A cibersegurança deixou de ser um assunto restrito às áreas técnicas. Em um ambiente de negócios cada vez mais digital, incidentes de segurança passaram a impactar diretamente a reputação das empresas, a confiança de investidores e a continuidade das operações. Como consequência, o tema migrou para a pauta da alta gestão e dos conselhos de administração.

Essa mudança não aconteceu por acaso. Ataques mais complexos, uso crescente de inteligência artificial em fraudes e engenharia social, além de ambientes tecnológicos cada vez mais distribuídos, tornaram os riscos mais difíceis de detectar e mais custosos de corrigir. Hoje, um vazamento de dados ou uma indisponibilidade prolongada não representa apenas um problema operacional, mas um evento com implicações legais, regulatórias e estratégicas.

Dados recentes do Gartner reforçam esse cenário. Segundo a consultoria, 29% dos líderes globais de cibersegurança afirmaram que suas organizações sofreram ataques à infraestrutura de aplicações corporativas de Inteligência Artificial Generativa nos últimos 12 meses. O levantamento também aponta que 62% das empresas enfrentaram ataques com deepfakes usados em engenharia social, enquanto 32% relataram incidentes envolvendo exploração de prompts em aplicações de IA. Para analistas, esses números evidenciam uma nova camada de risco, menos visível e mais difícil de controlar.

Por que a cibersegurança passou a ser um tema de governança?

Tradicionalmente, conselhos avaliavam riscos financeiros, operacionais e jurídicos com base em indicadores relativamente estáveis. A segurança da informação, quando mencionada, aparecia como um item técnico, delegado às áreas de TI. Esse modelo se mostrou insuficiente.

Hoje, decisões sobre arquitetura tecnológica, fornecedores e modelos de operação influenciam diretamente a exposição ao risco. Ambientes fragmentados, falta de visibilidade e ausência de monitoramento contínuo dificultam a prestação de contas e a resposta a auditorias. Em setores regulados, isso pode resultar em multas, sanções e questionamentos sobre a diligência da administração.

Segundo a T2Sec, empresa brasileira especializada em cibersegurança para sistemas críticos e altamente disponíveis, parceira Palo Alto Networks no Brasil, a governança falha quando a segurança é tratada apenas como ferramenta. “O conselho precisa entender se a empresa consegue enxergar o próprio ambiente, responder a incidentes e comprovar controles. Segurança sem governança é risco não mapeado”, avalia a companhia.

Inteligência artificial amplia eficiência, mas também o risco

A adoção acelerada de soluções baseadas em inteligência artificial trouxe ganhos claros de produtividade e automação. Ao mesmo tempo, abriu espaço para novos vetores de ataque. Deepfakes, manipulação de fluxos automatizados e exploração de aplicações de IA tornaram fraudes mais convincentes e difíceis de identificar.

O alerta do Gartner é claro ao apontar que esses riscos exigem ajustes nas abordagens tradicionais de segurança. Ainda assim, a recomendação não é investir em soluções isoladas ou realizar mudanças abruptas, mas fortalecer controles centrais e adotar medidas direcionadas para cada nova categoria de risco. Para a governança, isso significa exigir visibilidade, integração e capacidade de resposta, não apenas a aquisição de novas tecnologias.

O que conselhos e diretores deveriam perguntar?

À medida que a cibersegurança se consolida como tema estratégico, algumas perguntas passam a ser fundamentais no nível executivo:

• A empresa consegue mapear e monitorar seus ativos críticos em tempo real?
   
• Existem processos claros de resposta a incidentes e testes periódicos desses planos?
   
• A arquitetura de segurança gera relatórios compreensíveis para auditorias e compliance?
   
• Há clareza sobre quem é responsável por decisões e respostas em caso de incidente?
   

Essas questões deslocam o foco do “qual ferramenta usamos” para “como governamos o risco”.

Execução, visibilidade e prestação de contas

Um dos maiores desafios da governança em cibersegurança está na distância entre estratégia e operação. Políticas bem definidas perdem valor quando não são executadas de forma consistente ou quando a operação não gera evidências claras de controle.

“A alta gestão não precisa dominar aspectos técnicos, mas precisa ter segurança de que o ambiente é operado de forma contínua e auditável”, explica a T2Sec, que atua com implementação, monitoramento e suporte em ambientes de missão crítica. A empresa destaca que visibilidade integrada e relatórios consistentes são fundamentais para reduzir a assimetria de informação entre áreas técnicas e executivas.

Um novo patamar de responsabilidade

A cibersegurança já não pode ser tratada como um tema periférico. Em um contexto de riscos digitais crescentes, uso intensivo de dados e pressão regulatória, ela se tornou parte do dever fiduciário de diretores e conselhos.

Empresas que avançam nesse debate tendem a sair na frente, não apenas por reduzir a probabilidade de incidentes, mas por estarem mais preparadas para responder quando eles ocorrem. Governar a segurança da informação, hoje, é governar a própria capacidade da organização de operar, crescer e manter a confiança do mercado.