Por Fábio Araújo*
No cenário atual de cibersegurança, organizações enfrentam um desafio recorrente: justificar investimentos significativos em controles, tecnologias e equipes de segurança diante de executivos orientados a resultados financeiros. Tradicionalmente, métricas como ROI (Return on Investment) são utilizadas para avaliar o retorno de projetos e iniciativas. No entanto, quando o assunto é segurança da informação, surge um conceito complementar e igualmente relevante: RONI (Risk of Not Investing).
Compreender as diferenças entre ROI e RONI é essencial para decisões estratégicas mais maduras e alinhadas ao apetite de risco da organização.
O que é ROI (Return on Investment)
O ROI mede o retorno financeiro obtido a partir de um investimento realizado. A fórmula clássica é:
ROI = (Ganho obtido – Custo do investimento) / Custo do investimento
Em áreas como marketing, vendas ou expansão operacional, o ROI costuma ser relativamente direto de calcular, pois os ganhos são visíveis e mensuráveis em receita ou redução de custos.
ROI em cibersegurança
Em cibersegurança, o ROI tende a ser indireto e difícil de quantificar, pois o objetivo principal não é gerar receita, mas evitar perdas. Exemplos de benefícios que podem ser associados ao ROI incluem:
- Redução do número de incidentes de segurança
- Diminuição do tempo de indisponibilidade de sistemas
- Menores custos com resposta a incidentes e recuperação
- Preservação da reputação da marca
Mesmo assim, muitas vezes o ROI parece baixo ou impreciso, pois mede “eventos que não aconteceram”.
O que é RONI (Risk of Not Investing)
O RONI representa o risco financeiro, operacional, legal e reputacional de não realizar um investimento. Em vez de perguntar “quanto eu ganho investindo?”, o RONI pergunta:
“Quanto eu posso perder se não investir?”
No contexto de cibersegurança, essa abordagem costuma ser mais realista e eficaz para embasar decisões.
RONI em cibersegurança
O RONI considera cenários de risco e seus impactos potenciais, como:
- Vazamento de dados sensíveis (LGPD/GDPR)
- Multas regulatórias e sanções legais
- Paralisação de operações críticas
- Perda de confiança de clientes e parceiros
- Custos de resposta a incidentes, forense digital e ações judiciais
Exemplo prático:
Não investir em um sistema de detecção de intrusões pode resultar em um ataque ransomware que paralise a operação por dias, gerando prejuízos muito superiores ao custo do investimento evitado.
Principais diferenças entre ROI e RONI
Por que o RONI é mais eficaz em cibersegurança
A cibersegurança é, por natureza, uma disciplina de gestão de risco. Ataques são probabilísticos, impactos são variáveis e os danos podem ser sistêmicos. Nesse contexto:
- O ROI isolado tende a subestimar o valor da segurança
- O RONI traduz riscos técnicos em linguagem financeira
- Executivos compreendem melhor cenários de perda do que benefícios intangíveis
Além disso, o RONI se alinha a frameworks consolidados como ISO 27001, NIST CSF e práticas de Enterprise Risk Management (ERM).
O equilíbrio entre ROI e RONI
Embora o RONI seja especialmente relevante, o ideal não é abandonar o ROI, mas combinar ambas as abordagens. Um modelo maduro de decisão em cibersegurança:
- Usa ROI para comparar eficiência entre soluções
- Usa RONI para justificar a necessidade do investimento
- Prioriza investimentos com alto impacto na redução de risco
Essa combinação fortalece o diálogo entre áreas técnicas, financeiras e executivas.
Conclusão
No cenário de cibersegurança, confiar exclusivamente no ROI pode levar a decisões equivocadas e subinvestimento em controles críticos. O RONI surge como uma métrica estratégica, capaz de demonstrar que não investir em segurança também tem um custo — muitas vezes exponencialmente maior.
Organizações que incorporam o RONI em seus processos decisórios conseguem alinhar melhor segurança, negócios e governança, transformando a cibersegurança de um centro de custo em um pilar de resiliência e sustentabilidade corporativa.
*Fábio Araújo é CISO Advisor
