- Mercados e conselhos administrativos enfrentam desafio na governança de cibersegurança: área tradicionalmente técnica, com fraca ligação à gestão de riscos de negócios, gerando desalinhamento com continuidade e valor a longo prazo; pressões regulatórias como DORA e NIS2 aumentaram a responsabilização.
- Novas diretrizes propõem substituir métricas técnicas por métricas de resiliência, com foco em impacto financeiro, continuidade operacional e preparação para o futuro; taxonomia em cinco frentes: resiliência cibernética, impacto financeiro, governança/compliance, resiliência operacional e risco estratégico; publicação ocorrida em 30 de outubro de 2025 e atualização em 07 de novembro de 2025.
- Um aspecto central é medir o tempo de recuperação, por exemplo restabelecer operações em até quatro horas após um ataque, associando isso a perguntas claras aos executivos, não apenas dashboards de Centro de Operações de Segurança (SOC).
- A transição para métricas de resiliência é necessária porque métricas técnicas não refletem o impacto real nos negócios; as novas métricas permitem aos conselhos atuar sobre riscos, exposições financeiras e capacidade de resposta, alinhando governança com continuidade e confiança.
- Governança e compliance devem refletir a eficácia de pessoas, processos e parcerias; não basta ter políticas, é preciso evidências de que programas de cibersegurança funcionam, tornando os conselhos proativos e orientados a resultados diante da crescente complexidade das ameaças.
Mercados e conselhos administrativos enfrentam um desafio crescente na governança de cibersegurança. Tradicionalmente, essa área é tratada como técnica, sem conexão clara com a gestão de riscos de negócios, resultando em um desalinhamento com os objetivos de continuidade e valor a longo prazo. Com a pressão de regulamentações como DORA e NIS2, a responsabilização das lideranças aumentou.
Recentemente, novas diretrizes propuseram a substituição de métricas técnicas por métricas de resiliência. Essas novas abordagens focam em impacto financeiro, continuidade operacional e preparação para o futuro. A proposta inclui uma taxonomia em cinco frentes: resiliência cibernética, impacto financeiro, governança/compliance, resiliência operacional e risco estratégico. Um aspecto crucial é a medição do tempo de recuperação, como restabelecer operações em até quatro horas após um ataque.
A Necessidade de Métricas Relevantes
A transição para métricas de resiliência é essencial, pois as tradicionais, como contagem de patches e logs de firewall, não refletem o impacto real nos negócios. Métricas de resiliência traduzem riscos cibernéticos em fatores que os conselhos podem atuar, como a exposição financeira e a capacidade de resposta em situações críticas. Essa mudança de foco é necessária para garantir que a governança em cibersegurança se alinhe com os objetivos empresariais de continuidade e confiança.
Executivos devem ser questionados sobre a capacidade de recuperação e os custos associados a interrupções. Em vez de relatar números técnicos, é vital comunicar a resiliência do negócio, como a capacidade de retomar operações rapidamente após um incidente. As novas métricas não apenas refletem a saúde cibernética, mas também ajudam a prever e mitigar riscos futuros, alinhando-se às exigências regulatórias e às expectativas do mercado.
Governança e Compliance
A governança em cibersegurança deve ser vista como um reflexo da eficácia das pessoas, processos e parcerias. Não se trata apenas de ter políticas, mas de garantir que elas sejam seguidas e que os resultados sejam mensuráveis. Os conselhos precisam de evidências de que os programas de cibersegurança estão funcionando, o que fortalece a confiança e a responsabilidade.
A transformação das métricas em governança efetiva é um passo fundamental para que os conselhos se tornem proativos em vez de reativos. Com a crescente complexidade das ameaças cibernéticas, a necessidade de uma abordagem mais estratégica e orientada para resultados é mais evidente do que nunca.
Entre na conversa da comunidade