A camada que falta na cibersegurança: contexto empresarial

No entanto, apesar destes investimentos, muitas empresas continuam a sofrer disrupções operacionais significativas e perdas financeiras devido a incidentes de cibersegurança — muitas vezes porque não incorporaram a camada que falta: o contexto de negócio.

À medida que as ameaças crescem em volume e sofisticação, impulsionadas pelo alargamento da superfície de ataque e pela rápida ascensão dos ataques potenciados por IA, as equipas de segurança veem-se sobrecarregadas com exposições que têm dificuldade em contextualizar. Podem existir milhões de vulnerabilidades, mas sem a capacidade de relacionar essas exposições com a criticidade dos ativos e o impacto no negócio, as organizações permanecem reativas, em vez de estratégicas.

O Relatório de Avaliação do Risco de Cibersegurança de 2025, conduzido em parceria com a Dark Reading, revelou que quase metade das organizações já possui um programa formal de gestão de ciber-risco. O problema é que a maioria continua a encarar o risco como uma questão técnica e não como um desafio de negócio. Focam-se no número de vulnerabilidades, nos ciclos de correção e nas pontuações de gravidade, sem avaliar se o risco em causa pode afetar de forma material a capacidade da empresa de operar, gerar receita ou servir clientes.

Esta desconexão entre operações de segurança e prioridades do negócio não é apenas um lapso, mas sim uma fraqueza estrutural. Quando os líderes de segurança não têm contexto de negócio nem têm como saber quais os ativos realmente críticos, qual o custo do tempo de inatividade ou que riscos podem originar multas regulatórias, acabam por distribuir os recursos de forma inadequada pela superfície de ataque. E o que inicialmente parecia um forte investimento em cibersegurança rapidamente se revela ineficaz.

Da reputação à perda operacional

Historicamente, as violações eram discutidas em termos de impacto reputacional, com primeiras páginas de jornais, confiança abalada dos clientes e danos na marca. Embora esses efeitos continuem a ser relevantes, a realidade atual é mais direta: os incidentes de cibersegurança estão cada vez mais a provocar disrupção operacional imediata e perdas financeiras. Um ataque de ransomware pode parar linhas de produção, atrasar envios e levar a penalizações contratuais, comprometendo a cadeia de abastecimento e levar a interrupções de serviço dispendiosas.

A introdução da IA sombra e de ferramentas de IA malgovernadas no local de trabalho acrescentou novas dimensões a este risco, com violações relacionadas com IA a gerarem custos adicionais de resposta a incidentes e maior escrutínio regulatório.

Em suma, o risco de negócio e as ameaças de cibersegurança colidiram. Os incidentes deixaram de ser “apenas” problemas de TI e passaram a ser eventos de continuidade do negócio, com consequências financeiras mensuráveis.

Demasiada informação, pouco contexto

No meio de uma vaga crescente de ameaças, amplificada pela complexidade cada vez maior da superfície de ataque, as equipas de segurança enfrentam milhões de exposições em simultâneo. Embora já existam bases técnicas para a gestão de risco, sem a capacidade de mapear os riscos em função das prioridades do negócio, estas são forçadas a geri-los isoladamente. A visibilidade sobre os ativos continua a ser uma das maiores vulnerabilidades das organizações.

Isto leva ao que muitos descrevem como um jogo de “whack-a-mole de vulnerabilidades”: falhas que são encontradas e corrigidas uma a uma, sem uma noção clara de quais representam o maior perigo para o negócio. A situação agrava-se com bloqueios manuais, com longas passagens de tarefas entre equipas, métricas isoladas e dependência de modelos de classificação de risco desatualizados, como o CVSS isolado. A nossa investigação revelou que quase uma em cada cinco organizações ainda classifica vulnerabilidades apenas com base em pontuações de gravidade de um único fator e que apenas 18% atualizam mensalmente os perfis de risco dos seus ativos.

O resultado é um ciclo de elevada atividade com baixo impacto: os riscos críticos não são resolvidos, os recursos são consumidos e a verdadeira exposição da organização a disrupções nunca é totalmente abordada.

Maturidade do risco sem contexto

A boa notícia é que os programas de ciber-risco estão a amadurecer. Cada vez mais organizações estão a integrar processos estruturados, a incorporar inteligência de ameaças e a garantir que o risco de cibersegurança consta na agenda das direções. Atualmente, 90% das organizações fornecem relatórios regulares de risco de cibersegurança aos seus conselhos de administração, um avanço significativo face a há apenas alguns anos.

Mas este progresso é minado por uma lacuna persistente: a tradução do risco técnico em impacto de negócio e financeiro. Apenas 30% das organizações priorizam riscos com base em objetivos de negócio e somente 14% apresentam relatórios de risco à administração em termos financeiros mensuráveis. Sem esta tradução, os líderes recebem mais informações, mas não necessariamente mais clareza sobre quais as ameaças que podem causar maior prejuízo operacional ou financeiro.

Da deteção à direção

Eliminar esta lacuna exige a alteração do mindset das organizações e da forma como gerem o risco de cibersegurança, começando pela integração da criticidade dos ativos, pelas dependências operacionais e pelo impacto financeiro em cada decisão. Também implica abandonar métodos puramente reativos e adotar a automação e as ferramentas com base em IA — não como um chavão, mas como habilitadores operacionais. 

A escala e velocidade das ameaças atuais simplesmente ultrapassam a capacidade dos métodos manuais. Sem processos automatizados, que transformem dados brutos em insights acionáveis e que permitam priorizar em tempo real e coordenar remediações entre equipas, o risco continuará sempre a superar a resposta.

Na prática, isto significa que os líderes de segurança devem:

• Quantificar potenciais perdas através de modelação de cenários que relacionem incidentes com receita, custos e exposição regulatória;
• Priorizar esforços de remediação com base no impacto no negócio e não apenas em pontuações de gravidade;
• Automatizar todo o ciclo de risco, desde a deteção à remediação, a fim de reduzir o tempo de exposição de riscos críticos;
• Melhorar os relatórios para a administração com métricas de segurança que relacionem risco de cibersegurança a resultados de negócio e proteção de valor.

A cibersegurança como parte do negócio

Quando a cibersegurança funciona de forma isolada no departamento de TI, está condenada a ser reativa, dispendiosa e desalinhada com as restantes áreas da empresa. Por outro lado, quando funciona como uma verdadeira função de negócio pode tornar-se um motor de resiliência.

Uma boa cibersegurança já não passa por ter mais ferramentas ou maiores volumes de dados. Trata-se de tomar decisões mais inteligentes, rápidas e alinhadas que protejam a capacidade da organização de operar, competir e entregar valor. As organizações que fizerem esta transição não só reduzirão a sua exposição ao risco, como também garantirão que cada euro investido em cibersegurança gera valor mensurável para o negócio.