A maturidade em cibersegurança das empresas brasileiras avançou, mas segue abaixo do nível considerado ideal. É o que aponta a pesquisa setorial sobre maturidade digital, que mede o grau de preparo das companhias frente a riscos digitais, patrocinada pela FTI Consulting e conduzida pelo Markets Innovation & Technology Institute (MiTi).

Em uma escala de 0 a 100, o índice médio chegou a 58%, acima dos 53% registrados em 2024, enquanto a probabilidade média de sucesso de um ataque caiu de 50,65% para 43%. O avanço reflete maior conscientização no ambiente corporativo. Quase metade dos executivos ouvidos (48%) afirma que a cibersegurança já é prioridade estratégica, e 34% relatam aumento médio de 5% nos investimentos em segurança neste ano. Ainda assim, o estudo aponta lacunas estruturais que limitam a eficácia dessas iniciativas, especialmente na governança e na liderança da área.

Entre os principais gargalos está a ausência de políticas formais: cerca de um terço das empresas opera sem diretrizes documentadas ou com políticas desatualizadas e sem revisão periódica. Além disso, 43% não contam com um Chief Information Security Officer (CISO) ou função equivalente, o que dificulta a transformação da conscientização em execução prática. Carlos Araújo Júnior, Senior Director na prática de Cybersecurity da FTI Consulting, explicou em nota que “o passo inicial para tornar a cibersegurança um tema estratégico nas empresas é contar com uma política multidisciplinar bem definida e ter funções estruturadas, com responsabilidades de monitoramento, mapeamento e treinamentos que preparem os times para lidar com os diversos tipos de incidentes cibernéticos”.

Sem simulações e com falhas na LGPD

A pesquisa também mostra que a preparação operacional ainda é frágil. Em 30% das empresas, os treinamentos não incluem simulações robustas, e 20% não realizam qualquer tipo de capacitação. Esse cenário ganha relevância diante da crescente sofisticação dos ataques e do impacto financeiro (uma média estimada em cerca de US$ 36 milhões por incidente). Ainda assim, 72% dos entrevistados consideram o dano reputacional mais crítico do que as perdas financeiras, especialmente em setores regulados como financeiro, energia e saúde, onde a recuperação da confiança pode levar até três vezes mais tempo sem uma estratégia de comunicação prévia.

No campo jurídico e regulatório, o compliance aparece como desafio central para 26% das empresas. Segundo Antonio Gesteira, Head de Technology e Risks & Investigations no Brasil da FTI Consulting, a aplicação da LGPD ainda é irregular em muitas organizações. Em nota ele destacou que “os dados mostram que o compliance regulatório continua sendo um dos maiores desafios para as empresas. Por exemplo, 34% dos entrevistados disseram que a LGPD é aplicada de forma irregular, com processos básicos, análises superficiais e aplicação inconsistente comuns em muitas organizações. Ainda há um longo caminho pela frente. Não se trata apenas de evitar penalidades, mas de construir uma cultura sólida de governança e proteção de dados que acompanhe a evolução das ameaças e das exigências legais”.

Prevenção limitada

Cerca de 30% dos entrevistados operam apenas com mecanismos mínimos de prevenção à perda de dados. A pesquisa também revela fragilidade na gestão de terceiros: apenas 8% das empresas avaliam de forma estruturada a maturidade em cibersegurança de seus fornecedores.

O diagnóstico aponta que, embora a cibersegurança venha ganhando força nas agendas corporativas, o tema ainda precisa estar na estratégia de forma integrada. Gesteira complementa afirmando que “a cibersegurança deve ser entendida como um ecossistema que precisa integrar todas as partes da cadeia de fornecimento, caso contrário essa lacuna pode abrir espaço para incidentes. Muitos casos frequentemente têm origem dentro da própria empresa ou a partir de acessos concedidos a terceiros. Gerenciar e monitorar a segurança digital com fornecedores e colaboradores é o que diferencia quem está preparado de quem não está”.