Por anos, o diálogo entre líderes de cibersegurança e o C-level tem sido marcado por uma dissonância fundamental. De um lado, CISOs apresentam a necessidade de investimentos baseada em ameaças, vulnerabilidades e complexidades técnicas. Do outro, o conselho e os diretores financeiros demandam uma justificativa clara de Retorno sobre o Investimento (ROI), a métrica padrão para qualquer despesa corporativa. Essa dinâmica coloca a cibersegurança em uma posição desvantajosa, forçando uma função de prevenção de perdas a se encaixar em um modelo desenhado para a geração de lucros.
A verdade é que o modelo tradicional de ROI é estruturalmente inadequado para a cibersegurança. Ele funciona bem para avaliar um novo maquinário ou uma campanha de marketing, onde o retorno pode ser medido em aumento de produção ou vendas. Contudo, como se calcula o “retorno” de um ataque de ransomware que não aconteceu? Tentar quantificar o valor de um desastre evitado é um exercício especulativo que raramente convence quem controla o orçamento. Tal desajuste não apenas dificulta a aprovação de investimentos críticos, mas também perpetua a visão da segurança como um centro de custo, em vez de um pilar estratégico para a resiliência do negócio e, em última instância, para a proteção da marca.
Diante desse impasse, modelos de análise mais sofisticados começam a ganhar tração, oferecendo uma linguagem comum para que técnicos e executivos possam tomar decisões informadas. O primeiro passo nessa evolução é o ROSI (Return Over Security Investments), ou Retorno sobre o Investimento em Segurança. Diferente do ROI, o ROSI não mede o lucro, mas sim a redução de perdas. Sua lógica é direta: ele compara o custo de um controle de segurança com a perda financeira que se espera evitar com sua implementação. Embora ainda envolva estimativas, o ROSI já representa um avanço significativo, pois muda a conversa de “quanto vamos ganhar?” para “quanto deixamos de perder?”, um enquadramento muito mais realista para a cibersegurança.
No entanto, a verdadeira transformação na governança de risco cibernético vem com a Quantificação de Risco Cibernético (CRQ), cujo principal expoente é o modelo FAIR (Factor Analysis of Information Risk). O CRQ vai além do ROSI ao aplicar princípios atuariais e estatísticos para expressar o risco em termos monetários e de probabilidade. Ao invés de dizer que um ataque é “provável”, uma análise CRQ permite afirmar que “existe uma probabilidade de 15% de sofrermos uma violação de dados no próximo ano, com um impacto financeiro provável entre R$5 milhões e R$8 milhões”. Essa abordagem transforma uma ameaça abstrata em um risco de negócio tangível e mensurável.
A adoção de métricas como ROSI e, principalmente, CRQ com FAIR, é mais do que uma mudança técnica; é uma evolução estratégica. Ela capacita o CISO a sair do contexto técnico e sentar-se à mesa de estratégia, discutindo a segurança no mesmo idioma que os outros líderes de negócio: o idioma do risco financeiro. Permite que a organização priorize investimentos de forma defensável, alocando recursos para mitigar os riscos que representam o maior impacto financeiro potencial. Em um cenário onde os ataques cibernéticos são inevitáveis, não é mais questão de se e sim de quando, a capacidade de quantificar e comunicar o risco não é apenas uma vantagem competitiva, é a essência da governança corporativa moderna.
*Por Paulo Miranda, diretor de marketing e de vendas da Keeggo.