A cibersegurança segue fora da lista de prioridades de uma parcela relevante das empresas brasileiras, especialmente nos primeiros meses de operação. Dados do Ransomware Survey Report, da Sophos, indicam que 63% das organizações no mundo já sofreram algum tipo de ataque cibernético. Já o Cost of a Data Breach Report, da IBM, aponta que o custo médio global de uma violação de dados supera US$ 4 milhões, considerando impactos operacionais, legais e reputacionais.
No Brasil, pequenas e médias empresas concentram parte significativa dessas ocorrências ao iniciarem suas atividades sem controles mínimos de proteção digital, mesmo lidando desde cedo com dados sensíveis de clientes, fornecedores e meios de pagamento. A combinação entre baixa maturidade em segurança e digitalização acelerada amplia a superfície de ataque logo no início da operação.
Wagner Loch, CTO da Under Protection , afirma que o problema está na percepção equivocada de que segurança é um custo que pode ser adiado. “O risco nasce junto com o primeiro faturamento. No momento em que a empresa emite uma nota fiscal, usa um sistema de gestão ou armazena dados de clientes, ela já está exposta”, diz.
Na prática, a prioridade dada a vendas, expansão comercial e redução de custos empurra os investimentos em segurança para um segundo plano.
Controles de acesso, políticas de backup, atualização de sistemas e monitoramento contínuo acabam sendo postergados, criando brechas exploradas por ataques automatizados e técnicas de engenharia social. “Hoje não existe mais ataque artesanal. As ameaças são escaláveis, exploram vulnerabilidades conhecidas e buscam ambientes despreparados”, alerta.
Outro fator recorrente é a falsa sensação de anonimato. Muitas empresas acreditam que apenas grandes corporações estão no radar de criminosos digitais. No entanto, o Data Breach Investigations Report, da Verizon, mostra que mais de 40% das violações globais envolvem pequenas e médias empresas, justamente por apresentarem menor maturidade em controles de segurança. “O atacante não busca o tamanho da empresa, mas sim a fragilidade do ambiente”, explica.
À medida que o negócio cresce, o impacto potencial de um incidente também se amplia. Sistemas desatualizados, ausência de segregação de funções e falta de visibilidade sobre riscos elevam a probabilidade de paralisações operacionais, perdas financeiras diretas e quebra de confiança com clientes e parceiros. “Quando a empresa percebe o problema, ele já deixou de ser técnico e passou a afetar contratos, caixa e reputação”, afirma.
Para o executivo, a mudança de postura passa por tratar a cibersegurança como parte da gestão desde o início, e não como resposta a incidentes. Isso envolve conhecer o ambiente digital, mapear riscos e priorizar investimentos de acordo com o impacto no negócio. “Segurança não começa com a compra de ferramentas. Começa com entendimento. Quem conhece seus riscos decide melhor onde investir”, diz.
Com o avanço da automação fiscal, do uso intensivo de dados e da digitalização de processos, a tendência é que o tema ganhe ainda mais peso na agenda empresarial. Segundo Loch, empresas que incorporam a cibersegurança desde o início operam com mais previsibilidade e menos sobressaltos. “Não é uma questão de se o ataque vai acontecer, mas de quando. A diferença está em estar preparado ou não quando isso ocorrer”, conclui.
