Um estudo realizado pela plataforma especializada em segurança digital Beephish, em parceria com outra plataforma do setor, a Security Leaders, mostra dados alarmantes e que assombram empresas de todos o setores do Brasil. Algumas parecem já estarem cientes dos perigos, outras, no entanto, sequer a reconhecem.
Porém, seja qual for o grau de consciência do desafio, ainda há gargalos cruciais a serem preenchidos, como formação de mão de obra e até mesmo conscientização das equipes, como aponta a pesquisa que ouviu 300 executivos da área. Os resultados revelaram que apenas 30,6% das empresas possuem políticas formais para lidar com usuários reincidentes em falhas de segurança, e 40,7% não contam com orçamento dedicado à conscientização.
Segundo Glauco Sampaio, CEO da Beephish, o cenário aponta avanços importantes, mas também evidencia que o amadurecimento pleno ainda depende de consistência e investimento: “O dado de que quase 75% das empresas já aplicam simulações de phishing é positivo e mostra um esforço concreto em aproximar os usuários de situações reais de risco. No entanto, sem medir o impacto dessas ações e sem políticas claras para lidar com reincidências, é difícil transformar comportamento em cultura”, afirma Sampaio.
Outro dado importante apontado na pesquisa é o de que 30,8% não têm equipes específicas para cultura de segurança, e 20,5% não seguem nenhuma periodicidade nas campanhas. “Simular é comum, mas medir o impacto e transformar comportamento ainda é um desafio significativo”, afirma Denis Nesi, CISO da Claro Brasil.
Os caminhos para solução da conscientização ainda não estão claros, mas há quem já faça suas apostas, como Leandro Ribeiro, CISO do Hospital Sírio-Libanês, que aponta: “A gamificação, por exemplo, é uma ferramenta eficaz para engajar e educar”.
A escalada das ameaças e o papel da ISO 27001
Segundo Sylvio Sobreira Vieira, CEO da SVX Consultoria, empresa especializada em inteligência e transformação digital, concoda que o Brasil enfrenta uma escalada de ameaças cibernéticas, como mostram os números com aumento de 21% nos ataques em relação ao ano anterior — uma média de 2.667 incidentes semanais por empresa.
E ele dá outro caminho: “A certificação ISO/IEC 27001 tornou-se uma resposta estratégica às demandas de compliance e à necessidade de fortalecer a segurança da informação”, afirma.
Embora apenas 165 empresas brasileiras fossem certificadas até o início de 2023, a tendência é de crescimento acelerado. A norma, que estabelece requisitos rigorosos para um Sistema de Gestão da Segurança da Informação (SGSI), ajuda organizações a se adequarem à LGPD e a demonstrar boas práticas perante auditorias e stakeholders.
“Ter a ISO 27001 é um diferencial competitivo, especialmente em setores sensíveis à segurança digital. Além de reduzir riscos, fortalece a imagem da empresa e facilita negócios em mercados exigentes”, destaca Sylvio.
A nova versão da norma, ISO/IEC 27001:2022, incorpora controles para riscos em nuvem, threat intelligence e desenvolvimento seguro de software. As empresas têm até outubro de 2025 para migrar seus sistemas para a nova edição.
Déficit de profissionais e a urgência da formação em AppSec
E a crise na segurança digital não se limita à conscientização e à governança. O Brasil enfrenta um déficit alarmante de profissionais qualificados. Segundo a Fortinet, uma multinacional que oferece plataforma de segurança da informação, o país precisa de cerca de 750 mil especialistas em cibersegurança, enquanto o ISC² projeta uma lacuna de 140 mil profissionais já em 2025. Globalmente, o déficit ultrapassa 4,8 milhões.
“Empresas que negligenciam a segurança de aplicações enfrentam riscos financeiros, reputacionais e legais significativos. Porém, mesmo aquelas que investem na área enfrentam escassez de profissionais preparados”, alerta Wagner Elias, CEO da Conviso, empresa que atua em soluções de segurança de aplicações.
Para enfrentar esse cenário, empresas têm criado programas próprios de capacitação. Um exemplo é a Conviso Academy, iniciativa da empresa curitibana especializada em segurança de aplicações, que recentemente adquiriu o Site Blindado.
“A Academy nasceu para resolver um problema real do mercado: a escassez de profissionais em AppSec. Decidimos formar esses talentos”, explica Luiz Custódio, instrutor do projeto.
Com turmas pequenas e aulas síncronas semanais, os participantes enfrentam desafios reais desde o primeiro módulo, aprendendo a modelar ameaças, propor arquiteturas seguras e implementar práticas de desenvolvimento seguro integradas ao DevSecOps. O foco é no princípio do shift left — trazer a segurança para as etapas iniciais do ciclo de desenvolvimento.
“O resultado não é apenas técnico. É saber como a segurança de aplicações protege e gera valor para as empresas, preparado para falar com stakeholders e traduzir riscos”, reforça Custódio.
A primeira turma teve mais de 400 inscritos, mas apenas 20 vagas foram abertas, com 30% a 40% reservadas para grupos minorizados. A segunda turma está com inscrições abertas para início em 2026.
Segurança como estratégia permanente
A pesquisa da Beephish, os dados da SVX e a iniciativa da Conviso convergem para uma conclusão clara: a segurança da informação precisa ser tratada como parte integrante da estratégia de negócios.
A combinação entre certificações como ISO 27001, programas de conscientização eficazes e formação técnica em AppSec é o caminho para construir resiliência digital em um cenário cada vez mais complexo e ameaçador.
