De acordo com o Indicador de Tentativas de Fraude da Serasa Experian, o Brasil iniciou 2025 com o maior volume já registrado de ocorrências de golpes desde o início das medições. Em janeiro, foram evitadas 1.242.093 tentativas de golpe. É um crescimento de 41,6% em relação a janeiro de 2024 e equivale a uma tentativa de fraude a cada 2,2 segundos.
Com a transformação digital de negócios e sociedade, quase a totalidade das empresas tem algum tipo de rede, e isso as torna vulneráveis a ciberataques, pois qualquer endpoint ou atividade online em qualquer sistema pode ser uma porta de entrada para que cibercriminosos acessem dados.
Nesse cenário, organizações de todos os tipos e de todas as áreas de atividade devem ser capazes de avaliar sua maturidade de cibersegurança. É um processo sistemático que visa identificar vulnerabilidades e ameaças, promovendo a melhora de todo o ambiente de TI da empresa, avaliando a probabilidade de um evento de segurança e determinando o potencial impacto de tais ocorrências. Com base nessa avaliação, são então recomendados controles adicionais de segurança para diminuir o risco de violações.
Assim, uma avaliação de risco cibernético bem realizada gera benefícios como mais transparência, por meio do aumento da visibilidade das aplicações de TI e do inventário dos privilégios dos utilizadores; identificação de pontos fracos em dispositivos, aplicações e identidades de utilizadores; identificação de vulnerabilidades específicas que podem ser exploradas por um agente de ameaças; redução de custos, em razão da mitigação antecipada de vulnerabilidades e da prevenção de ataques; e otimização de recursos limitados, incluindo o trabalho de equipes.
São benefícios extremamente atraentes. Mas antes de decidir por uma avaliação de risco cibernético, uma empresa precisa definir com clareza os seguintes pontos:
Qual é o objetivo da avaliação de risco cibernético? A primeira resposta será "reduzir riscos", mas cada organização pode ter objetivos específicos, como diminuir a carga de trabalho das equipes, economizar recursos ou otimizar recursos, por exemplo;
Qual é o escopo da avaliação? Há organizações com ambientes de TI gigantescos e, mesmo assim, recursos limitados para a avaliação. Assim, pode ser necessário definir que sistemas passarão pela investigação.
A equipe de TI da empresa é capaz de fazer a análise? Avaliações de risco cibernéticos precisam ser minuciosas, e há fornecedores de cibersegurança com profissionais especializados nesse trabalho.
Por último, as organizações devem entender que a avaliação de risco cibernético é um processo contínuo e que deve ser realizada frequentemente. As ameaças digitais estão em constante evolução, e uma simples pausa na realização dessas análises pode levar a invasões bem-sucedidas e, consequentemente, graves prejuízos. Assim, seguindo a frequência correta da realização das avaliações e fazendo com que elas respeitem as características próprias da empresa em que estão sendo realizadas, diminuem em enorme escala os riscos de invasão e de ciberataques de sucesso.
Renato Batista, CEO da Netglobe Cyber Security.
