Como medir riscos cibernéticos para transformar os orçamentos em Cyber?

O que falta para as organizações superarem os desafios de resiliência cibernética em um cenário de expansão da superfície de ataque? Essa questão é levantada na pesquisa Global Digital Trust Insights 2025, da PwC, que entrevistou mais de 4 mil executivos de negócios no Brasil e no mundo para analisar quais contextos os líderes estão inseridos e como eles buscam responder a isso.

De acordo com o estudo, embora as novas tecnologias, como recursos de nuvem, Inteligência Artificial e ampla conectividade, tragam importantes benefícios à produtividade comercial, elas também estão na raiz do aumento das possibilidades de incidentes cibernéticos. Isso se deve, em especial, à demanda crescente por novos avanços processos de gestão de riscos em Segurança da Informação.

Nesse sentido, os entrevistados apontam reconhecer a importância de contar com parâmetros eficientes de Cyber risk. De acordo com a PwC, 95% dos executivos no Brasil veem como crucial avaliar o risco cibernético para priorização dos investimentos em Cyber Security, e 98% apontam que esse é um subsídio bastante útil para ampliar a comunicação e avaliação das ameaças à corporação pela alta direção.

No entanto, menos da metade das organizações promove medições adequadas nesse quesito, e apenas 15% delas – nacional e internacionalmente – conseguem medir o impacto financeiro que os riscos de SI podem oferecer à continuidade do negócio. Esse contexto é especialmente preocupante no uso da IA: 37% dos Líderes no Brasil consideram que suas empresas possuem controles insuficientes de gestão de riscos dessa tecnologia.

“Com as ameaças cibernéticas evoluindo rapidamente em escopo e sofisticação, a quantificação de risco cibernético se tornou uma ferramenta essencial que as organizações não podem ignorar. Nesse sentido, a padronização de políticas e controles precisa ser impulsionada em todo o parque tecnológico para integrar inovações e defesas cibernéticas”, acrescenta a consultoria.

A PwC aponta que trazer uma nova abordagem para esse tópico demanda que os CISOs guiem a empresa em uma nova jornada de apuração da superfície de risco e mensuração do quanto a organização pode suportar como prioritário. O primeiro passo sugerido é aproveitar informações já disponíveis na empresa e, a partir disso, ampliar a quantificação desses riscos com um programa bem definido e, se necessário, tecnologias que apoiem essa análise.

CISOs menos confiantes com compliance

Outro alerta levantado pela Global Digital Trust Insights 2025 envolve a mobilização internacional por mais consolidação dos padrões de compliance em Segurança da Informação. Os dados coletados indicam que, nesse aspecto, os CISOs se mostram menos seguros com a qualidade do compliance corporativo que as lideranças executivas.

Em relação à confiança da organização em cumprir as regulamentações aplicáveis a um setor em específico, 67% dos CEOs se dizem seguros do pleno cumprimento de compliance em IA; 68% em infraestrutura crítica e 64% em proteção de dados. Já 54% dos CISOs disseram o mesmo em IA; 57% em infraestrutura crítica e 54% em proteção de dados.

Para responder a essa demanda, é recomendável que os C-Levels utilizem essas transformações como oportunidade para aprimorar a Segurança Cibernética. Nesse sentido, é importante transmitir relatórios frequentes à base de líderes executivos sobre os avanços das regulamentações que impactem diretamente as necessidades específicas do setor ou da localidade.

“Os frameworks regulatórios exigem que as empresas passem a cumprir uma crescente gama de requisitos. Um aumento nas novas regulamentações ressalta a urgência com que as organizações precisam alinhar suas práticas a essas expectativas. Superar esses desafios é fundamental para desenvolver uma postura de Cibersegurança e em compliance com os requisitos, capaz de resistir ao escrutínio regulatório e às novas ameaças”, conclui o estudo.