“Ninguém define boas métricas à primeira”: Quanto vale a segurança? ROI, métricas e o racional de investimentos (com vídeo)

A terceira mesa-redonda da IT Security Conference 2025 abordou um tema que muitas vezes não é falado no meio da cibersegurança: o retorno de investimento (ROI), quais as suas métricas e qual o racional desse investimento. Jorge Vicente, Diretor de Segurança da Informação do Lidl, Luís Morais, CISO da Galp, Orlindo Santos, Head of Digital Transformation da Glintt Global e Filipe Custódio, Partner & Board Member da VisionWare, partilharam as suas visões sobre como as equipas de IT podem estar mais bem preparadas para justificar os seus investimentos em segurança.

Priorizar o investimento em segurança

Jorge Vicente, Diretor de Segurança da Informação do Lidl, começou por destacar que existe um “conjunto de variáveis que utilizamos para identificar a necessidade de uma nova ferramenta”, sendo que a sua equipa nunca compra uma solução apenas por comprar, mencionando esse ser o primeiro critério: “conseguimos fazer isto que queremos fazer com esta nova ferramenta com as ferramentas que temos?”. Só após ultrapassar este critério é que se pensa numa prova de conceito da ferramenta através de casos de uso que sejam aplicáveis ao negócio e que justifiquem a compra que se pretende realizar. Além disso, o responsável salientou que também se avalia “o custo de aprendizagem e para os recursos humanos”, ou seja, o esforço realizado pelas equipas para se poder trabalhar com a nova ferramenta, se as equipas estão prontas, qual o treino necessário, entre outras preocupações a nível dos recursos humanos. Após a avaliação das provas de conceito, é fundamental, segundo o orador, chegar à conclusão “em termos do valor de licenciamento” daquela solução. Jorge Vicente ainda destacou que o grupo não se encontra preocupado se é necessário deixar de investir num outro setor para poder investir em cibersegurança.

Por sua vez, Luís Morais, CISO da Galp, evidenciou que é através da gestão de risco que equilibram os investimentos e o plano estratégico da empresa do setor da energia. No entanto, considera necessário desmistificar que “a cibersegurança não é propriamente um risco, é um fator de risco operacional para os nossos negócios”. “Todos os nossos investimentos são desenvolvidos para mitigar ou para resolver esse risco”, afirmou o orador, destacando também que as pessoas, os processos e a tecnologia também são essenciais para traduzir fragilidades nos ecossistemas digitais em possíveis riscos para a organização. Segundo o responsável, só depois de identificar todos os riscos possíveis e de se traduzir fragilidade em riscos, é verificar onde se encontra o ROI. “A partir do momento em que fazemos essa transformação e o plano estratégico está orientado e priorizado com aquelas iniciativas que mais reduzem risco, temos uma redução daquilo que é o risco da empresa”.

Entre o risco e a confiança

No setor da saúde, Orlindo Santos, Head of Digital Transformation da Glintt Global, considera que não existe um fator predominante para excluir investimentos, sejam eles de segurança ou de outros setores de atuação da empresa. “Acho que há aqui três aspetos que o próprio setor em si se confronta que são os temas regulatórios, os temas de gestão de risco operacional, mas também é o tema da confiança”, afirma Orlindo Santos, sublinhando que é necessário existir um equilíbrio entre os três temas, seja em termos de coimas, regulamentação, “sem descurar o tema da confiança”.

Já Filipe Custódio, Partner & Board Member da VisionWare, salientou que “quanto maior a maturidade de uma organização, maior a preocupação com as métricas, o ROI e o risco”, considerando-o como algo “óbvio e humano”. O orador considera que o cálculo do ROI para segurança começa quando não se conhece muito bem as consequências dos riscos, sendo “difícil quantificar depois o investimento que se pode fazer”, sublinhando o folgo que considera “em ver que há muitas organizações que já pensam na segurança com risco em primeiro lugar. Depois do risco, as contramedidas, e depois das contramedidas, os investimentos”.

Quando o risco dita o investimento

Sobre o tema das métricas, Jorge Vicente destacou a avaliação de risco como a principal métrica de investimento que utilizam para medir o ROI na empresa. “Todos os anos fazemos uma avaliação de risco dos diferentes setores e a cibersegurança é uma das áreas envolvidas nessa avaliação de risco”, referiu o orador, salientando que a cibersegurança no panorama da empresa da área do retalho tem estado sempre no top três em termos de risco, “e isso é um fator decisivo sempre que estamos a fazer um investimento e é tido em consideração sempre que estamos a preparar um orçamento”. Através destas avaliações de risco, é necessário definir um conjunto de medidas para mitigar os riscos que são revelados, revelou o responsável de segurança do Lidl. “Ao definirmos esse conjunto de medidas, elas são associadas a projetos, e esses projetos já vêm com todo o cálculo do investimento”, diz.

No setor energético, Luís Morais realçou duas métricas usadas pela Galp para medir o retorno de investimento: o desenvolvimento de redução de risco de cibersegurança, inserida nos dez objetivos estratégicos da empresa com uma estratégia desenvolvida para se atingir esse objetivo até ao fim do ano, e as métricas operacionais, que “permitem avaliar quão bem é que estamos, se a responder ou não, os típicos mean time to respond, mean time to detect”. Outra métrica que usam para medir o ROI, é a ciber-resiliência dos colaboradores, “quão bem eles estão preparados e medimos através de jogos e gamificação e acompanhamos isso regularmente”.

A visão de Orlindo Santos é que a “regulação quando surge, surge com propósito, e muitas vezes o propósito não é apenas obrigar alguém a fazer uma coisa, há propósito por trás disso. Muitos dos regulamentos, nomeadamente o RGPD, agora a NIS2, trazem um conjunto de métricas e de salvaguardas que as organizações têm de ter”. Para o responsável, o real valor destas métricas “obrigatórias” começam a surgir quando uma métrica contribui para a melhoria continua da empresa e “passa a ser vista dentro da organização como algo que está a gerar valor”.

Para Filipe Custódio, “a seleção dos KPI e boas métricas é o aspeto mais importante na gestão de risco”. O orador considera que caso seja algo bem feito é possível cumprir os objetivos das medidas de segurança efetivas, mas, caso seja mal feito, “gera aquelas métricas que não servem para nada. Aqui é preciso confiar no processo de melhoria contínua. Ninguém define métricas boas à primeira”. O responsável identificou que “às vezes definem-se métricas que depois não se conseguem sequer medir”, sendo que as métricas, de acordo com a visão do orador, têm de ser mensuráveis, repetíveis e que levem a ações concretas.

Áreas prioritárias de investimento em segurança

Jorge Vicente destacou o maior foco da empresa de retalho para 2026 será o investimento de segurança em IoT, devido ao grande volume de sensores e equipamentos de IoT nas lojas, terminando com um conselho: “É mais barato investirmos em prevenção do que em remediação”.

Na visão da Galp, Luís Morais considera que a principal medida para 2026 é investir “em fundações e ter uma boa infraestrutura e boas medidas de proteção”, sendo que aquilo que tencionam realmente implementar para 2026 é uma função de AI assurance, ou seja, “como é que garantimos que a utilização de IA dentro das nossas organizações não vai aumentar o risco das mesmas”.

Para Orlindo Santos, os investimentos têm de estar centrados naqueles que aportam uma eficiência estratégica, apostar nas pessoas e na colocação do nível estratégico da cibersegurança no contexto empresarial: “Toda a empresa tem de estar envolvida nisto. Não é uma outra equipa que define políticas de segurança, define mecanismos e anda. A empresa tem de ter uma cultura efetivamente de cibersegurança”.

No fim da mesa-redonda, Filipe Custódio alertou que quem ainda olha para a “segurança como algo reativo, está na altura de começar a olhar para ela de forma preventiva”, sendo necessário começar a investir em novas tecnologias para melhorar a segurança das suas empresas.