O maior erro estratégico da década em segurança digital e seus impactos para as empresas

Não é exagero: dados da PwC mostram que somente 2% das empresas têm resiliência cibernética total, enquanto o custo médio de uma falha no Brasil já beira os R$ 7 milhões, segundo a IBM. Ou seja, pagamos o preço de uma Ferrari para consertar um problema que poderia ter sido evitado com o preço de uma revisão.

Reduzir cibersegurança a custo ou a um problema isolado de TI é a raiz desse comportamento. É também o maior erro estratégico que uma organização pode cometer. Segurança digital não é um produto, uma compra pontual ou um projeto com começo e fim. É uma jornada contínua que exige investimento, governança e disciplina, que define competitividade, confiança e continuidade.

A maturidade até tem aumentado, impulsionada pelo volume crescente de ataques e pela exposição na imprensa especializada. Mas há um abismo entre “saber o que precisa ser feito” e “conseguir executar”. Times técnicos entendem necessidades, falhas, riscos e prioridades, mas ainda carecem de autonomia política e orçamento para defender uma estratégia abrangente junto aos decisores. Enquanto alguns setores contam com regulamentações obrigatórias que ajudam a justificar investimentos, como finanças, indústria, varejo, outros operam sem exigências formais, adotando práticas voluntárias que raramente são suficientes.

Nesse contexto, a evolução dos ataques não espera. Criminosos passaram a usar IA para aumentar escala, precisão e velocidade. O ataque não é mais artesanal; é produção em linha. Casos recentes evidenciam a mudança de patamar: um deepfake de voz em 2019 clonou o tom e o ritmo de um CEO, gerando prejuízos de US$ 240 mil; em 2020, campanhas de phishing automatizadas replicaram comunicações internas e induziram funcionários a entregar credenciais; em 2021, uma vulnerabilidade zero-day explorada automaticamente comprometeu cerca de mil empresas em um único ataque à cadeia de suprimentos; em 2022, ataques DDoS passaram a ajustar tráfego em tempo real; e em 2023, um ransomware selecionou por IA, antes de criptografar, os dados mais críticos de uma organização de saúde.

Esse repertório deixa claro que os atacantes se modernizam com velocidade, enquanto parte das empresas ainda luta com problemas previsíveis: equipamentos obsoletos, credenciais fracas, configurações incorretas, falta de treinamento e falta de arquitetura de segurança pensada desde o início. Nada disso exige tecnologias sofisticadas; exige prioridade. O tripé permanece atual: tecnologia, processos e pessoas.

E aqui surge um paradoxo que gestores não podem mais ignorar: as empresas falham no básico porque ainda contam, consciente ou inconscientemente, com a baixa probabilidade do pior cenário.

Só que essa probabilidade mudou. Automação e IA escalam ataques que antes exigiam esforço humano, permitindo que criminosos testem milhões de alvos simultaneamente. Bots não analisam faturamento ou reputação: testam portas abertas, exploram falhas óbvias e usam empresas pequenas como ponte para atingir as grandes. A lógica é matemática, não pessoal.

Diante disso, decisões estratégicas precisam migrar da esperança para a clareza. O primeiro passo é aceitar que segurança não começa com a compra de ferramentas, mas com fundamentos bem executados: mapeamento de ativos críticos, cultura de conscientização, senhas fortes, MFA, patches em dia, backups isolados, controle rigoroso de acessos e um plano de resposta a incidentes. Estes elementos não são novidades — mas continuam ausentes porque ainda são vistos como “básicos”. O básico só é básico até falhar.

E quando falha, a liderança enfrenta perguntas que deveriam ter sido respondidas antes: quanto custa ficar três ou dez dias com a operação crítica parada? Como clientes e fornecedores reagiriam? Se um ataque ocorrer hoje às 16h, existe clareza sobre quem aciona quem, o que isolar primeiro e como retomar a operação?

A reflexão final talvez seja a mais importante: E se a convicção de que “aqui isso não vai acontecer” estiver simplesmente errada?

A maioria das empresas ainda não está preparada nem para ataques comuns, quanto mais para ofensivas com IA. Esta é uma realidade que precisa mudar com urgência e que exige a participação conjunta de empresas, órgãos reguladores, associações setoriais e, sobretudo, líderes capazes de enxergar segurança digital como vantagem competitiva e não como custo.

Transformar segurança em disciplina organizacional não é opcional. É o que diferencia empresas que somente reagem das que permanecem relevantes.

Plinio Fava, Diretor de Cybersecurity, Networking & Employee Experience da Axians Brasil.