Embora o prejuízo com ataques cibernéticos no Brasil esteja estimado em R$ 1,5 trilhão apenas este ano, 52,4% das indústrias brasileiras não tratam o tema como prioridade e 64% dos empresários investem no máximo 1% do faturamento em cibersegurança. Foi o que revelou pesquisa “Maturidade da Indústria em Cibersegurança”, realizada pela Federação das Indústrias do Estado de São Paulo (Fiesp) e apresentada nesta terça-feira (29/10) durante o VI Congresso de Segurança Cibernética, Proteção de Dados e Governança de IA.
Segundo Rony Vainzof, diretor do departamento de Defesa e Segurança da Fiesp, 38,6% das indústrias possuem um programa de governança voltada para segurança cibernética, mas apenas 15% possuem programa de governança voltado para a inteligência artificial. A pesquisa também revelou que 33% das empresas não realiza nenhuma atividade para promover a conscientização de seus funcionários sobre segurança da informação e proteção de dados.
O levantamento trouxe dados preocupantes como o fato de que 53,6% das indústrias ainda não nomearam um encarregado de proteção de dados, cargo considerado fundamental para que haja conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). Nas empresas que o fizeram, o encarregado normalmente acumula funções, o que pode gerar conflitos de interesse.
“Nem tudo é dado pessoal nas organizações, mas, a partir do momento em que uma empresa passa por uma jornada de conformidade com a LGPD, automaticamente ela está tratando também segredos de negócio, informações de parceiros de uma forma também mais segura”, afirmou Vainzof.
Em sua avaliação, o dado que “mais assusta” é o fato de que 48,5% das indústrias ainda não utilizam a inteligência artificial. Outra informação destacada pelo diretor é que, praticamente, três a cada 10 fabricantes já sofreram algum tipo de ataque cibernético, com tentativas de extorsão em alguns casos. Apesar do risco, apenas 44,2% possui estrutura organizacional de segurança cibernética ou de informação.
“Em 55% dos casos, houve tentativa de extorsão por parte dos criminosos. E 72% que sofreram extorsão não fizeram pagamento. Estamos longe de estimular qualquer tipo de negociação com o criminoso. Muito pelo contrário, a regra deve ser não negociar e não pagar para que você não estimule o mercado ilícito”, pontuou Vainzof.
O levantamento revelou que 64% das indústrias investe no máximo 1% do faturamento em cibersegurança, uma alocação limitada de recursos que pode restringir a capacidade de implementar medidas de segurança capazes de responder com eficácia a ataques cibernéticos. O relatório destaca que, embora esse investimento permita a adoção de medidas básicas, o custo dos ataques está aumentando.
O fator humano é identificado como a principal vulnerabilidade das empresas, seja por falhas não intencionais ou golpes intencionais. Apenas 21% das companhias possuem um plano de resposta a incidentes, e entre essas, só 15,5% realizaram testes regulares, o que compromete a eficiência desses planos em crises reais. Além disso, menos de 20% contam com um centro de operações de segurança ativo 24/7, essencial para resposta rápida a ataques.
“A causa raiz dos incidentes é falha humana, 45%. Não adianta investir em tecnologia, em processos, se a gente tem uma falha humana”, criticou Vaizof. Segundo ele, algumas empresas mal fazem backup de informações importantes.
A pesquisa revelou ainda que apenas 4,7% das indústrias tem seguro cibernético e, destas, só duas relataram já ter utilizado o seguro. “Essa é uma outra questão super relevante que a gente também está trabalhando. A gente precisa aprimorar o seguro cibernético pra agentes de pequeno porte e elevar o nível de maturidade desses agentes para que se viabilize economicamente termos seguros sobre os riscos”, pontuou o diretor.
A pesquisa teve a participação de 233 empresas industriais – maioria delas (62,7%) micro e pequenas – e foi realizada por meio de um formulário enviado para a base de indústrias associadas à Fiesp entre os dias 6 e 24 de maio.