades de resposta e recuperação testadas e protocolos de comunicação.

Uma organização preparada não só responde melhor; também protege melhor sua reputação, reduz a improvisação, acelera reclamações de seguros e melhora a tomada de decisão sob pressão.

Para a alta direção, isso implica validar:

  • Se os objetivos de recuperação e pontos de recuperação são realistas.
  • Se os backups estão segregados, protegidos e testados.
  • Se existem responsáveis claros por decisões financeiras, legais, operacionais e reputacionais.
  • Se as equipes realizaram simulações de crise.
  • Se o programa de seguros está alinhado com os cenários de perda mais prováveis.

Quantificar o risco permite investir melhor

A alta direção precisa de dados para decidir onde investir primeiro. A quantificação do risco cibernético ajuda a comparar cenários, estimar perdas prováveis, priorizar controles e conectar cibersegurança à resiliência financeira.

Modelos não preveem o futuro com certeza, mas organizam informação complexa e ajudam a responder perguntas-chave: quais controles reduzem mais a exposição, quais investimentos têm maior impacto e como demonstrar maturidade aos stakeholders.

Alguns dados que ajudam a orientar a decisão:

  • Os benefícios completos do EDR são observados com implantações de 75% a 100%.
  • Achados em mercados da dark web associam-se a taxas de perda de 8,69%, contra 3,61% quando não há achados.
  • Credenciais expostas e sinais externos aumentam a probabilidade de perda.

Para o CFO, esses dados permitem traduzir a cibersegurança em termos de perda esperada, redução de exposição, proteção do balanço e segurabilidade.

A segurabilidade: o mercado oferece uma oportunidade estratégica

O mercado de seguro de risco cibernético na América Latina e no Caribe atravessa uma fase mais favorável para compradores. As taxas passaram de aumentos de +40% em 2021 para reduções de -7% em 2024 e -14% em 2025.

Essa janela não deve ser interpretada apenas como uma oportunidade para pagar menos. Para a alta direção, é o momento de melhorar a qualidade do programa: revisar limites, retenções, exclusões, sub-limites e capacidades de resposta.

Empresas com controles sólidos, informação clara e preparação para incidentes estão melhor posicionadas nas renovações. MFA, EDR, backups segregados, gestão de vulnerabilidades, resposta a incidentes, treinamento, PAM, gestão de patches e controle de fornecedores digitais são elementos relevantes para sustentar capacidade, condições e prêmios.

Também é crucial revisar exclusões que podem definir a resposta: guerra cibernética, infraestrutura crítica, fraude por transferência de fundos, fornecedores tecnológicos e eventos sistêmicos.

O subseguro cibernético continua sendo um desafio

A redução de taxas não elimina o problema do subseguro. Muitas empresas ainda não têm limites alinhados com sua exposição real, especialmente quando existem dependências de cloud, fornecedores tecnológicos, operação digital, ransomware, interrupção operacional ou exigência regulatória.

O risco não está apenas em ter ou não ter seguro cibernético. Está em contar com um programa que responda ao cenário correto e ao nível de perdas que a organização poderia sofrer.

A alta direção deveria se perguntar:

  • O limite cobre um cenário severo de interrupção operacional?
  • A apólice contempla fornecedores tecnológicos críticos?
  • Existem sub-limites que limitam a recuperação?
  • A retenção é viável para a empresa em um evento de alto impacto?
  • A cobertura se conecta com os planos de continuidade e resposta a incidentes?

Nesse sentido, uma avaliação de cenários de ciberriesgo a nível qualitativo e quantitativo pode permitir ter uma ideia clara da exposição financeira a esse risco.

Terceiros e cadeia de suprimentos: uma exposição que escala

A estratégia cyber deve olhar além da empresa. Os riscos de fronteira — incluindo terceiros, cadeia de suprimentos, IA, OT/IoT e computação quântica — ampliam a exposição e podem multiplicar impactos entre fornecedores, clientes e operações.

Nos incidentes analisados pela Verizon, 30% estavam vinculados a terceiros ou à cadeia de suprimentos. Esse dado é especialmente relevante para empresas com alta dependência de fornecedores tecnológicos, plataformas cloud, integradores, operadores logísticos ou serviços compartilhados.

Para o CEO, CFO e CRO, isso exige uma visão de ecossistema. Não basta fortalecer controles internos se fornecedores críticos podem se tornar a via de entrada ou o ponto de interrupção. Um monitoramento contínuo do nível de exposição dos terceiros pode ajudar a controlar essa situação de forma oportuna.

Governança: de relatórios técnicos a decisões executivas

A alta direção não precisa de mais relatórios técnicos. Precisa de indicadores que permitam tomar decisões.

Uma estratégia de cibersegurança executiva deve responder:

  • Qual é a exposição atual ao risco cibernético.
  • Quais cenários poderiam gerar maior perda.
  • Quais controles reduzem mais a exposição.
  • Quais terceiros concentram risco crítico.
  • Quais investimentos devem ser priorizados.
  • Qual é a capacidade real de recuperar operações.
  • Quais decisões o comitê executivo deve aprovar.
  • Se a empresa conta com uma cobertura de seguros adequada.

Por meio de avaliações de maturidade complementadas com avaliações de ciberriesgos a nível qualitativo e quantitativo, é possível definir estratégias de cibersegurança que traduzam a incerteza em investimento prioritário, responsáveis claros e critérios de aceitação de risco.

O que a alta direção deve liderar

A cibersegurança para a alta direção exige passar da supervisão geral para uma agenda de decisões concretas. CEO, CFO e CRO deveriam priorizar:

  • Entender o nível atual de maturidade e exposição ao risco cibernético.
  • Definir o apetite de risco cibernético da organização.
  • Compreender os cenários de ciberriesgo que podem afetar a organização.
  • Definir uma estrutura de governança adequada para a supervisão da estratégia de cibersegurança.
  • Avaliar, aprovar e monitorar a estratégia de cibersegurança e os planos de tratamento dos ciberriesgos da organização.
  • Promover a cultura de cibersegurança na organização.
  • Definir as expectativas quanto ao nível de detalhe, indicadores e frequência dos relatórios aos diferentes comitês.
  • Conhecer suas responsabilidades antes, durante e depois de uma cibercrise.
  • Entender as capacidades reais para responder e recuperar-se frente a um ciberincidente.
  • Entender as mudanças regulatórias que podem afetar a organização.
  • Avaliar e aprovar a contratação de um seguro de risco cibernético.

Como a Marsh pode ajudar

A Marsh ajuda organizações a gerir o risco cibernético a partir de uma perspectiva integral, conectando estratégia, quantificação, continuidade operacional, resposta a incidentes, segurabilidade e transferência de risco.

Nosso enfoque permite apoiar a alta direção em decisões críticas, por meio de serviços como: avaliação do nível de maturidade em cibersegurança, avaliação da exposição ao risco cibernético, quantificação de cenários de ciberriesgo, definição de planos de resposta a ciberincidentes, execução de simulações de cibercrise e resposta a ciberincidentes, definição da estrutura organizacional de cibersegurança e apoio na contratação de um seguro de risco cibernético.

Acesse o repositório Cyber Summit 2026 para ver as palestras completas e aprofundar-se nos dados, metodologias e decisões que podem fortalecer a resiliência cibernética da sua empresa.

Perguntas frequentes

Porque um incidente cibernético pode afetar receita, continuidade operacional, reputação, conformidade, fornecedores, clientes e segurabilidade. Já não é apenas um risco tecnológico; é um risco estratégico.

O C-Suite deve focar em entender as capacidades reais da organização para prevenir, responder e recuperar-se frente aos principais cenários de ciberriesgo que podem afetar a organização, bem como as perdas que podem ser geradas por um ciberataque, o retorno sobre o investimento em cibersegurança, o avanço da estratégia de cibersegurança e os planos de tratamento dos ciberriesgos relevantes, suas responsabilidades antes, durante e depois de uma cibercrise, e se a companhia conta com cobertura de seguros adequada.

O investimento pode ser justificado por critérios qualitativos ou por quantificação, como os seguintes: redução da perda provável, melhoria de controles ou nível de maturidade, redução de tempos de detecção e resposta, fortalecimento da continuidade, diminuição da exposição, obtenção de uma certificação para a organização, melhor posição perante seguradoras, entre outros.

Porque combina interrupção operacional, extorsão, perda de dados, pressão reputacional, custos legais e recuperação complexa. Além disso, apenas uma minoria de organizações consegue recuperar-se em menos de um dia.

O seguro cibernético ajuda a transferir parte do impacto financeiro e a acessar capacidades de resposta. No entanto, deve estar alinhado com os cenários reais de perda, a continuidade operacional e a exposição de terceiros.

MFA, EDR, backups isolados e testados, PAM, gestão de patches, resposta a incidentes, treinamento e gestão de fornecedores digitais são controles relevantes para melhorar a resiliência e as condições de seguro.

Deve assegurar a definição de uma gestão adequada de ciberriesgos de terceiros que inclua a identificação de fornecedores críticos, avaliação de dependências digitais, revisão de obrigações contratuais, validação da continuidade, análise da exposição da cadeia de suprimentos e considerar esses riscos dentro do programa de seguros. 

Acesse o repositório Cyber Summit 2026

Explore as apresentações sobre risco, resiliência e seguro cyber

Ver a página

Artigos relacionados

Baner Summit

Webcast

Cyber Summit 2026: Estratégias de cibersegurança

05/27/2026
Estuary at Bair Island Marine Park in Redwood City, CA

Artigo

Os riscos cibernéticos de terceiros impactam todas as organizações

03/10/2026
Cyber express

Artigo

Cyber Express: proteção cibernética ágil para empresas da América Latina

01/14/2026
Stock market and trading

Relatório

Relatório de Risco da Indústria de Tecnologia 2025

07/28/2025
Veja mais