Nos últimos anos, o Brasil consolidou-se como um dos países mais visados por ataques cibernéticos, cenário que tem pressionado as empresas a amadurecerem suas práticas de segurança digital. Ainda assim, apesar dos avanços, as fragilidades permanecem evidentes. É o que mostra um estudo inédito conduzido pela Zurich entre 2020 e 2024, que avaliou a maturidade em gestão de riscos cibernéticos de 577 grandes empresas brasileiras, todas com faturamento superior a US$ 10 milhões e pertencentes a setores como energia, indústria de base, tecnologia, saúde, ensino, varejo e serviços jurídicos.

• Participe dos nossos canais no Twitter, Telegram ou Whatsapp!
• Confira nossos stories no Instagram e veja notícias como essa!
• Siga o tecflow no Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui ou apoie o tecflow clicando neste link
• Assine nossa newsletter neste link.

Os resultados revelam um quadro ambíguo: de um lado, a proporção de organizações classificadas com risco insatisfatório ou ruim caiu de 93% para 55% no período, sinalizando uma evolução consistente. De outro, mais da metade das empresas ainda se encontra em patamares preocupantes de vulnerabilidade, com lacunas críticas em planos de resposta a incidentes, recuperação de desastres, monitoramento de comportamentos suspeitos e controles básicos de acesso.

Esse avanço gradual tem sido impulsionado por fatores como o aumento da frequência e sofisticação dos ataques, a entrada em vigor da LGPD, que trouxe novas responsabilidades regulatórias, e uma crescente conscientização da alta liderança sobre os impactos financeiros e reputacionais das falhas de segurança. Mas, segundo o estudo, o desafio está longe de ser superado.

Para compreender melhor os principais pontos de atenção e explorar como o mercado segurador pode atuar como aliado na construção de ambientes digitais mais resilientes, o tecflow entrevistou Hellen Fernandes, gerente de Linhas Financeiras da Zurich Seguros. Na conversa, ela analisa os resultados do levantamento, comenta as barreiras que ainda impedem a evolução das empresas e explica como iniciativas como o programa +Resiliência buscam transformar o seguro cibernético em uma ferramenta estratégica e contínua de gestão de riscos.

tecflow: O estudo mostrou uma evolução significativa na maturidade das empresas brasileiras em gestão de riscos cibernéticos, mas ainda com 55% classificadas em nível insatisfatório ou ruim. Quais são, na visão da Zurich, os fatores que mais explicam essa lacuna persistente?

 Hellen Fernandes, gerente de Linhas Financeiras da Zurich Seguros: Desde 2016, temos observado que as empresas brasileiras vêm aumentando sua conscientização sobre o risco cibernético e passando a investir de forma mais estratégica em suas práticas de maturidade e governança. Algumas organizações avançaram mais rapidamente nesse processo — muitas vezes por já terem uma cultura de continuidade de negócios consolidada, uma maior exposição a mercados internacionais ou por precisarem se adequar mais cedo a legislações específicas. Essas companhias saíram na frente e vêm aprofundando sua especialização.

Por outro lado, ainda existe uma parcela relevante de empresas que, seja por restrições de investimento, falta de entendimento claro sobre o risco ou menor maturidade em governança, não conseguiram acompanhar esse ritmo de evolução. Esses são justamente os fatores centrais que explicam a persistência das lacunas: a ausência de planos testados de resposta a incidentes, controles de acesso pouco eficazes, monitoramento insuficiente de comportamentos suspeitos e práticas básicas de proteção ainda pouco adotadas.

É nesse contexto que o mercado segurador tem um papel importante a desempenhar: apoiar essa jornada com ferramentas de diagnóstico, assessments estruturados e soluções que ajudem a priorizar investimentos e elevar gradualmente o nível de proteção. Foi nesse sentido que a Zurich implementou o programa +Resiliência, que permite às empresas utilizar créditos em serviços técnicos da nossa área de engenharia de riscos para evoluir em seus processos. O ponto fundamental é lembrar que estamos falando de uma jornada contínua: as ameaças se transformam o tempo todo, e por isso é essencial revisar políticas, aprimorar controles e treinar equipes de forma permanente, garantindo que a resiliência acompanhe a dinâmica dos riscos.

Outro fator é que muitas empresas acreditam que estar em conformidade com legislações como a LGPD já seria suficiente para estar protegidas. A conformidade regulatória é necessária, mas não substitui uma estratégia robusta de gestão de riscos cibernéticos.

tecflow: Entre os principais gaps identificados estão falhas em planos de resposta a incidentes e recuperação de desastres. O que impede as empresas de estruturarem ou testarem esses planos de forma adequada?

Hellen Fernandes: Um dos principais gaps identificados está no fato de que muitas empresas até possuem planos de resposta a incidentes, mas não os testam de forma adequada. Quando um ataque acontece, a falta de prática faz com que, na hora da crise, ninguém saiba exatamente como agir. Isso tem um impacto emocional muito forte nas equipes e pode levar a decisões precipitadas, que acabam agravando o incidente em vez de contê-lo.

Os exercícios simulados são fundamentais porque permitem que todas as áreas envolvidas participem de cenários realistas e entendam claramente como devem se posicionar e reagir. Esse tipo de treinamento exige planejamento, disponibilidade de tempo e engajamento de diferentes áreas, mas é um processo de evolução que realmente pode mitigar os impactos de um ataque.

No caso dos planos de recuperação de desastres, o desafio costuma ser ainda maior: muitas vezes os testes envolvem paradas controladas das operações para medir tempos reais de recuperação, o que demanda investimento, tempo e um planejamento cuidadoso para que o próprio teste não prejudique a rotina da empresa. Outro ponto comum é que algumas organizações realizam simulações muito genéricas; o ideal é que sejam exercícios específicos e periódicos (de preferência, ao menos semestrais).

Sendo assim, os fatores centrais que dificultam a estruturação e o teste desses planos são investimento, tempo, planejamento e disponibilidade das equipes. Mais do que escrever o plano, é essencial praticá-lo e revisá-lo continuamente, para que a organização esteja de fato preparada para lidar com situações de crise.

tecflow: A LGPD é citada como um dos fatores que impulsionaram melhorias. De que forma a legislação tem contribuído, na prática, para elevar a maturidade das empresas em segurança da informação?

Hellen Fernandes: A LGPD foi um marco importante porque trouxe para a pauta das empresas brasileiras a necessidade de tratar os dados pessoais de forma responsável e estruturada. Na prática, a lei funcionou como um grande impulsionador de conscientização: mostrou às organizações que proteção de dados não é apenas uma questão técnica, mas também de governança e de responsabilidade perante a sociedade.

Ao estabelecer papéis e responsabilidades claros, a LGPD orientou empresas de todos os portes sobre como lidar com informações sensíveis e quais boas práticas devem ser adotadas. Isso gerou um efeito multiplicador: ao cuidar melhor dos dados pessoais, as organizações passaram a revisar também sua segurança em outras frentes — como o monitoramento de redes, os controles de acesso e os planos de resposta a incidentes.

Outro aspecto relevante é que o compromisso com a proteção de dados passou a ser percebido como um diferencial competitivo, especialmente em setores onde a confiança do cliente é decisiva. Companhias que demonstram maturidade em privacidade e segurança conquistam mais credibilidade no mercado e ampliam suas oportunidades de negócio.

A LGPD não só elevou o nível de exigência regulatória, mas também contribuiu para que o ambiente brasileiro como um todo avançasse na gestão de riscos cibernéticos, ajudando a criar uma cultura de segurança mais robusta.

tecflow: O estudo revela que empresas que seguiram as recomendações da Zurich melhoraram em média 22% seu nível de risco cibernético. Quais medidas simples, de baixo custo, trazem resultados mais rápidos e efetivos nessa evolução?

Hellen Fernandes: Muitas dessas melhorias estão ligadas a medidas relativamente simples, que exigem mais disciplina e organização do que grandes investimentos financeiros.

O primeiro ponto é a conscientização interna. A proteção cibernética não depende apenas de sistemas ou ferramentas, mas também do comportamento das pessoas. Conversar com os colaboradores sobre seu papel na proteção de dados, reforçar boas práticas no dia a dia e oferecer treinamentos regulares são medidas acessíveis e de alto impacto. Mesmo em empresas pequenas, encontros rápidos e informais, até em momentos como um café da manhã, podem criar uma cultura em que cada funcionário se torne uma camada extra de defesa.

Outro fator essencial é a governança e o patrocínio da alta gestão para os temas de segurança da informação. Isso passa pela implementação e atualização periódica de políticas claras de:

• Proteção de dados, alinhadas às exigências legais e regulatórias;

• Segurança da informação, revisadas de forma recorrente para acompanhar a evolução das ameaças;

• Gestão de acessos, garantindo o princípio do menor privilégio, ou seja, cada colaborador acessa apenas as informações necessárias para sua função, e retirando imediatamente o acesso de profissionais desligados;

• Resposta a incidentes, com planos estruturados e testados pelo menos semestralmente, para que as equipes saibam exatamente como agir em um cenário de crise.

Essas ações, embora demandem organização, tempo e engajamento, não são necessariamente de alto custo. O que o estudo comprova é que, ao colocar em prática esse conjunto de medidas básicas, as empresas conseguem reduzir significativamente sua exposição a riscos digitais e evoluir rapidamente em maturidade cibernética.

tecflow: O programa +Resiliência é uma novidade apresentada pela Zurich. Como ele se diferencia de outras soluções de mercado e de que maneira contribui para transformar o seguro cibernético em uma ferramenta de gestão de risco contínua?

Hellen Fernandes: A colaboração entre os setores público e privado é um dos pilares mais Como já mencionei na primeira resposta, o programa +Resiliência nasceu exatamente dessa visão de que a maturidade cibernética é uma jornada contínua, e que o seguro precisa ir além da indenização para atuar também na prevenção. O seguro cibernético já é, por natureza, uma ferramenta de gestão de risco, mas com o +Resiliência a Zurich amplia essa proposta de valor ao conectar a apólice a um cardápio de serviços técnicos especializados.

O grande diferencial está na flexibilidade: em vez de oferecer pacotes engessados ou programas internacionais pouco adaptados à realidade local, a Zurich estruturou esse programa a partir das necessidades específicas do mercado brasileiro, mapeadas no estudo de maturidade que realizamos. Isso significa que as empresas podem escolher quais serviços fazem mais sentido para seu perfil — desde treinamentos de conscientização até simulações de phishing, avaliações de vulnerabilidade ou planos de resposta a incidentes.

Outro ponto fundamental é a assessoria técnica da Zurich Resilience Solutions (ZRS), equipe de engenheiros de riscos com experiência internacional e profundo conhecimento do mercado local. São esses especialistas que transformam os créditos do programa em soluções práticas, apoiando os clientes de forma consultiva para que evoluam em governança, monitoramento e capacidade de resposta.

O resultado é que o seguro cibernético deixa de ser apenas uma cobertura financeira para se tornar um instrumento ativo de fortalecimento da resiliência digital. O +Resiliência não substitui essa função, mas agrega uma camada adicional que acelera a curva de aprendizado das empresas, amplia a cultura de prevenção e reforça a parceria de longo prazo entre seguradora, corretores e clientes.

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.