Cibersegurança no conselho de administração: o que conselheiros precisam saber

Um único incidente cibernético pode eliminar bilhões em valor de mercado em horas. Em 2024, o custo médio de um data breach no Brasil superou R$ 6,75 milhões, e multas regulatórias podem atingir R$ 50 milhões por infração da LGPD. Ainda assim, a maioria dos conselhos de administração brasileiros trata cibersegurança como assunto exclusivamente técnico, delegando toda a responsabilidade ao time de TI sem supervisão estratégica.

Esse modelo está se tornando insustentável. Reguladores no mundo inteiro, da SEC nos Estados Unidos a CVM no Brasil, estão elevando a cibersegurança ao status de risco fiduciario. Conselheiros que ignoram o tema não apenas colocam a organização em perigo: colocam seus próprios mandatos em risco.

Este artigo oferece um roteiro prático para que conselheiros de administração compreendam, supervisem e contribuam ativamente para a postura de cibersegurança da organização, sem a necessidade de se tornarem especialistas técnicos.

---

Por que conselhos de administração devem se preocupar com cibersegurança

A responsabilidade do conselho sobre cibersegurança se sustenta em três pilares fundamentais: regulatório, fiduciario e reputacional.

1. Pilar regulatório

Reguladores globais estão tornando explícita a obrigação do board. A SEC (Securities and Exchange Commission) dos Estados Unidos publicou em 2023 regras que exigem divulgação de incidentes materiais de cibersegurança em até quatro dias úteis (Form 8-K) e descrição anual dos processos de governança, estratégia e gestão de riscos cibernéticos (Form 10-K). Empresas brasileiras com ADRs listadas nos EUA já estão sujeitas a essas exigências.

No Brasil, a Resolução CVM 135, que atualiza o regime de divulgação de informações por emissores de valores mobiliarios, ampliou a expectativa de transparência sobre riscos não financeiros, incluindo cibernéticos. A LGPD (Lei 13.709/2018) impoe responsabilidade sólidaria a controladores de dados, e o conselho, como órgão máximo de governança, pode ser chamado a responder por falhas sistemáticas de proteção.

2. Pilar fiduciario

Conselheiros tem dever de diligência (duty of care) e dever de lealdade (duty of loyalty). Ignorar um risco que pode destruir valor para o acionista configura potencial violação do dever de diligência. Tribunais norte-americanos já aplicaram a doutrina Caremark para responsabilizar boards que não implementaram mecanismos mínimos de supervisão de riscos conhecidos, incluindo riscos cibernéticos.

No Brasil, a Lei das S.A. (6.404/76) impoe ao conselheiro o dever de atuar com "cuidado e diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios". Um conselheiro que não questiona a postura de cibersegurança da empresa, diante de um cenário de ameaças crescentes e obrigações regulatórias explícitas, pode ter dificuldade em sustentar que agiu com diligência.

3. Pilar reputacional

Incidentes cibernéticos destroem confiança. Clientes migram, parceiros renegociam contratos, e a marca sofre danos que levam anos para serem reparados. Pesquisas indicam que empresas que sofrem breaches perdem em média 7,5% de sua base de clientes nos 12 meses seguintes. Para o conselho, a pergunta não é "se" um incidente vai ocorrer, mas "quando", e se a organização estara preparada para responder com velocidade e transparência.

---

SEC, CVM 135 é o novo cenário regulatório

Leia também: Como convencer a diretoria a investir em cibersegurança: ...

O cenário regulatório para cibersegurança em conselhos de administração mudou radicalmente nos últimos três anos. Entender essas exigências e obrigação de qualquer conselheiro.

SEC (EUA), Regras finais de julho de 2023:

• Divulgação de incidentes materiais em até 4 dias úteis (Item 1.05 do Form 8-K).
• Descrição anual da governança de cibersegurança pelo board (Item 106 do Regulation S-K).
• Identificação de quem no conselho ou comite supervisiona riscos cibernéticos.
• Descrição dos processos de avaliação, identificação e gestão de riscos.

CVM 135 (Brasil):

• Ampliação da divulgação de riscos não financeiros no Formulário de Referência.
• Expectativa de descrição de controles internos sobre riscos tecnológicos e cibernéticos.
• Alinhamento progressivo com padrões internacionais de divulgação ESG, onde cibersegurança e classificada como fator de governança.

LGPD e ANPD:

• Multas de até R$ 50 milhões por infração.
• Obrigação de notificação a ANPD e titulares em caso de incidente de segurança.
• Responsabilidade sólidaria do controlador, a governança do board importa.

A tendência global e clara: reguladores querem saber não apenas o que aconteceu após um incidente, mas o que o board estava fazendo antes para supervisionar e mitigar riscos cibernéticos.

---

Competências de cibersegurança que o conselho precisa ter

Leia também: KPIs de segurança cibernética: as métricas que CISOs prec...

Não se espera que todo conselheiro seja um engenheiro de segurança. Mas o conselho, como colegiado, precisa ter competência suficiente para fazer as perguntas certas e avaliar criticamente as respostas.

As competências essenciais incluem:

• Letramento em risco cibernético: entender conceitos como superfície de ataque, vulnerabilidades, ameaças, probabilidade de exploração e impacto financeiro.
• Linguagem financeira de risco: saber interpretar métricas como Valor em Risco (VaR) cibernético, perda anualizada esperada (ALE) e retorno sobre investimento em segurança.
• Panorama regulatório: conhecer as obrigações aplicaveis (LGPD, CVM 135, SEC, normas setoriais como a Resolução BCB 85 para o setor financeiro).
• Governança de dados: entender classificação de dados, localização de dados sensíveis e obrigações de proteção.
• Visão de ameaças: ter nocao do cenário de ameaças relevante para o setor da empresa (ransomware, fraude, espionagem industrial, ataques a cadeia de suprimentos).

Uma pesquisa da Diligent e da Bitsight revelou que apenas 5% dos boards do S&P 500 tinham um membro com experiência relevante em cibersegurança. No Brasil, esse número e ainda menor. A recomendação e incluir pelo menos um conselheiro com experiência prática em segurança ou tecnologia, ou contratar assessoria especializada para o comite de auditoria ou o comite de riscos.

---

5 perguntas que o conselho deve fazer ao CISO

Conselheiros não precisam entender configurações de firewall. Precisam saber fazer as perguntas certas. As cinco perguntas a seguir formam a espinha dorsal de qualquer sessão de supervisão de cibersegurança.

1. Qual é o nosso risco cibernético em Reais?

O CISO deve ser capaz de quantificar o risco cibernético em termos financeiros, não em semaforos vermelho-amarelo-verde. Pergunte pelo Valor em Risco (VaR) cibernético: "Com 95% de confiança, qual é nossa perda máxima anual estimada por incidentes cibernéticos?" Se o CISO não tiver esse número, a organização precisa investir em quantificação de risco cibernético (CRQ).

2. Quais são nossos ativos mais críticos e como estão protegidos?

A resposta deve incluir um inventário atualizado de ativos críticos, sistemas que sustentam receita, dados de clientes, propriedade intelectual, e as camadas de proteção aplicadas a cada um. Ferramentas de CRS e CAASM automatizam esse mapeamento e garantem visibilidade contínua.

3. Quanto tempo levamos para detectar e responder a um incidente?

Tempo e dinheiro em cibersegurança. O MTTR (Mean Time to Remediate) é o MTTD (Mean Time to Detect) são indicadores diretos da resiliência operacional. A média global de detecção de breaches em 2024 foi de 194 dias. Organizações que reduzem esse tempo para menos de 100 dias economizam, em média, R$ 1,5 milhão por incidente.

4. Estamos corrigindo vulnerabilidades na velocidade certa?

O conselho deve acompanhar a taxa de remediação é o tempo médio de correção de vulnerabilidades críticas. O módulo de Gestão de Vulnerabilidades (GVul) da EcoTrust prioriza correções com base em risco real, não apenas em severidade técnica, garantindo que a equipe trabalhe no que realmente importa.

5. Como estamos em relação ao nosso setor e aos padrões de mercado?

Benchmarking é essencial. O CISO deve apresentar a maturidade de segurança da organização comparada com peers do setor, utilizando frameworks como NIST CSF ou CIS Controls. A plataforma EcoTrust fornece scores de segurança é dashboards comparativos que facilitam essa análise.

---

Métricas de cibersegurança que o conselho deve monitorar

O board não precisa monitorar dezenas de KPIs técnicos. Precisa de um conjunto conciso de métricas que traduzam postura de segurança em linguagem de risco e negócio.

Essas métricas devem ser apresentadas em um dashboard executivo, atualizado trimestralmente no mínimo. O módulo CRQ da EcoTrust gera automaticamente essas visualizações, traduzindo dados técnicos em indicadores financeiros compreensiveis para o conselho.

---

Conselho reativo versus conselho proativo: uma comparação

A diferença entre um conselho que trata cibersegurança como pauta eventual e um que a incorpora como responsabilidade estratégica é a diferença entre gerenciar crises e preveni-las.

A transição de reativo para proativo exige investimento em processos, competências e ferramentas. A plataforma EcoTrust, uma Plataforma de IA Agêntica para CTEM (Continuous Threat Exposure Management), oferece a base tecnológica para essa transição, unificando descoberta de ativos, gestão de vulnerabilidades, priorização por risco e quantificação financeira em uma única solução.

---

Como o CRQ viabiliza o reporting de cibersegurança no nível do board

A Quantificação de Risco Cibernético (CRQ) é a ponte entre o vocabulario técnico do CISO e a linguagem financeira do conselho de administração. Em vez de apresentar listas de CVEs e scores CVSS, o CISO passa a comunicar:

• "Nosso VaR cibernético e de R$ 8,3 milhões, reduzido em 22% em relação ao trimestre anterior."
• "O cenário de ransomware representa uma exposição estimada de R$ 4,1 milhões anuais."
• "O investimento de R$ 600 mil no programa de patch management reduziu a perda anualizada esperada em R$ 2,3 milhões, um ROI de 3,8x."

Esse tipo de comunicação muda completamente a dinâmica da relação entre CISO e board. O conselho passa a tomar decisões baseadas em dados financeiros, não em percepcoes qualitativas.

O módulo CRQ da EcoTrust utiliza modelos baseados em FAIR (Factor Analysis of Information Risk) e simulações de Monte Carlo para gerar essas estimativas com rigor estatistico. A plataforma alimenta os modelos automaticamente com dados reais do ambiente, vulnerabilidades encontradas pelo módulo de Gestão de Vulnerabilidades (GVul), inventário de ativos do CRS e CAASM e inteligência de ameaças, eliminando o trabalho manual de coleta e estimativa.

Benefícios diretos do CRQ para o board:

• Traduz risco técnico em BRL, permitindo comparação com outros riscos corporativos.
• Fundamenta decisões de investimento com base em redução de VaR, não em medo.
• Atende exigências de divulgação regulatória (SEC, CVM 135) com dados quantitativos.
• Viabiliza alocação de orçamento baseada em risco, direcionando recursos para onde a redução de exposição e maior.
• Permite acompanhamento trimestral da evolução do risco com indicadores consistentes.

Conheça o módulo CRQ da EcoTrust e leve dados financeiros ao seu board

---

Como estruturar um comite de governança de segurança cibernética

A criação de um comite dedicado, seja um subcomite do comite de auditoria ou um comite independente, é a forma mais eficaz de institucionalizar a supervisão de cibersegurança no conselho.

Composição recomendada:

• 2 a 3 conselheiros, sendo pelo menos 1 com experiência em tecnologia ou segurança.
• CISO como convidado permanente (sem direito a voto).
• CIO e/ou CTO como convidados conforme pauta.
• Representante jurídico para questões regulatórias.

Mandato do comite:

• Supervisionar a estratégia de cibersegurança e sua execução.
• Revisar e aprovar a política de segurança da informação.
• Monitorar métricas-chave (VaR, MTTR, cobertura, maturidade).
• Avaliar a adequação do orçamento de segurança em relação ao perfil de risco.
• Acompanhar o plano de resposta a incidentes e realizar exercícios de simulação (tabletop exercises).
• Reportar ao conselho pleno trimestralmente.

Calendário de reuniões:

• Mínimo de 4 reuniões ordinárias por ano (trimestrais).
• Reuniões extraordinarias convocadas em caso de incidentes materiais.
• Uma sessão anual de revisão estratégica e planejamento do ano seguinte.

---

Agenda prática para briefings trimestrais de segurança

Transformar a supervisão de cibersegurança em prática recorrente exige uma agenda estruturada. O modelo a seguir pode ser adaptado a realidade de cada organização.

Trimestre 1, Revisão estratégica anual (90 min)

• Retrospectiva do ano anterior: incidentes, métricas, evolução do VaR.
• Cenário de ameaças para o setor no próximo ano.
• Proposta de orçamento e roadmap de segurança.
• Revisão da política de segurança da informação.
• Aprovação de metas anuais de redução de risco.

Trimestre 2, Foco operacional (60 min)

• Dashboard de métricas: VaR, MTTR, cobertura de ativos, taxa de remediação.
• Progresso do roadmap de segurança.
• Status de conformidade regulatória (LGPD, CVM 135, normas setoriais).
• Atualização sobre exercícios de resposta a incidentes.

Trimestre 3, Cenário de ameaças e benchmarking (60 min)

• Inteligência de ameaças: tendências globais e setoriais.
• Benchmarking de maturidade em relação a peers.
• Avaliação de riscos de terceiros e cadeia de suprimentos.
• Revisão de cobertura de seguro cibernético.

Trimestre 4, Preparação e resiliência (60 min)

• Resultados do exercício anual de simulação de incidente (tabletop).
• Avaliação de prontidão para divulgação regulatória.
• Revisão de gaps e plano de ação para o próximo ano.
• Avaliação do desempenho do comite de segurança.

Essa agenda garante que o conselho mantenha supervisão contínua sem sobrecarregar a pauta. O segredo e consistência: quatro reuniões por ano, com métricas padronizadas e linguagem financeira.

---

Construindo a ponte entre tecnologia e governança

O desafio central de trazer cibersegurança ao conselho de administração não é técnico, e de comunicação e governança. A tecnologia existe. Os dados existem. O que falta, na maioria das organizações, e a infraestrutura de governança que conecta a equipe de segurança ao board com a frequência, a linguagem é o rigor necessários.

A EcoTrust, como Plataforma de IA Agêntica para CTEM, resolve o lado tecnológico dessa equação. Com módulos integrados de Gestão de Vulnerabilidades (GVul), CRS e CAASM e Quantificação de Risco Cibernético (CRQ), a plataforma transforma dados brutos de segurança em inteligência acionável para o board, automaticamente, continuamente e em linguagem financeira.

Mas a tecnologia sozinha não basta. O conselho precisa assumir sua responsabilidade, criar estruturas de governança, desenvolver competências e cobrar reporting com a mesma disciplina que aplica a riscos financeiros, operacionais e de compliance.

A cibersegurança deixou de ser um problema de TI. É um problema de governança. É o conselho de administração é o lugar certo para resolve-lo.

Agende uma demonstração da plataforma EcoTrust e veja como o CRQ transforma a comunicação de risco no seu board

---

Perguntas frequentes (FAQ)

O conselho de administração e legalmente responsável por cibersegurança?

Sim, de forma crescente. No Brasil, a Lei das S.A. impoe deveres de diligência que abrangem a supervisão de riscos materiais, incluindo riscos cibernéticos. A LGPD estabelece responsabilidade sólidaria para controladores de dados. Nos EUA, a SEC agora exige divulgação específica de governança de cibersegurança pelo board. Conselheiros que não implementam mecanismos mínimos de supervisão podem ser responsabilizados por falha no dever de diligência.

Quantas vezes por ano o conselho deve discutir cibersegurança?

No mínimo quatro vezes por ano, em reuniões trimestrais com pauta estruturada. Além disso, o board deve ser informado imediatamente em caso de incidentes materiais. Organizações em setores regulados (financeiro, saúde, energia) podem necessitar de frequência ainda maior.

O que é CRQ e como ajuda o conselho?

CRQ (Cyber Risk Quantification) é a disciplina que traduz riscos cibernéticos em valores financeiros. Em vez de apresentar ao board que existem "347 vulnerabilidades críticas", o CISO comúnica que "o VaR cibernético e de R$ 5,2 milhões com 95% de confiança". Isso permite que o conselho compare risco cibernético com outros riscos corporativos e tome decisões de investimento fundamentadas.

Qual a diferença entre as exigências da SEC e da CVM para cibersegurança?

A SEC possui regras explícitas desde 2023 que obrigam a divulgação de incidentes materiais em 4 dias úteis e descrição anual da governança de cibersegurança. A CVM 135 brasileira não possui regras tao específicas para cibersegurança, mas ampliou as exigências de divulgação de riscos não financeiros, e a tendência regulatória aponta para convergencia com padrões internacionais.

O conselho precisa de um membro especialista em cibersegurança?

Idealmente, sim. A SEC incentiva (sem obrigar) a divulgação de expertise de cibersegurança no board. Na prática, conselhos podem contratar assessoria especializada para o comite de auditoria ou criar um comite dedicado com apoio de consultores externos. O essencial é que o colegiado tenha competência suficiente para supervisionar o tema, mesmo que nem todos os membros sejam especialistas.

Quais métricas de cibersegurança o board deve exigir?

As métricas essenciais são: VaR cibernético (em R$), MTTR (tempo de resposta), MTTD (tempo de detecção), cobertura de ativos monitorados (%), taxa de remediação de vulnerabilidades críticas (%), maturidade de segurança (nível no framework NIST ou CIS) e perda anualizada esperada (ALE). Todas devem ser apresentadas com tendência trimestral.

Como começar se o conselho nunca discutiu cibersegurança formalmente?

Comece com três ações: (1) agende uma sessão educativa de 90 minutos sobre o cenário de ameaças e obrigações regulatórias, conduzida pelo CISO ou por um consultor externo; (2) solicite ao CISO um relatório de postura de segurança com métricas financeiras, utilizando uma ferramenta de CRQ como a da EcoTrust; (3) defina cibersegurança como pauta fixa trimestral no calendário do conselho ou do comite de auditoria.