Em um cenário de digitalização crescente e ameaças cada vez mais sofisticadas, a segurança cibernética se consolidou como um dos principais desafios corporativos do país. É o que revela a pesquisa “Riscos Cibernéticos — A percepção das lideranças brasileiras e práticas adotadas”, realizada pela Grant Thornton Brasil e Opice Blum Advogados, especializado em direito digital.
O levantamento, com 248 empresas brasileiras de diversos portes e setores, mostra que 79% dos executivos acreditam que suas empresas estão mais expostas a ataques cibernéticos do que em anos anteriores. Além disso, 66,5% apontam a cibersegurança entre os cinco maiores riscos corporativos, reforçando a urgência do tema.
“As empresas reconhecem o risco, mas muitas ainda não conseguem transformar essa percepção em planos estruturados de proteção. É um gap perigoso entre a consciência e a ação”, afirma Everson Probst, sócio de cibersegurança da Grant Thornton. “A maturidade digital precisa andar lado a lado com a maturidade em segurança cibernética.”
As principais vulnerabilidades identificadas no estudo incluem:
- Phishing (69%) e ransomware (67%) lideram o ranking de ameaças mais temidas.
Apenas 25% das empresas possuem seguro cibernético; - 67% possuem plano de resposta a incidentes, o que ainda deixa 1 em cada 4 empresas desprotegidas;
- 40% das empresas já sofreram algum incidente cibernético, mas 58% não notificaram autoridades como a ANPD ou o BACEN;
- Só 21% consideram seus treinamentos altamente eficazes, apesar de 83% afirmarem ter ações de capacitação;
- 85% das empresas que realizam mapeamento e controle de riscos cibernéticos apresentam a alta direção ativamente envolvida.
O papel da liderança e da cultura organizacional
O estudo revela uma nítida correlação entre o engajamento da alta gestão e a adoção de práticas mais robustas de segurança digital. Empresas com liderança ativamente envolvida são aquelas que mapeiam riscos, treinam equipes com regularidade e reagem com mais agilidade a incidentes.
“O distanciamento da liderança das pautas de segurança e privacidade não se revela apenas em falhas técnicas ou incidentes. Ele aparece no desconhecimento dos riscos, na demora em responder a crises e na baixa prioridade que o tema ocupa nas agendas estratégicas”, explica Tiago Neves Furtado, sócio do Opice Blum Advogados.
“A segurança cibernética não pode ser tratada como um problema técnico. Ela precisa ser parte da estratégia de negócios, com envolvimento direto da liderança”, afirma Everson Probst. “O primeiro passo é a governança: definir papéis, responsabilidades e dar visibilidade ao tema no board.”
Com base nos dados da pesquisa, Everson Probst destaca cinco frentes essenciais para fortalecer a segurança cibernética nas empresas:
- Mapeamento contínuo de riscos: “Conhecer seus próprios pontos vulneráveis é o início de qualquer estratégia de proteção. Empresas que fazem análises periódicas e preventivas tendem a reagir melhor a incidentes.”
- Estruturação de planos de resposta a incidentes testados e atualizados: “Ter um plano guardado na gaveta não basta. É preciso revisar, simular e treinar rotinas de resposta, como fazemos com planos de evacuação ou contingência física.”
- Adoção de frameworks reconhecidos:“Ferramentas como a ISO 27001 e o NIST CSF 2.0 oferecem bases sólidas para implantar políticas e controles eficazes de segurança da informação.”
- Capacitação contínua e segmentada de colaboradores: “Pessoas continuam sendo o elo mais frágil. Campanhas de phishing simuladas, treinamentos modulares e ações gamificadas são formas mais eficazes de educar a equipe.”
- Seguro cibernético como última camada de proteção: “O seguro não substitui a prevenção, mas é parte essencial da gestão de riscos. Com o aumento das ameaças, empresas precisam incluir essa proteção em seu planejamento financeiro.”
Falta de notificação e riscos regulatórios
A pesquisa também mostra que, mesmo após sofrerem incidentes, 58% das empresas não notificaram autoridades reguladoras — um número preocupante diante da obrigatoriedade de comunicação à ANPD em até 03 dias úteis em caso de risco ou dano relevante, conforme a Resolução CD/ANPD 15/2024.
“Não notificar pode parecer uma forma de evitar exposição, mas o custo regulatório e reputacional pode ser ainda maior. As empresas precisam entender que transparência é também um pilar da segurança”, reforça Probst.
“Ainda prevalece entre muitas organizações a ideia de que o silêncio oferece menos risco do que a transparência. Há desconfiança sobre como a ANPD reagirá, se aplicará sanções, medo de judicializações e receio da reação dos titulares — quando, na verdade, o caminho da conformidade e da comunicação responsável deveria ser visto como um investimento em credibilidade e resiliência”, conclui Tiago.
METODOLOGIA DA PESQUISA
A pesquisa “Riscos Cibernéticos — A percepção das lideranças brasileiras e práticas adotadas” foi conduzida entre março e dezembro de 2024 com 248 empresas nacionais de diferentes portes e setores, para mapear a maturidade em segurança cibernética e as práticas adotadas no país.
SOBRE A GRANT THORNTON
A Grant Thornton é uma das maiores empresas globais de auditoria, consultoria e tributos. Está presente em mais de 156 países e conta com mais de 76 mil colaboradores. No Brasil, está posicionada nos 16 principais centros de negócios do país, contando com mais de 1.800 pessoas, atendendo empresas nas mais variadas etapas de crescimento, desde startups a companhias abertas. Com uma forma de trabalho customizada, auxilia empresas dinâmicas a atingirem seus potenciais de crescimento de forma sustentável, gerando a melhor proposta de valor para o negócio por meio de recomendações significativas, voltadas para o futuro.
SOBRE O OPICE BLUM
Opice Blum Advogados é sinônimo de inovação digital. Desde 1997, o escritório é parceiro de seus clientes, redefinindo os limites do possível e trazendo novas estratégias para novas necessidades. Com um time de advogados especialistas, o escritório está onde a transformação acontece e se destaca pela excelência em áreas capazes de impactar positivamente os setores em que atua, como Proteção de Dados, Segurança da Informação, Contencioso Digital e Legal Innovation, entre outras.
Foto ilustrativa