Por que a segurança cibernética deve ser uma prioridade para o conselho de todas as empresas – Perspectiva de Serhii Mikhalap

Graças ao mundo interconectado de hoje, a segurança cibernética deixou de ser uma questão técnica secundária. É um imperativo para as diretorias. À medida que as ameaças online se tornam mais sofisticadas e as violações, mais custosas, as empresas estão percebendo que a segurança digital deve ser incorporada à governança corporativa. Mas o que significa que a segurança cibernética seja uma prioridade para as diretorias e por que muitas empresas ainda estão atrasadas?

O especialista em segurança cibernética Serhii Mikhalap acredita que a resposta está na mentalidade. Com mais de nove anos de experiência na linha de frente, incluindo a liderança de operações nacionais de defesa cibernética e a cofundação de uma startup de segurança cibernética, Mikhalap testemunhou em primeira mão as consequências de tratar a segurança cibernética como um exercício de verificação em vez de um pilar estratégico.

Mikhalap iniciou sua carreira em 2016 como analista no Centro de Operações de Segurança Nacional (SOC) da Ucrânia. Responsável por responder a ameaças persistentes avançadas (APTs) contra infraestrutura governamental e privada, ele desenvolveu uma compreensão aprofundada do comportamento dos agentes de ameaças.

“Não estávamos apenas identificando malware”, lembra Mikhalap. “Estávamos rastreando os motivos por trás dele, mapeando os objetivos de longo prazo dos adversários e como eles se infiltraram nas cadeias de suprimentos.”

Em 2020, ele migrou para o setor comercial, trabalhando inicialmente como respondedor de incidentes e, posteriormente, liderando equipes de SOC em um provedor global de segurança cibernética. Seu trabalho envolveu a construção de dois SOCs do zero, integrando automação, triagem de playbooks e monitoramento 24 horas por dia, 7 dias por semana. Seus clientes incluíam fintechs e empresas de tecnologia de pagamento sob rigoroso escrutínio regulatório.

Em 2024, Mikhalap cofundou uma startup de segurança como serviço voltada para startups e PMEs nos setores de criptomoedas, bancos e tecnologia transacional. Sua equipe oferece testes de penetração, DFIR (análise forense digital e resposta a incidentes), avaliações de risco e auditorias de segurança.

“A cibersegurança não se trata apenas de prevenção. Trata-se de resposta, recuperação e confiança. E essa confiança começa com a liderança”, afirma.

O impacto de Mikhalap não passou despercebido. Em 2022, ele recebeu o "Znak Yakosti" (Sinal de Qualidade) nacional da Ucrânia por seu profissionalismo excepcional em segurança cibernética. O comitê do prêmio destacou seu trabalho em resposta a incidentes, planejamento estratégico de defesa, treinamento de usuários e perícia digital.

Em 2023, ele foi laureado com o prêmio nacional "Prêmio de Alta Reputação", em homenagem ao seu compromisso com práticas comerciais éticas, responsabilidade e qualidade. Esses reconhecimentos reforçam sua credibilidade como um líder que alia rigor técnico à integridade.

Segundo Mikhalap, incluir a segurança cibernética na pauta do conselho não é opcional; é essencial. "Os conselhos supervisionam o risco estratégico. E em 2025, o risco cibernético é um risco estratégico", afirma.

No entanto, muitos conselhos não têm a expertise necessária para compreender vulnerabilidades técnicas, muito menos para alinhar a segurança aos objetivos de negócios. Isso cria uma lacuna perigosa.

“A ausência de alfabetização cibernética no topo leva a orçamentos mal alocados, planos de resposta mal preparados e dependência excessiva de fornecedores”, alerta. “A segurança cibernética precisa ser tratada como finanças ou direito, um domínio com suas próprias métricas, linguagem e responsabilidade.”

Ele defende briefings regulares em nível de diretoria, realizados por CISOs ou especialistas externos, com foco em:

• Obrigações de conformidade
• Prontidão para resposta a incidentes
• Prioridades de investimento para resiliência
• Cenário atual de ameaças e tendências
• Ativos críticos para os negócios e sua exposição

Mikhalap acredita que, ao enquadrar a segurança cibernética em termos de continuidade de negócios e risco de reputação, os conselhos podem entender melhor seu valor.

Um tema recorrente na obra de Mikhalap é o custo oculto da inação. “Uma violação não custa apenas dinheiro. Ela corrói a confiança. Expõe negligência. Pode inviabilizar um IPO ou um acordo de fusão e aquisição.”

Em setores regulamentados, as consequências são ainda mais severas. Multas, processos judiciais e proibições regulatórias estão em pauta. "Mas o problema maior é a desvantagem competitiva. Se seus concorrentes estão investindo em resiliência e você não, você está tentando recuperar o atraso depois que o dano já está feito."

Mikhalap enfatiza que o envolvimento do conselho deve andar de mãos dadas com a mudança cultural. A segurança não pode prosperar isoladamente.

Precisamos acabar com o mito de que a segurança cibernética é um problema de TI. É responsabilidade de todos. Do RH ao financeiro e às equipes de produto, cada função precisa entender seu papel na gestão do risco cibernético.

Para dar suporte a isso, sua empresa oferece módulos de treinamento personalizados que alinham as práticas de segurança às funções. Eles também ajudam as empresas a simular ataques para testar a tomada de decisões executivas sob pressão.

Quando os líderes passam por um cenário simulado de violação, eles entendem o que está em jogo. Eles percebem que não se trata apenas de firewalls. Trata-se de danos à reputação, exposição jurídica e sobrevivência da empresa.

Mikhalap destaca algumas práticas que conselhos com visão de futuro estão adotando:

• Risco cibernético como parte do gerenciamento de riscos corporativos (ERM): integrando a segurança em painéis de risco mais amplos.
• Educação do conselho: realização de workshops ou sessões de integração para novos membros.
• Avaliações independentes: contratação de especialistas terceirizados para conduzir revisões de maturidade.
• Planejamento de cenários: execução de exercícios de simulação para equipes executivas e diretores.
• Alinhamento do orçamento: garantir que os investimentos em segurança correspondam à pegada digital e à exposição a ameaças da empresa.

Ele observa que os conselhos não precisam se tornar especialistas em segurança cibernética. Mas devem fazer as perguntas certas e esperar respostas claras e práticas.

Olhando para 2025 e além, Mikhalap vê uma urgência crescente para as empresas incorporarem a estratégia cibernética ao planejamento de longo prazo. À medida que ransomware, ataques baseados em IA e violações da cadeia de suprimentos aumentam em escala e complexidade, ele argumenta que as prioridades da diretoria devem evoluir de acordo.

“A cibersegurança não se trata mais de defender o perímetro da rede. Trata-se de gerenciar o risco digital em toda a empresa. Trata-se de resiliência. E começa com uma liderança que entenda o que realmente está em jogo.”

Para Serhii Mikhalap, a mensagem é simples: a segurança cibernética deve ser levada em conta na sala de reuniões. Não apenas durante uma crise, mas como parte da supervisão de rotina.

“Se você não discutir a cibersegurança no nível do conselho, estará deixando sua organização vulnerável, técnica e reputacionalmente”, diz ele. “A cibersegurança agora é um facilitador de negócios. Conselhos que acertarem nisso liderarão com confiança. Aqueles que não acertarem, ficarão para trás.”

(Imagem de Cliff Hang do Pixabay)