Em um cenário de digitalização crescente e ameaças cada vez mais sofisticadas, a segurança cibernética se consolidou como um dos principais desafios corporativos do país. É o que revela a pesquisa Riscos Cibernéticos — A percepção das lideranças brasileiras e práticas adotadas, realizada pela Grant Thornton Brasil e Opice Blum Advogados, especializado em direito digital.
O levantamento, feito com 248 empresas brasileiras de diversos portes e setores, mostra que 79% dos executivos acreditam que suas empresas estão mais expostas a ataques cibernéticos do que em anos anteriores. Além disso, 66,5% apontam a cibersegurança entre os cinco maiores riscos corporativos, reforçando a urgência do tema.
“As empresas reconhecem o risco, mas muitas ainda não conseguem transformar essa percepção em planos estruturados de proteção. É um gap perigoso entre a consciência e a ação”, afirma Everson Probst, sócio de cibersegurança da Grant Thornton. “A maturidade digital precisa andar lado a lado com a maturidade em segurança cibernética”, reforça.
As principais vulnerabilidades identificadas no estudo incluem:
- Ataques de phishing e ransomware estão entre as ameaças mais temidas, citadas por 69% e 67% dos respondentes, respectivamente;
- Menos de um terço das empresas (25%) possuem seguro cibernético;
- Embora 67% possuam plano de resposta a incidentes, ainda há uma em cada quatro empresas sem proteção adequada;
- Apesar de 83% promoverem ações de capacitação, apenas 21% consideram seus treinamentos altamente eficazes;
- A alta direção está ativamente envolvida em 85% das empresas que realizam mapeamento e controle de riscos cibernéticos.
O papel da liderança e da cultura organizacional
O estudo revela uma nítida correlação entre o engajamento da alta gestão e a adoção de práticas mais robustas de segurança digital. Empresas com liderança ativamente envolvida são aquelas que mapeiam riscos, treinam equipes com regularidade e reagem com mais agilidade a incidentes.
“O distanciamento da liderança das pautas de segurança e privacidade não se revela apenas em falhas técnicas ou incidentes. Ele aparece no desconhecimento dos riscos, na demora em responder a crises e na baixa prioridade que o tema ocupa nas agendas estratégicas”, explica Tiago Neves Furtado, sócio do Opice Blum Advogados.
“A segurança cibernética não pode ser tratada como um problema técnico. Ela precisa ser parte da estratégia de negócios, com envolvimento direto da liderança”, afirma Everson Probst. “O primeiro passo é a governança: definir papéis, responsabilidades e dar visibilidade ao tema no board”, completa.
Com base nos dados da pesquisa, Everson Probst destaca cinco frentes importantes para fortalecer a segurança cibernética nas empresas:
- Mapeamento contínuo de riscos: “Conhecer seus próprios pontos vulneráveis é o início de qualquer estratégia de proteção. Empresas que fazem análises periódicas e preventivas tendem a reagir melhor a incidentes”.
- Estruturação de planos de resposta a incidentes testados e atualizados: “Ter um plano guardado na gaveta não basta. É preciso revisar, simular e treinar rotinas de resposta, como fazemos com planos de evacuação ou contingência física”.
- Adoção de frameworks reconhecidos: “Ferramentas como a ISO 27001 e o NIST CSF 2.0 oferecem bases sólidas para implantar políticas e controles eficazes de segurança da informação”.
- Capacitação contínua e segmentada de colaboradores: “Pessoas continuam sendo o elo mais frágil. Campanhas de phishing simuladas, treinamentos modulares e ações gamificadas são formas mais eficazes de educar a equipe”.
- Seguro cibernético como última camada de proteção: “O seguro não substitui a prevenção, mas é parte essencial da gestão de riscos. Com o aumento das ameaças, empresas precisam incluir essa proteção em seu planejamento financeiro”.
Falta de notificação e riscos regulatórios
A pesquisa também mostra que, mesmo após sofrerem incidentes, 58% das empresas não notificaram autoridades reguladoras — um número preocupante diante da obrigatoriedade de comunicação à Autoridade Nacional de Proteção de Dados (ANPD) em até três dias úteis em caso de risco ou dano relevante, conforme a Resolução CD/ANPD 15/2024.
“Não notificar pode parecer uma forma de evitar exposição, mas o custo regulatório e reputacional pode ser ainda maior. As empresas precisam entender que transparência é também um pilar da segurança”, reforça Probst.
“Ainda prevalece entre muitas organizações a ideia de que o silêncio oferece menos risco do que a transparência. Há desconfiança sobre como a ANPD reagirá, se aplicará sanções, medo de judicializações e receio da reação dos titulares — quando, na verdade, o caminho da conformidade e da comunicação responsável deveria ser visto como um investimento em credibilidade e resiliência”, conclui Tiago.
Metodologia da pesquisa
A pesquisa “Riscos Cibernéticos — A percepção das lideranças brasileiras e práticas adotadas” foi conduzida entre março e dezembro de 2024 com 248 empresas nacionais de diferentes portes e setores, para mapear a maturidade em segurança cibernética e as práticas adotadas no país.
