66%
elegem o cibercrime como a principal ameaça às empresas
2%
implementaram ações de resiliência cibernética nas suas empresas
15%
das empresas avaliam o impacto financeiro das ciberameaças de forma significativa
77%
esperam um aumento do orçamento para Cibersegurança no próximo ano
Implementação da resiliência cibernética
Apesar das empresas estarem cada vez mais preocupadas com os riscos cibernéticos, apenas 2% dos líderes garantem que a sua empresa implementou medidas de resiliência contra ciberataques em todas as áreas de negócio.
Participação insuficiente dos CISO
Menos de metade dos executivos afirma que os CISO (Chief Information Security Officer) estão envolvidos de forma significativa no planeamento estratégico, na apresentação de relatórios ao Conselho de Administração e na supervisão das implementações tecnológicas.
Falhas na medição do risco cibernético
Embora os líderes empresariais reconheçam a importância de avaliar o riscos cibernético, menos de metade o faz de forma eficaz, com apenas 15% a medir o impacto financeiro dos riscos cibernéticos de maneira significativa.
Preparação para as ameaças cibernéticas
As empresas sentem-se menos preparadas para enfrentar ameaças cibernéticas que consideram mais preocupantes, como os riscos relacionados com a cloud e as violações de terceiros.
Falta de confiança no compliance regulatório
Os CEO e os CISO/CSO apresentam níveis diferentes de confiança na sua capacidade de cumprir regulamentações, especialmente no que diz respeito à IA, resiliência e infraestruturas críticas.
Tudo isto reflecte a necessidade de uma melhor colaboração entre a equipa executiva e de investimentos estratégicos para fortalecer a resiliência cibernética. Ao abordar essas lacunas e tornar a Cibersegurança uma prioridade empresarial, os líderes podem construir um futuro mais seguro. Os CISO podem ajudar a impulsionar esse resultado, através da partilha de insights suportados pela tecnologia onde explicam as prioridades cibernéticas em termos empresariais.
Enfrentar as ameaças cibernéticas através da criação de uma visão conjunta Ameaças cibernéticas e riscos emergentes
Enquanto o panorama da Cibersegurança continua a evoluir, as empresas enfrentam ameaças cada vez mais voláteis e imprevisíveis. Uma superfície de ataque em expansão – impulsionada pela crescente dependência da cloud, da inteligência artificial, de dispositivos conectados e de terceiros – exige uma abordagem ágil e abrangente para garantir resiliência. Alinhar as prioridades organizacionais e a prontidão é essencial para manter a segurança e a continuidade dos negócios.
Despreparados para as ameaças cibernéticas mais preocupantes
Os fatores que mais preocupam as empresas são também aqueles para os quais as empresas estão menos preparadas. As quatro principais ameaças cibernéticas que são consideradas mais alarmantes – ameaças relacionadas com a cloud, operações de hack-and-leak, violações por terceiros e ataques a dispositivos conectados – são as mesmas que os líderes de segurança se sentem menos preparados para enfrentar. Esta lacuna destaca a necessidade urgente de melhores investimentos e de capacidades de resposta mais robustas.
A edição mais recente do DTI ressalta a importância da resiliência cibernética, destacando que 66% dos executivos consideram o cibercrime uma grande ameaça, mas apenas 2% das empresas tomaram medidas abrangentes. Este relatório também destaca a importância de uma maior colaboração entre líderes, aumento dos investimentos em cibersegurança e preparação para regulamentações mais rigorosas.
Preocupação vs preparação para as ameças cibernéticas
____
Call-to-action
Dependendo da sua função, entenda como pode enfrentar as ameaças cibernéticas:
Reforçar aos restantes C-suite as ameaças que mais comprometem o negócio, especialmente se os esforços de investimento precisarem de ser redirecionados.
Com base nas conversas com os executivos de risco, é possível avaliar como certas ameaças podem danificar a segurança da informação e da infraestrutura em geral, e quais ameaças representam os maiores desafios à resiliência.
Obtenha uma compreensão mais profunda com o CISO e o CRO sobre as prioridades mais críticas em gestão cibernética e investimento.
Reúna-se regularmente com o CRO e o CISO para entender os vetores de ameaça que mais os preocupam. Certifique-se de que está a receber relatórios regulares sobre os esforços atuais de mitigação de ameaças.
Compreenda os principais riscos cibernéticos para a empresa e faça as perguntas difíceis à gestão. Como estão a ser mitigados os riscos? Temos planos e financiamento adequados para abordar proactivamente os riscos e responder caso ocorra um evento?
Equilibrar as oportunidades e os riscos GenAI e tecnologias emergentes
A rápida evolução da inteligência artificial generativa (GenAI) está a abrir novas oportunidades em diversas indústrias, mas também apresenta riscos significativos em termos de Cibersegurança. À medida que as empresas adotam a GenAI e outras tecnologias emergentes, os decisores devem enfrentar vetores de ataque mais complexos e imprevisíveis, desafios de integração, e a natureza dupla da GenAI, tanto na defesa como no ataque cibernético.
Aproveitar a GenAI para a defesa cibernética
Embora o GenAI esteja a aumentar a superfície de risco cibernético para a maioria das organizações, os executivos também estão a utilizar essa mesma tecnologia para a defesa cibernética. As três principais formas como estão a aproveitar o GenAI incluem a deteção e resposta a ameaças, a inteligência de ameaças e a deteção de malware/phishing.
____
Call-to-action
Dependendo da sua função, entenda como pode integrar a GenAI na Cibersegurança da sua empresa:
Ajude a promover a padronização em toda a infraestrutura tecnológica para facilitar a integração da IA. Aplique direitos de acesso com base em cada utilizador para identificar os vetores de prováveis ataques.
Desenvolva uma avaliação de impacto da IA para ajudar os executivos a compreender onde o investimento e a implementação fazem mais sentido. Prepare as suas plataformas para escalabilidade à medida que o uso da GenAI aumenta.
Colabore com o CISO na priorização da segurança e confidencialidade da proteção dos dados financeiros.
Melhore os protocolos de governação de dados e avalie quaisquer riscos de privacidade de dados em relação às leis de privacidade e às orientações dos reguladores.
Colabore com outras equipas de risco e conformidade para proteger contra usos secundários inadequados de dados e possíveis exposições legais.
As empresas estão realmente preparadas para um mundo altamente regulamentado? Regulamentação específica de Cibersegurança
Os frameworks regulamentares estão a exigir que as empresas cumpram rapidamente uma crescente variedade de requisitos. Um aumento de novas regulamentações — como o DORA, o Cyber Resilience Act, o AI Act, o CIRCIA, o Singapore Cybersecurity Act, entre outros — sublinha a urgência para que as empresas alinhem as suas práticas a estas expectativas elevadas. Enfrentar estes desafios é essencial para construir uma postura de Cibersegurança resiliente e em conformidade, capaz de suportar tanto o escrutínio regulatório quanto as ameaças emergentes.
A diferença na confiança: os CISO sentem-se menos seguros que os CEO em relação à conformidade cibernética
Apesar da crença de que as regulamentações cibernéticas estão a ajudar a empresa, existe uma diferença significativa entre a confiança dos CEO e dos CISO/CSO na sua capacidade de cumprir essas regulamentações. As maiores lacunas envolvem a conformidade com os requisitos de IA, resiliência e infraestrutura crítica. Os CISO, que estão na linha da frente da Cibersegurança, são menos otimistas do que os CEO em relação à capacidade da sua empresa cumprir estes requisitos regulatórios.
Confiança na conformidade da empresa
com as regulamentações
____
Call-to-action
Dependendo da sua função, entenda como garantir a conformidade regulamentar e quais as suas responsabilidades neste âmbito:
Forneça relatórios frequentes aos líderes executivos sobre o estado das regulamentações que afetam diretamente as necessidades da respetiva indústria ou território, e trabalhe na implementação de processos de gestão de mudanças tecnológicas e regulatórias.
Verifique a precisão, completude e defensabilidade de todas as divulgações regulatórias sobre a gestão de riscos cibernéticos e a postura do programa. Desenvolva uma compreensão clara da materialidade e do impacto específico de um incidente cibernético, incorporando a quantificação de riscos cibernéticos para avaliar e comunicar com precisão os riscos potenciais.
Compreenda as responsabilidades de supervisão para orientar os esforços de conformidade, incluindo qualquer coordenação necessária entre diferentes unidades de negócio. Identifique questões-chave a serem feitas aos CISOs para fechar lacunas de conhecimento sobre a postura de conformidade.
Mantenha-se atualizado sobre os requisitos de conformidade regulatória e colabore com o CISO e o CRO para incorporar medidas de conformidade proativas e monitorização que confirmem periodicamente a conformidade.
Determine a quantidade adequada de detalhes de divulgação necessários para cumprir as obrigações de relatório do programa cibernético, equilibrando transparência e confidencialidade.
Mantenha-se atualizado sobre os novos requisitos regulatórios e busque a opinião da gestão sobre as medidas proativas que estão a ser tomadas para se preparar para esses novos requisitos. Compreenda a abordagem da gestão para avaliar e divulgar incidentes cibernéticos.
Como quantificar o impacto financeiro dos riscos cibernéticos?
À medida que as ameaças cibernéticas evoluem rapidamente em alcance e sofisticação, a quantificação do risco cibernético tornou-se uma ferramenta crítica que as empresas não podem ignorar. No entanto, apesar dos seus benefícios amplamente reconhecidos, vários desafios (problemas de qualidade de dados, fiabilidade dos resultados, etc.) têm impedido uma adoção mais ampla.
Medir o risco cibernético é crítico, mas limitado
Embora os executivos concordem amplamente que medir o risco cibernético é fundamental para priorizar investimentos em segurança cibernética (88%) e alocar recursos para as áreas de maior risco (87%), apenas 15% das organizações estão, na verdade, a fazê-lo de forma significativa (por exemplo, quantificação extensiva do risco cibernético com automação e relatórios abrangentes).
____
Call-to-action
Dependendo da sua função, entenda como pode quantificar os diferentes riscos cibernéticos:
Considere começar com um projeto específico em mente. Aproveite a informação que tem dentro da sua organização (por exemplo, eficácia dos controlos, maturidade, dados de incidentes ou perdas). Novas ferramentas podem ajudar na quantificação de riscos, mas não são uma exigência. Defina o seu programa e procure tecnologias que possam apoiar o que projetou.
Mostre aos executivos do C-suite os resultados de medição de risco financeiro mais impactantes provenientes de ferramentas e práticas de quantificação. Estes exemplos podem ajudar a convencer a liderança a priorizar e alocar os recursos adequados para as áreas de maior risco.
Trabalhe com o seu CISO e CRO para obter uma compreensão mais profunda do valor empresarial da quantificação de riscos cibernéticos e dos potenciais custos e oportunidades perdidas resultantes da não medição dos riscos cibernéticos.
Compreenda os métodos que a sua organização utiliza atualmente para avaliar o risco cibernético. Pressione a gestão sobre os planos para implementar a quantificação de riscos de forma mais abrangente, a fim de avaliar e relatar melhor a postura de risco cibernético da empresa.
Investir em resiliência, construir confiança Investimentos em Cibersegurança
À medida que a Cibersegurança se torna uma prioridade empresarial crítica, as organizações começam a reconhecer o seu potencial como um fator diferenciador e uma forma de melhorar a sua reputação e credibilidade. Para se prepararem, muitas estão a aumentar os seus orçamentos para Cibersegurança, com um foco particular na proteção de dados e na confiança. Ao investir estrategicamente nessas áreas, as empresas não só estão a construir resiliência, mas também a posicionar-se de forma positiva junto dos seus clientes.
Investir no que importa: a interligação entre a confiança na cloud e nos dados
Nos próximos 12 meses, as organizações vão dar prioridade à proteção de dados/confiança e à segurança em cloud acima de outros investimentos em Cibersegurança. As empresas reconhecem que proteger informações sensíveis é vital para manter a confiança dos stakeholders e a integridade da marca.
Os executivos de negócios e de tecnologia apontam uma lista diferente de prioridades com base nas áreas específicas das suas funções.
Os executivos de negócios afirmam que a proteção de dados/confiança é a sua principal prioridade de investimento em Cibersegurança (48%), seguida pela modernização e otimização tecnológica (43%).
Para os executivos de tecnologia, a segurança em cloud continua a ser a principal prioridade (34%), mantendo a mesma tendência do ano passado. A proteção de dados e a confiança é a segunda prioridade (28%).
Posicionar a Cibersegurança como uma vantagem competitiva
____
Call-to-action
Dependendo da sua função, entenda o que é crucial garantir para delinear uma estratégia de investimentos em Cibersegurança:
Traduzir casos concretos para prioridades de investimento em proteção de dados e segurança na nuvem para os CFO, com base no valor comercial de resultados-chave (por exemplo, reduzir o tempo de recuperação de dados críticos para a missão ou corrigir um sistema).
Determinar o valor comercial da proteção de dados e da segurança na nuvem para ganhar a confiança dos stakeholders e tomar decisões mais informadas sobre investimentos em cibersegurança.
Colaborar com executivos de tecnologia, segurança e finanças para identificar as prioridades essenciais de segurança e integridade dos dados, de forma a guiar a estratégia de investimento em segurança da informação e na nuvem. Confirmar a qualidade e a prontidão dos dados é necessário para aumentar os investimentos em segurança.
A sua estratégia cibernética e de liderança estão a promover uma verdadeira resiliência? Estratégias para implementação de Cibersegurança
Desde os esforços de resiliência atrasados até às lacunas na participação do CISO nas decisões estratégicas, existem áreas onde é necessário um maior alinhamento. Para alcançar isso, as organizações devem replicar as melhores práticas de Cibersegurança dos seus pares de maior desempenho. Além disso, devem ir além do tratamento de ameaças conhecidas e implementar uma abordagem ágil e segura para os negócios, que se esforce por construir confiança e resiliência duradouras.
A implementação parcial de estratégias de Cibersegurança não é suficiente
Apesar das crescentes preocupações em relação ao risco cibernético, a maioria das empresas enfrenta dificuldades para implementar plenamente a resiliência cibernética em práticas centrais. Uma revisão de 12 ações de resiliência nas áreas de pessoas, processos e tecnologia indica que 42% ou menos dos executivos acreditam que as suas organizações implementaram totalmente alguma dessas ações.
O mais preocupante é que apenas 2% afirmam que todas as 12 ações de resiliência foram implementadas em toda a empresa. Isto deixa uma vulnerabilidade evidente — sem resiliência a nível empresarial, as empresas permanecem perigosamente expostas às crescentes ameaças que podem comprometer toda a operação.
Abaixo destacam-se algumas áreas chave que beneficiariam com uma colaboração interorganizacional.
Criar uma equipa de resiliência (apenas 34% afirmam que isto foi implementado em toda a organização).
Desenvolvimento de um manual de recuperação cibernética para cenários de perda de TI (apenas 35% afirmam que isto foi implementado em toda a organização).
Mapeamento de dependências tecnológicas (apenas 31% afirmam que isto foi implementado em toda a empresa).
Implementação de ações de Ciber-Resiliência em toda a empresa
Dar mais importância ao CISO: alinhar a estratégia com a segurança
Muitas organizações perdem oportunidades cruciais ao não envolver plenamente os seus CISO em iniciativas chave. Menos de metade dos executivos afirma que os CISO estão amplamente envolvidos no planeamento estratégico de investimentos cibernéticos, na apresentação de relatórios ao Conselho de Administração e na supervisão de implementações tecnológicas.
Esta lacuna deixa as organizações vulneráveis a estratégias desalinhadas e a uma postura de segurança mais fraca.
A participação do CISO nas atividades empresariais
____
Call-to-action
Dependendo da sua função, entenda como potenciar estratégias para implementação de Cibersegurança:
Fornecer casos concretos ao resto da C-suite sobre por que é imperativo que os CISO estejam envolvidos na estratégia, planeamento e supervisão da mitigação de riscos cibernéticos e da estratégia de resiliência.
Participar em avaliações e exercícios de resiliência cibernética para compreender melhor as lacunas e abordagens que os CISO podem enfrentar na integração de práticas, normas e controles líderes.
Manter-se informado e educado sobre os desenvolvimentos dos programas de risco cibernético, especialmente relacionados à exposição da organização a riscos e ameaças cibernéticas, para cumprir as responsabilidades de supervisão e governança em expansão.
Sobre o inquérito
O Global Digital Trust Insights 2025 inquiriu 4,042 diretores-gerais e diretores tecnológicos entre maio e julho de 2024. Um quarto dos diretores trabalham em grandes empresas com mais de 5 mil milhões de dólares em receitas. Foram incluídos profissionais de vários sectores, incluindo indústria e serviços (21%), tecnologia e comunicações (20%), serviços financeiros (19%), retalho (17%), energia e outros bens essenciais (11%), saúde (7%), e serviços governamentais e públicos (4%). A região mais representada no inquérito foi a Europa Ocidental (30%), América do Norte (25%), Ásia-Pacífico (18%), América Latina (12%), Europa Central e de Leste (6%), África (5%), e Médio Oriente (3%).
Global Digital Trust Insights 2025
Preencha o formulário e faça o download do estudo completo, em inglês.
Garanta a segurança digital da sua empresa
Com o apoio da PwC, proteja a sua empresa de intrusões e ameaças.
Contacte-nos
Cybersecurity & Privacy Partner, PwC Portugal
Tel: +351 225 433 000
