Além disso, 70% dos conselhos de administração não discutem o tema com regularidade, o que revela a falta de engajamento da alta liderança, aponta relatório
Levantamento com 350 profissionais feito pelo Cyber Economy Brasil revela que 83% das empresas brasileiras não contam com um executivo dedicado à segurança da informação. Na prática, a responsabilidade pela proteção digital costuma recair sobre líderes técnicos de TI, que muitas vezes não têm autonomia, orçamento ou assento nas instâncias de governança.
Além disso, 70% dos conselhos de administração não discutem o tema com regularidade, o que revela a falta de engajamento da alta liderança. Apenas 25% possuem indicadores estratégicos para mensurar a eficácia da segurança digital, e embora 52% atualizem suas políticas anualmente, o cumprimento dessas normas por parceiros e fornecedores ainda é frágil.
O estudo mostra que o país evoluiu em controles tecnológicos, mas ainda enfrenta grandes lacunas em governança, cultura e estratégia executiva, e que a falta de preparo também se estende ao topo da gestão: a maioria dos executivos de alto escalão nunca participou de um treinamento de crise cibernética ou o faz apenas de forma esporádica.
Essa baixa priorização reflete-se na cultura organizacional: apenas 36% das corporações mantêm programas contínuos de conscientização e 83% não possuem iniciativas estruturadas de formação de lideranças em segurança.
Fragilidades estruturais e culturais
A pesquisa também identificou que quatro em cada dez empresas não realizam análise de impacto nos negócios (BIA), e 70% não auditam seus planos de continuidade e recuperação. Somente 34% têm métricas claras para avaliar a eficácia desses planos, um indicador de que o problema é menos técnico e mais estrutural e cultural.
A maioria dos executivos de alto escalão nunca participou de um treinamento de crise cibernética, ou o faz de forma esporádica, o que evidencia uma séria lacuna de preparo no topo da gestão. A baixa priorização da cibersegurança em conselhos e áreas de negócio (70%) reforça que o tema ainda não está integrado à cultura organizacional. Apenas 36% das instituições mantêm programas contínuos de conscientização e 83% não contam com programas estruturados de liderança em segurança.
Outro dado que chama atenção: 59% das companhias não traduzem riscos cibernéticos em linguagem compreensível para os executivos, e 57% não têm clareza sobre o próprio apetite de risco. Isso significa que decisões estratégicas podem ser tomadas sem plena compreensão dos impactos digitais.
Evolução técnica e lacunas de integração
O estudo também aponta que as empresas demonstram evolução técnica, ainda que de forma desigual. 87% possuem firewall ativo e 52% já utilizam autenticação multifator (MFA) em sistemas críticos, sinais de maturidade operacional.
Por outro lado, 43% ainda não aplicam Inteligência Artificial de forma prática, mesmo que 68% a considerem estratégica para fortalecer suas defesas. O descompasso entre visão e execução mostra que a tecnologia evolui mais rápido que a capacidade de integração e uso estratégico.
Também foi identificado que 65% delas não envolvem a área de segurança no desenvolvimento de novos produtos, um dado que reforça a desconexão entre inovação e proteção. O resultado é uma exposição maior a falhas e ameaças, além de custos futuros de remediação e impacto reputacional.
Segurança como vantagem competitiva
Apesar das fragilidades, o relatório aponta sinais promissores de mudança. Mais de 60% das empresas já reconhecem que gestão de riscos e proteção de dados podem gerar vantagem competitiva. A segurança começa a ser vista não apenas como mecanismo de defesa, mas como um pilar de confiança para clientes, investidores e mercados.
Em um cenário de crescente digitalização, a cibersegurança deixa de ser um custo operacional e passa a representar um ativo estratégico, capaz de sustentar o crescimento sustentável e a credibilidade das companhias brasileiras na economia digital.
“O estudo mostra que as empresas brasileiras ainda operam em um nível intermediário de maturidade cibernética, com média nacional de 60% e estamos em um ponto de virada. Avançamos em tecnologia e controles, mas ainda precisamos transformar a cibersegurança em uma pauta de negócio, e não apenas de infraestrutura. Enquanto o tema estiver restrito à área técnica, o país continuará vulnerável. É preciso elevar a cibersegurança ao nível de decisão executiva”, afirma Fernando Dulinski, fundador do Cyber Economy Brasil.
Mais do que medir a maturidade, segundo Dulinski, o Relatório Nacional de Cibersegurança revela onde as organizações estão na jornada cibernética, para onde devem ir e como chegar lá. “É um chamado para que as empresas e os líderes usem inteligência, colaboração e visão estratégica para posicionar segurança não como custo, mas como alicerce de inovação, crescimento sustentável e protagonismo do Brasil na ciber economia mundial”.