Se a Cibersegurança se tornou um risco de negócio, isso se deve aos impactos causados por um incidente cibernético, alcançando inclusive setores regulatórios. Nesse sentido, lideranças da OAB no Distrito Federal e da Vultus defendem medidas mais proativas das organizações, bem como alinhamento com o jurídico, com vistas a mitigar eventuais danos legais e reputacionais a elas.
Conforme explica o Presidente da Ordem dos Advogados em Brasília, Paulo Siqueira, um incidente de Segurança pode reverberar em diversas facetas de uma empresa, incluindo efeitos nas esferas Cível, a partir da exigência de indenizações às partes afetadas, Regulatória, por meio te prestação de contas à agências públicas, ou mesmo Penal, com a eventual responsabilização de executivos envolvidos com a operação diária.
Citando exemplo como o da Uber, em 2022, Siqueira reforça que é possível a um executivo ser apontado como responsável por um incidente de Segurança caso fique evidenciado uma negligência corporativa que inviabilizou uma resposta concreta ao eventual incidente. Isso tende a ocorrer quando a empresa não mantém um alinhamento eficiente do setor jurídico com as demandas regulatórias vigentes.
“As consequências jurídicas permeiam quase tudo, e na Cibersegurança não é diferente, na medida em que a governança se torna fundamental para lidar com esse contexto fora do meio técnico da SI. É necessário ser capaz de demonstrar que todas as medidas possíveis e necessárias para evitar aquele incidente foram tomadas”, explica o jurista, durante palestra sobre o tema no Security Leaders Brasília 2026.
Para Alexandre Brum, CEO da Vultus Cybersecurity, gerenciar uma ampla coordenação entre a Segurança e o jurídico da corporação é fator essencial no enfrentamento a um incidente, e deve ser feito desde os primeiros estágios de resposta. Isso parte de monitoramento contínuo da superfície de ataque, bem como estabelecer políticas de prevenção técnica e orquestração sobre o histórico de resposta para transformá-la em insumo jurídico de defesa.
O C-Level alerta também que as consequências de não ter esse padrão jurídico bem estabelecidos abre um precedente de exposição jurídica da companhia, incluindo perda de evidências, comunicação inadequada e abalos na reputação empresarial. Assim, em um cenário de judicialização do incidente de Segurança, ter um histórico do trabalho feito é fundamental.
“Vale reforçar: as empresas não são responsabilizadas pelo ataque em si, mas pela negligência sobre os controles que poderiam ter evitado o incidente ou mesmo pela incapacidade de demonstrar que esses controles estavam proativamente estabelecidos. Na realidade contemporânea, estamos sujeitos e inerentes a esse tipo de risco, portanto, estar juridicamente preparado para comprovar essa abordagem é essencial”, explica Brum.
Este Estudo de Caso foi apresentado no Congresso Security Leaders Brasília, primeira parada do roadmap 2026, que reuniu líderes, CISOs e especialistas na capital federal para conectar mentes estratégicas e impulsionar o ecossistema digital brasileiro. O evento abordou temas cruciais para o setor público e privado, desde o impacto da computação quântica até os riscos da inovação estratégica. Acompanhe a cobertura completa e participe das próximas etapas do congresso em todo o Brasil no portal do Security Leaders.
