A maturidade cibernética média das organizações analisadas é de apenas 1,61 em uma escala de 0 a 5, um patamar considerado crítico. Além disso, a probabilidade de sofrer um ataque grave nos próximos meses é de 7,3 (em uma escala de 0 a 10), demonstrando que, para muitas empresas, uma invasão é apenas uma questão de tempo.

A pesquisa analisou 62 empresas de 13 setores diferentes e revelou que o segmento financeiro possui o maior índice de maturidade cibernética, enquanto o setor de educação apresenta a menor capacidade de defesa contra ataques. O estudo foi conduzido com base em quatro pilares fundamentais: Processos, Governança, Tecnologias e Pessoas.

Os processos de segurança digital estão implementados em apenas 33% das empresas analisadas. Além disso, 55% das organizações nunca realizaram monitoramento de ameaças e apenas 23% possuem um processo estruturado de desenvolvimento seguro. Outro dado relevante é a gestão de risco de terceiros: somente 25% das organizações analisam de forma estruturada os riscos cibernéticos de seus parceiros e fornecedores. Além disso, apenas 20% contam com um Sistema de Gestão de Continuidade de Negócios, essencial para a recuperação em caso de incidentes.

A governança também se mostra deficiente, já que apenas 35% das empresas possuem estruturas bem definidas para a segurança digital, com indicadores corretos, auditorias de compliance e alinhamento com a estratégia do negócio. O estudo aponta ainda que apenas 18% das organizações implementaram um Plano Diretor de Segurança da Informação (PDSI) com estratégia de longo prazo validada pela alta administração.

A implementação de tecnologias de segurança também apresenta falhas. Apenas 25% das empresas possuem ferramentas totalmente implementadas. Outros 36% implantaram soluções de proteção, mas ainda precisam de melhorias, enquanto 39% nunca adotaram soluções adequadas para mitigar riscos.

Embora 58% das empresas tenham uma equipe de cibersegurança estruturada, apenas 33% possuem um time com capacidade suficiente para gerenciar riscos e elevar o nível de proteção digital. Segundo Renan Freitas Carvalho de Araújo, Diretor de Operações de Cibersegurança da VULTUS, a falta de controle sobre acessos privilegiados é um dos principais problemas. "O vazamento de credenciais aumentou significativamente, permitindo invasões silenciosas. Sem uma gestão adequada, um atacante pode se passar por um funcionário e comprometer sistemas internos de maneira irreversível".

O impacto médio de ataques cibernéticos foi avaliado em 8,5 (escala de 0 a 10), indicando alto potencial de danos financeiros e operacionais. A boa notícia é que elevar a maturidade cibernética pode reduzir os riscos em até 40% ao ano. De acordo com a VULTUS, cada avanço de três pontos percentuais na segurança digital reduz em um ponto percentual a exposição a ataques. Empresas que adotam um PDSI estruturado conseguem minimizar significativamente sua vulnerabilidade.

O estudo foi realizado ao longo de 2024, utilizando metodologias consagradas como NIST CSF, RTA VULTUS, Defense in Depth, FAIR, OBZ Falconi, MITRE ATT&CK®, entre outras. Com esse panorama, especialistas alertam que é urgente que as empresas invistam em estratégias robustas de cibersegurança para mitigar riscos e garantir a continuidade dos seus negócios.