Segurança é ruim, mas já foi pior

A segurança cibernética das empresas brasileiras é ruim, mas já foi muito pior. 

Pelo menos é o que aponta um estudo da Zurich, uma das maiores seguradoras do mundo, segundo o qual o percentual de organizações com classificação de risco considerada insatisfatória ou ruim caiu de 93% para 55% entre 2020 e 2024.

Por outro lado, a cifra das empresas avaliadas com uma gestão de risco boa ou excelente saltou de 7% para 45% no mesmo período. 

A maioria das empresas brasileiras ainda está com uma classificação ruim, seria o copo meio vazio. Por outro lado, a tendência aponta para a melhoria, o que seria o copo meio cheio. 

“A evolução na maturidade de riscos das empresas brasileiras é evidente, impulsionada por fatores como o aumento da frequência e da sofisticação dos ataques, a adoção de regulamentações como a LGPD, que impuseram novas responsabilidades às organizações, e o crescimento da conscientização por parte da alta liderança sobre os impactos dos riscos cibernéticos nos negócios”, explica José Bailone, diretor executivo de Seguros Corporativos e Subscrição de Ramos Elementares da Zurich Seguros.

De acordo com Bailone, as coisas começaram a melhorar depois do final da pandemia em 2022, quando as empresas passaram a colocar a casa mais em ordem. 

“Os anos anteriores foram marcados pelo pico da pandemia, que necessariamente acelerou a digitalização das empresas brasileiras, muitas vezes de forma desordenada. É natural que a ampliação da exposição e os aprendizados tenham levado, nos anos seguintes, a uma melhora da gestão do risco”, aponta Bailone.

O interessante é que os pontos fracos das empresas nem sempre tem que ver com falta de investimento.  

“As principais lacunas podem ser corrigidas com governança, processos bem definidos e capacitação técnica”, pontua a executiva Hellen Fernandes, gerente de Linhas Financeiras da Zurich Seguros.

Alguns problemas típicos são a ausência de um plano estruturado para lidar com incidentes cibernéticos (que, quanto existe, não é testado regularmente), a falta de um plano de recuperação de desastres, a dificuldade em identificar comportamentos suspeitos dentro do ambiente digital ou a falta de autenticação de dois fatores.

MÉTODO

Foram analisadas 577 empresas brasileiras, todas com faturamento superior a US$ 10 milhões e pertencentes a uma ampla variedade de setores da economia. 

O número de empresas avaliadas variou ao longo dos anos, incluindo companhias seguradas e não seguradas.

Foram avaliados 23 fatores de riscos de segurança da informação, desde a gestão de ativos, governança, controle de acessos e monitoramento, até planos de resposta a incidentes e recuperação de desastres. 

O estudo foi construído com base em entrevistas técnicas estruturadas, conduzidas por profissionais do time de Engenharia de Riscos da Zurich, que também entregaram recomendações de melhoria personalizadas às empresas avaliadas.