As políticas de segurança cibernética estão se tornando cada vez mais importantes nos planos de gerenciamento de riscos corporativos.

Nos últimos anos, graças em parte aos avanços regulatórios, as empresas começaram a perceber que a segurança cibernética não é apenas uma questão técnica, mas sim uma questão transversal a todas as divisões. O estabelecimento de responsabilidades legais para diretores e executivos levou conselhos de administração, empreendedores e CEOs a abordar esse tema desafiador, com resultados mistos. A "Pesquisa Global de Diretores e Executivos Cibernéticos 2025", conduzida pela Willis Global FINEX, fornece uma análise detalhada das percepções e estratégias adotadas por líderes empresariais, demonstrando como sua abordagem difere da de especialistas em segurança cibernética. Este estudo, baseado nas respostas de diretores, executivos e gerentes de risco em todo o mundo, oferece uma visão geral da distribuição das empresas pesquisadas por tipo, receita e setor, com forte representação de empresas com fins lucrativos, tanto de capital fechado (56%) quanto de capital aberto (32%). Os setores de serviços, transporte e varejo, bem como finanças e seguros, constituem a maior parcela dos entrevistados. Um terço das empresas afetadas tem um faturamento de até US$ 30 milhões, um terço tem um faturamento entre US$ 30 milhões e US$ 1 bilhão e o último terço tem um faturamento de mais de US$ 1 bilhão.

Uma das conclusões mais significativas do relatório confirma que os riscos de segurança cibernética continuam a ser uma fonte de ansiedade significativa para os líderes organizacionais. Especificamente, a perda de dados e os ataques cibernéticos foram identificados como duas das três principais preocupações, ao lado, e às vezes até superando, a saúde e a segurança ocupacional. Essa classificação consistente no topo demonstra a gravidade e o impacto potencial de tais eventos, tanto financeiramente quanto na reputação organizacional.

Analisando mais profundamente essas preocupações, surgem distinções interessantes nos níveis geográfico e setorial. De uma perspectiva regional, ataques cibernéticos e/ou perda de dados consistentemente figuraram entre as três principais ameaças em sete das oito regiões pesquisadas. Por exemplo, a Grã-Bretanha classificou os ataques cibernéticos como o risco número um, enquanto a América do Norte e o Oriente Médio classificaram a perda de dados como sua principal preocupação. Notavelmente, a África foi a única região onde nem ataques cibernéticos nem perda de dados figuraram entre os três principais riscos.

Do ponto de vista setorial, ataques cibernéticos e/ou perda de dados figuraram entre os três principais riscos em todos os setores. Esses riscos foram particularmente proeminentes nos setores financeiro e de seguros, serviços, transporte e varejo; no setor de energia e serviços públicos, diferentemente do ano anterior, a perda de dados agora figura entre os sete principais riscos. Essas tendências ressaltam como a ameaça cibernética é transversal e abrangente, adaptando-se às especificidades de cada contexto operacional.

No que se refere a riscos específicos relacionados à exposição cibernética, o relatório destaca que os entrevistados estão mais preocupados com ataques de phishing e engenharia social, ransomware e fragilidades em sistemas e controles de segurança cibernética. Esses três tipos de ameaças revelam o quão pouco conhecimento real sobre segurança cibernética ainda existe entre os gestores. De fato, o cenário atual de incidentes deve se concentrar principalmente em limitar vulnerabilidades na cadeia de suprimentos, controlar rigorosamente o uso de inteligência artificial e identificar riscos associados a novas tecnologias. Todas essas operações, no entanto, têm classificação bem mais baixa no ranking. Isso pode indicar uma percepção distorcida da realidade das perdas incorridas e destaca a importância de ter pessoal de segurança cibernética altamente qualificado, capaz de gerenciar adequadamente as ameaças, apesar das informações um tanto confusas que podem vir da gerência.