Vazamentos de dados, indisponibilidade de sistemas e exposição de marca geram perdas financeiras imediatas e colocam em risco a confiança de clientes e parceiros, com reflexos que podem chegar rapidamente ao mercado.
De acordo com a Delfia, curadoria de jornadas digitais, embora investidores ainda não incorporem de forma estruturada o nível de preparo em cibersegurança na avaliação de empresas, os efeitos de incidentes já são claros. Quedas operacionais e crises reputacionais têm potencial de afetar ações, contratos e confiança do mercado.
“Incidentes de segurança afetam o valuation sem sombra de dúvida. São riscos reais ligados à perda de dados sensíveis, interrupções na operação e danos à imagem, e tudo isso tem reflexo financeiro direto”, afirma o CTO da Delfia, Leonardo Santos.
Apesar disso, o mercado ainda está em fase inicial de evolução na forma de incorporar riscos cibernéticos na avaliação de empresas. Segundo o executivo, ainda é raro ver decisões de aquisição baseadas diretamente na postura de segurança de uma empresa. O movimento mais comum é a exigência por compliance e proteção de dados nas relações comerciais. Parcerias, contratos e integrações entre empresas têm demandado níveis mais elevados de segurança quando envolvem troca de informações sensíveis.
Embora ataques e incidentes cibernéticos já sejam uma realidade, a capacidade de mensurá-los ainda varia entre as organizações. Empresas mais estruturadas conseguem estimar perdas operacionais, principalmente em ambientes digitais como e-commerce, onde o impacto de uma indisponibilidade é mais direto. Já em outros setores, a dificuldade de traduzir risco técnico em impacto financeiro ainda limita a tomada de decisão.
“É possível mensurar o impacto de um incidente, mas isso exige um nível alto de maturidade e conhecimento do negócio. O que vemos no mercado é que as organizações querem quantificar o risco, para ver se ele é viável de ser mitigado ou de ser aceito, poque tudo é custo. Nem todas as empresas conseguem fazer essa conta com precisão hoje”, reforça Santos.
O avanço da legislação é outro fator que contribuiu para levar o tema ao board. Regulamentações como a LGPD e o marco civil da internet ampliaram a exposição das empresas a multas e sanções, e riscos jurídicos e danos à reputação em casos de incidentes passaram a fazer parte da agenda de executivos financeiros.
“Hoje, risco cibernético já é, sim, risco financeiro e as leis exigiram que as empresas se adaptassem a uma nova realidade. A diferença é que nem todas as organizações estão no mesmo nível de preparo para tratar isso de forma estratégica”, conclui Santos.
