Incidentes cibernéticos podem derrubar preço das ações

Incidentes cibernéticos podem derrubar preço das ações em até 1,5%, aponta estudo da EY

Levantamento revela correlação direta entre ataques digitais e perdas financeiras prolongadas nas maiores empresas dos EUA

Um estudo conduzido pela EY, uma das maiores empresas de auditoria e consultoria do mundo, revela que companhias impactadas por incidentes cibernéticos enfrentam quedas significativas no valor de suas ações, com efeitos que podem se prolongar por até 90 dias. A análise foi realizada com base em 96 empresas do índice Russell 3000, que reúne as 3 mil maiores companhias americanas em valor de mercado e considerou organizações com valuation mínimo de US$ 1 bilhão entre os anos de 2021 e 2024.

Segundo o levantamento, os impactos financeiros vão muito além dos custos imediatos de recuperação. A perda média no valor das ações é de 0,9% nos primeiros 30 dias após o incidente, chegando a 1,3% em 60 dias e atingindo 1,5% ao final de 90 dias.

“Ao fazer uma correlação entre queda do valor das ações e incidentes cibernéticos, apontando inclusive a duração total dessas perdas, o levantamento evidencia os riscos financeiros significativos envolvidos”, destaca Márcia Bolesina, sócia-líder da área de cibersegurança da EY. “Embora a amostra não seja referente ao mercado brasileiro, é possível dizer que os efeitos são semelhantes, conforme os casos recentes observados, já que as ameaças cibernéticas, quando consumadas, trazem perdas financeiras e de reputação efetivas cada vez maiores”, completa.

O estudo também aponta que 84% dos Chief Information Security Officers (CISOs) entrevistados afirmam que suas organizações intensificaram o foco em cibersegurança nos últimos três anos. Para 85% deles, essa prioridade deve crescer ainda mais no próximo ano. A pesquisa revela ainda que 84% das empresas sofreram algum tipo de incidente cibernético nesse período. Os ataques mais comuns incluem spyware, uso de URLs ou e-mails falsos para enganar colaboradores e clientes, e os chamados “zero day exploits”, que exploram vulnerabilidades desconhecidas pelos próprios desenvolvedores.

Além disso, os CISOs também demonstram maior consciência sobre os ataques externos, 57% deles relatam que suas empresas foram alvo de cibercriminosos nos últimos três anos, enquanto apenas 47% dos outros membros da diretoria compartilham dessa percepção. “Essa disparidade na compreensão da origem dos incidentes é preocupante, pois pode comprometer a construção de estratégias eficazes de defesa contra ameaças futuras. O alinhamento entre os profissionais de segurança e a alta gestão é essencial para garantir uma abordagem integrada e realista diante dos desafios cibernéticos que continuam a evoluir rapidamente”, afirma Márcia Bolesina.

Há também uma diferença significativa na percepção sobre a origem das ameaças internas entre os CISOs e os demais membros da alta gestão. Segundo os dados, 47% dos CISOs afirmam que suas organizações sofreram incidentes de segurança causados por ameaças internas nos últimos três anos, casos em que funcionários roubaram ou vazaram informações confidenciais de forma intencional. Em contraste, apenas 31% dos demais executivos reconhecem esse tipo de ocorrência, o que sugere uma possível subestimação dos riscos internos por parte da liderança corporativa.

Outra percepção diferente entre os CISOs e os demais líderes C-Level é a respeito do preparo das defesas digitais. Enquanto 66% dos CISOs acreditam que os riscos cibernéticos estão mais avançados do que suas defesas, apenas 56% dos demais executivos compartilham dessa preocupação. Além disso, 68% dos CISOs demonstram receio de que os líderes seniores estejam subestimando os perigos das ameaças digitais, contra 57% dos demais executivos.

“Os dados revelam um desalinhamento preocupante entre os profissionais de segurança da informação e a alta liderança sobre a gravidade das ameaças internas e o preparo das defesas digitais. Quando quase metade dos CISOs aponta para incidentes causados por colaboradores e a diretoria não enxerga o mesmo risco, há uma lacuna estratégica que precisa ser endereçada com urgência. A subestimação desses perigos compromete não apenas a segurança, mas também a resiliência organizacional diante de um cenário cibernético cada vez mais sofisticado e imprevisível”, comenta a sócia da EY.

Investimento em cibersegurança expõe falta de alinhamento entre líderes

A pesquisa revela discrepância entre CISOs e executivos da alta gestão sobre os níveis de investimento atuais e futuros em segurança cibernética e destaca o papel estratégico da inteligência artificial. Atualmente, 67% dos CISOs afirmam que o orçamento total de segurança cibernética de suas organizações é de, no mínimo, sete dígitos, enquanto apenas 45% dos outros executivos compartilham essa percepção.

Essa diferença se acentua nas projeções para o próximo ano: 82% dos CISOs acreditam que o orçamento continuará acima de sete dígitos, em comparação com 53% dos demais líderes. “Essa disparidade pode ser explicada, em parte, pela ausência de um orçamento cibernético independente em muitas empresas, o que dificulta a compreensão exata dos valores investidos”, explica Márcia Bolesina, sócia-líder da área de cibersegurança da EY.

A inteligência artificial (IA) tem se destacado como um fator transformador nessa estratégia. Os CISOs demonstram maior otimismo quanto ao papel da IA, com 90% deles considerando um componente crítico da estratégia de segurança, contra 81% dos demais executivos. Curiosamente, entre os líderes cujas organizações já adotaram IA em suas práticas de segurança, 80% acreditam que o orçamento deve priorizar o investimento em pessoas, como contratação de talentos e requalificação de funcionários, em vez de novas soluções tecnológicas. Nas empresas que ainda não adotaram IA, esse número é de 70%.

“Embora a tecnologia seja vista como uma aliada poderosa, o fator humano continua sendo considerado essencial por grande parte da liderança. A combinação entre inovação tecnológica e desenvolvimento de competências internas parece ser o caminho mais promissor para fortalecer a segurança digital das organizações”, explica Márcia Bolesina.

A principal dúvida é se as organizações estão fazendo os investimentos certos hoje para evitar violações dispendiosas no futuro. Os CISOs são os mais propensos a atribuir a redução de incidentes ao aumento dos investimentos em IA: 75% deles afirmam que suas organizações registraram uma diminuição nos incidentes após intensificarem os investimentos nessa tecnologia, enquanto 68% dos demais membros da diretoria executiva compartilham dessa percepção.

“Esses dados revelam que a evolução da segurança cibernética depende não apenas de investimentos financeiros, mas também de alinhamento estratégico entre os líderes e da valorização do capital humano frente às inovações tecnológicas”, conclui Bolesina.

Sobre o estudo: A EY US, entre dezembro de 2024 e janeiro de 2025, realizou uma pesquisa online com 800 líderes de nível C nos Estados Unidos, sendo 500 executivos gerais e 300 diretores de segurança da informação (CISOs). O estudo focou em tomadores de decisão responsáveis pela segurança da informação em suas organizações, abrangendo 10 setores da indústria. A margem de erro da pesquisa foi de ±3 pontos percentuais para a amostra total, ±6 para os CISOs e ±4 para os demais executivos C-level.

A pesquisa abrange 12 setores da indústria, incluindo saúde, energia, tecnologia, varejo, serviços financeiros e construção. Cada setor contou com no mínimo 50 líderes C-suite e 30 diretores de segurança da informação (CISOs) entrevistados. Para a análise do preço das ações, um modelo de diferença em diferenças escalonado foi usado para avaliar o impacto de incidentes cibernéticos nos preços das ações de 96 empresas do Russell 3000 com um valor de mercado de pelo menos US$ 1 bilhão em 2024 que sofreram um incidente cibernético entre 2021 e 2024.