Um estudo inédito da Zurich, realizado entre 2020 e 2024, aponta uma evolução significativa na maturidade de gestão de riscos cibernéticos das grandes empresas brasileiras. O percentual de organizações com classificação insatisfatória ou ruim caiu de 93% para 55% no período, evidenciando um avanço consistente na preparação contra ameaças digitais.

A análise avaliou 577 empresas de diversos setores (indústria, energia, tecnologia, saúde, ensino, transporte, varejo e serviços jurídicos) todas com faturamento superior a US$ 10 milhões. Foram examinados 23 fatores de segurança da informação, desde governança e controle de acessos até planos de resposta a incidentes e recuperação de desastres. As entrevistas técnicas, conduzidas pela equipe de Engenharia de Riscos da Zurich, resultaram em recomendações personalizadas.

Avanços expressivos, mas lacunas persistem

Segundo comunicado de José Bailone, diretor executivo de Seguros Corporativos da Zurich Seguros, 45% das empresas já alcançaram gestão de risco boa ou excelente em 2024, frente a apenas 7% em 2020. Ele atribui a melhora ao aumento e sofisticação dos ataques, ao impacto da Lei Geral de Proteção de Dados (LGPD) e à maior conscientização da alta liderança sobre os impactos nos negócios.

Apesar do progresso, a maioria ainda opera em níveis abaixo do ideal. Entre os principais gaps identificados estão: ausência ou baixa efetividade de planos estruturados para incidentes, falta de preparo para recuperação pós-ataque, controles de acesso frágeis, monitoramento insuficiente de comportamentos suspeitos e uso inadequado de ferramentas como firewall e segmentação de rede.

Para Hellen Fernandes, gerente de Linhas Financeiras da Zurich, muitas dessas falhas podem ser corrigidas sem grandes investimentos, por meio de governança, processos claros e capacitação técnica. O estudo, baseado no framework internacional NIST, também revelou que empresas que seguiram as recomendações da Zurich melhoraram em média 22% sua qualificação de risco.