[Portuguese Only] O Brasil Está Parado em Cibersegurança – E Isso Deveria Preocupar Todos Nós

Apesar do aumento dos ataques e do número crescente de manchetes sobre vazamentos de dados, o Brasil continua tropeçando quando o assunto é cibersegurança. E isso vai além da tecnologia ou falta de ameaças — elas estão mais sofisticadas e constantes do que nunca. O problema é estrutural, estratégico e, acima de tudo, cultural.

Estamos protegendo o passado com regras do passado. O país ainda depende de legislações genéricas e desatualizadas, que não acompanham a velocidade das ameaças digitais. A Lei Geral de Proteção de Dados (LGPD) foi um marco e um avanço inegável, mas sua efetividade depende de algo maior como uma aplicação firme, técnicas robustas de segurança da informação e uma cultura de proteção que vá além do jurídico. É nesse ponto que muitas organizações falham. A LGPD não se sustenta sozinha. Ela exige um ecossistema de cibersegurança maduro com políticas internas coerentes, controles técnicos como DLP, gestão de identidade, criptografia de dados sensíveis, resposta a incidentes e programas contínuos de conscientização. Sem isso, o cumprimento da lei vira mera formalidade e os dados continuam expostos. Por outro lado, a falta de fiscalização consistente e a ausência de normas técnicas claras tornam sua aplicação prática frágil. No fim das contas, isso é previsível, muitas empresas acabam fazendo o mínimo e básico, ou o mais barato, não necessariamente o mais eficaz, pensando muitas vezes em apenas “cumprir tabela”.

Casos que reforçam o alerta: Não faltam exemplos do impacto real dessa fragilidade. Em 2021, o vazamento de dados de 223 milhões de brasileiros, incluindo CPFs e dados cadastrais, escancarou como bases públicas e privadas estavam vulneráveis. Em 2024, o ataque à Prefeitura de Campinas, que paralisou serviços essenciais, demonstrou o impacto direto na vida do cidadão. O setor público, em especial, tem sido alvo fácil devido à baixa maturidade em segurança e investimentos insuficientes.

Mas o problema não é só estatal. Empresas privadas de grande porte também sofreram. A Americanas, por exemplo, sofreu um ataque cibernético que afetou suas operações e expôs dados de clientes, gerando prejuízos financeiros (R$ 923 milhões), reputacionais e operacionais relevantes. Segundo levantamento da PwC, 74% das empresas brasileiras já sofreram pelo menos um incidente de segurança nos últimos 12 meses. E isso não é só um dado técnico, é uma ameaça ao negócio.

Segurança ainda é tratada como um gasto técnico. Em muitas organizações, a segurança digital ainda é vista como um custo de TI. Um antivírus aqui, um firewall ali e pronto, “estamos protegidos”. Só que isso está longe da realidade. Cibersegurança hoje não é só um escudo técnico. É parte da estratégia. É o que garante a continuidade do negócio, protege a reputação e inspira confiança em clientes e parceiros. Enquanto essa percepção não mudar, estaremos sempre um passo atrás dos ataques. A realidade é simples, ou a segurança digital faz parte da estratégia, ou você está exposto.

E o custo de um ataque é alto. Segundo a IBM, o custo médio de um vazamento de dados no Brasil, em 2024, foi de R$ 6,75 milhões. E mais, empresas que investem em segurança proativamente conseguem reduzir esse custo em até 50%. A matemática é clara para qualquer CFO: investir em segurança é evitar prejuízos, multas e perda de receita futura. Ou seja, o ROI de segurança é real e mensurável.

E, sim, segurança vende. Cibersegurança é diferencial competitivo. Empresas que levam a cibersegurança a sério não apenas se protegem melhor, elas se destacam no mercado. Mostram maturidade, passam credibilidade e ganham vantagem competitiva. Em muitos setores, ter uma postura sólida em segurança digital já é fator decisivo para fechar (ou perder) um contrato. Quem ainda não entendeu isso, está ficando para trás. Um bom exemplo é o setor financeiro. O Banco Itaú, por exemplo, investe fortemente em SOCs avançados, autenticação multifator, gestão de risco integrada e programas de conscientização que envolvem desde analistas até a diretoria. Esse investimento se traduz em confiança do mercado e dos clientes. Outro caso positivo vem do setor de saúde. A Dasa implementou uma governança de dados robusta combinada com práticas de segurança da informação, integrando proteção de dados à jornada do paciente. Isso permitiu não apenas atender à LGPD com efetividade, mas também melhorar processos internos e fortalecer a reputação da marca.

Outro ponto crítico é um gap enorme de conhecimento técnico dentro das equipes de TI. Não adianta investir em tecnologia de ponta se sua equipe não está preparada. A falta de formação em segurança dentro dos times de TI ainda é um gargalo crítico. O investimento em capacitação, simulações e cultura de segurança precisa sair do discurso e virar rotina. Sem isso, a reação às ameaças continuará sendo lenta, cara e ineficiente. Investir em formação, treinamento prático e cultura de segurança precisa estar no topo da agenda. É comum ver ferramentas sofisticadas mal configuradas, sem monitoramento ou integração com os processos da empresa. A Fortinet estima que faltam mais de 530 mil profissionais de cibersegurança na América Latina, e o Brasil lidera esse déficit. O investimento em capacitação, simulações e cultura de segurança precisa sair do discurso e virar rotina. Isso vale para todos, do analista ao C-level. Não dá mais para fingir que treinamento é algo “para depois”. Não dá mais para fingir que capacitação é algo “para depois”, ou “estamos pensando sobre o assunto”.

A transformação da segurança digital no Brasil não depende apenas de novas leis, depende de líderes que enxerguem segurança como um ativo estratégico, de profissionais comprometidos com a evolução contínua e de uma cultura organizacional que trate o tema com a seriedade que ele exige.

E boas práticas já existem, só é preciso amplificá-las. Empresas como Natura, Magazine Luiza e bancos digitais como Nubank vêm apostando em segurança by design, squads multidisciplinares de privacidade, gestão proativa de riscos e simulações contínuas de resposta a incidentes. Isso mostra que é possível, sim, fazer diferente e melhor.

Se queremos sair da estagnação, precisamos parar de tratar segurança como um problema do “time de TI” e começar a tratá-la como o que realmente é, um diferencial competitivo, uma prioridade estratégica, um compromisso com o futuro e uma responsabilidade de negócio.