Um incidente cibernético causa, para a empresa atingida, um efeito de queda no valor das suas ações que pode durar até 90 dias, revela estudo da EY baseado na análise de 96 empresas inseridas no Russell 3000 com valor de mercado de no mínimo US$ 1 bilhão em 2024 e que sofreram incidentes cibernéticos entre 2021 e 2024. Esse índice, que mede o desempenho das ações das 3 mil maiores empresas americanas em valor de mercado, é considerado um dos mais importantes pelos investidores.
“Ao fazer uma correlação entre queda do valor das ações e incidentes cibernéticos, apontando inclusive a duração total dessas perdas, o levantamento evidencia os riscos financeiros significativos envolvidos”, destaca Márcia Bolesina, sócia-líder da área de cibersegurança da EY. “Embora a amostra não seja referente ao mercado brasileiro, é possível dizer que os efeitos são semelhantes, conforme os casos recentes observados, já que as ameaças cibernéticas, quando consumadas, trazem perdas financeiras e de reputação efetivas cada vez maiores”, completa.
Ainda segundo o estudo, fica claro dessa forma que os prejuízos de um incidente vão além dos custos imediatos de recuperação, estando acima daqueles previstos nesses casos. O levantamento também trouxe o impacto médio sobre o preço das ações para os seguintes períodos: de zero a 30 dias; de zero a 60 dias; e de zero a 90 dias. Nos primeiros 30 dias, a perda média do valor das ações é de 0,9%. Já no período de 60 dias, essa queda é de 1,3%. Por fim, para 90 dias, o prejuízo chega a 1,5%.
Também por isso, 84% dos CISOs (Chief Information Security Officers) entrevistados disseram que o foco das suas organizações em cibersegurança cresceu na comparação com três anos atrás. Para 85% dos respondentes, essa priorização ficará ainda maior no próximo ano em relação aos esforços de hoje. A imensa maioria (84%) também confirmou que suas empresas sofreram incidente cibernético nos últimos três anos – os mais comuns no último ano foram spyware; uso de URL ou e-mail falso para enganar colaboradores e clientes; e os chamados “zero day exploits”, que ocorrem quando os cibercriminosos exploram uma falha de segurança que nem mesmo os desenvolvedores tinham conhecimento dela.
O estudo da EY entrevistou 800 líderes de C-Level no mercado americano entre dezembro de 2024 e janeiro deste ano. Esses profissionais atuam em diferentes indústrias como saúde; energia; tecnologia; governo e setor público; varejo; serviços financeiros; e construção civil.
Preocupação com possíveis vulnerabilidades
Ainda segundo a pesquisa, há uma diferença de percepção entre os CISOs e o restante dos C-Levels sobre o nível de preparo das defesas de cibersegurança da empresa para suportar as ameaças cibernéticas. Os CISOs (66% deles) estão mais preocupados do que o restante dos C-Levels (56% no total) com a possibilidade de os riscos cibernéticos estarem mais avançados do que suas defesas.
Ao mesmo tempo, quase sete a cada dez CISOs (68%) manifestaram preocupação com a possibilidade de os líderes seniores da organização estarem subestimando os perigos das ameaças cibernéticas. Para muitos deles, é questão de quando e como, e não de se, a ocorrência de um incidente cibernético.
