Um novo estudo sobre segurança cibernética corporativa no Brasil revela um dado alarmante: 79% das empresas acreditam estar mais expostas a ataques cibernéticos hoje do que nos anos anteriores. A constatação é da pesquisa “Riscos Cibernéticos — A percepção das lideranças brasileiras e práticas adotadas”, conduzida pela Grant Thornton Brasil em parceria com o Opice Blum Advogados, referência em direito digital.
O levantamento, realizado com 248 empresas de diferentes portes e setores, mostra que 66,5% dos executivos já reconhecem a cibersegurança como um dos cinco maiores riscos corporativos. Mesmo assim, a maioria ainda enfrenta desafios estruturais e culturais para transformar essa consciência em ações concretas.
“As empresas reconhecem o risco, mas muitas ainda não conseguem transformar essa percepção em planos estruturados de proteção. É um gap perigoso entre a consciência e a ação”, afirma Everson Probst, sócio de cibersegurança da Grant Thornton. “A maturidade digital precisa andar lado a lado com a maturidade em segurança cibernética.”
Principais fragilidades reveladas
O estudo identificou uma série de vulnerabilidades que colocam os negócios em risco em um ambiente digital cada vez mais complexo:
- Phishing (69%) e ransomware (67%) são as ameaças mais temidas;
- Apenas 25% das empresas possuem seguro cibernético;
- 67% têm plano de resposta a incidentes, mas 1 em cada 4 ainda está desprotegida;
- 40% já sofreram incidentes, mas 58% não notificaram autoridades como a ANPD ou o BACEN;
- 83% realizam treinamentos, mas só 21% os consideram eficazes;
- Entre as empresas que mapeiam riscos, 85% contam com a alta direção envolvida.
O papel essencial da liderança
O estudo reforça que o envolvimento da alta liderança faz diferença direta na eficácia das estratégias de cibersegurança. Empresas com diretores e conselhos atentos à pauta demonstram maior maturidade digital e capacidade de resposta a crises.
“O distanciamento da liderança das pautas de segurança e privacidade não se revela apenas em falhas técnicas ou incidentes. Ele aparece no desconhecimento dos riscos, na demora em responder a crises e na baixa prioridade que o tema ocupa nas agendas estratégicas”, explica Tiago Neves Furtado, sócio do Opice Blum Advogados.
“A segurança cibernética não pode ser tratada como um problema técnico. Ela precisa ser parte da estratégia de negócios, com envolvimento direto da liderança”, afirma Everson Probst. “O primeiro passo é a governança: definir papéis, responsabilidades e dar visibilidade ao tema no board.”
Cinco pilares para fortalecer a cibersegurança empresarial
Com base nos dados levantados, Everson Probst destaca cinco frentes prioritárias para o fortalecimento da gestão de riscos cibernéticos nas organizações:
Mapeamento contínuo de riscos
“Conhecer seus próprios pontos vulneráveis é o início de qualquer estratégia de proteção. Empresas que fazem análises periódicas e preventivas tendem a reagir melhor a incidentes.”
Planos de resposta a incidentes testados e atualizados
“Ter um plano guardado na gaveta não basta. É preciso revisar, simular e treinar rotinas de resposta, como fazemos com planos de evacuação ou contingência física.”
Adoção de frameworks reconhecidos
“Ferramentas como a ISO 27001 e o NIST CSF 2.0 oferecem bases sólidas para implantar políticas e controles eficazes de segurança da informação.”
Capacitação contínua e segmentada de colaboradores
“Pessoas continuam sendo o elo mais frágil. Campanhas de phishing simuladas, treinamentos modulares e ações gamificadas são formas mais eficazes de educar a equipe.”
Seguro cibernético como última camada de proteção
“O seguro não substitui a prevenção, mas é parte essencial da gestão de riscos. Com o aumento das ameaças, empresas precisam incluir essa proteção em seu planejamento financeiro.”
Notificações à ANPD ainda são negligenciadas
Apesar da exigência legal, mais da metade das empresas que sofreram incidentes não notificaram órgãos reguladores como a Autoridade Nacional de Proteção de Dados (ANPD), conforme determina a Resolução CD/ANPD 15/2024 — que exige a comunicação em até três dias úteis em casos de riscos ou danos relevantes.
“Não notificar pode parecer uma forma de evitar exposição, mas o custo regulatório e reputacional pode ser ainda maior. As empresas precisam entender que transparência é também um pilar da segurança”, reforça Probst.
“Ainda prevalece entre muitas organizações a ideia de que o silêncio oferece menos risco do que a transparência. Há desconfiança sobre como a ANPD reagirá, se aplicará sanções, medo de judicializações e receio da reação dos titulares — quando, na verdade, o caminho da conformidade e da comunicação responsável deveria ser visto como um investimento em credibilidade e resiliência”, conclui Tiago.
Sobre a pesquisa
A pesquisa “Riscos Cibernéticos — A percepção das lideranças brasileiras e práticas adotadas” foi realizada entre março e dezembro de 2024 com 248 empresas nacionais. O objetivo foi mapear a maturidade em segurança cibernética e as práticas adotadas em relação à proteção de dados, governança digital e respostas a incidentes.
