Zurich: 55% das empresas brasileiras têm classificação de risco cibernético ruim

O percentual de organizações brasileiras com classificação de risco cibernético considerada insatisfatória ou ruim caiu de 93% em 2020 para 55% em 2024, um avanço “consistente”. Nesse período, as empresas de diferentes setores se prepararam melhorar para enfrentar as ameaças digitais crescentes, revela um estudo da seguradora multinacional Zurich divulgado essa semana.

Foram analisadas 577 empresas com faturamento superior a US$ 10 milhões de vários setores da economia, incluindo indústria, energia, tecnologia, saúde, ensino, transporte, varejo e serviços jurídicos. O número de empresas avaliadas variou ao longo dos anos, incluindo companhias seguradas e não seguradas.

Foram avaliados 23 fatores de riscos de segurança da informação, desde a gestão de ativos, governança, controle de acessos e monitoramento, até planos de resposta a incidentes e recuperação de desastres. O estudo foi feito com base em entrevistas conduzidas por profissionais do time de engenharia de riscos da Zurich.

Leia também: Mais de 200 vagas anunciadas para quem deseja se recolocar no mercado

“Em 2024, 45% das empresas foram avaliadas com uma gestão de risco boa ou excelente, em comparação a 7% em 2020”, diz em comunicado José Bailone, diretor executivo de seguros corporativos da Zurich Seguros. “A evolução na maturidade de riscos das empresas brasileiras é evidente, impulsionada por fatores como o aumento da frequência e da sofisticação dos ataques, a adoção de regulamentações como a LGPD, (…) e o crescimento da conscientização por parte da alta liderança sobre os impactos dos riscos cibernéticos nos negócios.”

O executivo pontua que, a partir de 2022, houve melhora na gestão de risco nas empresas. Isso após um período marcado pela digitalização acelerada e consequente tomada de riscos durante a pandemia. “É natural que a ampliação da exposição e os aprendizados tenham levado, nos anos seguintes, a uma melhora da gestão do risco”, diz Bailone.

Apesar da melhora, o executivo pontua que a maioria das empresas ainda está em nível considerado insatisfatório ou ruim de maturidade.

Principais lacunas

O estudo também indica pontos de atenção que comprometem a maturidade cibernética das empresas brasileiras. Hellen Fernandes, gerente de linhas financeiras da Zurich Seguros, diz que essas deficiências não estão necessariamente ligadas à ausência de grandes investimentos, mas sim riscos associados a deficiências tecnológicas, “como equipamentos e sistemas, que demandam um investimento maior”.

Segundo ela, no entanto, as lacunas podem ser corrigidas com “governança, processos bem definidos e capacitação técnica”. Os aspectos mais recorrentes entre as organizações avaliadas são, segundo o estudo da Zurich:

• Ausência de plano estruturado para lidar com incidentes cibernéticos ou falta de testes regulares desses planos;
• Falta de preparo para a recuperação em caso de falhas ou ataques, já que muitas empresas não possuem um plano de recuperação de desastres, com estrutura adequada e testes periódicos;
• Dificuldade em identificar comportamentos suspeitos dentro do ambiente digital, devido à inexistência de sistemas robustos de monitoramento contínuo;
• Controles de acesso pouco eficazes, com falta de autenticação de dois fatores (2FA);
• Uso limitado ou inadequado de ferramentas de proteção digital, incluindo soluções como firewall, segmentação de rede ou filtros de conteúdo e e-mail, muitas vezes ausentes ou mal configurados.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!