Brasil é o 2º mais atacado no mundo digital

Um cartaz colado em um poste promete: “Adequo sua empresa à LGPD em 24 horas.” Parece absurdo, mas, na prática, muitas organizações brasileiras seguem operando com essa mesma lógica: tratam cibersegurança como algo simples, rápido e, principalmente, adiável.

Cibersegurança deixou de ser um tema operacional. Hoje, é risco de negócio, risco jurídico e risco pessoal

Dentro das empresas, no entanto, a realidade é outra. O diagnóstico já foi feito. Os riscos já foram mapeados. As vulnerabilidades são conhecidas. As soluções foram apresentadas, com custo, prazo e impacto. E ainda assim, a resposta se repete: “vamos avaliar no próximo ciclo orçamentário”. O problema não é técnico. É decisão.

O Brasil ocupa hoje, de forma consistente, a posição de segundo país mais atacado ciberneticamente no mundo. No terceiro trimestre de 2024, foram 2.766 ataques semanais por organização, quase 50% acima da média global.

No primeiro semestre de 2025, registramos 314,8 bilhões de tentativas de ataque, concentrando 84% de toda a atividade maliciosa da América Latina. Isso não é tendência. É uma realidade consolidada, crescente e já fora de controle para quem insiste em tratar o tema como secundário. 

Os impactos já são concretos e recorrentes: prejuízos milionários no sistema financeiro, paralisação de serviços públicos, hospitais interrompendo atendimentos, instituições expostas e operações comprometidas. Não são eventos isolados. São consequências diretas de decisões que foram adiadas — ou simplesmente ignoradas.

Cibersegurança deixou de ser um tema operacional. Hoje, é risco de negócio, risco jurídico e risco pessoal para a alta gestão. A LGPD está em vigor, com sanções que podem chegar a 2% do faturamento, limitadas a R$ 50 milhões por infração, além de danos reputacionais que, em muitos casos, são irreversíveis.

E quando o incidente acontece, não é a área técnica que responde institucionalmente. É a liderança. É o nível decisório que, por ação ou omissão, assumiu o risco.

Existe hoje um desalinhamento estrutural nas organizações: quem entende o risco não decide, e quem decide ainda não internalizou a dimensão do risco. Esse é o verdadeiro problema.

E há um dado que deveria encerrar qualquer discussão: cada R$ 1,00 investido em cibersegurança preventiva economiza entre R$ 5,00 e R$ 10,00 em custos de resposta, recuperação e danos reputacionais.

Não se trata de discurso comercial, mas de histórico consolidado de mercado. Ainda assim, segurança segue sendo tratada como custo a ser postergado, quando, na prática, é um dos investimentos com maior retorno financeiro e estratégico disponível hoje.

O mercado não carece de soluções. Existem tecnologias maduras, profissionais qualificados e modelos testados em ambientes críticos no mundo todo. O Brasil tem capacidade técnica. O que falta é prioridade. O que falta é decisão da alta gestão em tratar o tema com o nível de seriedade que ele exige.

 O cartaz do “milagre em 24 horas” não é o problema. Ele é apenas o reflexo de uma cultura que ainda busca soluções rápidas para riscos estruturais. Cibersegurança não se resolve com promessa. Se resolve com governança, investimento e liderança.

A questão, portanto, não é se sua organização vai investir. É se está disposta a assumir, conscientemente, o risco de não investir. Porque, no cenário atual, adiar decisão já é uma decisão — e o custo dessa escolha aumenta todos os dias.

Oscar Soares Martins é consultor e especialista em cibersegurança e em IA.