Empresas subestimam riscos digitais e pagam o preço

Por Alexis Aguirre

Apesar do crescimento das ameaças digitais e da sofisticação dos ataques cibernéticos, a gestão de vulnerabilidades ainda é ignorada por muitas empresas. A sensação de segurança, quando na verdade há uma exposição crítica, é o que torna esse tema ainda mais preocupante.

Um levantamento da BugHunt mostra que 75% das empresas não têm um programa contínuo de gestão de vulnerabilidades. E esse descuido tem consequências concretas: somente em 2023, o Brasil registrou mais de 103 bilhões de tentativas de ataques cibernéticos, de acordo com relatório da Fortinet. O país segue como um dos mais visados da América Latina e, mesmo assim, grande parte das organizações ainda adota uma postura reativa, em vez de preventiva.

Em 2021, a T-Mobile sofreu um vazamento de dados que expôs informações pessoais de 79 milhões de pessoas. O incidente resultou em um acordo judicial de US$ 350 milhões e, em 2025, novas ações judiciais foram abertas devido à recorrência de falhas na segurança da informação. No mesmo ano, a gestora Bayview Asset Management expôs dados de 5,8 milhões de clientes e, além de pagar US$ 20 milhões em multas, agora enfrentará uma auditoria federal por não ter coordenado adequadamente a resposta ao incidente com as autoridades competentes. Já no Brasil, a RecordTV foi alvo de um ataque do grupo de ransomware BlackCat em 2025, que sequestrou seu acervo de vídeos e exigiu inicialmente um resgate de US$ 7 milhões, posteriormente reduzido para US$ 5 milhões.

Leia também: IA poderá assumir cargos de recrutadores e assistentes em até um ano, afirma CEO da Perplexity

Esses casos mostram que empresas de diferentes portes e setores, de telecomunicações a serviços financeiros e mídia, continuam pagando caro por negligenciar os riscos digitais. A ausência de práticas como autenticação multifator, atualização constante de sistemas e planos estruturados de resposta a incidentes tem tornado essas organizações alvos fáceis para cibercriminosos.

Em países como os Estados Unidos, a legislação exige que empresas reportem ataques cibernéticos. O não cumprimento pode resultar em penalidades severas, além dos danos causados pelo próprio ataque, entre eles roubo de dados e paralisação de sistemas. Já em países onde não há essa exigência legal, muitas empresas optam pelo silêncio, com medo de prejudicar sua imagem no mercado.

Esse comportamento alimenta uma falsa sensação de segurança. Se ninguém comenta que foi atacado, parece que os riscos não existem. No entanto, é exatamente o contrário: quando as notícias de ataques circulam, o senso de alerta aumenta e, consequentemente, a prevenção. Ignorar o problema não o torna menos real, apenas mais perigoso.

Tripé da Segurança Cibernética

A segurança digital não depende apenas de softwares e firewalls. Ela se apoia em três pilares fundamentais:

1. Tecnologia: ferramentas de defesa e monitoramento são indispensáveis.

2. Processos: planos claros para prevenir, detectar e reagir a incidentes.

3. Pessoas: colaboradores bem treinados para identificar riscos e agir corretamente.

Sem esse equilíbrio, qualquer esforço isolado perde força. Não adianta investir em tecnologia de ponta se os processos são frágeis ou se as equipes não sabem como reagir.

A pesquisa também mostra que 44% das empresas sequer testam suas defesas com regularidade. E 67% delas identificaram vulnerabilidades conhecidas que ainda não foram corrigidas. Esses dados revelam uma desconexão perigosa entre a percepção de segurança e a realidade operacional das organizações.

Muitas empresas só enxergam a gravidade das vulnerabilidades quando é tarde demais. A ausência de incidentes visíveis gera uma ilusão de controle. E, enquanto isso, brechas de segurança acumulam-se em sistemas, redes e aplicações, prontas para serem exploradas.

A falta de senso de urgência é um dos maiores inimigos da gestão de vulnerabilidades. A maioria só se preocupa quando percebe que pode ser o próximo alvo.  Tratar a segurança como prioridade estratégica e implementar uma gestão contínua de vulnerabilidades é o caminho para proteger os ativos mais valiosos de uma organização: dados, reputação e operação.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!