Brasil registrou 315 bilhões de tentativas de ataque cibernético em 2025 e concentrou 84% das investidas da América Latina, segundo alertas de produtores de segurança. Simultaneamente, 66,5% das organizações brasileiras citam riscos cibernéticos entre suas cinco principais preocupações. Mas quando perguntadas se estão estruturadas para combater ataques, apenas 66,1% afirmam estar preparadas. A discrepância é o gap: demanda massiva de segurança, oferta técnica imatura.

Defesa institucional depende hoje de três pilares estruturalmente frágeis: (1) escassez de profissionais qualificados (74% das organizações reportam falta); (2) cloud security imatura (59% em estágio inicial de maturidade); (3) "Complexity Gap", lacuna entre complexidade crescente de ambientes cloud e resiliência real das defesas.

A crise de profissionais qualificados

Brasil tem 7,9 profissionais de cibersegurança por 100 mil pessoas. Mercado demanda crescimento de 16,1% ao ano em profissionais, mas universidades não conseguem formar em ritmo compatível. Resultado: salários de especialista senior (US$ 150-250k/ano) competindo com tech mainstream que oferece melhor lifestyle, muitos profissionais migram para dev, infra ou product ao invés de ficar em security.

A escassez impacta operação: organizações não conseguem fazer resposta a incidente rápido (que depende de talent de plantão 24/7); não conseguem fazer threat intelligence próprio (que depende de analyst experiente); terceirizam tudo e viram dependentes de SOC (Security Operations Center) de terceiro.

Cloud Security como o problema não-resolvido

Empresas migraram para cloud (AWS, Azure, Google) em 2018-2023 acreditando que "cloud é mais seguro". Descobriram que é mais complexo. Segurança em cloud não é "firewall + VPN": é IAM (identity), API security, container hardening, data encryption in-transit e at-rest, compliance (SOC 2, ISO 27001), supply chain security de imagem, logs em diferentes regiões.

59% das organizações ainda estão em estágio inicial de cloud security (CMMC level 1 ou equivalente — basicamente configuração padrão). Avançar para level 3 exige expertise de architecture, não apenas operação; e Brasil não tem suficiente.

O gap de cibersegurança não é "faltam produtos". É "faltam pessoas que sabem implementar produtos corretamente".

Complexity Gap, o problema verdadeiro

Pesquisa recente de provedora de cloud define "Complexity Gap" como: crescimento exponencial de superfície de ataque (microserviços, containers, APIs, serverless) versus crescimento linear (ou negativo) de resiliência das defesas. Um cliente que muda de ERP monolítico em on-premise para 50 microserviços em EKS tem complexidade 100x, mas muitas vezes defesa mantém-se igual.

Brasil específico: muitas empresas ainda usam estratégia WAF (Web Application Firewall) de 2010, quando era suficiente. Hoje, WAF é condição necessária, não suficiente. Precisa de: API gateway com auth, rate limiting, DDoS mitigation, data leak prevention, behavioral analytics com IA.

O mercado que cresce a portas fechadas

Resposta a incidentes é mercado que cresce rapidamente, empresas que sofreram ataque precisam de forensics, remediation, restoration. Mas é transacional, não recorrente. Mercado estrutural é Managed Detection & Response (MDR), outsourcing de detecção e resposta para SOC de terceiro. Brasil tem ~15 provedoras competentes; demanda é para 50+.

Conformidade LGPD trouxe demanda de Data Protection Officer (DPO) como cargo obrigatório em várias empresas. Mas expertise de LGPD é complementar a segurança: muitas organizações contratam DPO de RH/Legal que não tem background técnico, ficam vulneráveis quando regulação vai além de documentação.

Síntese e o que importa observar

2026 é ano de bifurcação: (1) empresas de tech/fintech/e-commerce que investem pesado em cloud security vão se distanciar de small/medium que não conseguem; (2) demanda de MDR vai crescer 25%+ pois é forma mais barata de ter skill sem contratar; (3) supply chain attacks via third-party software vão aumentar, forçando governance de dependências.

Tribuna monitorará: expansão de players MDR brasileiros, entrada de players globais em LATAM com operação local, mudanças em regulação (LGPD pode ganhar enforcement 2026+), e incidentes públicos (varejo, setor público) que explicitem o gap.