A transformação digital avança no país em ritmo acelerado, mas a blindagem das empresas contra ataques apresenta um descompasso. Apenas 35% das organizações envolvem suas equipes de segurança no desenvolvimento de novos produtos, mostra o primeiro Relatório Nacional de Cibersegurança, produzido pela Cyber Economy Brasil.

O dado expõe um problema estrutural: a segurança ainda não nasce com o produto, contrariando o princípio de security by design, que reduz falhas, custos de remediação e danos reputacionais.

O estudo, base do recém-criado Índice de Maturidade e Risco Cibernético (IMRCiber), ouviu cerca de 350 profissionais e avaliou dez dimensões da proteção digital, como governança, cultura, tecnologia, continuidade de negócios e inovação.

O diagnóstico coloca o Brasil em um patamar intermediário de maturidade, com média nacional de 60%, e concentra os maiores gargalos na liderança, na estratégia e na cultura organizacional.

Os números revelam distanciamento entre segurança e tomada de decisão

Mais de 80% das empresas não possuem um executivo dedicado à segurança da informação, e em 70% dos conselhos o tema não entra na pauta de forma regular. Apenas 25% das organizações contam com indicadores estratégicos para medir a eficácia das ações de proteção — o que indica que, em muitos casos, a segurança opera isolada, sem conexão com a governança corporativa.

As fragilidades também aparecem na preparação para incidentes. Quatro em cada dez empresas não realizam análise de impacto nos negócios e 70% não auditam seus planos de continuidade e recuperação. Só 34% têm métricas claras para avaliar a eficiência dessas medidas. O retrato é de vulnerabilidade tanto técnica quanto cultural.

Há avanços pontuais: 87% já utilizam firewall e 52% adotam autenticação multifator em sistemas críticos. Mas a distância entre discurso e prática segue evidente na inteligência artificial — 43% ainda não usam IA de forma concreta, apesar de 68% reconhecerem seu valor estratégico.

Mudança de mentalidade começa a surgir, mas ainda é insuficiente

Outro ponto crítico é a comunicação interna: 59% das empresas não traduzem riscos cibernéticos para uma linguagem compreensível pela alta gestão, e 57% não têm clareza sobre seu próprio apetite de risco. Isso abre espaço para decisões estratégicas tomadas sem a compreensão total das implicações digitais.

Ainda assim, o relatório identifica um movimento de virada. Mais de 60% das empresas já enxergam a cibersegurança como vantagem competitiva — não apenas como defesa, mas como fator de confiança, reputação e continuidade dos negócios.