Os Números que Todo Executivo Precisa Conhecer Sobre Vazamentos de Dados.

Em 2025, a perda de dados corporativos atingiu um novo patamar de complexidade que deveria preocupar qualquer líder empresarial. Enquanto organizações investem bilhões em transformação digital e IA, surgem novos vetores de risco que estão redefinindo o cenário de cibersegurança, causando prejuízos que vão muito além do financeiro.

Você sabia que uma única violação de dados pode custar até US$ 10,22 milhões nos Estados Unidos? Ou que 13% das organizações já sofreram violações envolvendo IA, sendo que 97% não possuíam controles adequados? Esses números não são apenas estatísticas – eles representam uma nova realidade onde a inteligência artificial se tornou tanto uma ferramenta de proteção quanto um vetor de risco.

As 5 estatísticas de 2025 que exigem ação imediata

1. Custo médio global: US$ 4,44 milhões; recorde nos EUA: US$ 10,22 milhões. O IBM Cost of a Data Breach 2025 reporta a primeira redução global em cinco anos, mas os EUA atingiram o maior valor histórico.

   O que isso significa: mesmo com eficiência em resposta e automação, o impacto financeiro segue alto — especialmente em mercados mais regulados e litigiosos.

   Fonte: IBM Cost of a Data Breach Report 2025.

2. 16% das violações têm origem em phishing, com custo médio de ~US$ 4,8 milhões por incidente. Phishing permanece como vetor dominante para comprometimento inicial e exfiltração subsequente.

   O que isso significa: segurança de e-mail e treinamento contínuo (com simulações) continuam críticos — e precisam estar integrados ao DLP.

   Fonte: Análises sobre o IBM Cost of a Data Breach 2025 (Baker Donelson).

3. 20% das violações envolveram Shadow AI. Uso não autorizado de ferramentas de IA por funcionários elevou risco e custo por incidente.

   O que isso significa: políticas de IA, controle de apps e inspeção de conteúdo em saídas (web/IA) devem fazer parte do DLP moderno.

   Fonte: Cobertura do IBM 2025 (Help Net Security).

4. 63% das organizações não possuem governança formal de IA. A ausência de políticas claras para uso de IA abriu brechas para vazamento involuntário de dados sensíveis e propriedade intelectual.

   O que isso significa: governança de IA precisa andar junto do programa de proteção de dados (classificação, acesso, auditoria e DLP).

   Fonte: IBM Cost of a Data Breach 2025.

5. 76% das organizações levaram mais de 100 dias para recuperação total. Mesmo com tempo médio de identificação e contenção em 241 dias, a recuperação operacional plena é lenta na maioria dos casos.

   O que isso significa: DLP não é só prevenção — acelera resposta e recuperação com telemetria centrada em dados e usuários.

   Fonte: Análises do IBM 2025 (Help Net Security; Baker Donelson).

   
   

Tipos mais comuns de ataques a dados que podem fazer sua empresa a fazer parte dessas estatiticas

1) Phishing e Business Email Compromise (BEC)

O que é: engenharia social por e-mail para roubar credenciais, induzir pagamentos ou abrir caminho para exfiltração (thread hijacking, lookalike domains, páginas falsas de SSO).

Por que importa: frequentemente está na origem de uma fatia relevante das violações e empurra o custo total (ex.: média global de violação na casa de milhões de dólares; BEC eleva custos por envolver financeiro e terceiros). Atua como “gatilho” de tomada de conta, acesso a SaaS e exfiltração.

Sinais e táticas:

• Domínios lookalike (ex.: “contoso.co” vs “contoso.com”).

• Páginas de login falsas (SSO, M365/Google, VPN).

• Thread hijacking (respostas dentro de conversas legítimas).

• Urgência/frequência atípica (pagamento imediato, troca de banco).

• Regras de encaminhamento criadas após login suspeito.

Controles essenciais:

• Pessoas/Processos: treinamento contínuo com simulações realistas; processo de verificação fora de banda para pagamentos e mudanças bancárias; listas de permissão (“allowlist”) por tipo de pagamento.

• Tecnologia: MFA resistente a phishing (FIDO2/passkeys), DMARC/SPF/DKIM com política de rejeição, banners para reply externo, detecção de anomalias de login, alerta de forwarding suspeito, proteção de link/arquivo (Safe Links).

KPIs e metas:

• Taxa de cliques em phishing (PPDR): meta < 5% após 2-3 simulações.

• Taxa de reporte de phishing pelos usuários: meta > 15%.

• Porcentagem de domínio com DMARC em p=reject: meta 100%.

• Tempo de remoção de e-mails maliciosos após campanha detectada: < 2 horas.

Mapeamento MITRE ATT&CK: T1566 (Phishing), T1114 (Email Collection), T1056 (Input Capture), T1204 (User Execution).

2) Comprometimento de credenciais e MFA fatigue

O que é: roubo de senha por phishing/infostealers e bombardeio de prompts (push fatigue) para obter aprovação; bypass via tokens de sessão ou consentimento OAuth malicioso.

Por que importa: amplia tempo de permanência e aumenta custos de recuperação; incidentes com comprometimento de identidade frequentemente levam >100 dias para plena recuperação em muitos cenários.

Sinais:

• Logins de origens improváveis (impossible travel).

• Criação repentina de regras de encaminhamento/caixas compartilhadas.

• Tokens OAuth não sancionados; escopos excessivos.

• Picos de tentativas de MFA e respostas “approve-all”.

Controles:

• Pessoas/Processos: educação sobre push fatigue (“nunca aprove sem conferir”); fluxo de revalidação de sessão após risco alto.

• Tecnologia: passkeys/FIDO2; políticas adaptativas (geofencing, device trust, número limitado de prompts); reautenticação step-up para ações sensíveis; revisão periódica de apps OAuth (consent governance).

KPIs:

• Taxa de prompts MFA por usuário/dia (baseline e outliers).

• Percentual de sessões elevadas com passkeys vs SMS/OTP: meta > 80% passkeys onde possível.

• Nº de apps OAuth não aprovados ativos: meta 0; tempo para revogar: < 24 h.

MITRE: T1078 (Valid Accounts), T1110 (Brute Force/Password), T1556 (Modify Authentication Process), T1528 (Steal Application Access Token).

3) Ransomware e extorsão com exfiltração

O que é: antes de criptografar, atores exfiltram dados e chantageiam com vazamento (dupla extorsão).

Por que importa: eleva custo total e prolonga recuperação; pressão para pagamento por dados sensíveis.

Sinais:

• Compressões volumosas (7z/rar/zip) seguidas de tráfego de saída para hosts raros.

• Processos tocando muitos arquivos em sequência; modificações de extensão.

• Desativação de backups/snapshots, shadow copies.

Controles:

• Pessoas/Processos: plano de resposta com roles claros; exercícios de mesa; política de pagamento (se aplicável) definida e aprovada.

• Tecnologia: backups imutáveis e testados; segmentação de rede; EDR/XDR com bloqueios comportamentais; princípio do menor privilégio; criptografia em repouso/trânsito; DLP para egress.

KPIs:

• RPO/RTO validados em testes trimestrais; taxa de restauração bem-sucedida > 95%.

• Tempo de contenção desde o primeiro indicador em XDR: < 60 min.

• Volume de dados exfiltrados estimado vs baseline: meta 0; alerta a partir de +3 desvios padrão.

MITRE: T1486 (Data Encrypted for Impact), T1041 (Exfiltration Over C2 Channel), T1567 (Exfiltration Over Web Services), T1070 (Indicator Removal).

4) Shadow AI e exfiltração via ferramentas de IA

O que é: uso não sancionado de apps de IA, colando PII, contratos, código e outros ativos sensíveis em prompts e uploads.

Por que importa: já aparece em parcela significativa de incidentes e adiciona custo médio relevante; ausência de governança de IA em muitas organizações amplia o risco.

Sinais:

• Prompts que contêm PII, dados de clientes, segredos.

• Acessos a domínios/serviços de IA fora da lista aprovada.

• Uploads de arquivos confidenciais; uso intenso fora do horário.

Controles:

• Pessoas/Processos: política de uso seguro de IA; catálogo de ferramentas aprovadas; consentimento explícito; revisão por privacidade; treinamento prático com exemplos.

• Tecnologia: inspeção de conteúdo em saídas web (CASB/DLP); redaction de PII; bloqueio/permit-list por categorias; logs para auditoria; workspaces de IA com “no-train” e armazenamento controlado.

KPIs:

• Nº de interações com IA contendo dados sensíveis bloqueadas vs permitidas.

• Adoção de ferramentas aprovadas vs não aprovadas: meta > 90% aprovadas.

• Tempo para revisar e aprovar nova ferramenta IA: < 10 dias úteis.

MITRE: T1567 (Exfiltration to Cloud Storage), T1530 (Data from Cloud Storage), T1020 (Automated Exfiltration). (Aplicado por analogia aos fluxos SaaS/web.)

5) Oversharing em SaaS e links públicos

O que é: arquivos com “qualquer pessoa com o link” ou permissões herdadas excessivas; usuários convidando domínios externos atípicos.

Por que importa: causa exfiltração silenciosa; aumenta janela média de exposição/descoberta (meses) e custos de notificação.

Sinais:

• Acervos com links públicos; compartilhamentos “para toda a organização”.

• Convidados externos em massa; picos de downloads incomuns.

• Pastas herdando permissões de grupos “abertos”.

Controles:

• Pessoas/Processos: classificação obrigatória com rótulos; políticas de expiração de links; revisão periódica de permissões; owners responsáveis.

• Tecnologia: correção automática de exposição (auto-remediação), bloqueio de compartilhamento público por padrão, varredura de DLP em SaaS, watermarks em docs sensíveis.

KPIs:

• Nº de arquivos públicos com dados sensíveis: meta 0; tempo para correção: < 48h.

• Percentual de workspaces/pastas com “link público” desativado por padrão: 100%.

• Casos de compartilhamento externo para domínios não aprovados: redução mês a mês.

MITRE: T1530 (Data from Cloud Storage), T1087 (Account Discovery) como suporte; foco em Exfiltration.

6) Terceiros/fornecedores e cadeia de suprimentos

O que é: violação em parceiro com acesso aos seus dados/sistemas (integrações, contas de serviço, suporte).

Por que importa: eleva custos e complexidade regulatória; atrasa recuperação e comunicação; amplia superfície de ataque.

Sinais:

• Acessos de contas de terceiros fora do horário/país habitual.

• Sincronizações/transferências incomuns; credenciais compartilhadas.

• Falta de logs ou lacunas de auditoria do parceiro.

Controles:

• Pessoas/Processos: due diligence e monitoramento contínuo; cláusulas contratuais de segurança e auditoria; planos de resposta coordenados; avaliação de risco de fornecedor (tiering).

• Tecnologia: acessos just-in-time, segregação de funções, least privilege; MFA resistente a phishing para terceiros; logs centralizados; chaves/segredos rotacionados.

KPIs:

• % de terceiros com MFA forte e logging completo: meta > 95%.

• Nº de integrações com escopo mínimo revisadas por trimestre.

• Tempo para revogar acesso de parceiro comprometido: < 1 hora.

MITRE: T1199 (Trusted Relationship), T1078 (Valid Accounts), T1090 (Proxy), T1041 (Exfiltration).

7) Insiders (negligente e malicioso)

O que é: cópia para USB, impressão indevida, envio para e-mail pessoal, upload não autorizado (ex.: repositórios públicos).

Por que importa: aumenta custos de investigação/notificação e business lost; recorrente em incidentes prolongados e disputas trabalhistas.

Sinais:

• Cópia em massa; impressão de documentos sensíveis em lote.

• Anexos para domínios pessoais; criação de pastas pessoais “espelho”.

• Comportamento anômalo vs baseline do usuário.

Controles:

• Pessoas/Processos: classificação, marca d’água, políticas de retenção; offboarding rígido (revogar acessos, coletar ativos); conscientização sobre dados.

• Tecnologia: bloqueio/controle de dispositivos removíveis; DLP; UEBA para detecção de comportamento; “quarentena” de arquivos sensíveis enviados externamente.

KPIs:

• Incidentes de DLP por 100 usuários; taxa de reincidência < 10%.

• Tempo de resposta a incidente insider: < 24 h.

• % de desligamentos com checklist de offboarding 100% concluído.

MITRE: T1052 (Exfiltration over Physical Medium), T1020 (Automated Exfiltration), T1074 (Data Staged).

Como a Netconn + Proofpoint te ajudam a Enfrentar os Desafios de 2025

Com mais de 27 anos de experiência em cibersegurança com ênfase em DLP, a Netconn em parceria coma a Prooofpoint desenvolveu uma metodologia específica para enfrentar os novos desafios de 2025, incluindo proteção contra IA e shadow AI:

• Data & AI Discovery: Mapeamento de dados e inventário completo de uso de IA

• Shadow AI Detection: Identificação de ferramentas não autorizadas

• Risk Assessment Expandido: Análise incluindo vetores de IA

• Compliance Gap Analysis: LGPD + futuras regulamentações de IA

• Email DLP + AI Protection: Proteção contra vazamentos via IA generativa

• Cloud DLP + CASB: Controle de shadow AI e aplicações não autorizadas

• Endpoint DLP + AI Monitoring: Detecção de IA local e ferramentas instaladas

• Network DLP + AI Traffic Analysis: Monitoramento de tráfego para serviços de IA

• Machine Learning Tuning: Ajuste automático de políticas baseado em IA

• Predictive Analytics: Antecipação de novos vetores de risco

• Adaptive Training: Educação personalizada sobre uso seguro de IA

• Threat Intelligence: Atualização contínua sobre ameaças emergentes

  
  

Arquitetura de Proteção Integrada para 2025

1. Proofpoint Email Protection + AI DLP:

   1. Detecção de prompts maliciosos: Identifica tentativas de exfiltração via IA

   2. Bloqueio de anexos para IA: Impede envio de documentos para ferramentas externas

   3. Criptografia inteligente: Proteção automática baseada em sensibilidade

   4. Educação contextual:Alertas sobre riscos de IA no momento do envio

2. Proofpoint Cloud App Security + AI Governance:

   1. Shadow AI Discovery: Identificação automática de ferramentas não autorizadas.

   2. API Protection: Controle de integrações com serviços de IA.

   3. Data Classification: Classificação automática para políticas de IA.

   4. Compliance Automation: Relatórios automáticos de uso de IA.

3. Proofpoint Insider Threat Management + AI Monitoring:

   1. Behavioral Analytics: Detecção de uso anômalo de IA

   2. Session Recording: Gravação de sessões com ferramentas de IA

   3. Risk Scoring: Pontuação dinâmica incluindo fatores de IA

   4. Incident Response: Resposta automatizada a violações via IA

Sobre a Netconn e Proofpoint

A Netconn é pioneira em soluções de DLP no Brasil e a primeira empresa certificada em AI Protection no país. Com mais de 15 anos de experiência e 600+ implementações bem-sucedidas, agora lidera a proteção contra os novos riscos de IA.

A Proofpoint é líder mundial em soluções de segurança people-centric e primeira empresa a lançar proteção específica contra shadow AI, protegendo mais de 87% das empresas Fortune 100 contra ameaças tradicionais e emergentes.

Juntas, Netconn e Proofpoint oferecem a única proteção completa do mercado brasileiro contra vazamentos de dados tradicionais e via IA.

Fontes Oficiais Verificadas

Todas as estatísticas apresentadas foram extraídas e verificadas das seguintes fontes oficiais:

• IBM Corporation / Ponemon Institute. Relatório do custo das violações de dados 2025. Edição em português (Brazil-Português), IBM, 2025. 5 p. IBM

• Baker Donelson. Ten Key Insights from IBM’s Cost of a Data Breach Report 2025. Site da Baker Donelson, 2025 (acesso através de página HTML informativa). bakerdonelson.com

• BM Corporation / Ponemon Institute. Cost of a Data Breach Report 2025. Relatório completo (PDF), Baker Donelson, 22 de agosto de 2025. 31 p. bakerdonelson.com

• Proofpoint, Inc. Website oficial da Proofpoint. Acesso em 2025. Proofpoint

• Netconn. Website corporativo da Netconn (Brasil), especialista em cibersegurança. Acesso em 2025. Netconn

Última atualização: 08/09/2025 - Dados verificados e atualizados conforme relatórios oficiais mais recentes.

Tags: #DLP #PerdasDeDados #IA #ShadowAI #Cibersegurança #LGPD #Proofpoint #Netconn #SegurançaDaInformação #AIProtection