A gestão de riscos cibernéticos é um dos grandes temas da Cibersegurança para 2025, pois é um assunto que evoluiu para uma questão estratégica dentro das empresas, exigindo dos CISOs uma visão de negócios mais aprimorada. Um dos conceitos centrais nesse processo é o apetite ao risco, que determina o nível de risco que a organização está disposta a aceitar para atingir seus objetivos.
“A gestão de riscos cibernéticos não é apenas uma questão técnica, mas um pilar estratégico para a sustentabilidade das organizações. E o ponto de partida para essa mudança passa pelo entendimento e aplicação prática do apetite ao risco”, reflete Renato Lima, CISO que ocupa uma posição executiva no setor de energia, em entrevista à Security Report.
De acordo com o CISO, a falta de compreensão clara desse conceito ainda dificulta a tomada de decisão e a obtenção de orçamentos adequados para a área de Cibersegurança. Ele explica que o apetite ao risco deve ser compreendido a partir de quatro variáveis fundamentais:
1.Capacidade: Refere-se aos recursos disponíveis para gerenciar riscos, incluindo capital, tecnologia, processos e pessoas. Empresas com maior capacidade tendem a ser mais resilientes diante de incidentes cibernéticos.
2.Apetite ao risco: Representa o nível de risco que a empresa está disposta a assumir em suas operações para buscar resultados estratégicos.
3.Tolerância ao risco: Define o limite máximo de risco que a organização pode suportar sem comprometer sua operação.
4.Risco inerente: É a exposição natural do negócio a riscos cibernéticos, sem considerar as medidas de mitigação já implementadas.
Renato Lima explica que cada empresa tem um equilíbrio próprio entre essas variáveis e é importante ajustá-las conforme o setor de atuação. Nos segmentos altamente regulados, como financeiro e energia, a tolerância ao risco é menor e, consequentemente, necessitam de controles mais rígidos. Já empresas em mercados menos regulados ou startups podem aceitar uma exposição maior, em prol da inovação e crescimento acelerado.
Orçamento de Cibersegurança
De acordo com o executivo, a definição do apetite ao risco não serve apenas para orientar políticas de Cibersegurança, mas também para estruturar investimentos de forma estratégica. “A falta dessa visão pode levar a decisões equivocadas, resultando em orçamentos mal justificados, desperdício de recursos com tecnologias subutilizadas ou carência de soluções essenciais”, adverte Lima.
Ele sugere que o CISO faça um estudo para ter um entendimento melhor sobre a matriz de risco da organização e construir um orçamento alinhado a essa realidade. “Para garantir espaço no board e conseguir investimentos adequados, é fundamental que os CISOs dominem conceitos financeiros, saibam falar sobre impacto nos negócios e consigam demonstrar como a Cibersegurança contribui para a resiliência operacional. E isso passa pela disciplina de gerenciamento de riscos cibernéticos”, completa.
Entre as melhores práticas sublinhadas pelo executivo, o destaque para organizar uma matriz de risco envolve:
1.Mapear os processos críticos e os principais ativos da empresa, identificando vulnerabilidades e impactos potenciais.
2.Quantificar os riscos cibernéticos, correlacionando-os aos riscos financeiros e operacionais da organização.
3.Priorizar investimentos com base no risco real, garantindo que os recursos sejam direcionados para áreas de maior exposição.
4.Demonstrar o retorno sobre o investimento (ROI), justificando o orçamento de Cibersegurança com métricas que façam sentido para o board.
“Hoje, com a restrição de orçamento, os CISOs precisam abandonar a cultura de pedir investimentos sem uma justificativa clara. Se há cortes no budget da SI, ou o plano não foi bem elaborado, ou o CISO não soube apresentar a necessidade da Cibersegurança de forma estratégica”, conclui Renato Lima.
