Empresas brasileiras temem ciberataques, mas investem pouco em segurança

Segurança – Em meio à digitalização acelerada e ao aumento das ameaças virtuais, a segurança cibernética desponta como um dos principais desafios para as empresas no Brasil. É o que mostra a pesquisa “Riscos Cibernéticos — A percepção das lideranças brasileiras e práticas adotadas”, realizada pela Grant Thornton Brasil, em parceria com um escritório de advocacia.

O estudo ouviu 248 empresas de diferentes portes e setores e revelou que 79% dos executivos acreditam que suas companhias estão mais expostas a ataques cibernéticos do que em anos anteriores. Para 66,5% dos entrevistados, a cibersegurança figura entre os cinco principais riscos corporativos atualmente.

LEIA: Pix automático pode beneficiar 60 milhões de brasileiros sem cartão crédito

“As empresas reconhecem o risco, mas muitas ainda não conseguem transformar essa percepção em planos estruturados de proteção. É um gap perigoso entre a consciência e a ação”, afirma Everson Probst, sócio de cibersegurança da Grant Thornton. “A maturidade digital precisa andar lado a lado com a maturidade em segurança cibernética”, alerta.

Entre as ameaças mais temidas, o phishing lidera com 69% das menções, seguido pelo ransomware, com 67%. Ao mesmo tempo, apenas 25% das empresas possuem seguro cibernético. Embora 67% declarem ter planos de resposta a incidentes, uma em cada quatro empresas segue desprotegida. Além disso, 40% já sofreram algum incidente cibernético, mas 58% não notificaram autoridades como a ANPD (Autoridade Nacional de Proteção de Dados) ou o Banco Central.

A pesquisa também indica que 83% das empresas realizem treinamentos, mas apenas 21% consideram essas ações altamente eficazes. Já entre as que realizam mapeamento e controle de riscos, 85% têm a alta direção diretamente envolvida.

Importância do engajamento da liderança

O engajamento da liderança aparece como fator decisivo para a robustez das práticas de cibersegurança. Empresas com gestores atuantes são mais propensas a mapear riscos, capacitar suas equipes de forma recorrente e reagir com agilidade a incidentes.

“O distanciamento da liderança das pautas de segurança e privacidade não se revela apenas em falhas técnicas ou incidentes. Ele aparece no desconhecimento dos riscos, na demora em responder a crises e na baixa prioridade que o tema ocupa nas agendas estratégicas”, explica Tiago Neves Furtado, sócio do Opice Blum Advogados.

“A segurança cibernética não pode ser tratada como um problema técnico. Ela precisa ser parte da estratégia de negócios, com envolvimento direto da liderança”, reforça Probst. “O primeiro passo é a governança: definir papéis, responsabilidades e dar visibilidade ao tema no board.”

Com base no estudo, Probst aponta cinco frentes fundamentais para fortalecer a segurança cibernética:

1. Mapeamento contínuo de riscos: “Conhecer seus próprios pontos vulneráveis é o início de qualquer estratégia de proteção. Empresas que fazem análises periódicas e preventivas tendem a reagir melhor a incidentes.”
2. Estruturação de planos de resposta a incidentes testados e atualizados: “Ter um plano guardado na gaveta não basta. É preciso revisar, simular e treinar rotinas de resposta, como fazemos com planos de evacuação ou contingência física.”
3. Adoção de frameworks reconhecidos: “Ferramentas como a ISO 27001 e o NIST CSF 2.0 oferecem bases sólidas para implantar políticas e controles eficazes de segurança da informação.”
4. Capacitação contínua e segmentada de colaboradores: “Pessoas continuam sendo o elo mais frágil. Campanhas de phishing simuladas, treinamentos modulares e ações gamificadas são formas mais eficazes de educar a equipe.”
5. Seguro cibernético como última camada de proteção: “O seguro não substitui a prevenção, mas é parte essencial da gestão de riscos. Com o aumento das ameaças, empresas precisam incluir essa proteção em seu planejamento financeiro.”

Notificação de incidentes ainda é falha

O levantamento revela também que a maioria das empresas que sofreu incidentes cibernéticos não notificou as autoridades, mesmo com a obrigatoriedade legal. A Resolução CD/ANPD 15/2024 determina a comunicação à ANPD em até três dias úteis, caso haja risco ou dano relevante.

“Não notificar pode parecer uma forma de evitar exposição, mas o custo regulatório e reputacional pode ser ainda maior. As empresas precisam entender que transparência é também um pilar da segurança”, afirma Probst.

“Ainda prevalece entre muitas organizações a ideia de que o silêncio oferece menos risco do que a transparência. Há desconfiança sobre como a ANPD reagirá, se aplicará sanções, medo de judicializações e receio da reação dos titulares — quando, na verdade, o caminho da conformidade e da comunicação responsável deveria ser visto como um investimento em credibilidade e resiliência”, conclui Furtado.

A pesquisa foi realizada entre março e dezembro de 2024 com o objetivo de mapear o grau de maturidade em segurança cibernética e as práticas adotadas pelas empresas brasileiras.

(Com informações TI Inside)
(Foto: Reprodução/Freepik)