Durante o Security Leaders Porto Alegre, Alexandre Brum, CEO da Vultus, apresentou o 1º Panorama de Risco Cibernético no Brasil, revisitando uma disparidade do setor: em uma escala de 0 a 5, a maturidade média das empresas brasileiras em Segurança da Informação é de apenas 1,61, enquanto o apetite ao risco declarado por essas mesmas organizações chega a 3,45.
“O objetivo do estudo foi conectar a área de Segurança ao negócio. A SI deixou de ser uma função apenas técnica, ela precisa estar alinhada à estratégia corporativa”, afirmou Brum. A pesquisa avaliou 62 empresas de grande porte em 13 setores, utilizando metodologia própria com testes black box e simulações reais de ataque, aliadas a frameworks como NIST e FAIR.
O estudo revela que o Key Risk Indicator (KRI) médio é de 7,97, próximo ao nível severo, em uma escala de 0 a 10. “Existe uma correlação direta: a cada 3 pontos percentuais de aumento em maturidade, há uma redução de 1 ponto percentual no KRI. O problema é que ainda estamos distantes desse cenário ideal”, explica Brum.
Entre os principais destaques da pesquisa está o baixo índice de implementação de processos: apenas 33% das práticas de Segurança estão devidamente estabelecidas nas empresas. Em Governança, 65% das organizações não possuem fóruns executivos para discutir resultados de SI e apenas 18% contam com um plano diretor de Segurança da Informação.
No pilar de pessoas, o cenário também é crítico. “Mesmo entre as empresas que têm uma área de Cibersegurança estruturada, muitas não contam com recursos suficientes para manter uma jornada de melhoria contínua”, alerta Brum.
Para ele, ainda há uma percepção subestimada do risco. “Sem testes de escopo aberto, a visão que se tem sobre o risco é menor do que a realidade. Precisamos de indicadores que reflitam de fato a exposição das organizações”, conclui.
