O Relatório de Cibersegurança 2025 da Brasscom revelou uma situação contraditória do Brasil no campo da segurança da informação. Por um lado, o país é reconhecido como modelo em comprometimento com a cibersegurança, segundo o Global Cybersecurity Index 2024, devido à performance em métricas de cooperação internacional; estruturas organizacionais; capacitação e conscientização; medidas técnicas; e medidas legais. Por outro lado, ainda é um dos maiores alvos de ataques no mundo, com um acúmulo de 60 bilhões de tentativas apenas em 2023.
Entre 2025 e 2028, o segmento deve apresentar um crescimento de 43,8% nos investimentos em cibersegurança, o que significa um montante de R$ 104,6 bilhões. Apesar do aporte, o Brasil precisa superar uma postura pela qual já é associado: “early adopter, but late finisher”. Ou seja, o país é rápido em adotar novas tecnologias, mas a consolidação dessas soluções na estratégia de segurança da empresa ainda é deficiente.
Em comunicado à imprensa, o presidente executivo da Brasscom, Affonso Nina, afirmou que “a preocupação com as questões de cibersegurança é clara, mas a maturidade das iniciativas ainda está abaixo do desejável”.
Desafios no ambiente corporativo
Embora o relatório destaque o desempenho positivo do Brasil no Global Cybersecurity Index, há espaço para aperfeiçoamento nos quesitos de estruturas organizacionais e capacitação. Isso significa que é preciso promover melhorias na governança institucional, na conscientização e desenvolvimento de aptidões digitais.
No que diz respeito à governança institucional, os principais desafios relatados envolvem o suporte executivo inadequado, o papel pouco decisório do CISO (diretor de segurança da informação, na sigla em inglês) e a postura predominantemente reativa das empresas brasileiras.
A falta de apoio de líderes em medidas necessárias e o desinteresse na prontidão de segurança é apontada, respectivamente, por 69% e 73% dos respondentes de uma pesquisa da Kyndryl. Como consequência dessa negligência, as empresas podem sofrer com a violação de dados, responsável por um custo médio de US$ 4,88 milhões em 2024, valor 10% maior que o ano anterior.
No C-level, o documento aponta a função do CISO como comprometida, uma vez que comumente atua como influenciador, não decisor como o CIO (diretor de TI, na sigla em inglês). Dessa forma, além de ter que negociar recursos – o que pode acarretar fragmentação – a sua atuação fica limitada às dinâmicas do dia a dia e, portanto, pouco integrada a um planejamento amplo de segurança.
Por fim, a falta de uma postura proativa faz com que a empresa concentre os esforços e investimentos em respostas e recuperação de incidentes. Diante da alta exposição das organizações (79% estão expostas a ataques cibernéticos), a dificuldade em formular planos de proteção preventivos, mesmo com o conhecimento dos riscos, demonstra a baixa maturidade em segurança e a capacidade reduzida de responder de maneira ordenada aos riscos.
Segurança da informação requer abordagem integrada
A segurança cibernética é sinalizada no relatório como um “compromisso organizacional que exige investimento, planejamento e engajamento de todos os níveis da empresa”. Isso porque envolve um processo de implementação extenso que engloba diferentes setores e agentes. As etapas vão desde a identificação e avaliação inicial até a revisão e melhoria contínua:
- Identificação e avaliação inicial: detectar ativos críticos e vulnerabilidades.
- Planejamento de segurança: definir normas e diretrizes de segurança da informação, além de estruturar controles tecnológicos, administrativos e físicos.
- Implementação de controles: adotar mecanismos de segurança (antivírus e firewall), medidas físicas (acesso e vigilância) e gestão de permissões (autenticação).
- Treinamento e conscientização: capacitar funcionários reduz riscos e fortalece a competência digital contra ameaças como phishing.
- Monitoramento e manutenção: acompanhar atividades e manter sistemas atualizados diminui a chance de ataques bem-sucedidos.
- Resposta a incidentes: identificar, mitigar e acionar planos estruturados de resposta.
- Revisão e melhoria contínua: auditar resultados e aplicar possíveis aprimoramentos.
Além desse processo, o documento destaca a necessidade de uma abordagem holística e adaptável que integra pessoas, processos e tecnologia. No campo de pessoas, além do treinamento e conscientização, é importante que os colaboradores se mantenham atualizados sobre técnicas de ataque. A higiene cibernética básica, que abrange autenticação de dois fatores (2FA), backup de dados sensíveis e senhas fortes, também faz parte das recomendações.
Em processos, é necessário manter uma governança capaz de garantir um método contínuo de prevenção e correção frente a ataques, bem como uma colaboração entre setor privado, academia e governo. Internamente, gerenciar riscos, além de estimular e preservar uma cultura de segurança da informação alinhada à Lei Geral de Proteção de Dados (LGPD) para reduzir vulnerabilidades.
No âmbito tecnológico, a recomendação é usar diferentes aplicações para fortalecer ainda mais a segurança. A inteligência artificial, por exemplo, pode ser utilizada para identificar comportamentos fora do padrão e responder rapidamente a incidentes. Implementar várias camadas de proteção também faz parte das orientações de uso da tecnologia.
