A pesquisa foi realizada sob dois índices:

- KillChain Score: mensura o nível do impacto dos ataques aos sistemas e dados da organização;

- Identification & Exploitability (I&E) Index: mensura a probabilidade de ocorrência dos ataques, considerando a complexidade de cada um, o quão fácil foi para o atacante identificar os vetores vulneráveis e explorá-los, e a capacidade da empresa de combatê-los no menor tempo possível.

Além disso, foram feitas avaliações de maturidade cibernética em cada empresa, analisando a eficiência de tecnologias, processos, pessoas e governança em Segurança da Informação. Os resultados consideram os próximos 3 anos por ser o período mínimo padrão para as organizações conseguirem consolidar um aumento do nível de maturidade, e a diminuição do KillChain Score e do I&E Index, que consistem nos fatores principais para mitigar os riscos de ataques.

Os setores analisados são: financeiro, varejo, saúde, beleza, indústria, serviços, seguros, mobilidade, tecnologia e energia.

A profundidade dos testes de invasão realizados na pesquisa, a metodologia das avaliações baseada em frameworks globais, e a amostra qualificada garantem aos resultados um retrato fiel do ambiente digital dos negócios no Brasil. E o dado ainda mais preocupante que ele revela é o prejuízo que a cibersegurança mal implementada deve causar às empresas se nada for feito para aumentar seus níveis de maturidade cibernética, e diminuir seus índices de impacto e probabilidade de ataques.

Segundo o cálculo anual da IBM (Cost of Data Breach), o custo médio por violação de dados em 2024 no Brasil foi de US$ 1,36 milhão – ou seja, um único incidente cibernético custou cerca de R$ 8 milhões (na cotação atual do dólar) a cada empresa (a IBM analisou 45 empresas brasileiras). O valor vem aumentando: no relatório de 2023, o custo médio por ataque cibernético sofrido foi de US$ 1,22 milhão.

Considerando que o Brasil possui 466.758 médias e 140.583 grandes empresas (fonte: Econodata) e que 48% delas irão sofrer um ataque caso não reforcem suas barreiras (quase 290 mil empresas), ao correlacionarmos com o custo médio por incidente, temos um montante de mais de US$ 394 bilhões de prejuízos estimados até 2028 (número exato: US$ 394.162.340.000,00).

Os custos dizem respeito a diversos fatores, como paralisação das operações, sequestro de dados e sistemas, acesso a contas bancárias corporativas, e impacto reputacional que a empresa sofre perante os stakeholders (investidores, clientes, fornecedores, parceiros).

“Todas as empresas estão sujeitas a ataques cibernéticos. Isso é consenso no mercado, além de ser evidente nos testes de invasão mais simples. O que mais preocupa são os ataques de alto impacto – e concentramos nosso estudo neles porque, na maioria dos casos, as vulnerabilidades são totalmente desconhecidas pela empresa, são riscos residuais que ninguém faz ideia que estão lá só esperando um atacante encontrar, explorar e paralisar um negócio inteiro da noite para o dia", explica Alexandre Brum, COO da VULTUS.

“Considerando a alta probabilidade dos ataques de altíssimo impacto ocorrerem, revelada pelo I&E Index que está hoje na casa dos 7,3 em uma escala de 0 a 10, temos que 48% das empresas de fato sofrerão um ataque de altíssimo impacto nos próximos anos se não fortaleceram a sua cibersegurança. Felizmente, nossos clientes que participaram do estudo implementaram um plano de ação a partir dos diagnósticos e agora estão protegidos de ataques de alto impacto. Mas e as empresas que não sabem desse risco iminente? É um cenário preocupante", destaca Rodrigo Gava, CTO da VULTUS.

Sobre a VULTUS Cybersecurity Ecosystem

Nascida da fusão entre GC Security e Trust (Falconi), a VULTUS Cybersecurity Ecosystem oferece soluções inovadoras para proteger ativos críticos, aumentar a maturidade digital e reduzir os riscos cibernéticos. Através de um modelo pioneiro, combina consultoria executiva de alto nível, automação e inteligência artificial para cibersegurança com governança e eficiência operacional.