A segurança cibernética das empresas brasileiras é ruim, mas já foi muito pior.
Pelo menos é o que aponta um estudo da Zurich, uma das maiores seguradoras do mundo, segundo o qual o percentual de organizações com classificação de risco considerada insatisfatória ou ruim caiu de 93% para 55% entre 2020 e 2024.
Por outro lado, a cifra das empresas avaliadas com uma gestão de risco boa ou excelente saltou de 7% para 45% no mesmo período.
A maioria das empresas brasileiras ainda está com uma classificação ruim, seria o copo meio vazio. Por outro lado, a tendência aponta para a melhoria, o que seria o copo meio cheio.
“A evolução na maturidade de riscos das empresas brasileiras é evidente, impulsionada por fatores como o aumento da frequência e da sofisticação dos ataques, a adoção de regulamentações como a LGPD, que impuseram novas responsabilidades às organizações, e o crescimento da conscientização por parte da alta liderança sobre os impactos dos riscos cibernéticos nos negócios”, explica José Bailone, diretor executivo de Seguros Corporativos e Subscrição de Ramos Elementares da Zurich Seguros.
De acordo com Bailone, as coisas começaram a melhorar depois do final da pandemia em 2022, quando as empresas passaram a colocar a casa mais em ordem.
“Os anos anteriores foram marcados pelo pico da pandemia, que necessariamente acelerou a digitalização das empresas brasileiras, muitas vezes de forma desordenada. É natural que a ampliação da exposição e os aprendizados tenham levado, nos anos seguintes, a uma melhora da gestão do risco”, aponta Bailone.
O interessante é que os pontos fracos das empresas nem sempre tem que ver com falta de investimento.
“As principais lacunas podem ser corrigidas com governança, processos bem definidos e capacitação técnica”, pontua a executiva Hellen Fernandes, gerente de Linhas Financeiras da Zurich Seguros.
Alguns problemas típicos são a ausência de um plano estruturado para lidar com incidentes cibernéticos (que, quanto existe, não é testado regularmente), a falta de um plano de recuperação de desastres, a dificuldade em identificar comportamentos suspeitos dentro do ambiente digital ou a falta de autenticação de dois fatores.
MÉTODO
Foram analisadas 577 empresas brasileiras, todas com faturamento superior a US$ 10 milhões e pertencentes a uma ampla variedade de setores da economia.
O número de empresas avaliadas variou ao longo dos anos, incluindo companhias seguradas e não seguradas.
Foram avaliados 23 fatores de riscos de segurança da informação, desde a gestão de ativos, governança, controle de acessos e monitoramento, até planos de resposta a incidentes e recuperação de desastres.
O estudo foi construído com base em entrevistas técnicas estruturadas, conduzidas por profissionais do time de Engenharia de Riscos da Zurich, que também entregaram recomendações de melhoria personalizadas às empresas avaliadas.
