Conversa real, abril deste ano. CIO de uma empresa industrial pediu R$ 1,8 milhão para projeto de segurança. Reforço de SIEM, EDR em endpoints, treinamento, simulação de ataque. Tudo isso.
O board negou. "Não há justificativa de retorno claro."
Ele me perguntou como justificar segurança. Eu disse: "você não justifica segurança como retorno. Justifica como prevenção de prejuízo quantificável".
Refizemos a apresentação. R$ 1,8 milhão para evitar um cenário de R$ 12-18 milhões em risco financeiro modelado. Aprovaram em uma semana.
Board não aprova segurança porque "é importante". Aprova quando o custo de não ter é maior que o custo de ter. Vou te mostrar como montar esse argumento.
O erro clássico da apresentação de segurança para o board
Você abre a apresentação. Slide 1: "O cenário de ameaças está cada vez mais sofisticado."
Slide 2: estatísticas globais. "68% das empresas brasileiras sofreram pelo menos um ataque em 2024."
Slide 3: mapa de tipos de ataque. Ransomware, phishing, ataque a cadeia de suprimentos.
Slide 4: produtos. "Propomos implementar SIEM da empresa X, EDR da empresa Y, treinamento da empresa Z."
Slide 5: investimento.
Slide 6: aprovação.
Esse é o template padrão. E é o que mais frequentemente é negado.
Por quê? Porque em nenhum slide você falou de NÚMEROS DA EMPRESA. Falou do mercado, da ameaça, do produto. Não falou do impacto específico que um ataque teria nessa empresa.
O board não decide com base em estatísticas globais. Decide com base no impacto específico na operação dele.
Risco em dinheiro: como transformar ameaça em número financeiro
A peça chave é a quantificação do risco em moeda. Não "é grave". É "custaria R$ X".
Para fazer isso, modele cenários de incidente específicos para sua empresa:
Cenário 1: Ransomware com criptografia de servidores críticos
Componentes do prejuízo:
- Receita perdida durante o downtime (calcule pela média de receita diária x dias estimados de inoperância)
- Custo de recuperação técnica (consultoria forense, restauração, eventualmente pagamento de resgate)
- Multa LGPD se houver vazamento de dado pessoal (até 2% do faturamento, limitado a R$ 50 milhões)
- Impacto reputacional (queda de novos clientes pelos próximos 6-12 meses)
- Custos legais e indenizações para clientes prejudicados
Para uma empresa de faturamento de R$ 300 milhões/ano, em setor regulado, esse cenário facilmente passa de R$ 25 milhões.
Cenário 2: Vazamento de dados de cliente
Componentes:
- Notificação obrigatória aos titulares afetados (custo logístico)
- Multa LGPD (especialmente em violação confirmada)
- Indenizações individuais por dano moral (jurisprudência atual: R$ 5 mil a R$ 15 mil por titular)
- Para 50.000 titulares afetados: R$ 250 milhões a R$ 750 milhões em indenizações potenciais
Cenário 3: Fraude interna por privilégio excessivo
Componentes:
- Valor desviado (dependente do papel do fraudador)
- Custo de investigação interna
- Eventual processo trabalhista por demissão sem justa causa se a evidência for frágil
- Auditorias adicionais subsequentes
Modele 3-5 cenários específicos. Para cada um, calcule prejuízo provável. Multiplique pela probabilidade (use referência setorial). Isso te dá a perda esperada anual.
O custo de um incidente: componentes que o board precisa ver
Vou detalhar mais o cálculo de custo de incidente porque é o ponto onde a maioria das apresentações fica vaga.
Custos diretos
- Consultoria forense: R$ 80 mil a R$ 300 mil dependendo da complexidade
- Restauração técnica: R$ 50 mil a R$ 200 mil
- Auditoria pós-incidente: R$ 60 mil a R$ 150 mil
- Comunicação à ANPD: tempo interno + assessoria jurídica
Custos indiretos
- Tempo da equipe interna desviado para crise (geralmente 30-90 dias de carga executiva relevante)
- Custo de oportunidade de projetos pausados
- Aumento de custo de capital subsequente (bancos precificam o risco)
Custos contingentes
- Multas regulatórias (LGPD, BACEN se aplicável, ANS se aplicável)
- Indenizações cíveis
- Custos de defesa em processo
Custos de longo prazo
- Perda de clientes (churn elevado nos 12 meses seguintes)
- Redução de win rate em novos negócios
- Aumento de prêmio de seguro de responsabilidade
Quando você apresenta esses 4 grupos com números específicos da sua empresa, o board enxerga o problema. Antes disso, é abstração.
Calcule quanto sua empresa deveria investir em TI com a calculadora gratuita.
Usar a calculadora de budget TI →Benchmarks de investimento em segurança por setor
Outra peça importante: contexto setorial.
Quanto da TI deve ser dedicado à segurança? Faixas típicas:
- Serviços financeiros: 15-25% do orçamento de TI
- Saúde: 10-18%
- Indústria: 8-14%
- Educação: 7-12%
- Varejo: 8-13%
- Logística: 9-15%
Se sua empresa investe 4% da TI em segurança e o benchmark setorial é 12%, isso é argumento direto.
Você vai ao board: "a média do nosso setor investe 12% da TI em segurança. Nós investimos 4%. Estamos propondo aumento gradual para 9% em 18 meses e 12% em 36 meses. Isso reduz nossa exposição a níveis aceitáveis no setor."
Board entende esse argumento. "Estamos investindo menos que a média" é uma posição defensiva difícil de manter para um conselheiro.
A apresentação de 10 minutos que aprova budget de segurança
Te dou uma estrutura específica que funciona. Já apliquei várias vezes:
Minutos 1-2: Contexto do negócio. Quanto a empresa faturou. Que tipos de dados sensíveis ela trata. Quantos titulares. Onde está exposta.
Minutos 3-4: Estado atual de segurança. Estes 3 cenários de risco que modelamos. Estes números de perda esperada anual.
Minutos 5-6: Benchmark setorial. Nosso investimento vs média. Implicação da defasagem.
Minutos 7-8: Proposta. Quanto investir, em que, com que prazo. Como cada componente endereça quais cenários.
Minuto 9: Análise custo-benefício. Investir R$ X para evitar potencial R$ Y. Razão Y/X.
Minuto 10: Decisão. "Recomendamos aprovar o pacote A (R$ 1,8 milhão). A alternativa B (R$ 1,2 milhão) cobre cenários 1 e 2 mas deixa o 3 exposto."
10 minutos. Estruturada em torno de números financeiros, não de produtos técnicos. Conselheiro consegue tomar decisão.
Segurança não é vendida. É justificada. A diferença está em mostrar o custo de não fazer com tanta precisão quanto o custo de fazer.
O papel do seguro cibernético na justificativa
Conversa que mudou: seguro cibernético virou parte da equação de justificativa de investimento.
Seguradoras hoje exigem maturidade mínima de segurança para emitir apólice. Sem MFA universal, sem EDR, sem backup imutável, sem treinamento, o prêmio é proibitivo ou a apólice é negada.
Então a justificativa muda: "investir R$ 800 mil em segurança reduz o prêmio anual de seguro de R$ 340 mil para R$ 120 mil. Em 4 anos, paga o investimento só na economia de prêmio. Sem contar a redução de risco real."
Para empresas que já têm seguro cibernético, esse é um argumento bem palpável para o CFO.
Modelo de comunicação contínua com o board
Segurança não é apresentada uma vez. É comunicada continuamente.
Modelo que funciona:
- Apresentação trimestral ao board com 3-4 slides: estado da postura, incidentes do trimestre, próximas iniciativas
- Relatório anual completo (15-20 slides) com benchmark, evolução, plano do próximo ano
- Alerta proativo em incidentes relevantes (não esperar o board perguntar)
- Educação contínua: 1-2 vezes ao ano, sessão de 30-60 min sobre temas de segurança relevantes para o setor
Board que entende segurança aprova segurança. Board que ouve sobre segurança só em crise resiste a aprovar.
Como tratar ameaças emergentes (IA generativa, deepfake)
Tem ameaças relativamente novas que ainda não estão no radar de muito board, mas que precisam ser incluídas em apresentação séria:
- Engenharia social potencializada por IA generativa (phishing personalizado em escala)
- Deepfake em fraude financeira (vídeo/áudio de executivo falso solicitando transferência)
- Ataques a cadeia de suprimentos via dependências de software
- Exposição de dado via uso indevido de IA generativa pelos próprios funcionários
Apresentação ao board: "além das ameaças tradicionais, esses 4 vetores emergentes mudaram materialmente o cenário em 2024-2025. Nosso plano endereça cada um com investimento específico."
Board atento valoriza ver que TI/segurança está atenta a evoluções, não apenas defendendo o status quo.
Em resumo: a apresentação que aprova segurança
- Contexto específico da empresa (não estatística global)
- Cenários de risco modelados em dinheiro (3-5 cenários concretos)
- Componentes detalhados de custo de incidente (diretos, indiretos, contingentes, longo prazo)
- Benchmark setorial de investimento em segurança
- Proposta clara com pacotes alternativos
- Análise custo-benefício explícita (R$ investido / R$ risco evitado)
- Plano de governança contínua (não vai sumir depois da aprovação)
Apresentação com esses 7 elementos converte. Apresentação com estatísticas de mercado e logos de produto não.
Objeções típicas e como responder
"A gente nunca foi atacado. Por que investir agora?"
Resposta: "Não fomos atacados que percebemos. Em média, ataques bem-sucedidos ficam não-detectados por 200+ dias. Estamos prontos para detectar?". Geralmente a resposta é não, e isso muda a conversa.
"Esse investimento não tem ROI direto."
Resposta: "Como seguro, não tem ROI direto até precisar. Em 5 anos de Berkshire Hathaway, o seguro nunca foi acionado mas nunca foi cancelado. Por quê? Porque o custo de não ter no momento da necessidade é catastrófico. Segurança é igual."
"Não temos orçamento para tudo isso."
Resposta: "Vamos priorizar. O pacote A endereça 80% do risco mais alto com 50% do investimento. O pacote B completa o cenário. Podemos começar pelo A e avaliar B no próximo ciclo."
"Por que não esperar mais um ano?"
Resposta: "Janela de exposição cumulativa. Cada mês sem controles adequados aumenta probabilidade de incidente. O risco anualizado de R$ X agora vira R$ 1,3X no próximo ano e R$ 1,7X no seguinte."
Cada objeção tem resposta preparada. Reunião sem essas respostas vira improvisação.
Antes de montar sua próxima apresentação de budget de segurança, vale a pena passar pela calculadora. Te dá os parâmetros para fazer a comparação setorial defensável.
Veja também
Guia CompletoBudget de TI: como montar o orçamento que o CFO aprova na primeira reunião
O CFO não nega budget de TI por falta de dinheiro. Nega porque não entende o que está comprando. Veja como traduzir TI em linguagem financeira.
RiscosOs erros de planejamento que fazem o budget de TI virar motivo de conflito com o CFO
Budget de TI aprovado em janeiro e revisto em julho é sinal de planejamento ruim, não de imprevistos. Veja os erros que repetem e como evitá-los.
Perguntas frequentes
Como justificar investimento em segurança da informação para o board?
Use o modelo ROSI (Return on Security Investment): calcule o custo anualizado de risco (probabilidade × impacto de cada ameaça), compare com o custo do controle que mitiga cada risco, e apresente a diferença como retorno. Para dados de referência no Brasil, use relatórios da IBM Cost of Data Breach e do Serpro/ANPD sobre multas LGPD. Números específicos ao setor têm mais impacto do que estatísticas globais.
O board tem obrigação de aprovar budget de segurança da informação?
Juridicamente, o board tem dever de diligência sobre riscos materiais — e riscos de segurança da informação são materiais em praticamente toda empresa regulada. Em empresas SOX, o comitê de auditoria deve aprovar o programa de ITGC. Para LGPD, a diretoria responde solidariamente por danos causados por violação. Com esse enquadramento, segurança deixa de ser pedido de TI e vira obrigação do conselho.
Quais métricas de segurança apresentar para o CFO?
As métricas que o CFO entende: 1) Custo médio de incidente no setor (IBM Cost of Breach). 2) Valor de multa LGPD calculado sobre seu faturamento. 3) Custo de downtime por hora para os sistemas críticos. 4) Comparação de custo do controle vs. custo esperado do incidente. Métricas técnicas (número de vulnerabilidades, tempo médio de patch) são para o CISO, não para o CFO.
O argumento que sempre funciona: custo da inação
Em conversa com CFO sobre investimento em segurança, o argumento mais persuasivo não é o ROI direto — é o custo da inação. Quando se demonstra com clareza o que a empresa perde se nada for feito, a aprovação flui.
O cálculo do custo de inação tem três componentes:
Probabilidade de incidente — baseada em estatística setorial. Em setores expostos (financeiro, saúde, varejo), probabilidade anual de incidente material está entre 8% e 18%. Em setores menos expostos, 3% a 7%.
Impacto financeiro médio — somatório de custos diretos (forense, defesa, multa, comunicação, monitoramento de crédito), custos indiretos (perda de receita, churn, prêmio de seguro), custos reputacionais. Para empresa de médio porte brasileira, faixa típica de R$ 8 a R$ 35 milhões por incidente material.
Custo esperado anual — probabilidade × impacto. Resultado típico: R$ 1 a R$ 6 milhões/ano de custo esperado em empresa média.
Quando o investimento em segurança custa R$ 800 mil/ano e o custo esperado de incidente é R$ 3 milhões/ano, a conta fica óbvia. Esse é o enquadramento que faz CFO aprovar.
O argumento auxiliar: compliance e contratos
Segundo argumento poderoso: cliente B2B exige cada vez mais comprovação de segurança. Sem certificação ou maturidade demonstrável, a empresa perde contratos.
Padrão atual em setores reguladas: cliente exige questionário de segurança (60-200 perguntas), certificações específicas (ISO 27001 ou equivalente setorial), cláusulas contratuais detalhadas sobre proteção de dados, direito de auditoria. Empresa que não atende a esses requisitos vê deals travarem na fase de due diligence.
O custo da perda de contrato pode ser grande. Vi empresa de R$ 200 milhões de faturamento perder cliente de R$ 8 milhões/ano por não conseguir comprovar maturidade de segurança em tempo de fechar negócio. O investimento em certificação que destravaria o contrato custava R$ 600 mil. Conta óbvia, mas a empresa não percebeu antes de perder o cliente.
Apresentar ao CFO casos concretos de empresas competidoras que perderam negócio por falta de segurança coloca a discussão num plano que ele entende: receita perdida.
O argumento estratégico: vantagem competitiva
Terceiro argumento, mais sofisticado: segurança como diferencial competitivo. Em alguns setores, a marca de empresa "segura" já é vantagem de mercado.
Setores onde isso é evidente: SaaS B2B (cliente assume risco de fornecedor), fintech (regulação rigorosa), saúde digital (dados sensíveis), serviços financeiros (confiança é o produto). Empresas que comunicam segurança de forma crível ganham clientes de maior porte com tickets mais altos.
O ROI desse argumento é menos imediato — mas existe e cresce com o tempo. Empresa que investe em segurança hoje pode capturar contratos premium daqui 18-24 meses, enquanto concorrentes que economizaram ficam restritas a clientes de menor porte.
Apresentar esse argumento exige sofisticação na conversa. Funciona melhor com CEO ou COO do que com CFO. Mas quando funciona, libera budget significativo — porque vira investimento estratégico, não despesa operacional.
Empresa que combina os três argumentos (custo da inação, compliance, vantagem competitiva) raramente recebe negativa do board.