Como se decide o orçamento de segurança de uma empresa que nunca sofreu um ataque.

Existe uma dinâmica que governa a forma como a maioria das empresas decide quanto investir em cibersegurança, e ela raramente aparece nas apresentações de planejamento estratégico. 

A lógica funciona assim: enquanto nada acontece, o orçamento de segurança compete com todas as outras prioridades do negócio.

 Infraestrutura, sistemas, pessoas, marketing, expansão. Cada área tem suas demandas, seus argumentos e seus defensores internos. 

E segurança, na ausência de um incidente que torne o risco concreto e visível, tende a sair dessa disputa com menos do que precisa.

Não é uma decisão consciente de negligência.

É o resultado natural de como o cérebro humano lida com risco abstrato. 

Quando o perigo não tem rosto, não tem data e não tem custo estimado com precisão, ele perde para qualquer demanda que tenha essas três características. E na maioria das empresas que nunca sofreram um incidente significativo, o risco cibernético ainda é exatamente isso: abstrato, distante e difícil de precificar.

O que substitui o dado na ausência do ataque

Quando uma empresa não tem histórico de incidentes para fundamentar o investimento em segurança, o orçamento costuma ser decidido por três caminhos alternativos, nenhum deles ideal.

Benchmark de mercado sem contexto

O primeiro é olhar para o que outras empresas do mesmo segmento estão investindo e usar esse número como referência.

A lógica parece razoável, mas tem um problema estrutural: o benchmark de mercado mede o que as empresas estão gastando, não o que precisam gastar. 

Uma empresa que investe 2% da receita em segurança pode estar super investindo gravemente dependendo da sua superfície de ataque, do volume de dados que processa e do quanto sua operação depende de sistemas conectados. 

Copiar o número sem copiar o contexto é uma forma de parecer que está tomando uma decisão fundamentada sem de fato estar.

Pressão regulatória como substituto de estratégia

O segundo caminho é deixar a regulamentação definir o piso do investimento. A LGPD exige determinados controles. A ISO 27001 tem seus requisitos. 

O setor financeiro tem suas normativas específicas. 

E então a empresa investe o suficiente para passar na auditoria, certificar o que precisa certificar e demonstrar conformidade quando solicitada. O problema é que compliance define o mínimo aceitável do ponto de vista regulatório, não o necessário do ponto de vista operacional. 

Um ambiente pode estar em plena conformidade com todas as normas aplicáveis e ainda ter vulnerabilidades críticas que nenhum framework de compliance vai identificar antes de um atacante.

O orçamento histórico como âncora

O terceiro caminho, e talvez o mais comum, é simplesmente repetir o orçamento do ano anterior com algum ajuste inflacionário. 

Se a empresa investiu determinado valor em segurança no último ciclo e nada de grave aconteceu, a tendência é manter uma faixa similar no próximo. 

Esse raciocínio tem uma falha que raramente é verbalizada: o fato de nada ter acontecido não significa que o investimento foi suficiente. Significa que o investimento foi suficiente, ou que o ambiente teve sorte, ou que um comprometimento aconteceu e ainda não foi detectado. 

Em qualquer um desses três cenários, repetir o orçamento sem rever as premissas é uma decisão baseada em ausência de evidência, não em evidência de ausência de risco.

Por que a ausência de incidente pode ser o dado mais enganoso de todos

Há um viés cognitivo bem documentado que explica parte desse comportamento. 

Quando algo não acontece, a tendência é atribuir essa ausência às medidas que foram tomadas, independentemente de existir uma relação causal real. 

A empresa não sofreu um ataque, então os controles que tem devem estar funcionando.

Mas essa conclusão só seria válida se a empresa soubesse com certeza que foi de fato alvo de tentativas que foram bloqueadas. Na maioria dos casos, não sabe. 

O que sabe é que nenhum sistema parou, nenhum dado foi sequestrado e nenhum executivo precisou comunicar um incidente para o conselho. Isso é ausência de evento visível, não ausência de risco.

O relatório da Dragos de 2025 mostrou que o tempo médio de permanência de um invasor em ambientes industriais antes de ser detectado foi de 42 dias. 

Isso significa que uma empresa pode estar com um atacante dentro do ambiente durante mais de um mês sem que nenhum indicador superficial de segurança mude. 

Os sistemas continuam funcionando, os relatórios continuam sendo gerados e o orçamento do próximo ciclo continua sendo decidido com base na premissa de que tudo está bem.

O custo que não aparece no orçamento

Existe uma assimetria fundamental entre o custo de prevenir um incidente e o custo de responder a um. O primeiro é previsível, distribuído ao longo do tempo e comparável com outras despesas operacionais. 

O segundo é concentrado, imprevisível e frequentemente muito maior do que qualquer projeção conservadora conseguiria antecipar.

O Manufacturing Security Report de 2025 documentou um custo médio de violação de 4,47 milhões de dólares no setor industrial, com ransom médio pago de 2,4 milhões.

Esses números não incluem o custo de reputação, a perda de contratos durante o período de recuperação, o impacto na relação com fornecedores e clientes ou o tempo de liderança consumido gerenciando a crise em vez de tocando o negócio.

Nenhuma empresa que nunca sofreu um incidente inclui esses números no planejamento porque são hipotéticos. E hipotético perde para concreto em qualquer reunião de orçamento. 

O resultado é que o investimento em prevenção é sistematicamente subfinanciado em relação ao risco que está sendo aceito, sem que essa decisão seja tomada de forma explícita por ninguém.

O que essa dinâmica revela sobre como o risco é tratado

A forma como o orçamento de segurança é decidido em empresas que nunca sofreram um incidente revela algo mais profundo sobre como o risco cibernético ainda é tratado na maioria das organizações: como uma despesa de TI, não como uma variável de continuidade de negócio.

Enquanto segurança for percebida como custo de infraestrutura, vai competir com outros custos de infraestrutura e perder para as demandas que têm retorno mais visível e imediato. A mudança acontece quando o risco deixa de ser uma preocupação técnica do time de TI e passa a ser uma variável que a liderança consegue quantificar em termos de impacto operacional, financeiro e reputacional.

Isso exige uma conversa diferente da que acontece na maioria dos processos de orçamento. 

Não uma apresentação de ferramentas e funcionalidades, mas uma tradução do risco técnico em linguagem de negócio: quanto custa uma hora de produção parada, qual é o impacto de um vazamento de dados de clientes na relação com o mercado, quanto tempo levaria para recuperar os sistemas críticos se fossem comprometidos hoje e quem seria responsável por cada decisão durante esse processo.

Essas perguntas não têm respostas confortáveis. 

Mas são exatamente as perguntas que deveriam estar na base de qualquer decisão de orçamento de segurança, independentemente de a empresa ter sofrido um incidente antes ou não. 🔐