79% dos executivos acreditam que suas empresas estão mais expostas a ataques cibernéticos do que em anos anteriores. 66,5% apontam a cibersegurança entre os cinco maiores riscos corporativos, reforçando a urgência do tema.
Com a participação de 248 empresas brasileiras de diversos portes e setores, a pesquisa “Riscos Cibernéticos — A percepção das lideranças brasileiras e práticas adotadas” aponta para a segurança cibernética como um dos principais problemas corporativos da atualidade.
“As empresas reconhecem o risco, mas muitas ainda não conseguem transformar essa percepção em planos estruturados de proteção. É um gap perigoso entre a consciência e a ação”, afirma Everson Probst, sócio de cibersegurança da Grant Thornton, empresa que realizou a pesquisa em parceria com o Opice Blum Advogados, escritório especializado em direito digital.
As principais vulnerabilidades identificadas no estudo incluem:
- Phishing (69%) e ransomware (67%) lideram o ranking de ameaças mais temidas. Apenas 25% das empresas possuem seguro cibernético;
- 67% possuem plano de resposta a incidentes, o que ainda deixa 1 em cada 4 empresas desprotegidas;
- 40% das empresas já sofreram algum incidente cibernético, mas 58% não notificaram autoridades como a ANPD ou o BACEN;
- Só 21% consideram seus treinamentos altamente eficazes, apesar de 83% afirmarem ter ações de capacitação;
- 85% das empresas que realizam mapeamento e controle de riscos cibernéticos apresentam a alta direção ativamente envolvida.
O papel da liderança e da cultura organizacional
O estudo aponta para correlação entre o engajamento da alta gestão e a adoção de práticas mais robustas de segurança digital. Empresas com liderança ativamente envolvida são aquelas que mapeiam riscos, treinam equipes com regularidade e reagem com mais agilidade a incidentes.
“O distanciamento da liderança das pautas de segurança e privacidade não se revela apenas em falhas técnicas ou incidentes. Ele aparece no desconhecimento dos riscos, na demora em responder a crises e na baixa prioridade que o tema ocupa nas agendas estratégicas”, explica Tiago Neves Furtado, sócio do Opice Blum Advogados.
Com base nos dados da pesquisa, Everson Probst destaca cinco frentes essenciais para fortalecer a segurança cibernética nas empresas:
- Mapeamento contínuo de riscos: “Conhecer seus próprios pontos vulneráveis é o início de qualquer estratégia de proteção. Empresas que fazem análises periódicas e preventivas tendem a reagir melhor a incidentes.”
- Estruturação de planos de resposta a incidentes testados e atualizados: “Ter um plano guardado na gaveta não basta. É preciso revisar, simular e treinar rotinas de resposta, como fazemos com planos de evacuação ou contingência física.”
- Adoção de frameworks reconhecidos: “Ferramentas como a ISO 27001 e o NIST CSF 2.0 oferecem bases sólidas para implantar políticas e controles eficazes de segurança da informação.”
Capacitação contínua e segmentada de colaboradores: “Pessoas continuam sendo o elo mais frágil. Campanhas de phishing simuladas, treinamentos modulares e ações gamificadas são formas mais eficazes de educar a equipe.”
Seguro cibernético como última camada de proteção: “O seguro não substitui a prevenção, mas é parte essencial da gestão de riscos. Com o aumento das ameaças, empresas precisam incluir essa proteção em seu planejamento financeiro.”
Falta de notificação e riscos regulatórios
A pesquisa também mostra que, mesmo após sofrerem incidentes, 58% das empresas não notificaram autoridades reguladoras — um número preocupante diante da obrigatoriedade de comunicação à ANPD em até 03 dias úteis em caso de risco ou dano relevante, conforme a Resolução CD/ANPD 15/2024.
“Não notificar pode parecer uma forma de evitar exposição, mas o custo regulatório e reputacional pode ser ainda maior. As empresas precisam entender que transparência é também um pilar da segurança”, reforça Probst.
“Ainda prevalece entre muitas organizações a ideia de que o silêncio oferece menos risco do que a transparência. Há desconfiança sobre como a ANPD reagirá, se aplicará sanções, medo de judicializações e receio da reação dos titulares — quando, na verdade, o caminho da conformidade e da comunicação responsável deveria ser visto como um investimento em credibilidade e resiliência”, conclui Tiago.
voltar
