Site Search

Loading Results

Pesquisa Global Digital Trust Insights de 2025
Pesquisa Global Digital Trust Insights de 2025
  • Fevereiro 04, 2025

Resiliência cibernética: como superar os desafios diante da expansão dos ataques

68%

dos CEOs brasileiros apostam na aceleração do crescimento global (eram 36%, em 2024)

45%

não acreditam que suas organizações sobreviverão por mais de dez anos (41%, em 2024)

30%

consideram a falta de talentos qualificados a maior ameaça aos negócios (23% no mundo)

34%

identificaram aumento de receita graças à adoção da IA generativa (32% no mundo)

As empresas precisam fortalecer sua resiliência cibernética diante da expansão da superfície de ataque causada por avanços em inteligência artificial (IA), dispositivos conectados e tecnologias de nuvem, além de um cenário regulatório em constante evolução.

Apesar da ampla conscientização sobre os desafios dessa empreitada, ainda existem vulnerabilidades importantes. Para proteger suas organizações, os executivos devem tratar a cibersegurança como prioridade constante na agenda corporativa, integrando-a a cada decisão estratégica e promovendo a colaboração entre os líderes executivos.

A Pesquisa Global Digital Trust Insights 2025 da PwC, realizada com 4.042 executivos de negócios e tecnologia de 77 países, incluindo o Brasil, revelou deficiências importantes que as empresas precisam corrigir para alcançar a resiliência cibernética nas seguintes áreas:

Implementação da resiliência cibernética: apesar das crescentes preocupações com os riscos cibernéticos, apenas 2% dos executivos globais entrevistados afirmam que suas empresas executaram ações de resiliência cibernética em todas as áreas avaliadas na pesquisa.

Preparação: as organizações se sentem menos preparadas para lidar com as ameaças cibernéticas mais preocupantes, como riscos relacionados à nuvem e violações de terceiros.

Participação dos CISOs: apenas cerca de metade dos executivos no Brasil e no mundo dizem que seus CISOs estão extremamente envolvidos no planejamento estratégico, nos relatórios ao conselho e na supervisão das implantações tecnológicas.

Confiança no compliance regulatório: CEOs e CISOs/CSOs apresentam níveis diferentes de confiança na capacidade da empresa de cumprir as regulamentações, especialmente em relação à IA, resiliência e infraestrutura crítica.

Medição do risco cibernético: embora os executivos reconheçam a importância de medir o risco cibernético, globalmente menos da metade o faz de maneira eficaz e apenas 15% no Brasil e no mundo medem o impacto financeiro dos riscos cibernéticos de forma significativa.

Tudo isso aponta para a necessidade de melhorar a colaboração entre os executivos da alta administração e fazer investimentos estratégicos para fortalecer a resiliência cibernética.

Panorama de ameaças e riscos emergentes Como enfrentar as ameaças cibernéticas: estratégia unificada de preparação

À medida que o cenário de cibersegurança evolui, as organizações enfrentam ameaças cada vez mais voláteis e imprevisíveis. A expansão da superfície de ataque – impulsionada pela maior dependência de recursos como nuvem, IA, dispositivos conectados e terceiros – exige uma abordagem ágil e abrangente para garantir a resiliência. Alinhar as prioridades e a preparação organizacional é fundamental para manter a segurança e a continuidade dos negócios.

Despreparados para as ameaças mais preocupantes

As maiores preocupações das organizações são justamente aquelas para as quais elas estão menos preparadas. As quatro principais ameaças – relacionadas a nuvem, violações de terceiros, operações de hack-and-leak e ataques a produtos conectados – são também as que os executivos de segurança se sentem menos aptos a enfrentar. Essa deficiência ressalta a urgência de investimentos melhores e capacidades de resposta mais robustas.

Além disso, há uma diferença de percepção entre os executivos de segurança e o restante da organização, com CISOs e CSOs mais propensos a incluir o ransomware entre suas três principais preocupações. Isso reflete seu papel, mais focado em cibersegurança e TI, e seu maior entendimento das vulnerabilidades. É um cenário que reforça a importância de uma melhor troca de informações entre as lideranças para alinhar as prioridades.

Preocupação com ameaças cibernéticas e a preparação para enfrentá-las

(% dos participantes que classificaram as alternativas entre as três primeiras)

Pergunta: nos próximos 12 meses, com quais das seguintes ameaças cibernéticas sua organização está mais preocupada (por exemplo, riscos para a marca, perda dos negócios ou disrupção dos negócios, compliance)? Selecione e classifique até três opções, sendo 1 a maior prioridade de mitigação.

Pergunta: nos próximos 12 meses, quais das ameaças cibernéticas você acha que sua organização está menos preparada para enfrentar? Selecione e classifique até três opções, sendo

Ação recomendada para a liderança

Enfatize para o restante da alta administração as ameaças que mais expõem o negócio a riscos, especialmente se for necessário redirecionar os investimentos.

Com base em conversas com os executivos encarregados de riscos, avalie como determinadas ameaças podem comprometer a segurança da informação e da infraestrutura de maneira geral, e quais ameaças representam os maiores obstáculos à resiliência.

Obtenha uma compreensão mais profunda do CISO e CRO sobre as principais prioridades de gestão e investimento em cibersegurança.

Reúna-se regularmente com o CRO e CISO para entender os vetores de ameaça que mais preocupam. Garanta que esteja recebendo relatórios frequentes sobre os esforços atuais de mitigação de ameaças.

Compreenda os principais riscos cibernéticos da organização e faça perguntas difíceis à gestão. Como os riscos estão sendo mitigados? Temos planos e recursos suficientes para abordar proativamente os riscos e responder caso um incidente ocorra?

Tecnologias emergentes e IA generativa Como equilibrar oportunidades e riscos das novas tecnologias

Embora o rápido avanço da IA generativa esteja trazendo novas oportunidades em diversos setores, ele também leva a riscos de cibersegurança. Quando as organizações adotam a IA generativa e outras tecnologias emergentes, a alta direção deve tratar de vetores de ataque mais complexos e imprevisíveis, obstáculos de integração e a natureza ambivalente da IA generativa, que pode ser usada tanto para a defesa quanto para o ataque cibernético.

Usando a IA generativa para defesa cibernética: oportunidades e desafios

Embora a IA generativa esteja aumentando a superfície de risco a ataques cibernéticos para a maioria das organizações, os executivos também estão usando essa mesma tecnologia para defesa cibernética. As três principais maneiras de aproveitar a IA generativa são: detecção e resposta a ameaças; inteligência de ameaças; e detecção de malware/phishing.

No entanto, apesar dessas oportunidades, as organizações enfrentam vários obstáculos ao incorporar a IA generativa em suas estratégias de defesa cibernética.

Ação recomendada para a liderança

Impulsione a padronização em todo o ambiente tecnológico para integrar a IA nas defesas cibernéticas. Aplique direitos de acesso individualmente para identificar possíveis vetores de ataque.

Elabore uma avaliação de impacto da IA para orientar os executivos sobre as áreas nas quais o investimento e a implementação são mais estratégicos. Prepare as plataformas para garantir escalabilidade conforme o uso da IA generativa aumenta.

Trabalhe em conjunto com o CISO para priorizar a segurança e a confidencialidade da proteção de dados financeiros.

Melhore seus protocolos de governança de dados e avalie os riscos de privacidade de dados em conformidade com as leis de privacidade e a orientação dos reguladores.

Colabore com outras equipes de riscos e conformidade para prevenir usos indevidos de dados e possíveis exposições legais.

Mudanças regulatórias Um mundo cibernético cada vez mais regulado: as empresas estão preparadas?

Os frameworks regulatórios exigem que as empresas passem a cumprir rapidamente uma crescente gama de requisitos. Um aumento nas novas regulamentações – Digital Operational Resilience Act (DORA), Cyber Resilience Act, AI Act, Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA), Singapore Cybersecurity Act, entre outras – ressalta a urgência com que as organizações precisam alinhar suas práticas a essas expectativas cada vez maiores. Superar esses desafios é fundamental para desenvolver uma postura de cibersegurança sólida e em compliance com os requisitos, capaz de resistir ao escrutínio regulatório e às novas ameaças.

Gap de confiança: CISOs estão menos seguros do que CEOs em relação ao compliance cibernético

Embora a percepção seja que as regulamentações de cibersegurança estão beneficiando as organizações, há uma diferença significativa na confiança entre CEOs e CISOs/CSOs quanto à capacidade de cumprir essas regulamentações.

As maiores divergências dizem respeito ao compliance com requisitos relacionados à IA, resiliência e infraestrutura crítica. Os CISOs, que lidam diretamente com a cibersegurança, estão menos otimistas que os CEOs quanto à capacidade da organização de cumprir essas exigências regulatórias.

Confiança no compliance regulatório da organização

(% de CEO x CISO/CSO que demonstram alta confiança)

Pergunta: quão confiante você está na capacidade da sua organização de cumprir os seguintes tipos de regulamentações que podem ser aplicáveis à(s) localidade(s) em que opera?

Ação recomendada para a liderança

Envie relatórios frequentes aos outros líderes executivos sobre a situação das regulamentações que impactam diretamente as necessidades específicas do setor ou da localidade. Além disso, trabalhe para implementar processos de gestão de mudanças tecnológicas e regulatórias.

Verifique a precisão, completude e justificativa de todas as divulgações regulatórias sobre a gestão de riscos cibernéticos e a postura do programa. Desenvolva uma compreensão clara da materialidade e do impacto específico de um incidente cibernético, incorporando a quantificação de riscos cibernéticos para avaliar e comunicar com precisão os riscos potenciais.

Compreenda as responsabilidades de supervisão para orientar os esforços de compliance, incluindo a coordenação necessária entre diferentes unidades de negócios. Identifique perguntas-chave para fazer aos CISOs a fim de eliminar lacunas de conhecimento sobre a postura de compliance.

Mantenha-se atualizado sobre os requisitos de compliance regulatório e colabore com o CISO e o CRO para incorporar medidas de compliance e monitoramento de forma proativa, a fim de confirmar periodicamente a conformidade.

Defina o grau adequado de detalhamento para atender às exigências de relatórios de programas cibernéticos, mantendo o equilíbrio entre transparência e confidencialidade.

Mantenha-se atualizado sobre novas exigências regulatórias e solicite informações da administração sobre as medidas proativas que estão sendo tomadas como preparação para novas exigências. Compreenda a abordagem da administração para avaliar e divulgar incidentes cibernéticos.

Quantificação do risco cibernético Potencial da quantificação de riscos cibernéticos: principais desafios para as organizações

Com as ameaças cibernéticas evoluindo rapidamente em escopo e sofisticação, a quantificação de risco cibernético se tornou uma ferramenta essencial que as organizações não podem ignorar. No entanto, apesar de seus benefícios amplamente reconhecidos, vários desafios (como problemas de qualidade dos dados e confiabilidade dos resultados) têm impedido uma adoção mais ampla.

Medir o risco cibernético é essencial, mas esse processo ainda é limitado

Embora a maioria dos executivos concorde que avaliar o risco cibernético é crucial para priorizar investimentos em segurança (95% no Brasil e 88% no mundo) e alocar recursos nas áreas de maior risco (96% no Brasil e 87% no mundo), apenas 15% das organizações no Brasil e no mundo o fazem em profundidade (por exemplo, com quantificação extensiva de riscos cibernéticos, uso de automação e relatórios abrangentes).

Benefícios da quantificação de riscos cibernéticos

Pergunta: indique a importância dos seguintes aspectos para a sua organização na quantificação do risco cibernético (apenas respostas “muito” e “extremamente importante”).

Ação recomendada para a liderança

Avalie começar de forma modesta, com um objetivo específico em mente. Aproveite as informações já disponíveis em sua organização (por exemplo, eficácia dos controles, maturidade, dados de incidentes ou perdas). Novas ferramentas podem ajudar na quantificação de riscos, mas não são uma exigência. Defina seu programa e procure tecnologias que apoiem o que você planejou.

Mostre aos executivos os resultados mais impactantes da medição de risco financeiro obtidos por meio de ferramentas e práticas de quantificação. Esses exemplos podem ajudar a convencer a liderança a priorizar e alocar os recursos corretos para as áreas de maior risco.

Trabalhe em conjunto com o CISO e o CRO para obter uma compreensão mais profunda do valor estratégico da quantificação de riscos cibernéticos e dos potenciais custos e oportunidades perdidas por não medir esses riscos.

Compreenda os métodos que sua organização atualmente usa para avaliar o risco cibernético. Cobre da gestão um plano para implementar a quantificação de risco de forma mais ampla, a fim de melhorar a avaliação e os relatórios sobre a postura de risco cibernético da empresa.

Investimentos e prioridades em cibersegurança Investindo na resiliência e promovendo a confiança

Com a crescente relevância da cibersegurança como prioridade corporativa, as organizações estão reconhecendo seu valor como fator estratégico e oportunidade de melhorar sua reputação e confiança. Em resposta, muitas estão aumentando seus orçamentos de cibersegurança, com ênfase especial na proteção e confiança dos dados. Investindo de maneira estratégica nessas áreas, as empresas não apenas aumentam sua resiliência, mas também se destacam positivamente perante seus clientes e o mercado.

Investindo no que mais importa: confiança nos dados e segurança na nuvem caminham juntas

Nos próximos 12 meses, as empresas no Brasil estão priorizando a modernização da tecnologia e a segurança na nuvem acima de outros investimentos em cibersegurança – no mundo, os investimentos em proteção/confiança nos dados têm mais destaque. É importante que as empresas compreendam que proteger informações sensíveis é crucial para manter a confiança dos stakeholders e a integridade da marca.

Executivos de negócios e tecnologia classificam suas prioridades de forma diferente, com base em suas áreas específicas de responsabilidade.

  • Executivos de negócios no Brasil afirmam que a modernização e otimização tecnológica é sua principal prioridade (45%), seguida pela otimização da tecnologia e dos investimentos atuais (44%).
  • Já para os executivos de tecnologia brasileiros, a segurança na nuvem continua sendo a principal prioridade (50%), seguindo a mesma tendência do ano passado. IA generativa e aprendizado de máquina são a segunda prioridade (38%).

Cibersegurança e confiança: o novo diferencial competitivo

As organizações estão enxergando a cibersegurança cada vez mais como um fator-chave de diferenciação para obter vantagem competitiva: 64% dos brasileiros mencionam a integridade e a lealdade da marca (49% no mundo) e 63% citam a confiança do consumidor (57% no mundo) como áreas de influência. À medida que as ameaças cibernéticas aumentam, uma postura forte em cibersegurança não significa apenas proteção – é também a construção de uma reputação na qual clientes e stakeholders possam confiar.  

Posicionando a cibersegurança como uma vantagem competitiva

(% dos participantes que selecionaram “Em grande medida”)

Pergunta: em que medida sua organização posiciona a cibersegurança como vantagem competitiva nas seguintes áreas?

Ação recomendada para a liderança

Traduza para o CFO o argumento de negócio em prioridades de investimento na proteção de dados e segurança na nuvem. Tome como base o valor comercial dos principais resultados (por exemplo, reduzir o tempo de recuperação de dados de missão crítica ou aplicar patches em um sistema).

Determine o valor comercial da proteção de dados e da segurança na nuvem para conquistar a confiança dos stakeholders e tomar decisões de investimento em cibersegurança mais bem fundamentadas.

Colabore com executivos de tecnologia, segurança e finanças para identificar as prioridades mais essenciais de segurança e integridade de dados que guiarão a estratégia de investimento em segurança da informação e nuvem. Confirmar a qualidade e a prontidão dos dados é necessário para aumentar os investimentos em segurança.

Liderança e estratégia cibernética Sua liderança e estratégia cibernética estão promovendo uma verdadeira resiliência?

Desde esforços de resiliência defasados até falhas na participação dos CISOs em decisões estratégicas, há áreas claras nas quais é preciso fazer um alinhamento estratégico. Para alcançar esse objetivo, as organizações devem seguir as melhores práticas de cibersegurança de seus pares de melhor desempenho. Elas também precisam avançar além das ameaças conhecidas, implementando uma abordagem ágil e segura desde a concepção do negócio, buscando construir confiança e resiliência duradoura.

Uma implementação parcial não é suficiente

Apesar da crescente preocupação com o risco cibernético, a maioria das empresas enfrenta dificuldades para adotar plenamente a resiliência cibernética em práticas essenciais. Uma análise de 12 ações de resiliência envolvendo pessoas, processos e tecnologia indica que menos da metade dos executivos acredita que suas organizações implementaram totalmente alguma dessas ações.

Mais preocupante ainda, apenas 2% no mundo afirmam que todas as 12 ações de resiliência foram implementadas na organização. Isso deixa uma vulnerabilidade evidente – sem resiliência em toda a empresa, as organizações permanecem perigosamente expostas às ameaças crescentes que podem comprometer toda a operação.

Algumas áreas essenciais que demandam atenção coordenada de toda a organização.

  • Criar uma equipe de resiliência com integrantes de funções como continuidade dos negócios, cibersegurança, gestão de crises e gestão de riscos.
  • Desenvolver um plano de recuperação cibernética para cenários de perda de TI.
  • Mapear dependências tecnológicas.
Implementação de ações de resiliência cibernética em toda a organização

Pergunta: até que ponto sua organização está implementando ou planejando implementar as seguintes ações de resiliência cibernética?

Elevando o papel do CISO: alinhando estratégia com segurança

Muitas organizações perdem oportunidades importantes por não envolverem completamente seus CISOs em iniciativas-chave. No Brasil, cerca de metade dos executivos afirma que seus CISOs estão amplamente envolvidos no planejamento estratégico para investimentos em cibersegurança, relatórios ao conselho e supervisão de implementações tecnológicas – no mundo, os resultados são ligeiramente inferiores. Essa lacuna deixa as organizações vulneráveis a estratégias desalinhadas e posturas de segurança mais fracas.

Envolvimento amplo do CISO nas atividades de negócios

Pergunta: qual o envolvimento do CISO da sua organização nas seguintes áreas?

Ação recomendada para a liderança

Apresente ao restante da alta liderança os motivos pelos quais é essencial que o CISO esteja envolvido na estratégia, no planejamento e na supervisão da mitigação de riscos cibernéticos e da estratégia de resiliência.

Participe de avaliações e exercícios de resiliência cibernética para compreender melhor as lacunas e os desafios que os CISOs podem enfrentar ao integrar melhores práticas, padrões e controles.

Mantenha-se informado sobre o desenvolvimento dos programas de risco cibernético, especialmente no que diz respeito à exposição a riscos e ameaças cibernéticas da organização, para cumprir responsabilidades crescentes de supervisão e governança.

Sobre a pesquisa

A Pesquisa Global Digital Trust Insights 2025 é um levantamento realizado com 4.042 executivos de negócios e tecnologia, entre maio e julho de 2024.

Um quarto dos executivos representa grandes empresas com receitas de US$ 5 bilhões ou mais. Os respondentes atuam em diversos setores, como indústria e serviços (21%); tecnologia, mídia e telecomunicações (20%); serviços financeiros (19%); varejo e consumo (17%); energia e serviços de utilidade pública (11%); saúde (7%) e governo (4%).

Os respondentes são de em 77 países, com a distribuição regional da seguinte forma: Europa Ocidental (30%), América do Norte (25%), Ásia-Pacífico (18%), América Latina (12%), Europa Central e Oriental (6%), África (5%) e Oriente Médio (3%).

A Pesquisa Global Digital Trust Insights (DTI) era antes conhecida como Global State of Information Security Survey (GSISS). Em seu 27º ano, é a pesquisa anual mais antiga sobre tendências em cibersegurança. Também é a maior do setor de cibersegurança e a única que conta com a participação de altos executivos de negócios, e não apenas de executivos de segurança e tecnologia.

A pesquisa foi conduzida pelo PwC Research, nosso Centro de Excelência Global para pesquisa de mercado e insights.

Resiliência cibernética: como superar os desafios diante da expansão dos ataques

Acesse o relatório completo

Download (PDF of 5.67mb)

Contatos

Eduardo Batista

Eduardo Batista

Sócio e líder de Cibersegurança e Privacidade, PwC Brasil

Tel: 4004 8000

Linkedin Follow Email
Magnus Santos

Magnus Santos

Sócio, PwC Brasil

Tel: 4004 8000

Linkedin Follow Email
Larissa Escobar

Larissa Escobar

Sócia, PwC Brasil

Tel: 4004 8000

Linkedin Follow Email
Siga a PwC Brasil nas redes sociais
Canal de Ética Escritórios PwC no mundo Fale Conosco PwC Alumni

© 2019 - 2025 PwC. Neste documento, “PwC” refere-se à PricewaterhouseCoopers Brasil Ltda., firma membro do network da PricewaterhouseCoopers, ou conforme o contexto sugerir, ao próprio network. Cada firma membro da rede PwC constitui uma pessoa jurídica separada e independente. Para mais detalhes acerca do network PwC, acesse: www.pwc.com/structure.