Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Resiliência cibernética

Mais gastos, mais violações de segurança: a verdade incômoda sobre o retorno do investimento em cibersegurança.

Raghu Nandakumara
Vice-presidente de estratégia do setor
Illumio Editorial
20 de maio de 2026
23 minutos. ler

A Marks and Spencer projetou lucros de centenas de milhões de libras no ano passado. Mas, nos relatórios de fim de ano, eles lucraram apenas uma pequena fração disso.  

O lucro da M&S evaporou porque um ataque de ransomware deixou as vendas online offline por seis semanas e interrompeu a logística por meses. O negócio foi à falência em tempo real, enquanto os esforços de recuperação avançavam a passos lentos.

Esse número se tornou um tema recorrente quando me sentei para conversar com Andrew Rubin, CEO e fundador da Illumio, em um episódio recente do podcast The Segment . Isso estabelece um número concreto e inegável para algo que a indústria vem evitando há anos: durante uma década consecutiva, as organizações têm gasto mais em segurança cibernética a cada ano.  

Eles compraram mais ferramentas e destinaram mais verba. E os únicos números que cresceram mais rápido do que o investimento foram o número de violações, o tamanho dessas violações e o custo econômico total da destruição.

É o tipo de padrão que deveria gerar questionamentos difíceis em todas as salas de reuniões. No entanto, a maioria dos conselhos não está fazendo essa pergunta — pelo menos ainda não.

Segundo Andrew, o modelo de investimento em cibersegurança está falido. Investir mais em segurança cibernética só tornou o problema das violações de dados mais caro.  

Enquanto os líderes de segurança não estiverem dispostos a admitir o problema do retorno sobre o investimento (ROI) em cibersegurança, o ciclo continuará. A diferença entre os gastos com segurança e os resultados continua aumentando, e precisamos de um modelo fundamentalmente diferente.

ROI: dados que a indústria cibernética tem ignorado silenciosamente.

Andrew se descreve como um crente na matemática e nos dados, e a matemática aqui é clara.

Segundo a Gartner, os gastos mundiais com segurança da informação atingiram US$ 193 bilhões em 2024. A previsão é que atinja US$ 240 bilhões em 2026. A IDC prevê que os gastos globais com segurança atingirão US$ 377 bilhões até 2028.

Ao mesmo tempo, o relatório da IBM sobre o custo de uma violação de dados registrou aumentos anuais nos custos médios de violações de dados durante quase uma década.  

Os gastos com cibersegurança só tendem a aumentar. Entretanto, o número de violações de segurança relatadas continua a aumentar. O impacto econômico dos incidentes cibernéticos na economia global é agora medido em trilhões anualmente.

Andrew fez questão de observar que isso não significa que tudo o que a indústria esteja fazendo esteja errado. Algumas medidas de controle funcionam, e alguns investimentos estão realmente reduzindo a frequência ou a gravidade de incidentes que, de outra forma, seriam piores.  

Mas se você é um líder de segurança apresentando uma proposta a um conselho administrativo, e um membro do conselho analisa os números e pergunta por que uma década de investimentos crescentes não reduziu a taxa de violações de segurança, você precisa de uma resposta melhor do que "seria pior sem isso".

Em 2026, com reguladores, seguradoras e investidores prestando mais atenção do que nunca aos resultados de segurança, o tempo está se esgotando.

Por que o modelo tradicional de investimento em títulos está estruturalmente falido?

Andrew identificou três possíveis respostas para a discrepância entre gastos e resultados:

  • Descartar todo o modelo e começar de novo, o que ele admitiu ser provavelmente uma reação exagerada, foi uma decisão tomada.
  • Adicionar novas funcionalidades, reconhecendo que o que funcionava no passado ainda é necessário, mas já não é suficiente.
  • Mudar o próprio modelo, abandonando as abordagens que já não são relevantes e criando novas em seu lugar.

Na opinião dele — e na minha também — a resposta provavelmente é uma combinação da segunda e da terceira opções.

Mas para fazer qualquer uma dessas coisas de forma inteligente, primeiro você precisa ser honesto sobre por que o modelo atual não está funcionando. Existem três problemas estruturais que raramente são mencionados diretamente.

Problema 1: o setor tem medido a atividade em vez dos resultados.

Durante a maior parte da última década, os programas de segurança foram avaliados com base em seguintes entradas:  

  • Quantas ferramentas estão implantadas?
  • Quantos alertas são gerados?
  • Quantas vulnerabilidades foram corrigidas?
  • Quantas sessões de treinamento foram concluídas?

Essas são métricas de atividade. Eles informam o que a função de segurança está fazendo, mas não dizem se a organização está mais segura.

A razão pela qual isso persiste é em parte inércia e em parte o fato de que as métricas de resultado são mais difíceis de definir e defender.  

Como provar que uma violação de segurança não ocorreu por culpa do seu programa, e sim porque os atacantes escolheram um alvo diferente? Na maioria dos casos, não é possível. Assim, a indústria optou por medir o que podia medir em vez do que realmente importava.

O resultado é uma geração de líderes de segurança que são muito bons em demonstrar atividade, mas muito menos experientes em demonstrar impacto. E quando os orçamentos são alocados com base em métricas de atividade, você obtém mais atividade, não necessariamente melhores resultados.

Problema 2: o modelo é construído em torno da prevenção.

Andrew afirmou que o modelo de cibersegurança dos últimos 50 anos tem se baseado na prevenção de ameaças. A promessa implícita de quase todos os produtos de segurança já vendidos é alguma versão de "implemente isso e o problema não ocorrerá".

Esse modelo fazia algum sentido quando o custo de não detectar uma violação era menor e a frequência de ataques sofisticados era administrável.  

O custo de não detectar uma violação de segurança aumentou drasticamente nos dias de hoje. O exemplo da M&S é a ilustração mais clara disponível. A violação de segurança foi o incidente, mas os meses em que a empresa ficou offline foram a catástrofe.  

Um modelo de segurança construído em torno da ideia de bloquear tudo não tem um plano para quando algo consegue passar. Em um ambiente de ameaças onde as violações de segurança são estatisticamente inevitáveis, um plano de resiliência não pode ser uma reflexão tardia.

Problema 3: a proliferação de ferramentas criou complexidade sem abrangência.

Atualmente, uma grande empresa média utiliza entre 50 e 100 ferramentas de segurança. Cada uma dessas ferramentas foi adquirida para suprir uma necessidade específica.  

E, no entanto, as lacunas continuam a aumentar.

Mais ferramentas não significam melhor cobertura quando essas ferramentas não estão integradas, os sinais que elas geram não podem ser correlacionados e as equipes que as operam não têm capacidade para agir em todos os alertas produzidos.  

A proliferação de ferramentas criou, em muitos casos, a ilusão de uma cobertura abrangente. Na realidade, isso tornou o ambiente de segurança mais difícil de gerenciar.  

Os atacantes se adaptaram para encontrar as brechas entre as ferramentas. Os defensores estavam ocupados demais gerenciando a dispersão de ferramentas para perceber.

Como quantificar os resultados de segurança no mundo real

A pergunta que Andrew mais ouve dos CISOs sobre como demonstrar o valor da segurança é a mais difícil do setor: como quantificar algo que não aconteceu?  

Não se pode apontar uma violação que foi evitada, pois não se pode provar que ela teria ocorrido. Então, como construir uma argumentação quantitativa e credível para o investimento em segurança?

A resposta de Andrew é parar de tentar quantificar a prevenção e começar a quantificar a resiliência. Aqui estão os passos práticos para fazer isso.

Meça o custo dos incidentes em vez da ausência deles.

Quando ocorre um incidente de segurança , e na maioria das organizações isso acontece, mesmo que não chegue ao nível de uma violação de segurança grave, os dados estão lá, expostos.  

  • Por quanto tempo os sistemas ficaram inativos?  
  • Qual foi o custo direto da recuperação?  
  • Qual foi o impacto da inatividade nos negócios?  
  • Qual foi a exposição regulatória?  

Esses números são reais, mensuráveis e podem ser projetados para o futuro.  

Se sua ferramenta de segmentação reduzir o raio de explosão de um incidente em 60%, isso representa uma redução quantificável nas perdas esperadas. Se a sua capacidade de detecção e resposta reduzir o tempo de contenção de 48 horas para quatro, isso representa uma redução quantificável no impacto sobre os negócios.

Use referências externas para ancorar a conversa.

Andrew citou a M&S como exatamente o tipo de exemplo público e quantificado que os conselhos de administração entendem.  

Quando uma organização do mesmo setor perde centenas de milhões por estar offline durante meses, esse é o seu parâmetro de comparação. Mostre como sua arquitetura teria transformado meses em horas, e você terá um argumento comercial que nenhum conselho poderá rejeitar.  

Crie uma biblioteca com esses exemplos. Os conselhos de administração respondem muito mais a precedentes concretos e relevantes do que a estruturas de risco abstratas.

Reformule a conversa sobre o ROI em torno da redução de perdas esperadas.

A linguagem dos seguros é útil aqui, porque os conselhos de administração já a compreendem.  

Toda organização incorre em uma perda anual esperada devido a incidentes cibernéticos, uma estimativa baseada na probabilidade de violação, na frequência das violações e no custo médio das mesmas. O investimento em segurança deve ser avaliado considerando o quanto ele reduz a perda anual esperada, em relação ao seu custo.  

É uma abordagem mais defensável do que tentar provar uma negativa, e força uma discussão sobre quais controles realmente fazem a diferença na perda esperada.  

Frequentemente, essa conversa revela que algumas das maiores rubricas do orçamento de segurança não são as mais eficazes.

O tempo está se esgotando para o modelo antigo.

Uma década de gastos crescentes resultou em uma década de resultados cada vez piores.  

Em algum momento, as pessoas que financiam os programas de segurança vão se perguntar se o próprio modelo não é o problema. E esse momento está chegando mais rápido do que a maioria dos líderes de segurança está preparada para.

Os CISOs que desejam liderar neste momento, em vez de serem liderados, precisam fazer três coisas:

  • Seja honesto sobre o que o modelo atual pode e não pode oferecer.
  • Mudar o modelo de medição, passando da atividade para os resultados e das métricas de prevenção para as métricas de resiliência.
  • Reestruture a conversa do conselho em torno da redução esperada de perdas e da resiliência demonstrável, e não da quantidade de ferramentas e das taxas de correção de vulnerabilidades.

Nada disso é fácil, mas é muito mais fácil do que explicar, depois do ocorrido, por que o modelo falhou.

As empresas devem esperar que seu momento "M&S" possa surgir a qualquer momento. Os CISOs que já mudaram a forma como se fala sobre segurança estarão na linha de frente quando ela chegar.

Ouça o episódio completo de The Segment: A Zero Trust Leadership Podcast em Podcasts da Apple, Spotify, ou nosso site.

Raghu Nandakumara
Vice-presidente de estratégia do setor
Illumio Editorial
20 de maio de 2026
23 minutos. ler
Resiliência cibernética
Contenção de ransomware
Entre em contato conosco
Compartilhar

Artigos relacionados

Mito: Hora de reescrever todo o modelo de cibersegurança.
Resiliência cibernética

Mito: Hora de reescrever todo o modelo de cibersegurança.

Repensem a cibersegurança para a era da IA, visto que os ataques em velocidade de máquina superam as defesas humanas, tornando a resiliência e a contenção de violações essenciais para a sobrevivência.

Leia mais
Resiliência cibernética
A cibersegurança está falhando: por que os resultados não estão melhorando e o que precisa mudar.
Resiliência cibernética

A cibersegurança está falhando: por que os resultados não estão melhorando e o que precisa mudar.

Repensar a cibersegurança moderna e priorizar a contenção de violações para impedir a movimentação lateral, limitar o raio de impacto e proteger ativos críticos contra ataques modernos.

Leia mais
Resiliência cibernética
Um ex-CIO da Casa Branca explica por que a política de Confiança Zero deve ser projetada para a forma como as pessoas realmente trabalham.
Resiliência cibernética

Um ex-CIO da Casa Branca explica por que a política de Confiança Zero deve ser projetada para a forma como as pessoas realmente trabalham.

Aprimore sua estratégia de Confiança Zero concentrando-se no comportamento do usuário para reduzir o risco cibernético e alcançar melhores resultados de segurança.

Leia mais
Resiliência cibernética
Nossas histórias favoritas de Zero Trust de setembro de 2023
Resiliência cibernética

Nossas histórias favoritas de Zero Trust de setembro de 2023

Aqui estão algumas das histórias e perspectivas do Zero Trust que mais se destacaram para nós neste mês.

Leia mais
Nenhum item encontrado.
Pesquisa do ESG: Como pequenas e médias empresas podem corrigir o despreparo para violações
Resiliência cibernética

Pesquisa do ESG: Como pequenas e médias empresas podem corrigir o despreparo para violações

Obtenha informações das descobertas da pesquisa ESG, da empresa de análise, sobre a posição das pequenas e médias empresas em relação ao Zero Trust e ao progresso da segmentação.

Leia mais
PEQUENO E PEQUENO
Dando o presente que sua equipe de segurança de TI merece nesta temporada de festas
Resiliência cibernética

Dando o presente que sua equipe de segurança de TI merece nesta temporada de festas

Aprenda a preparar sua empresa para a época da colheita dos malfeitores — as festas de fim de ano.

Leia mais
Nenhum item encontrado.

Experimente o Illumio Insights hoje mesmo

Veja como a observabilidade com IA ajuda você a detectar, entender e conter ameaças mais rapidamente.