Falsa sensação de segurança deixa empresas brasileiras expostas a ataques
Um levantamento encomendado pela Kaspersky escancara um paradoxo inquietante na cibersegurança das organizações brasileiras. Embora a maioria dos executivos de segurança declare adotar uma postura avançada e preventiva, o dia a dia das operações revela falhas elementares de proteção, que abrem brechas importantes para ataques e incidentes graves.
Segundo a pesquisa CISO Survey, realizada com 300 gestores de segurança de informação na América Latina, 82% dos líderes brasileiros afirmam que sua estratégia de proteção é “proativa”. No entanto, os números mostram um cenário bem menos otimista: uma parcela relevante das empresas ainda não implementou sequer os controles mais básicos de defesa.
Os dados divulgados indicam gargalos estruturais. Cerca de 34% das empresas no Brasil funcionam sem firewall, uma barreira fundamental para filtrar o tráfego e bloquear acessos indevidos. Além disso, 38% dos entrevistados afirmam não usar inteligência de ameaças para antecipar ataques, o que impede uma visão antecipada de novas campanhas maliciosas e técnicas emergentes. Ainda mais alarmante, 30% das organizações não contam sequer com um software antivírus em seus ambientes – algo que deveria ser o ponto de partida de qualquer programa de segurança.
A pesquisa também revela um problema de compreensão conceitual. Para 38% dos CISOs ouvidos, o antivírus é classificado como uma solução “proativa”. Na prática, trata-se de uma ferramenta essencial, mas predominantemente reativa, cuja principal função é identificar, bloquear ou remover ameaças já conhecidas ou que se manifestam no endpoint. Essa leitura equivocada distorce a percepção de maturidade e leva muitas empresas a superestimarem o real nível de proteção de seus ambientes.
Outro ponto de atenção é a forma como tecnologias mais avançadas são percebidas. De acordo com o estudo, 30% dos entrevistados consideram o EDR (Endpoint Detection and Response) uma ferramenta reativa, enquanto 26% têm a mesma opinião sobre o XDR (Extended Detection and Response). Na avaliação da Kaspersky, essa visão está invertida: essas soluções são peças-chave de uma abordagem verdadeiramente preventiva, pois correlacionam dados de múltiplas fontes, detectam comportamentos suspeitos e permitem identificar invasões em estágios iniciais, antes que se transformem em crises amplas.
Para a fabricante de soluções de segurança, essa confusão entre o que é reação e o que é prevenção alimenta um cenário perigoso. “Ao confundir soluções de resposta com estratégias de antecipação, as organizações operam sob uma falsa sensação de segurança que mascara vulnerabilidades latentes”, afirma Roberto Rebouças, gerente-executivo da Kaspersky no Brasil. Ele ressalta que o problema não é apenas técnico, mas também de gestão: a leitura errada sobre o nível de maturidade leva a decisões equivocadas sobre onde investir e quais riscos priorizar.
Na prática, essa percepção inflada de segurança compromete a resiliência do negócio. Em vez de direcionar recursos para evitar incidentes – elevando a capacidade de detecção precoce e a redução da superfície de ataque -, muitas empresas acabam concentrando esforços na resposta a problemas já instaurados. O resultado é uma espécie de “proatividade de fachada”: o discurso é moderno, mas a arquitetura de proteção continua vulnerável, e o impacto financeiro, operacional e reputacional de um ataque tende a ser maior.
Para mitigar esse descompasso entre discurso e realidade, a Kaspersky recomenda uma revisão profunda da governança de segurança da informação. Um dos primeiros passos é a capacitação das lideranças. Workshops executivos podem ajudar a esclarecer, com linguagem de negócios, a diferença entre tecnologias reativas (que respondem ao incidente) e proativas (que buscam antecipá-lo), alinhando expectativas entre times técnicos, diretoria e conselho.
Outra recomendação é o desenvolvimento de roadmaps tecnológicos compatíveis com o nível atual e o nível desejado de maturidade cibernética. Em vez de adotar ferramentas de forma pontual e descoordenada, as empresas devem mapear lacunas, estabelecer prioridades e planejar a evolução de sua arquitetura de segurança em estágios, levando em conta riscos específicos do setor, criticidade de sistemas e disponibilidade de recursos.
A pesquisa também destaca a importância de indicadores claros para acompanhar a eficácia das estratégias. A definição de KPIs (indicadores de desempenho) e KRIs (indicadores de risco) permite medir se as iniciativas de segurança estão, de fato, reduzindo a exposição da organização. Métricas como tempo médio de detecção e resposta, número de incidentes críticos por período, taxa de aplicação de patches e cobertura de ferramentas em endpoints e servidores ajudam a transformar segurança em um assunto mensurável, e não apenas em percepções subjetivas.
Além disso, recomenda-se estabelecer uma agenda recorrente de avaliações de risco, com, no mínimo, revisões trimestrais. Esse processo deve considerar mudanças no ambiente tecnológico, adoção de novas soluções em nuvem, entrada de fornecedores, fusões e aquisições, bem como a evolução constante das ameaças. A segurança não pode ser tratada como um projeto pontual, mas como um ciclo contínuo de revisão, correção e aprimoramento.
Outro ponto estratégico é a automação do uso de inteligência de ameaças, integrando feeds especializados diretamente às plataformas de segurança já existentes. Em vez de analisar dados de forma manual e isolada, o ideal é que sistemas de SIEM, EDR, XDR e firewalls consumam automaticamente essas informações, ajustando regras, alertas e bloqueios de acordo com o que há de mais recente no cenário de ameaças. Essa integração eleva, de forma concreta, o nível de proatividade, já que a defesa passa a se antecipar a campanhas maliciosas recém-identificadas em outros ambientes.
A falsa sensação de segurança tende a ser agravada por fatores culturais e organizacionais. Em muitas empresas, o fato de “nunca ter acontecido nada grave” é usado como justificativa para manter o status quo. Essa ausência de incidentes visíveis é interpretada como prova de eficácia, quando, na verdade, pode significar apenas falta de visibilidade. Sem ferramentas adequadas de monitoramento e detecção, ataques discretos – como movimentações laterais e exfiltração lenta de dados – podem ocorrer sem serem notados por longos períodos.
Outro equívoco comum é enxergar a segurança de forma exclusivamente tecnológica. Firewalls, antivírus e soluções avançadas são essenciais, mas não substituem processos bem definidos e pessoas capacitadas. Políticas de acesso mal delimitadas, ausência de gestão de identidades, colaboradores sem treinamento de conscientização e falhas em contratos com terceiros e fornecedores criam brechas que nenhuma ferramenta sozinha é capaz de cobrir.
Em um contexto de migração intensa para ambientes em nuvem e uso de aplicações SaaS, o risco de ilusão de segurança se amplia. Muitas organizações acreditam que, ao contratar um serviço em nuvem, transferem automaticamente toda a responsabilidade de proteção para o provedor. Porém, o modelo de responsabilidade compartilhada deixa claro que cabe ao cliente configurar acessos, gerenciar identidades, aplicar políticas de segurança e, em muitos casos, cuidar de backups e retenção de dados. Pressupor que tudo está protegido por padrão é uma das formas mais perigosas de falsa confiança.
Do ponto de vista de negócios, essa complacência tem um custo alto. Um incidente de segurança pode paralisar operações, comprometer cadeias de fornecimento, gerar multas regulatórias e danos duradouros à imagem da marca. Investir em prevenção costuma ser financeiramente mais vantajoso do que arcar com os prejuízos de uma violação bem-sucedida. A pesquisa evidencia, porém, que muitas empresas ainda canalizam seus orçamentos para remediação e recuperação, em vez de fortalecer a capacidade de antecipar e bloquear ataques.
Para reverter esse quadro, é fundamental que a alta gestão assuma a segurança como tema estratégico, e não apenas como responsabilidade do departamento de TI. Isso passa por incluir cibersegurança nas discussões de planejamento corporativo, atrelar metas de segurança a objetivos de negócio e garantir que decisões sobre novos projetos – como lançamentos digitais, integrações e expansões – considerem o impacto no risco cibernético desde o início.
Por fim, consolidar uma cultura realmente proativa exige transparência interna. Em vez de buscar apenas indicadores que “mostrem que está tudo bem”, as organizações precisam incentivar a identificação de falhas, a realização de testes de intrusão, exercícios de resposta a incidentes e simulações de crises. Quando vulnerabilidades são vistas como oportunidades de melhoria e não como motivo de punição, a tendência é que os problemas venham à tona mais cedo – permitindo que sejam corrigidos antes de se transformarem em manchetes negativas.
A pesquisa da Kaspersky funciona, assim, como um alerta: não basta rotular a própria estratégia como proativa ou avançada. É necessário confrontar percepções com dados concretos, revisar continuamente a arquitetura de proteção e alinhar tecnologia, processos e pessoas. Só então as empresas conseguirão substituir a falsa sensação de segurança por uma resiliência genuína frente ao cenário crescente de ameaças digitais.