Nove Meses Para Perceber o Óbvio
O tempo que uma empresa leva para descobrir uma invasão é igual ao de uma gestação humana.
CIBERSEGURANÇAMERCADOTECNOLOGIA
Por Ismael Junior | Arrow Security
3/11/20263 min read
Uma gestação humana dura 280 dias. Tempo suficiente para um óvulo se transformar em um ser humano completo. Agora imagine outro processo silencioso, pelo mesmo período: 241 dias. Este é o tempo médio global que uma empresa leva para identificar e conter uma invasão, segundo a IBM. São 181 dias até perceber o problema e mais 60 para resolvê-lo.
Enquanto uma mãe acompanha cada ultrassom, executivos permanecem alheios ao que cresce dentro de suas organizações. No final de uma gestação nasce uma vida. No final desses 241 dias, frequentemente morre uma empresa.
A Gestação do Problema
O Global Cybersecurity Outlook 2026 do Fórum Econômico Mundial explica por que essa cegueira é comum no Brasil. A América Latina tem a maior escassez de profissionais de cibersegurança do planeta, 65% das organizações não têm competências para se defender. PMEs têm duas vezes mais probabilidade de apresentar resiliência insuficiente.
Os números da Acronis confirmam a aceleração das ameaças. O relatório H2 2024 registrou aumento de 197% em ataques por e-mail. Em 2025, as vítimas de ransomware aumentaram 70%, e 80% dos fornecedores de ransomware-as-a-service já oferecem recursos de IA para automatizar ataques.
A velocidade impressiona. A CrowdStrike documenta que o tempo médio de "breakout", quando o invasor começa a se mover pela rede, é de 62 minutos. O recorde, dois minutos e sete segundos. Segundo a Sophos, a exfiltração de dados ocorre em média 72 horas após o início do ataque.
O Parto da Crise
O custo médio de uma violação no Brasil atingiu R$ 7,19 milhões em 2025. No setor de Saúde, chega a R$ 11,43 milhões. Violações que levam mais de 200 dias para serem contidas custam 23% acima da média. Quanto mais tempo o problema cresce sem ser detectado, mais caro é o parto.
Os dados sobre preparação são alarmantes. Segundo pesquisa citada pela Acronis, 68% das PMEs não possuem plano de recuperação de desastres. Relatório da Verizon mostra que 43% dos ataques miram PMEs, mas apenas 14% estão preparadas. Na América Latina, só 13% dos executivos confiam na capacidade do governo de responder a ataques, a menor confiança global.
O Pré-Natal que Faz a Diferença
Organizações que utilizam IA e automação em segurança reduziram o ciclo de violação em 80 dias e economizaram US$ 1,9 milhão em média. Aquelas que detectam violações internamente economizam US$ 900.000 comparadas às notificadas pelo próprio invasor.
Das organizações altamente resilientes, 99% têm envolvimento ativo do conselho em cibersegurança. Não é o departamento de TI que faz a diferença, é a liderança tratando o tema como prioridade estratégica.
A Pergunta Para o Conselho
Neste momento, milhares de empresas brasileiras gestam crises que ainda não sabem que existem. A pergunta que acionistas, investidores e gestores precisam levar para a próxima reunião não é sobre faturamento ou margem. É mais básica:
“O que está crescendo dentro da nossa empresa que ainda não conseguimos ver?”
Porque 241 dias é tempo suficiente para gerar uma vida. Ou para destruir uma empresa.
Fontes: Global Cybersecurity Outlook 2026 (Fórum Econômico Mundial), IBM Cost of a Data Breach 2025, Acronis Cyberthreats Report 2024/2025, Sophos, CrowdStrike e Verizon.
