Maioria das indústrias paulistas não tem plano de resposta a ataques cibernéticos
Pesquisa da Fiesp mostra que falhas humanas são principais vetores de ataques e destaca vulnerabilidade das PMEs
Mais da metade das indústrias paulistas ainda negligencia a segurança digital e trata o risco cibernético como um tema secundário, apesar do avanço da digitalização e do uso de tecnologias como inteligência artificial. É o que mostra a 3ª edição da Pesquisa de Maturidade da Indústria em Cibersegurança, divulgada nesta segunda-feira, 5 de agosto, pela Fiesp (Federação das Indústrias do Estado de São Paulo).
O levantamento, realizado com 294 empresas de diferentes portes, aponta que 77,1% das indústrias destinam menos de 1% da receita anual à cibersegurança, e 60,2% não possuem plano de resposta a incidentes. Entre as PMEs com faturamento anual entre R$ 1 milhão e R$ 30 milhões, esse percentual sobe para 77,4%.
Além disso, 67,3% das empresas não tratam o tema como prioridade nos conselhos de administração. Apenas 25,7% o consideram pauta estratégica, e em 72,4% dos conselhos não há nenhum membro com experiência em segurança cibernética.
A pesquisa também revela que 34,7% das empresas sofreram ataques cibernéticos no último ano, sendo que 42,2% deles foram bem-sucedidos. Em dois terços dos casos, houve tentativa de extorsão, e 34,5% das vítimas pagaram o resgate. As motivações mais comuns foram a interrupção de operações (65,1%), extração de dados pessoais (9,3%) e acesso a segredos de negócio (4,7%).
Falha humana é a principal causa
Segundo os dados da Fiesp, 45,5% dos ataques ocorreram por falha humana, seguida por problemas em softwares de terceiros (14,7%) e atividade dolosa de colaboradores (12%). A maioria das empresas não realiza testes regulares de intrusão (PENTEST), e mais da metade (56,8%) não conta com Centro de Operações de Segurança (SOC), mesmo que em horário comercial.
Mesmo entre as medidas preventivas mais básicas, como a atualização de antivírus e a gestão de acesso de usuários, ainda há lacunas: cerca de 13% das empresas atualizam softwares de segurança apenas de forma esporádica, e quase 12% não controlam o acesso aos sistemas.
A maturidade em cibersegurança varia significativamente conforme o porte da empresa. Enquanto 80% das companhias com receita acima de R$ 1 bilhão consideram a cibersegurança uma prioridade estratégica, entre as PMEs esse percentual é de apenas 22,6%.
As empresas de maior porte também se destacam na adoção de ferramentas avançadas, como VPN (91,7%), sistemas de detecção de incidentes (EDR, 41,7%) e autenticação multifator (MFA, 41,7%). Já nas PMEs, o uso dessas tecnologias é significativamente mais baixo — o EDR, por exemplo, é utilizado por apenas 2,2%.
Capacitação e governança ainda são falhas
Embora 62,6% das empresas promovam treinamentos em segurança da informação, 31,6% não tomam nenhuma medida de conscientização, e 84,7% não contratam seguro cibernético. Apenas 28,2% têm plano de resposta a incidentes, sendo que a maioria não realiza testes periódicos.
Para a Fiesp, o cenário atual exige uma mudança estrutural. A entidade recomenda a adoção de uma governança digital integrada, com envolvimento da alta gestão, investimentos proporcionais aos riscos e capacitação contínua. Medidas simples — como atualizações de sistemas, políticas de acesso e cópias de segurança — são especialmente relevantes para pequenas empresas que buscam elevar sua resiliência digital.
A pesquisa está disponível aqui.
