Segundo o Microsoft Digital Defense Report 2025, mais da metade dos ataques cibernéticos com motivação conhecida foi impulsionada por extorsão e ransomware, enquanto apenas 4% tinham como objetivo apenas espionagem.

Além disso, em 80% dos incidentes investigados, os invasores tentaram roubar dados. O relatório também revela que mais de 97% das tentativas de ataque de identidade são baseadas em credenciais e que ataques baseados em IA estão acelerando e ampliando a eficácia de métodos como phishing.

Nesse cenário, em que criminosos automatizam ataques e exploram credenciais vazadas para “entrar em vez de invadir”, e considerando que comemoramos o Dia Internacional da Proteção de Dados neste dia 28, especialistas apontam que a proteger dados deixou de ser um tema restrito à tecnologia para se tornar um fator crítico de continuidade e confiança no mercado.

Cibersegurança como foco estratégico

De acordo com o Grupo OSTEC, referência em cibersegurança, os principais riscos à proteção de dados hoje não se limitam à tecnologia, mas envolvem controle de acessos, gestão de credenciais e visibilidade sobre onde os dados estão e quem pode usá-los. Cada nova conexão em ambientes em nuvem ou terceirizados amplia a superfície de exposição das organizações.

“Quando esses pontos não são bem endereçados, a empresa pode até ter tecnologia, mas perde o controle sobre seus próprios dados”, afirma Jardel Torres, sócio e diretor comercial da OSTEC. Na prática, isso se traduz em maior risco de vazamentos, uso indevido de informações, interrupções operacionais e impactos regulatórios ou contratuais.

Estudos globais mostram que 88% das organizações sofreram pelo menos um incidente de segurança nos últimos 12 meses, e 43% enfrentaram múltiplos ataques, sinalizando que a ameaça já é uma realidade na rotina corporativa.

Esses números ajudam a explicar por que a cibersegurança passou a ser peça-chave nas estratégias de negócio. “Falhas de segurança podem interromper operações, expor dados sensíveis e gerar prejuízos financeiros e reputacionais significativos. Hoje, decisões sobre tecnologia, fornecedores e uso de dados carregam riscos que ultrapassam o departamento de TI”, ressalta Jardel.

Governança, normas e cultura de privacidade

Para a Dédalo, consultoria especializada em governança de segurança da informação e privacidade, normas como ISO/IEC 27001 e ISO/IEC 27701 são a base para transformar a proteção de dados em um sistema de gestão contínuo.

A ISO 27001 estrutura como a empresa identifica, trata e monitora riscos que podem impactar dados, sistemas e operações, enquanto a ISO 27701 conecta essa gestão diretamente às exigências da LGPD e às expectativas de clientes, investidores e reguladores.

“Essas normas ajudam a empresa a ter clareza e controle sobre quais dados existem, por que são coletados, onde estão, quem acessa, por quanto tempo permanecem armazenados e como são eliminados. Isso muda completamente a capacidade de responder a incidentes, auditorias, due diligences e questionamentos legais.. Isso reduz riscos de vazamentos, erros humanos e exposições indevidas, fortalecendo a governança do negócio”, pontua Marcos Gomes, sócio-fundador da Dédalo.

Segundo ele, cada vez mais empresas percebem que o maior risco não é apenas o vazamento em si, mas não conseguir demonstrar que havia controles, decisões e responsabilidades claramente definidas. “Sem esse nível de governança, um incidente vira uma crise jurídica, financeira e reputacional. Com ele, vira um evento controlado.”

Apesar de normas e tecnologia, o especialista alerta que o fator humano continua crítico. A maioria das violações de dados se origina de comportamentos inseguros, como cliques em links maliciosos ou uso de senhas fracas, ressaltando a importância de treinamentos e conscientização contínua.

Para sustentar essa governança no dia a dia, a Dédalo também utiliza plataformas de gestão de compliance e riscos, como o Enorx, que permitem às empresas registrar, monitorar e evidenciar suas rotinas de segurança, privacidade, gestão de fornecedores, riscos e incidentes. Isso transforma exigências normativas em processos vivos, auditáveis e integrados à operação do negócio.

Uso ético de dados e reconhecimento facial

Quando se fala em tecnologias que lidam com dados sensíveis como imagens e reconhecimento facial, a atenção deve ser ainda maior. A Deconve, startup especializada em soluções de prevenção de perdas no varejo físico, defende critérios rigorosos para uso ético e proporcional dessa tecnologia.

“O reconhecimento facial é usado exclusivamente como apoio à prevenção de perdas por furtos externos. Sendo assim, apenas pessoas que praticaram atos relacionados a extravios de mercadorias são inseridas no sistema, e sempre após auditorias que validam a finalidade do cadastro”, explica Rodrigo Tessari, CEO da Deconve.

Com uma solução única e crescimento acelerado, com expectativas de triplicar o faturamento em 2026 em cerca de R$ 6 milhões, a empresa adota o conceito de Privacy by Design, incorporando a proteção de dados desde a concepção da tecnologia, com uso preferencial de templates biométricos em vez de imagens brutas, prazos definidos de retenção e descarte seguro. “Além disso, a tecnologia não toma decisões automáticas ou punitivas, todos os alertas gerados servem como apoio à atuação humana responsável”, conclui Tessari.

Considerando que os gastos com cibersegurança atingiram US$ 213 bilhões em 2025 (contra US$ 193 bilhões em 2024) e a previsão é um crescimento de US$ 240 bilhões até 2026, os especialistas alertam que proteger informações não é apenas cumprir normas, mas garantir a sustentabilidade dos negócios, a confiança do mercado e o uso responsável de tecnologias que lidam com dados sensíveis.

Organizações que tratam cibersegurança, governança e cultura de privacidade como partes inseparáveis estão mais bem preparadas para enfrentar os desafios digitais e fortalecer relações com clientes, colaboradores e sociedade.