A Daryus, que atua com consultoria e educação em segurança da informação, cibersegurança, resiliência e riscos, divulga os resultados da primeira Pesquisa Nacional: "Cyber 360º", que oferece uma análise abrangente das ameaças emergentes e das medidas de proteção adotadas pelas empresas brasileiras.
O estudo, que contou com a participação de especialistas convidados e entrevistou 200 profissionais de TI (Tecnologia da Informação) e cibersegurança de empresas de diversos setores e portes, destaca tanto os avanços quanto os desafios enfrentados pelas organizações em um cenário onde as ameaças cibernéticas se tornam cada vez mais sofisticadas.
Com o avanço da tecnologia e a crescente dependência digital, as ameaças cibernéticas estão ganhando complexidade, forçando as organizações a lidarem com desafios que vão além dos tradicionais vírus e malwares. No Brasil, a segurança cibernética é especialmente relevante, já que o país lidera a América Latina em termos de economia digital e, por isso, torna-se um alvo frequente de cibercriminosos.
Maturidade em cibersegurança: disparidade entre percepção e realidade
80% dos entrevistados classificam o nível de maturidade em cibersegurança de suas empresas como alto. Contudo, essa percepção contrasta com o fato de que 20% das empresas ainda estão em fases iniciais de desenvolvimento de seus programas de segurança.
"É essencial que as empresas compreendam que um alto nível de maturidade em cibersegurança vai além da implementação de tecnologias e de uma política de segurança da informação. Trata-se de criar uma mentalidade, uma atitude, e de obter resultados evolutivos gradualmente, melhorando ou mudando a cultura de transformação digital segura", afirma Jeferson D'Addario, CEO do Grupo Daryus.
Muitas organizações subestimam a importância de proteger dados sensíveis e sistemas críticos, o que deixa brechas para os cibercriminosos. Na pesquisa, foi identificado que 84% dos respondentes consideram os colaboradores como uma das principais portas de entrada para as ameaças atualmente, como tentativas de golpes e phishing; 56% apontam os terceiros contratados e 43%, os fornecedores das empresas.
Esse cenário é especialmente preocupante em um momento de trabalho descentralizado, com muito home office, o que desafia os CEOs a manterem a cultura da empresa. "Hoje, mais do que nunca, as empresas enfrentam vulnerabilidades que podem causar danos significativos e irreparáveis. Ao não proteger adequadamente seus colaboradores e terceiros, cria-se uma falsa sensação de segurança que pode custar caro em caso de um incidente. Apenas uma palestra por ano e campanhas de phishing não são suficientes", alerta D'Addario.
Equipes dedicadas e o desafio da especialização
A pesquisa também mostra que 90% das empresas possuem equipes dedicadas exclusivamente à cibersegurança. No entanto, essa estrutura varia significativamente: 55% têm equipes robustas, com cinco ou mais profissionais, enquanto 35% contam com menos de cinco.
Preocupantemente, 10% das empresas ainda não possuem nenhum profissional dedicado ao tema, o que expõe sua fragilidade frente às ameaças cibernéticas. "Ter uma equipe dedicada é essencial, mas garantir que esses profissionais estejam capacitados e em número suficiente para lidar com a complexidade das ameaças cibernéticas é fundamental, além de contar com gestores de segurança da informação bem-preparados", reforça D'Addario.
Treinamentos regulares e preparação para responder a crimes cibernéticos
A pesquisa revelou ainda que 72% das empresas se consideram preparadas para responder a crimes cibernéticos. No entanto, a prevalência de ataques como phishing (66%) e ransomware (61%) sugere que a preparação não significa imunidade. "Preparação não é apenas uma questão de confiança, mas de capacidade de detecção e resposta efetiva a incidentes, além de preparação para gerir crises", explica D'Addario.
As empresas estão cada vez mais conscientes da necessidade de treinamento regular: 64% oferecem simulações de ataques, 57% fornecem treinamentos periódicos de atualização e 67% propõem treinamentos iniciais para novos funcionários. "O que fica claro é que a resiliência cibernética não é mais um assunto apenas para o departamento de TI. É uma questão de liderança, de estratégia de negócios", completa D'Addario.
Gestão de Riscos: lacunas e desafios
Na gestão de riscos, a pesquisa revelou que 13% das empresas ainda não possuem um plano de gestão de riscos, e 20% não revisam seus planos regularmente. A resiliência cibernética envolve a elaboração de planos de gestão de crises, que devem fazer parte da Estratégia de Continuidade de Negócios Corporativa e cobrir tanto cenários de negócios quanto de tecnologia. "Compreender como a cibersegurança precisa ser vista pelos líderes e investidores traz benefícios para minimizar perdas. Incidentes irão ocorrer, a questão é estar preparado para quando ocorrerem", pontua D'Addario.
A pesquisa destaca ainda que a rápida evolução das ameaças cibernéticas (58%), a transformação digital (52%) e a proteção de dados e privacidade (50%) são os principais fatores considerados na implementação de planos de gestão de riscos.
Expectativas futuras: a transformação digital e a cibersegurança
A pandemia da COVID-19 acelerou a transformação digital nas empresas, aumentando a necessidade de um programa de cibersegurança robusto para minimizar os impactos de possíveis ataques. Segundo a pesquisa, 49% das empresas afirmaram que investir em cibersegurança nos próximos 12 meses é uma prioridade alta ou muito alta. "Pode existir uma falsa sensação de segurança devido aos investimentos em tecnologia, mas ainda falta gestão da mentalidade e cultura para gerir melhor os riscos. A tecnologia sozinha não é a resposta", conclui.
O estudo foi realizado pela Daryus sob a liderança de sua unidade de educação, o IDESP – Instituto Daryus de Ensino Superior Paulista, com o apoio da AIQON, Netwrix, Syxsense, Security First e o Grupo Becker, entre maio e agosto de 2024.