Cibersegurança e soberania digital

Os recentes alertas do Banco Central do Brasil, sobre a insegurança digital do Brasil, não deve ser interpretado como uma preocupação restrita ao sistema financeiro. Ele evidencia uma fragilidade estrutural que se estende por praticamente todos os setores da economia e da administração pública brasileira: a persistente visão de que cibersegurança é um tema exclusivamente técnico, limitado às áreas de tecnologia da informação. Esse paradigma já não se sustenta.

O risco cibernético, na atualidade, deve ser compreendido como risco de negócio, com impactos diretos sobre a continuidade operacional, a estabilidade financeira, a reputação institucional e a conformidade regulatória. No entanto, seus efeitos vão além das organizações individualmente consideradas, alcançando dimensões institucionais e sociais.

Incidentes de segurança não se resumem a perdas financeiras decorrentes de fraudes ou pagamentos de resgate. Envolvem, de forma crescente, a indisponibilidade de serviços essenciais, a perda ou comprometimento de dados críticos e a interrupção de operações estratégicas.

Exemplo recente reforça essa realidade: neste final de semana, instituições como BTG e Nubank enfrentaram instabilidades relevantes em seus serviços, com impacto direto em operações via PIX — sendo reportado, no caso do BTG, prejuízo superior a R$ 100 milhões. Episódios como esse evidenciam que mesmo organizações altamente estruturadas não estão imunes a falhas operacionais com efeitos imediatos e significativos.

No setor público, esses impactos assumem proporções ainda mais relevantes. A indisponibilidade de sistemas de secretarias de fazenda, por exemplo, compromete a arrecadação, afeta a execução orçamentária, interrompe serviços ao cidadão e gera efeitos em cadeia sobre fornecedores e políticas públicas. Trata-se de um prejuízo que não pode ser mensurado apenas sob a ótica financeira — seus efeitos recaem diretamente sobre a sociedade.

Nesse contexto, a cibersegurança deve ser compreendida como elemento essencial para a continuidade do Estado, o funcionamento das instituições e a estabilidade econômica. Há ainda um componente adicional que demanda atenção crescente: a soberania digital.

A circulação de dados estratégicos — de empresas, governos e cidadãos — em ambientes sem controle adequado, bem como a dependência de infraestruturas e serviços externos, ampliam a exposição a riscos que extrapolam o âmbito tecnológico. Trata-se de uma questão de autonomia, competitividade e capacidade de resposta diante de incidentes ou pressões externas.

Apesar da crescente sofisticação das ameaças, o principal desafio enfrentado pelas organizações não é, em regra, a ausência de soluções tecnológicas. O Brasil já dispõe de ferramentas e serviços robustos, amplamente testados e adotados em ambientes críticos, tanto no país quanto no exterior.

A lacuna central reside na governança.

Em muitas organizações, a área de tecnologia já possui diagnóstico claro dos riscos existentes. Contudo, essa percepção não se traduz, na mesma intensidade, em prioridade estratégica por parte da alta gestão. A segurança da informação ainda é, com frequência, tratada como centro de custo, e não como instrumento de proteção do negócio e de mitigação de riscos institucionais.

Esse desalinhamento cria um ambiente propício à ocorrência de incidentes e amplia a vulnerabilidade organizacional.

Diante desse cenário, torna-se indispensável que a cibersegurança seja incorporada de forma estruturada à agenda estratégica das organizações, públicas e privadas. Isso implica sua inclusão em conselhos de administração, comitês de risco, processos de planejamento e decisões de investimento.

Mais do que um tema técnico, trata-se de um tema de liderança.

Ignorar a centralidade da cibersegurança no contexto atual deixa de ser uma decisão operacional e passa a configurar uma decisão de gestão com impactos diretos sobre terceiros — sejam eles cidadãos, clientes, investidores ou parceiros institucionais.

Em última análise, os eventos recentes indicam que a questão já não é se uma organização será impactada por um incidente cibernético, mas quando isso ocorrerá e qual será seu nível de preparo para responder, mitigar danos e assegurar a continuidade de suas operações.

O Brasil dispõe dos meios tecnológicos necessários para enfrentar esse desafio.

O que se impõe, neste momento, é a tomada de decisão em nível de governança — com prioridade, responsabilidade e visão estratégica compatíveis com a relevância do tema.

Oscar Soares Martins é consultor e especialista em cibersegurança e em IA.