TL;DR — Leia em 60 segundos

  • 87% das empresas brasileiras cometem erros críticos ao negociar com grupos de ransomware por falta de preparação técnica, jurídica e estratégica.
  • Negociação não é improviso: exige inteligência de ameaças, análise financeira, avaliação de backups, compreensão da LGPD e coordenação com seguradoras e autoridades.
  • O Framework #344 estrutura a resposta em quatro fases: diagnóstico, planejamento, execução controlada e monitoramento pós-incidente.
  • Pagar não garante descriptografia nem exclusão de dados; negociar mal pode aumentar o valor do resgate e ampliar danos reputacionais.
  • Empresas que possuem plano formal de negociação reduzem em até 40% o impacto financeiro total do incidente.

O que é Negociação com Ransomware e por que é crítico em 2026

Negociação com ransomware é o processo estruturado de comunicação, estratégia e tomada de decisão entre a organização vítima e o grupo criminoso responsável pelo sequestro digital. Diferente do senso comum, não se trata apenas de “decidir pagar ou não pagar”. Envolve análise técnica profunda do ambiente comprometido, validação de capacidade real de recuperação, estudo do histórico da gangue, avaliação jurídica sob a LGPD e legislação internacional, coordenação com seguradoras e definição de narrativa pública. Em 2026, essa disciplina tornou-se parte formal dos planos de resposta a incidentes de grandes empresas e, cada vez mais, de médias organizações.

O contexto brasileiro reforça essa urgência. Relatórios recentes da APWG e da SonicWall indicam crescimento consistente de ataques direcionados à América Latina, com o Brasil figurando entre os principais alvos da região. Setores como saúde, educação, indústria e serviços financeiros registraram aumento expressivo de incidentes de dupla extorsão, modelo no qual os dados são criptografados e também exfiltrados para chantagem pública. Isso transforma a negociação em um problema que vai além da indisponibilidade operacional, tornando-se uma crise de proteção de dados pessoais e de continuidade de negócios.

Em 2026, a profissionalização dos grupos criminosos é outro fator crítico. Organizações como LockBit, BlackCat e seus sucessores operam com estrutura empresarial, atendimento ao “cliente”, manuais de pagamento e até testes de descriptografia. Eles monitoram a capacidade financeira da vítima, analisam balanços públicos, estimam cobertura de seguro cibernético e ajustam o valor do resgate conforme a percepção de maturidade. Empresas despreparadas frequentemente iniciam contato emocional, revelam informações estratégicas e elevam o valor exigido sem perceber.

Além disso, o cenário regulatório brasileiro amadureceu. A Autoridade Nacional de Proteção de Dados ampliou fiscalizações e sanções relacionadas a vazamentos decorrentes de ataques. Negociar sem considerar obrigações de notificação, riscos de responsabilização e possíveis investigações pode gerar impacto financeiro superior ao próprio resgate. Portanto, em 2026, negociação com ransomware não é decisão isolada de TI: é tema de conselho administrativo, compliance, jurídico e alta direção.

Como funciona na prática: Anatomia completa

Na prática, a negociação com ransomware começa antes do ataque. Organizações maduras possuem playbooks pré-aprovados, definem papéis e simulam cenários. Quando o incidente ocorre, o primeiro passo é conter o ataque e avaliar o escopo real do comprometimento. Só depois se discute a estratégia de comunicação com os atacantes. Esse erro de ordem é um dos principais fatores que explicam por que 87% das empresas falham: elas começam negociando antes de entender o que realmente perderam.

O segundo elemento da anatomia envolve inteligência de ameaças. Cada grupo de ransomware possui histórico distinto. Alguns cumprem acordos de descriptografia; outros vendem dados mesmo após pagamento. Alguns reduzem valores rapidamente se percebem resistência técnica; outros aumentam a pressão com vazamentos parciais. Entender o comportamento histórico do grupo é essencial para definir postura. Empresas que ignoram essa análise tratam todos os criminosos como iguais e cometem erros estratégicos graves.

Outro ponto central é a análise de capacidade de recuperação. Backups existem, mas estão íntegros? Foram testados recentemente? Há risco de persistência do atacante no ambiente? Negociar sem essa clareza pode levar ao pagamento desnecessário. Por outro lado, afirmar que não pagará sem ter certeza da restauração pode resultar em paralisação prolongada e prejuízo operacional massivo. A decisão deve ser baseada em dados técnicos concretos.

Finalmente, há a dimensão financeira e jurídica. Avaliar custo de parada, multas contratuais, impacto em ações, cobertura de seguro e obrigações regulatórias compõe o cálculo estratégico. Negociação profissional é, portanto, um processo multidisciplinar que integra segurança da informação, finanças, direito digital, comunicação e governança.

Dinâmica psicológica da negociação criminosa

Grupos de ransomware utilizam técnicas clássicas de negociação coercitiva. Criam senso de urgência, estabelecem prazos artificiais e ameaçam divulgar dados gradualmente. Em muitos casos, utilizam linguagem aparentemente colaborativa para gerar confiança e induzir a vítima a compartilhar detalhes financeiros. Essa engenharia psicológica explora o pânico inicial da organização.

Empresas que não possuem negociador experiente frequentemente revelam limites orçamentários, prazos críticos ou dependências regulatórias. Isso fortalece a posição do criminoso. A negociação deve ser conduzida por profissional treinado, capaz de manter postura neutra, evitar concessões prematuras e testar a credibilidade da ameaça.

Aspectos técnicos invisíveis à diretoria

Enquanto a negociação ocorre, a equipe técnica deve trabalhar paralelamente na erradicação do malware, análise forense e validação de integridade de backups. Muitas organizações concentram energia na conversa com o criminoso e negligenciam a contenção. Isso permite reinfecção após eventual descriptografia.

A ausência de segregação de rede, logs adequados e monitoramento contínuo dificulta comprovar extensão da exfiltração. Sem essa clareza, a empresa negocia no escuro. A anatomia completa exige sincronização entre comunicação externa e resposta técnica interna.

Passo a passo: Implementação profissional

Fase 1: Diagnóstico e mapeamento

A primeira fase consiste em estabelecer uma visão realista do incidente. Isso inclui identificação do vetor de entrada, escopo de sistemas afetados, análise de privilégios comprometidos e avaliação de dados exfiltrados. Sem essa radiografia, qualquer decisão será especulativa.

É essencial mapear dependências críticas do negócio. Quais sistemas impactam faturamento imediato? Quais contratos possuem cláusulas de SLA rígidas? Quais dados envolvem informações pessoais sensíveis sob a LGPD? Esse mapeamento orienta prioridade de recuperação e peso da negociação.

Nessa fase também se avalia cobertura de seguro cibernético, exigências de notificação e eventual necessidade de comunicação à ANPD e clientes. O diagnóstico deve ser documentado para suportar decisões futuras e eventual auditoria.

Fase 2: Planejamento e arquitetura

Com base no diagnóstico, define-se a estratégia. A organização precisa responder perguntas centrais: há possibilidade de recuperação sem pagamento? Qual é o custo diário de indisponibilidade? Qual é a probabilidade histórica de o grupo cumprir o acordo? O planejamento inclui cenários alternativos.

Arquitetar a negociação envolve definir quem falará com o atacante, qual narrativa será utilizada e qual teto financeiro existe. Também se define postura pública e plano de comunicação com stakeholders. Transparência controlada é fundamental para preservar reputação.

Paralelamente, estrutura-se plano técnico de restauração, incluindo isolamento definitivo do ambiente, fortalecimento de controles e preparação para eventual descriptografia segura, caso seja necessária.

Fase 3: Implementação e testes

A implementação ocorre em duas frentes. Na frente técnica, executa-se a contenção definitiva, restauração de backups e validação de integridade. Testes devem ser realizados em ambiente segregado antes de qualquer retorno à produção.

Na frente de negociação, estabelece-se contato estruturado, normalmente via portal fornecido pelo grupo. Solicita-se prova de descriptografia para arquivos específicos e testa-se a ferramenta em ambiente isolado. Nunca se executa software do atacante diretamente em produção.

Todas as interações devem ser registradas. Decisões financeiras precisam de aprovação formal da diretoria. Caso haja pagamento, ele deve seguir protocolos de compliance e rastreabilidade adequados.

Fase 4: Monitoramento contínuo

Encerrada a fase aguda, inicia-se o monitoramento pós-incidente. Isso inclui vigilância de fóruns clandestinos para identificar eventual vazamento posterior e acompanhamento de indicadores de comprometimento remanescentes.

Implementa-se programa robusto de hardening, revisão de acessos privilegiados e autenticação multifator. Auditorias independentes ajudam a validar que o ambiente está limpo. Muitas empresas sofrem reinfecção por negligenciar essa etapa.

O aprendizado deve ser incorporado ao plano de resposta a incidentes, com atualização de playbooks e realização de simulações executivas.

Erros críticos e como evitá-los

Um erro recorrente é iniciar negociação antes de conter o ataque. Isso transmite fragilidade e pode ampliar exigências financeiras. Outro erro comum é revelar informações financeiras ou limites orçamentários durante as primeiras interações.

Muitas empresas ignoram análise jurídica e deixam de notificar autoridades quando necessário, aumentando risco de multas. Há também o equívoco de confiar cegamente na promessa de exclusão de dados após pagamento, sem considerar histórico do grupo.

Outro erro grave é não testar backups regularmente. Descobrir que os backups estão corrompidos no meio da crise reduz drasticamente poder de barganha. A ausência de logs e monitoramento também compromete capacidade de avaliar extensão do dano.

Empresas frequentemente negligenciam comunicação interna, gerando vazamentos de informação e ruído no mercado. Falta de alinhamento entre TI, jurídico e diretoria cria decisões contraditórias. Evitar esses erros exige preparação prévia, simulações e apoio especializado.

Ferramentas e tecnologias essenciais

FerramentaFunçãoAnálise Estratégica
EDR avançadoDetecção e resposta a endpointsEssencial para identificar persistência e evitar reinfecção
SIEMCorrelação de logsPermite entender escopo real do incidente
Backup imutávelRecuperação seguraReduz dependência de pagamento
Threat IntelligencePerfil do grupoApoia estratégia de negociação
DLPMonitoramento de exfiltraçãoAjuda a avaliar risco de vazamento
Plataforma de gestão de criseCoordenação executivaGarante rastreabilidade de decisões
Cada ferramenta deve ser integrada a processos maduros. Tecnologia isolada não resolve ausência de governança.

Checklist completo de implementação

Prioridade alta inclui manter backups imutáveis testados regularmente, implementar autenticação multifator, revisar privilégios administrativos e manter inventário atualizado de ativos críticos. É indispensável possuir plano formal de resposta a incidentes aprovado pela diretoria.

Prioridade média envolve treinamento executivo em gestão de crise, contratação de seguro cibernético com cláusulas claras sobre negociação e implementação de monitoramento contínuo com SOC 24x7.

Prioridade contínua inclui simulações anuais de ransomware, revisão de contratos com fornecedores críticos, auditorias independentes e atualização constante de políticas de segurança.

Casos reais e estudos de caso

Um hospital brasileiro sofreu ataque que paralisou atendimentos por cinco dias. Sem backups testados, optou por pagar. A descriptografia funcionou parcialmente, mas dados já haviam sido vazados. O impacto reputacional superou o valor do resgate.

Uma indústria do setor automotivo, com backups imutáveis e plano estruturado, recusou pagamento e restaurou operações em 72 horas. A postura firme reduziu pressão e impediu vazamento relevante.

Uma empresa de tecnologia negociou redução de 60% no valor inicial após apresentar evidências de capacidade de restauração parcial. A estratégia baseada em inteligência foi determinante para reduzir prejuízo.

Como a Decripte Resolve Negociação com Ransomware: Serviços e Diferenciais

A Decripte atua com SOC 24x7, resposta a incidentes e inteligência de ameaças especializada no contexto brasileiro. Nossa abordagem integra análise técnica profunda, estratégia jurídica alinhada à LGPD e negociação estruturada baseada em dados.

O serviço de Resposta a Incidentes inclui contenção imediata, análise forense e suporte executivo. Em paralelo, nossa equipe de inteligência avalia histórico do grupo atacante e orienta postura estratégica.

Realizamos pentests contínuos para reduzir probabilidade de novos incidentes e apoiamos adequação à LGPD e frameworks internacionais. O Intelligence Center centraliza indicadores e fornece visão executiva clara.

Mini tutorial: primeiro, acesse o diagnóstico gratuito no Intelligence Center. Segundo, participe de reunião de alinhamento estratégico com nossos especialistas. Terceiro, ative o serviço adequado ao seu perfil de risco.

Comece Agora Gratuitamente — Acesse o Intelligence Center da Decripte e receba um diagnóstico de exposição da sua empresa em menos de 5 minutos. Sem custo, sem compromisso.

Perguntas frequentes (FAQ)

1. Vale a pena pagar o resgate?

A decisão depende de análise técnica, financeira e jurídica. Pagar pode acelerar restauração em alguns casos, mas não garante exclusão de dados nem ausência de vazamento futuro. É essencial avaliar backups, impacto regulatório e histórico do grupo antes de decidir.

2. Pagar é ilegal no Brasil?

Não há proibição geral, mas pode haver implicações se o pagamento envolver grupos sancionados internacionalmente. Avaliação jurídica é indispensável.

3. Quanto tempo dura uma negociação?

Pode variar de horas a semanas, dependendo da estratégia e do grupo envolvido.

4. Seguro cibernético cobre pagamento?

Depende da apólice e das cláusulas específicas.

5. Como saber se os dados foram realmente apagados?

Não há garantia absoluta; monitoramento contínuo é necessário.

6. É possível reduzir o valor do resgate?

Sim, negociações estruturadas frequentemente conseguem reduções significativas.

7. Quem deve conduzir a negociação?

Profissional experiente em resposta a incidentes e inteligência de ameaças.

8. A ANPD deve ser notificada?

Depende da existência de dados pessoais afetados e do risco aos titulares.

9. Como evitar novo ataque?

Fortalecendo controles, monitoramento e treinamento.

10. Backups eliminam necessidade de negociar?

Nem sempre, especialmente em casos de exfiltração.

11. Comunicação pública é obrigatória?

Depende do impacto e das exigências regulatórias.

12. Qual o primeiro passo após detectar ransomware?

Isolar sistemas afetados e acionar equipe especializada.

Comece agora — diagnóstico gratuito em 5 minutos

Se sua empresa não possui plano estruturado de negociação com ransomware, o momento de agir é agora. Acesse o Intelligence Center da Decripte e descubra seu nível real de exposição.

O diagnóstico é gratuito, rápido e fornece visão executiva clara. Em poucos minutos você entende vulnerabilidades críticas e prioridades de ação.

Conheça também nossos planos de segurança personalizados e fortaleça sua postura antes que o próximo ataque aconteça.

Análise Técnica Aprofundada: Vetores e Táticas MITRE ATT&CK

A maioria das campanhas modernas de ransomware segue padrões claros dentro do framework MITRE ATT&CK, especialmente nas fases de Initial Access, Execution, Persistence, Privilege Escalation e Impact. Entre os vetores mais recorrentes está o T1566 (Phishing), frequentemente combinado com T1204 (User Execution) para induzir a abertura de anexos maliciosos com macros ou arquivos ISO/IMG contendo loaders. Observa-se também crescimento no uso de T1189 (Drive-by Compromise) explorando vulnerabilidades em navegadores ou plugins desatualizados. Em ambientes corporativos, o phishing continua sendo o ponto de entrada dominante por sua baixa complexidade e alta escalabilidade operacional.

Outro vetor crítico é a exploração de serviços expostos à internet, especialmente via T1133 (External Remote Services), explorando RDP mal configurado, VPNs vulneráveis ou appliances sem MFA. Grupos como LockBit e BlackCat utilizam credenciais obtidas por brute force ou vazadas (T1078 - Valid Accounts) para acesso inicial silencioso. Em paralelo, vulnerabilidades conhecidas (T1190 - Exploit Public-Facing Application), como falhas em Fortinet, Citrix ou Exchange, são exploradas poucas horas após divulgação pública, evidenciando capacidade de weaponization rápida.

Na fase de movimentação lateral, destacam-se T1021 (Remote Services) com uso de SMB, PsExec e WMI, além de T1087 (Account Discovery) e T1069 (Permission Groups Discovery) para mapear privilégios. A técnica T1003 (Credential Dumping) via Mimikatz ou LSASS memory scraping continua predominante, frequentemente associada a T1558 (Steal or Forge Kerberos Tickets) para ataques Golden Ticket. Essa combinação permite domínio total do Active Directory antes da criptografia final.

Para evasão de defesa, agentes de ransomware utilizam T1562 (Impair Defenses) desativando EDRs, alterando GPOs e excluindo shadow copies via T1490 (Inhibit System Recovery). É comum observar scripts PowerShell ofuscados (T1059.001) executando comandos para remover backups locais e parar serviços críticos. Técnicas de living-off-the-land (LOLBins), como uso de rundll32, certutil e wmic, reduzem detecção baseada em assinatura.

Na fase de impacto, o padrão dominante é T1486 (Data Encrypted for Impact) combinado com T1567 (Exfiltration to Cloud Storage). A dupla extorsão se consolidou como norma operacional: dados são exfiltrados antes da criptografia usando Rclone, MEGA ou S3 anônimo. O tempo médio entre acesso inicial e detonação caiu para menos de 5 dias em ataques automatizados, exigindo capacidade de detecção comportamental quase em tempo real.

Indicadores de Comprometimento e Detecção

Indicadores de comprometimento (IOCs) eficazes em campanhas de ransomware incluem criação de novos serviços suspeitos, execução anômala de vssadmin delete shadows, picos incomuns de tráfego SMB interno e autenticações Kerberos fora de padrão horário. Hashes de arquivos mudam rapidamente devido a polimorfismo, portanto a priorização deve ser por IOCs comportamentais em vez de apenas assinaturas estáticas.

Regras em SIEM devem correlacionar múltiplos eventos: falhas repetidas de login seguidas de sucesso (possível brute force), criação de contas administrativas fora de change window, e execução de ferramentas administrativas em hosts não autorizados. Um exemplo prático é correlacionar Event ID 4625 + 4624 + 4672 em sequência temporal curta. Alertas isolados geram ruído; correlação contextual reduz falsos positivos.

No âmbito de YARA, recomenda-se criar regras baseadas em strings relacionadas a ransom notes, extensões específicas adicionadas a arquivos criptografados e padrões de mutex frequentemente utilizados por famílias conhecidas. Contudo, a detecção deve integrar análise heurística, identificando comportamentos como múltiplas operações de escrita criptográfica em alta velocidade em diretórios compartilhados.

Ferramentas EDR devem monitorar acesso à memória LSASS, execução de procdump, alterações em chaves de registro de Run/RunOnce e modificações em políticas de backup. A telemetria de DNS também é essencial: consultas a domínios recém-criados (DGA) ou comunicação com VPSs suspeitos podem indicar C2 ativo antes da fase destrutiva.

Roadmap de Implementação em 12 Meses

Fase 1: Diagnóstico (Meses 1-3)

Nesta fase, o foco é visibilidade total. Realiza-se assessment técnico completo incluindo varredura de vulnerabilidades, análise de exposição externa e revisão de políticas de backup. Um mapeamento ATT&CK deve identificar lacunas de detecção em cada etapa do kill chain.

É essencial conduzir um teste de intrusão controlado simulando ransomware para medir tempo de detecção (MTTD) e tempo de resposta (MTTR). Métrica de sucesso: 100% dos ativos críticos inventariados e classificação de risco formalizada.

Ao final do trimestre, a organização deve possuir baseline de segurança documentado, plano de remediação priorizado e relatório executivo com riscos quantificados financeiramente.

Fase 2: Fundação (Meses 4-6)

Implementação de MFA em todos os acessos remotos e privilegiados é mandatória. Segmentação de rede deve separar ambientes críticos e backups imutáveis. Implantação ou otimização de EDR com cobertura mínima de 95% dos endpoints corporativos é métrica central.

Backups devem ser testados mensalmente com restauração real. A métrica de sucesso inclui RPO inferior a 24h e RTO validado em simulação prática. Contas administrativas devem ser revisadas e reduzidas em pelo menos 30%.

Treinamento de conscientização focado em phishing deve reduzir taxa de clique em campanhas simuladas para abaixo de 5%.

Fase 3: Operação (Meses 7-9)

Nesta etapa, a organização deve operar monitoramento 24/7 via SOC interno ou MSSP. Playbooks automatizados (SOAR) devem responder a eventos como detecção de credential dumping em menos de 15 minutos.

Realizam-se exercícios de tabletop com liderança executiva simulando negociação e decisão estratégica. Métrica de sucesso: tempo de contenção inferior a 2 horas em simulação realista.

Auditorias internas trimestrais devem validar aderência a políticas, e indicadores como número de vulnerabilidades críticas abertas por mais de 30 dias devem cair abaixo de 2% do total identificado.

Fase 4: Otimização (Meses 10-12)

Implementação de threat hunting proativo baseado em hipóteses ATT&CK. Busca ativa por técnicas como Kerberoasting ou uso anômalo de PowerShell deve ocorrer mensalmente.

Integração de inteligência de ameaças externa ao SIEM deve permitir bloqueio preventivo de IOCs emergentes. Métrica de sucesso: redução de 40% no tempo médio de detecção comparado ao início do programa.

Ao final do ciclo anual, recomenda-se red team independente para validar maturidade. O objetivo é alcançar nível de resiliência onde interrupção operacional crítica não ultrapasse 24 horas mesmo em cenário adverso.

Perguntas Aprofundadas de Executivos Seniores

1. Devemos pagar o resgate se o impacto financeiro da paralisação superar o valor exigido?

A decisão de pagar um resgate não deve ser tratada apenas como equação financeira imediata. Embora o custo da inatividade possa parecer superior ao valor exigido, existem variáveis críticas: garantia inexistente de descriptografia funcional, risco de nova extorsão, implicações legais e danos reputacionais. Estatísticas indicam que uma parcela significativa das organizações que pagam sofre novo ataque em até 12 meses, pois são rotuladas como “pagadoras”. Além disso, há risco regulatório caso o pagamento envolva entidades sancionadas internacionalmente. A análise deve incluir impacto em compliance, confiança de clientes e precedentes estratégicos. Organizações maduras avaliam também a mensagem cultural transmitida internamente e ao mercado. A melhor abordagem é decidir previamente, dentro de política formal aprovada pelo conselho, evitando decisões emocionais sob pressão. O pagamento pode parecer solução tática, mas pode comprometer a postura estratégica de longo prazo.

2. Qual é o nível adequado de investimento em cibersegurança para mitigar ransomware?

Não existe percentual universal, mas benchmarks globais indicam investimentos entre 7% e 12% do orçamento de TI para empresas maduras digitalmente. Contudo, mais importante que o volume é a alocação inteligente: priorizar controles que interrompem a cadeia de ataque nas fases iniciais gera ROI superior. Investimentos em MFA, backup imutável e EDR produzem impacto desproporcionalmente positivo. Executivos devem analisar risco financeiro potencial versus custo de mitigação, utilizando modelos quantitativos como FAIR. Um programa eficaz equilibra tecnologia, processos e pessoas. Gastar excessivamente em ferramentas redundantes sem governança reduz eficiência. A maturidade deve evoluir progressivamente, com métricas claras de redução de risco residual ano a ano.

3. Como equilibrar transparência pública e proteção reputacional após um ataque?

A transparência estratégica fortalece confiança de longo prazo, mas deve ser coordenada juridicamente. Comunicação precipitada pode gerar exposição legal ou pânico desnecessário. A organização deve possuir plano de crise prevendo porta-vozes, mensagens-chave e alinhamento com autoridades regulatórias. Estudos mostram que empresas que comunicam rapidamente, assumindo controle narrativo, tendem a recuperar valor de mercado mais rapidamente do que aquelas que ocultam incidentes. Contudo, detalhes técnicos sensíveis não devem ser divulgados antes da contenção total. O equilíbrio ideal envolve comunicação factual, compromisso público com melhorias e suporte claro a clientes afetados. A narrativa deve demonstrar responsabilidade e ação concreta.

4. O seguro cibernético realmente reduz nosso risco estratégico?

O seguro cibernético é instrumento de mitigação financeira, não de segurança operacional. Ele pode cobrir custos de resposta, forense, assessoria jurídica e, em alguns casos, pagamento de resgate. Entretanto, seguradoras exigem controles mínimos, e falhas em compliance podem invalidar cobertura. Além disso, dependência excessiva do seguro pode criar complacência interna. O benefício estratégico está em transferir parte do risco financeiro, não em substituir controles preventivos. Empresas devem revisar cláusulas cuidadosamente, incluindo exclusões relacionadas a atos de guerra cibernética ou sanções internacionais. O seguro deve ser visto como componente complementar dentro de uma estratégia robusta de resiliência.

5. Qual deve ser o papel direto do conselho de administração na preparação contra ransomware?

O conselho deve atuar como órgão de supervisão estratégica, garantindo que riscos cibernéticos estejam integrados ao gerenciamento corporativo de riscos. Isso inclui aprovar orçamento adequado, revisar relatórios periódicos de maturidade e participar de exercícios simulados de crise. Conselheiros não precisam dominar aspectos técnicos, mas devem compreender impacto financeiro, regulatório e reputacional. A definição prévia de apetite ao risco é fundamental para decisões rápidas durante incidentes reais. Além disso, o conselho deve assegurar que métricas claras sejam acompanhadas — como MTTD, MTTR e status de backups testados. Organizações onde o conselho participa ativamente tendem a responder de forma mais coordenada e menos reativa a ataques complexos.