Cibersegurança não é consultada pelas empresas antes de decisões estratégicas

Quase seis em cada dez CISOs (Chief Information Security Officers) - mais precisamente 59% - concordaram com a afirmação de que os times de cibersegurança não são consultados ou são consultados muito tarde pelas empresas na tomada de decisões estratégicas, de acordo com estudo da EY realizado nos Estados Unidos. Outros 28% não concordaram nem discordaram com essa afirmação e apenas 13% discordaram. Foram entrevistados 800 líderes de C-Level atuantes no mercado americano entre dezembro de 2024 e janeiro do ano passado. Esses profissionais atuam em diferentes indústrias como saúde; energia; tecnologia; governo e setor público; varejo; serviços financeiros; e construção civil.

"Isso é preocupante porque as equipes de cibersegurança estão preparadas para avaliar a quais ameaças cibernéticas essas decisões estão sujeitas e como mitigar os riscos da melhor forma. Esses profissionais precisam estar envolvidos desde o início nas soluções propostas em um modelo de Security by Design", diz Márcia Bolesina, sócia-líder da área de cibersegurança da EY. "Essa abordagem integra práticas de cibersegurança desde o início do ciclo de vida de um produto, serviço ou sistema, tornando o foco na segurança um dos aspectos principais, a fim de proteger a reputação das organizações", completa.

Quando confrontados pelo estudo com a afirmação de que é difícil para a função de cibersegurança articular seu valor além da proteção contra ameaças cibernéticas, 58% concordaram com ela, 25% não concordaram nem discordaram e 18% discordaram. Já em relação à afirmação de que os CISOs não são vistos como um parceiro estratégico voltado para o crescimento do negócio, 49% concordaram com ela, 32% ficaram indiferentes e 19% discordaram.

Para alterar esse cenário visto na última resposta, o estudo da EY sugere que os CISOs se posicionem como parceiros estratégicos na execução de IA em outros departamentos e funções, compartilhando seus desafios e a forma como estão respondendo a eles. Isso fará, ainda segundo o levantamento, com que possam ganhar a confiança das suas organizações para participar efetivamente dessa e de outras iniciativas de transformação.

Geração de valor

Outro estudo da EY, denominado "Global Cybersecurity Leadership Insights", apontou que a área de cibersegurança é responsável por 11% a 20% do valor produzido pelas iniciativas corporativas que contam com sua participação. Essa efetiva geração de valor mostra que as principais funções de segurança cibernética estão se tornando facilitadoras do crescimento dos negócios. No passado, essas funções estavam voltadas principalmente para proteção e redução, bem como quantificação dos riscos, assegurando a conformidade com as normas e melhores práticas, mas agora, além desse trabalho, vêm influenciando diretamente nos resultados dos negócios.

Em números absolutos, o valor parte de uma média de US$ 11 milhões por projeto para organizações com faturamento anual entre US$ 1 bilhão e US$ 4,9 bilhões até US$ 154 milhões também por projeto para aquelas com US$ 20 bilhões ou mais de faturamento. 

Para chegar a essas constatações, o estudo entrevistou, em março e abril de 2025, 550 profissionais do C-Level e líderes de cibersegurança atuantes em empresas de 16 setores econômicos e 19 países das Américas, Ásia-Pacífico e Europa, Oriente Médio, Índia e África (EMEIA, na sigla em inglês). Os respondentes representam organizações com mais de US$ 1 bilhão em faturamento anual.