Em muitos locais, a cibersegurança ainda ocupa um espaço secundário na agenda executiva. Em geral, é tratada como um tema técnico, restrito à área de TI, acionado em momentos de auditoria, atualização de sistemas ou resposta a incidentes. No entanto, essa abordagem já não reflete a realidade do ambiente digital atual. O Brasil figura entre os países mais visados por ciberataques no mundo, com centenas de bilhões de tentativas registradas anualmente.
Apenas no primeiro semestre de 2025, foram mais de 315 bilhões de tentativas de ataques cibernéticos por aqui, 84% do volume total na América Latina. Embora esses números sejam frequentemente percebidos como abstratos, eles indicam a condição objetiva de que qualquer organização conectada à internet está continuamente sob tentativa de exploração, independentemente de porte ou setor.
O ponto central é que a dinâmica dos ataques mudou. Temos visto que a maior parte das investidas já não depende de ações manuais isoladas, mas de processos automatizados em larga escala, capazes de identificar vulnerabilidades, testar credenciais e explorar falhas de configuração em poucos segundos. Isso transforma o cenário de risco em algo permanente, e não mais episódico.
Nesse contexto, vetores como phishing continuam sendo amplamente utilizados, justamente por explorarem o fator humano. As campanhas atuais deixaram de ser rudimentares e passaram a incorporar técnicas de engenharia social altamente sofisticadas, muitas vezes indistinguíveis de comunicações legítimas. O resultado é que o usuário final se tornou uma das principais portas de entrada para incidentes de segurança.
Outro destaque relevante percebido nos últimos tempos é o avanço dos ataques de ransomware, que evoluíram para modelos organizados e estruturados, com impacto direto na continuidade operacional das empresas. Além da interrupção de sistemas, há consequências como perda de dados, danos reputacionais e exposição de informações sensíveis, com efeitos prolongados sobre o negócio.
Paralelamente, observo a persistência de falhas básicas de segurança, como o uso inadequado de credenciais, ausência de autenticação multifator e configurações incorretas em ambientes de nuvem. Esses fatores reforçam um ponto recorrente, a vulnerabilidade muitas vezes não está em tecnologias complexas, mas na maturidade dos processos e na disciplina operacional.
A Lei Geral de Proteção de Dados (LGPD), nesse cenário, introduziu uma mudança relevante ao estabelecer responsabilidades claras sobre o tratamento de dados pessoais. No entanto, ainda é comum que sua aplicação seja interpretada sob uma ótica predominantemente formal, voltada à conformidade, quando seu verdadeiro impacto está na governança e na gestão de risco.
Nos últimos anos, soma-se a esse contexto o uso crescente de inteligência artificial por agentes maliciosos. Em 2025, quase metade dos ataques foram praticados com auxílio de IA, conforme relatório elaborado pela NTT Data. Essa tecnologia tem ampliado a eficiência dos ataques, tornando-os mais rápidos, mais personalizados e mais difíceis de detectar, o que eleva significativamente o nível de exigência das estratégias de defesa.
Diante de tudo o que está acontecendo, posso afirmar que a cibersegurança não pode ser tratada como uma função isolada ou meramente operacional. Trata-se de um componente estrutural da continuidade dos negócios, diretamente relacionado à capacidade de resposta, à governança de risco e à preservação da confiança.
O desafio das organizações está em consolidar maturidade decisória e integração entre tecnologia, processos e pessoas. Diante de ataques contínuos e altamente automatizados, a questão central não é mais evitar incidentes, mas reduzir impacto e garantir resiliência operacional diante de eventos inevitáveis.
