Safetica Blogs

O risco interno está se tornando um risco do dia a dia no trabalho

Written by Sample HubSpot User | 1/jul/2026 17:13:14

O que os dados mais recentes sugerem que os líderes de segurança devem ficar atentos.

A maioria dos líderes de segurança não precisa de mais um lembrete de que incidentes envolvendo pessoas de dentro da organização acontecem. O que é mais fácil deixar passar despercebido é como a área de risco está mudando discretamente: menos casos de “alguém fez algo obviamente malicioso” e mais casos de “padrões de trabalho rotineiros que movimentam dados por canais que suas políticas não previram”.

A magnitude desse fator humano está bem estabelecida. O Relatório de Investigações sobre Vazamentos de Dadosde 2025 da Verizon aponta que o elemento humano está presente em cerca de 60% dos vazamentos, um número que se mantém estável há anos. A pergunta mais relevante é onde essa exposição cotidiana está concentrada atualmente.

O relatório “Tendências de Proteção de Dados” da Safetica analisa sinais agregados e anônimos em ambientes protegidos pela Safetica no segundo semestre de 2025, e quatro padrões se destacam.

1. O risco está nas ferramentas que as pessoas usam todos os dias

Mais de 60% das atividades bloqueadas e violações de políticas (aproximadamente três em cada cinco) ocorreram em canais comuns: aplicativos da web, e-mail e mensagens instantâneas, motivadas por comportamentos normais de trabalho, e não por intenção maliciosa. Isso redefine o risco interno, passando de um “incidente raro” para um “caminho rotineiro”. Se a maior parte das ações de risco ocorre onde a colaboração acontece, a prevenção não se resume apenas ao perímetro ou aos terminais; trata-se de controles consistentes e sensíveis ao contexto em todas as interfaces onde o trabalho é realmente realizado.

Uma pergunta útil para a liderança: nossas políticas levam em conta as funções e o contexto o suficiente para distinguir a colaboração legítima de movimentos de risco, sem causar interrupções generalizadas?

2. A perda de dados vai além dos documentos

Se você ainda imagina a perda de dados como “arquivos saindo da organização”, a tendência da IA é um alerta. Os bloqueios relacionados ao ChatGPT aumentaram 86% do terceiro para o quarto trimestre, e textos livres e capturas de tela — e não os documentos clássicos de escritório — subiram na lista dos tipos de conteúdo mais bloqueados. Os dados em uso — os textos e imagens colados que nunca assumem a forma de um arquivo protegido — estão se tornando o centro das atenções.

Conclusão preliminar: no quarto trimestre, só o ChatGPT foi responsável por cerca de uma em cada cinco interações de IA bloqueadas (20,1%) em nossos dados, um sinal de que o risco da IA está se consolidando em torno de algumas ferramentas dominantes e de uso geral, em vez de se espalhar por muitas outras.

Pesquisas independentes apontam na mesma direção. O relatório “2025 Enterprise AI” da LayerX constatou que cerca de 45% dos funcionários usam IA generativa no trabalho e que aproximadamente 77% desses usuários já colaram dados da empresa em chatbots, a maioria por meio de contas pessoais e não gerenciadas que nunca passam pelos controles corporativos. Uma análise anterior da Cyberhaven constatou que cerca de 11% do conteúdo colado no ChatGPT era confidencial.

A implicação para os CISOs: a governança da IA não pode se limitar a um PDF de política. Ela precisa levar em conta como as entradas e saídas de formato livre realmente se comportam.

3. Os usuários se adaptam mais rapidamente do que os controles estáticos

Muitas equipes conhecem aquela sensação de “jogo de acerte o alvo” com políticas: bloqueie um caminho e veja a atividade se deslocar para outro lugar. Os dados comprovam isso. O uso de aplicativos de mensagens criptografadas ultrapassou 64% no quarto trimestre como parcela da atividade de aplicativos de risco. Quando um canal é bloqueado, os usuários muitas vezes não param; eles mudam, transferindo sua exposição do e-mail e das redes para a web, a nuvem e os aplicativos de mensagens.

É por isso que a medição precisa ser multicanal (e-mail, web, chat, nuvem e USB), em vez de isolada. E o objetivo não é bloquear tudo; é reduzir os movimentos de risco sem forçar as pessoas a adotarem comportamentos de contorno.

Esse equilíbrio é o significado prático de “Proteger mais. Interromper menos.”

4. A maior parte dos riscos internos é comportamental, não excepcional

O e-mail continua sendo a principal fonte de alerta precoce: foi responsável por 72% dos alertas de nível de ameaça no segundo semestre de 2025. Mas a lição a ser tirada não é “concentrar-se apenas no e-mail”. É que a maior parte desse risco é resultado do acúmulo de pequenas decisões repetidas sobre o manuseio de dados, tomadas discretamente por toda a força de trabalho, e não de um punhado de atos dramáticos e maliciosos.

Conclusão preliminar: dispositivos USB externos foram responsáveis por 36,1% dos gatilhos de atividades incomuns no quarto trimestre (+7,7% em relação ao trimestre anterior), um lembrete de que um canal que muitas equipes consideram “resolvido” ainda é um sinal comportamental significativo, muitas vezes uma brecha no fluxo de trabalho quando a colaboração parece lenta.

O panorama externo corrobora isso. Uma pesquisa da Cyberhaven atribui cerca de 15,6% da exfiltração por pessoas internas a mídias removíveis, e a Proofpoint observa que os pen drives continuam sendo uma das principais vias de exfiltração em algumas regiões da Europa. O relatório “Custo dos Riscos Internos 2025” da Ponemon/DTEX formula a questão da intenção de forma clara: funcionários negligentes estão por trás de aproximadamente 53% dos incidentes internos.

Comportamentos repetitivos envolvendo pen drives ou cópias podem indicar intenção, mas, com muito mais frequência, sinalizam atrito. Ambos merecem investigação; nenhum deles se encaixa no perfil simples de um “funcionário mal-intencionado”.

Uma breve lista de verificação para líderes de segurança

Se você quiser transformar o que foi dito acima em uma conversa interna concreta, aqui estão cinco perguntas que vale a pena fazer neste trimestre:

  1. Onde a pressão sobre os dados confidenciais está aumentando para nós: e-mail, aplicativos web, mensagens instantâneas, nuvem ou USB?
  2. Nossas políticas levam em conta as funções e o contexto o suficiente para distinguir a colaboração legítima de movimentos de risco?
  3. Temos cobertura para comportamentos relacionados a “dados em uso”, como texto colado, capturas de tela e entradas de IA em formato livre?
  4. Estamos atentos à troca de canais? Se bloquearmos o e-mail, detectamos o mesmo padrão migrando para o chat?
  5. Qual é a nossa postura em relação às ferramentas de IA e aos canais criptografados? Eles são regulamentados como fluxos de trabalho de tratamento de dados ou tratados apenas como mais uma categoria de site?

Leia o relatório completo

O relatório completo “Tendências de Proteção de Dados” da Safetica inclui as tabelas de dados completas, análises trimestrais e gráficos que ilustram esses padrões. Baixe o relatório.