O CISO e o Poder das Pesquisas de Mercado: Transformando Dados em Influência

Por Glauco Sampaio*

Hoje vamos mergulhar em um tema que, acreditem, pode ser bem empolgante. Estou falando sobre como nós, CISOs, podemos usar dados de pesquisas de mercado para dar aquele upgrade nas nossas conversas com a diretoria e os conselhos de administração. Sabe aquela sensação de estar sozinho defendendo a importância da segurança? Pois é, eu nunca fiquei confortável nessa situação e usar informações de empresas que tem credibilidade fazia com que eu me sentisse menos solitário!

Estou falando de pesquisas sérias, daquelas que fazem até o mais cético dos CFOs erguer as sobrancelhas. Nomes como Gartner, Fórum Econômico Mundial (WEF), PWC, Forrester, IBM, Verizon e Microsoft. Sim, esses caras que parecem ter um PhD em fazer gráficos coloridos e relatórios extensos, mas trazem consigo uma credibilidade que ninguém pode negar!

Mas por que isso é importante? Bem, imagine a cena: você está lá, suando frio, prestes a pedir um aumento no orçamento de segurança. O CEO olha para você com aquela cara de “lá vem o paranóico de novo”. É aí que você saca seu ás na manga: “Segundo o último relatório da Gartner…”. Pronto! De repente, não é mais só você falando, é você respaldado por uma das maiores empresas de pesquisa do mundo.

Como já usei isso na prática?

Vamos pegar um exemplo prático. Lembro-me de uma vez em que precisava justificar um investimento em segurança de nuvem, e era bem no começo dessa história de nuvem. Ao invés de simplesmente dizer “precisamos disso porque eu acho importante”, usei dados do relatório de Segurança em Nuvem da Microsoft. Mostrei que X% das empresas do nosso setor estavam enfrentando desafios similares e que Y% das que investiram viram uma redução significativa em incidentes. De repente, não era mais o Glauco pedindo dinheiro, era o mercado mostrando uma tendência.

Outra situação memorável foi quando usei o famoso “Data Breach Investigations Report” da Verizon para ilustrar os tipos de ataques mais comuns no nosso setor. Aqueles gráficos bonitos não só impressionaram a diretoria, como também ajudaram a contextualizar nossas vulnerabilidades específicas. É como dizem: uma imagem vale mais que mil palavras, mas um gráfico da Verizon, muitas vezes, vale mais que mil argumentos do CISO.

Mais recentemente, o relatório anual de riscos do Fórum Econômico Mundial virou algo muito utilizado por nós, porque os riscos cibernéticos ganharam muito destaque e se mantém no topo a vários anos. Usar informação de alguém que não tem nenhuma intenção comercial real, vem ajudando muito também nessa jornada!

Atenção: Não é só pegar dados e gráficos!

Usar pesquisas de mercado não é simplesmente jogar números aleatórios na apresentação e esperar que a mágica aconteça. É preciso saber interpretar e, mais importante, contextualizar para a realidade da sua empresa. Lembro-me de uma vez em que usei um dado sobre o custo médio de um vazamento de dados, e o CFO quase teve um ataque cardíaco, e entrou numa discussão que aquele número não fazia parte de nossa realidade. Tive que rapidamente explicar que aquele número era uma média global e que nossa realidade provavelmente seria diferente (para melhor, espero).

Um truque que aprendi com o tempo é usar essas pesquisas para criar um senso de urgência, mas sem cair no alarmismo (sem ser o cavaleiro do apocalipse). Por exemplo, ao invés de dizer “a empresa vai parar se não implementarmos essa solução agora”, eu mostrava tendências de ataques crescentes no setor e como empresas que investiram em soluções similares estavam se saindo melhor. É aquele velho ditado: não é sobre assustar, é sobre preparar.

As pesquisas também são ótimas para tirar a “personalização” das recomendações. Ao usar dados de pesquisas respeitadas, você tira o foco de si e coloca na realidade do mercado. Não é mais o CISO paranóico falando, são dados concretos mostrando tendências e riscos reais. Esse tipo de informação ilustra muito bem nosso cenário de discussão e dá ao processo de gestão de riscos mais subsídios para a correta tomada de decisão.

Uma dica de ouro: sempre tenha alguns “fun facts” na manga. Acredite, executivos adoram aqueles dados curiosos que podem usar para impressionar em happy hours. “Sabia que, segundo a IBM, um ataque de ransomware acontece a cada 11 segundos?” Agora você tem a atenção deles.

Nem tudo são flores no mundo das pesquisas de mercado

É preciso tomar cuidado para não cair na armadilha de usar dados desatualizados ou irrelevantes. O mundo da segurança muda mais rápido que as desculpas de um desenvolvedor para não fazer patch, então certifique-se de estar usando as informações mais recentes.

Outro ponto importante: diversifique suas fontes. Não fique preso a apenas uma empresa de pesquisa. Cada uma tem suas metodologias e focos específicos. Usar dados de diferentes fontes não só enriquece sua apresentação, como também mostra que você fez o dever de casa.

Uma estratégia que adotei com sucesso foi criar um “dashboard” trimestral com os principais indicadores e tendências de segurança do mercado. Isso não só mantinha a diretoria atualizada, como também criava um hábito de discussão regular sobre segurança. E, acredite, quando chega a hora de pedir aquele aumento no orçamento, ter esse histórico de discussões embasadas faz toda a diferença.

Ah, e não se esqueça de adaptar a linguagem. Mesmo os relatórios menos técnicos podem (e devem) ser traduzidos para a linguagem de negócios de nossas empresas. Transforme “vulnerabilidades de dia zero” em “riscos potenciais para a continuidade do negócio”. Converta “implementação de autenticação multifator” em “fortalecimento da proteção de dados dos clientes”. Lembre-se: você está vendendo segurança, não tecnologia.

Por fim, uma dica que aprendi da maneira mais difícil: sempre, SEMPRE, leia o relatório completo antes de usar qualquer dado. Nada é mais embaraçoso do que ser questionado sobre um detalhe da pesquisa e ter que admitir que só leu o resumo executivo. Acredite, já estive nessa situação, e não é nada agradável ver o olhar de desapontamento do CEO quando você gagueja tentando explicar uma estatística que não entendeu completamente.

E tem um item que sempre tirou meu sono, e fui indagado algumas vezes sobre, foi a falta de dados e pesquisas nacionais sobre segurança, para ilustrar realmente o nosso cenário! De verdade, temos muito pouco representatividade nas pesquisas globais e falta de material produzido localmente. Mas isso é assunto para outra conversa e que espero ter boas notícias em breve!

Agora, como é nossa tradição, trago um convidado especial para falar sobre esse tema, Bruno Moraes, que atualmente é CEO do Grupo Cyber Horizon ajudando empresas a evoluir em sua maturidade de segurança, mas que até pouco tempo era CISO de uma grande empresa e tem uma vasta experiência na área!

Bruno, quando e como você começou a usar dados de pesquisa no seu dia-a-dia? E isso ajudou logo de cara ou teve situações que não foram muito legais?

“Desde o começo sempre acreditei na utilização de dados de pesquisa para fortalecer os meus pleitos de investimentos. Minha jornada com dados de pesquisa começou ainda no início da minha carreira, por volta de 2004, quando eu atuava como especialista em cibersegurança. Naquela época, os programas e as tecnologias eram muito técnicas, mas eu já buscava informações de fontes confiáveis, como o Gartner, para embasar decisões e defender a adoção de tecnologias importantes para aquela época, como SIEM, IPS, IAM, entre outras. Eu também gostava de elaborar minhas próprias matrizes de referência, comparando empresas do mesmo segmento em relação ao tamanho das equipes, tecnologias adotadas e outras métricas, mesmo sem ter a visão completa de um CISO.

Isso ainda era desafiador devido as pessoas não se sentirem muito confortáveis dizer o que estavam fazendo e implementando. O meu objetivo era estar sempre atualizado sobre as tendências e as melhores práticas do setor. Esses dados de pesquisa foram fundamentais, especialmente nas primeiras aquisições de tecnologias, mas não foi um caminho simples. No começo, houve desafios, pois as informações nem sempre estavam organizadas de maneira prática ou diretamente aplicáveis ao nosso contexto específico. Porém, com o tempo, fui aprendendo a filtrar o que era mais relevante e a usá-las de maneira mais estratégica, o que ajudou a impulsionar bons investimentos em cyber.”

Agora falando sobre sua última experiência como CISO, numa empresa muito madura, usar essas informações de pesquisas, continuavam a ser importante e ajudavam nas conversas?

“Sem dúvida! Mesmo em empresas que estão em busca de maior maturidade ou já possuem um alto nível de maturidade em cibersegurança, os dados de pesquisa continuam sendo extremamente valiosos — e vivenciei isso na prática. Quando você está lidando com tomadores de decisão, a análise do mercado em que a empresa está inserida, especialmente o mercado-alvo ou de referência, é essencial para a aprovação de estratégias e investimentos. Em organizações com alta maturidade, esses dados não apenas ajudam a validar o que está funcionando, mas também servem como uma base sólida para justificar a necessidade de novos investimentos ou ajustes nas estratégias em andamento.

Na estratégia de evolução da maturidade, comparar frameworks, equipes, orçamentos e tecnologias é muito importante, especialmente quando tratamos de áreas mais avançadas, como programas de segurança voltados para o negócio ou metodologias sofisticadas de medição de evolução. Em temas com poucos dados disponíveis, uma jogada é estruturar seus próprios frameworks e se apoiar nas tendências de empresas de vanguarda, líderes no setor, utilizando dados de pesquisa tanto no cenário nacional quanto internacional. Reforço que apresentar benchmarks do setor e dados de pesquisa é uma maneira bastante eficaz de demonstrar que a empresa está no caminho certo ou identificar rapidamente onde ajustes são necessários. Ter uma base sólida de dados de pesquisa fortalece as discussões e permite uma tomada de decisão mais assertiva, independentemente da maturidade da organização.

E como você tem visto no mercado o uso das pesquisas, muita gente está fazendo bom uso disso na prática?

“Nos últimos anos, o uso de dados de pesquisa tem aumentado consideravelmente, especialmente por empresas que estão estruturando programas de segurança mais robustos. Para aquelas que enfrentam incidentes de cibersegurança, a situação muda rapidamente. Executivos tomam decisões mais ágeis e, em muitos casos, o orçamento de segurança é elevado durante essas fases críticas. No entanto, ainda vejo muitas organizações que não exploram todo o potencial desses dados. Algumas utilizam as pesquisas de maneira superficial, sem contextualizá-las adequadamente ao seu ambiente ou integrá-las de forma estratégica aos seus programas de segurança.

Por outro lado, existem empresas que fazem um excelente trabalho, usando essas informações para antecipar ameaças, entender melhor a evolução do cenário de cibersegurança e justificar investimentos de forma mais assertiva. O mercado, de maneira geral, tem evoluído, mas ainda há um grande potencial de amadurecimento no uso de dados de pesquisa, especialmente entre as médias e pequenas empresas. Há muito a ser feito para que esses dados sejam aproveitados de maneira mais eficaz e integrada nas decisões estratégicas de segurança.”

Finalizando aqui, quais dicas você poderia dar para quem quer iniciar no uso destas informação ou até mesmo melhorar o uso que já fazem?

“Primeiro, para quem está começando, a principal dica é identificar fontes confiáveis de dados de pesquisa. Existem muitas informações disponíveis na internet, mas nem todas são relevantes ou precisas. Buscar fontes como relatórios de empresas de segurança, whitepapers, benchmarks do setor e estudos de organizações independentes, como Gartner, ISACA ou NIST, é um excelente ponto de partida. Além disso, é fundamental contextualizar esses dados para o seu ambiente específico. Nem todos os benchmarks vão se aplicar diretamente ao seu negócio, por isso é importante adaptá-los à realidade da sua organização.

Para quem já está utilizando essas informações, o conselho é integrá-las diretamente no processo de tomada de decisão, alinhando-as com os objetivos de negócios, e não apenas com os requisitos técnicos de segurança. E se você encontrar dificuldades, não hesite em pedir ajuda a colegas e pares de mercado. Estudar como outras áreas, além de cibersegurança, realizam comparações também pode ser útil. Isso ajuda a sempre evoluir e fortalecer não apenas a segurança da empresa em que você trabalha, mas também a do mercado como um todo.”

Conclusão

Em suma, o uso estratégico de pesquisas de mercado se revela uma ferramenta poderosa para CISOs na comunicação com diretoria e conselhos. Aprendemos que não basta apenas citar números; é crucial contextualizar os dados para a realidade da empresa, criar um senso de urgência sem alarmismo, e adaptar a linguagem para o mundo dos negócios.

Os insights valiosos de Bruno Moraes reforçaram a importância dessas práticas. Sua jornada, desde o início da carreira até se tornar CEO do Grupo Cyber Horizon, ilustra como o uso eficaz de dados de pesquisa pode evoluir e se adaptar às diferentes fases da carreira de um profissional de segurança. Bruno enfatizou a relevância contínua dessas informações, mesmo em empresas maduras, e a necessidade de contextualização e integração estratégica dos dados.

Lembre-se: o poder está em transformar esses dados em narrativas convincentes que alinhem segurança com os objetivos de negócio. Seja você um CISO experiente ou um profissional em ascensão, há sempre espaço para aprimorar o uso dessas ferramentas.

Gostou deste artigo? Compartilhe com seus colegas e ajude a disseminar essas práticas valiosas. E não se esqueça de nos acompanhar para mais conteúdos como este. Nos próximos artigos, continuaremos explorando temas cruciais para a evolução da segurança cibernética no ambiente corporativo. Juntos, podemos elevar o nível da discussão sobre segurança nas salas de conselho e além!

*Glauco Sampaio é profissional da área de SI há mais de 25 anos, sendo CISO por mais de 14 anos, atuando em grandes empresas como Cielo, Banco Original, Banco Votorantim, Editora Abril e Banco Santander. Hoje, atua como conselheiro consultivo com foco em segurança, prevenção a fraudes, privacidade, tecnologia e inovação em empresas de diversos segmentos. Cofundador e CEO da Beephish, além de professor na FIA e no curso de cybersecurity para conselheiros do IBGC. É host do Podcast Conselho & Conselheiros, e palestrante nos principais eventos do Brasil e exterior (RSA Conference).