79% dos executivos acreditam que suas empresas estão mais expostas a ataques cibernéticos do que em anos anteriores. 66,5% apontam a cibersegurança entre os cinco maiores riscos corporativos, reforçando a urgência do tema.

Com a participação de 248 empresas brasileiras de diversos portes e setores, a pesquisa “Riscos Cibernéticos — A percepção das lideranças brasileiras e práticas adotadas” aponta para a segurança cibernética como um dos principais problemas corporativos da atualidade.

“As empresas reconhecem o risco, mas muitas ainda não conseguem transformar essa percepção em planos estruturados de proteção. É um gap perigoso entre a consciência e a ação”, afirma Everson Probst, sócio de cibersegurança da Grant Thornton, empresa que realizou a pesquisa em parceria com o Opice Blum Advogados, escritório especializado em direito digital. 

As principais vulnerabilidades identificadas no estudo incluem:

• Phishing (69%) e ransomware (67%) lideram o ranking de ameaças mais temidas. Apenas 25% das empresas possuem seguro cibernético;
• 67% possuem plano de resposta a incidentes, o que ainda deixa 1 em cada 4 empresas desprotegidas;
• 40% das empresas já sofreram algum incidente cibernético, mas 58% não notificaram autoridades como a ANPD ou o BACEN;
• Só 21% consideram seus treinamentos altamente eficazes, apesar de 83% afirmarem ter ações de capacitação;
• 85% das empresas que realizam mapeamento e controle de riscos cibernéticos apresentam a alta direção ativamente envolvida. 

O papel da liderança e da cultura organizacional

O estudo aponta para correlação entre o engajamento da alta gestão e a adoção de práticas mais robustas de segurança digital. Empresas com liderança ativamente envolvida são aquelas que mapeiam riscos, treinam equipes com regularidade e reagem com mais agilidade a incidentes. 

“O distanciamento da liderança das pautas de segurança e privacidade não se revela apenas em falhas técnicas ou incidentes. Ele aparece no desconhecimento dos riscos, na demora em responder a crises e na baixa prioridade que o tema ocupa nas agendas estratégicas”, explica Tiago Neves Furtado, sócio do Opice Blum Advogados.

Com base nos dados da pesquisa, Everson Probst destaca cinco frentes essenciais para fortalecer a segurança cibernética nas empresas:

1. Mapeamento contínuo de riscos: “Conhecer seus próprios pontos vulneráveis é o início de qualquer estratégia de proteção. Empresas que fazem análises periódicas e preventivas tendem a reagir melhor a incidentes.”
2. Estruturação de planos de resposta a incidentes testados e atualizados: “Ter um plano guardado na gaveta não basta. É preciso revisar, simular e treinar rotinas de resposta, como fazemos com planos de evacuação ou contingência física.”
3. Adoção de frameworks reconhecidos: “Ferramentas como a ISO 27001 e o NIST CSF 2.0 oferecem bases sólidas para implantar políticas e controles eficazes de segurança da informação.”
4. Capacitação contínua e segmentada de colaboradores: “Pessoas continuam sendo o elo mais frágil. Campanhas de phishing simuladas, treinamentos modulares e ações gamificadas são formas mais eficazes de educar a equipe.”
5. Seguro cibernético como última camada de proteção: “O seguro não substitui a prevenção, mas é parte essencial da gestão de riscos. Com o aumento das ameaças, empresas precisam incluir essa proteção em seu planejamento financeiro.”

Falta de notificação e riscos regulatórios

A pesquisa também mostra que, mesmo após sofrerem incidentes, 58% das empresas não notificaram autoridades reguladoras — um número preocupante diante da obrigatoriedade de comunicação à ANPD em até 03 dias úteis em caso de risco ou dano relevante, conforme a Resolução CD/ANPD 15/2024.

“Não notificar pode parecer uma forma de evitar exposição, mas o custo regulatório e reputacional pode ser ainda maior. As empresas precisam entender que transparência é também um pilar da segurança”, reforça Probst.

“Ainda prevalece entre muitas organizações a ideia de que o silêncio oferece menos risco do que a transparência. Há desconfiança sobre como a ANPD reagirá, se aplicará sanções, medo de judicializações e receio da reação dos titulares — quando, na verdade, o caminho da conformidade e da comunicação responsável deveria ser visto como um investimento em credibilidade e resiliência”, conclui Tiago. 

Siga a Bússola nas redes: Instagram | Linkedin | Twitter | Facebook | Youtube