A Pesquisa Setorial sobre maturidade digital das empresas brasileiras, patrocinada pela FTI Consulting Inc. (NYSE: FCN) e conduzida pelo Markets Innovation & Technology Institute (MiTi), apresentou resultados da maturidade em cibersegurança das companhias brasileiras. O levantamento acordado que, em uma escala de 0 a 100%, a maturidade em cibersegurança das empresas é, em média, de 58% — um avanço em relação aos 53% registrados em 2024. A edição atual do relatório constatou que, em caso de ataque, há uma probabilidade média de 43% de sucesso para o prospectivo, comparada a 50,65% em 2024.
Leia também
Fiesp publica pesquisa de maturidade cibernética
Palestra apresenta modelo em maturidade de SOC
Os resultados refletem uma evolução no ambiente corporativo, com quase metade dos entrevistados (48%) afirmando que a cibersegurança é prioridade em suas empresas e 34% relatam que os investimentos em segurança aumentaram 5% este ano em comparação com o ano anterior.
Apesar do aumento da conscientização e dos investimentos em cibersegurança, lacunas permanecem sem solução. Um exemplo de vulnerabilidade crítica é a falta de políticas de cibersegurança atualizadas. Quase um terço das empresas operam sem uma política documentada ou com políticas desatualizadas e sem processo formal de revisão. Entre todos os entrevistados, 43% afirmam não possuir um Chief Information Security Officer (CISO) ou equivalente — operando, portanto, sem uma liderança responsável por transformar conscientização em implementação.
“O primeiro passo para tornar a cibersegurança um imperativo estratégico é desenvolver uma política bem definida e multidisciplinar, com papéis e responsabilidades claras para monitoramento, mapeamento de riscos e treinamento, garantindo que as equipes estejam preparadas para lidar de forma eficaz com os diversos tipos de ameaças cibernéticas”, afirmou Carlos Araújo Júnior, Diretor Sênior na prática de Cibersegurança da FTI Consulting.
“O passo inicial para tornar a cibersegurança um tema estratégico nas empresas é contar com uma política multidisciplinar bem definida e ter funções estruturadas, com responsabilidades de monitoramento, mapeamento e treinamentos que preparam os tempos para lidar com os diversos tipos de incidentes cibernéticos”, diz Carlos Araújo Júnior, Diretor Sênior de Cibersegurança na FTI Consulting.
Em 30% das empresas, os treinamentos existentes não incluem simulações robustas, e 20% não possuem qualquer tipo de treinamento. Sem essa preparação, a sofisticação dos ataques — um dos principais desafios identificados na pesquisa — tem dificultado que as empresas respondam especificamente ao cenário crescente de ameaças.
Estar preparado para um incidente é essencial para minimizar seu impacto, seja reputacional ou financeiro. Em termos financeiros, um ataque pode gerar prejuízo médio de aproximadamente US$ 36 milhões. Além disso, 72% dos entrevistados apontaram o dano reputacional como mais crítico que o impacto financeiro após um incidente de cibersegurança. Em setores altamente regulamentados (como financeiro, energia e saúde), a recuperação da confiança leva três vezes mais tempo quando não existe uma estratégia de comunicação transparente previamente estabelecida.
