ColunistasNews
Tendência

Você trancou a porta da frente. Mas e quem já está dentro de casa?

Imagine uma casa cercada por muros altos, câmeras em cada esquina, cerca elétrica e um cofre reforçado no quarto. Do lado de fora, é uma fortaleza. Agora imagine que a chave desse cofre está espalhada entre dez pessoas, e uma delas, sem maldade nenhuma, deixou uma cópia em cima da mesa do café. Toda aquela muralha não impede o problema mais óbvio: o risco que já está do lado de dentro.

É mais ou menos assim que boa parte das empresas, e das pessoas, trata a segurança digital hoje. Investimos pesado para impedir que estranhos entrem, e quase nada para entender quem, lá dentro, já tem acesso a tudo. Passamos anos aperfeiçoando o muro e esquecemos de perguntar quantas chaves andam circulando por aí.

Os números que ninguém gosta de encarar Faz todo sentido vigiar o perímetro.

O problema é achar que ele é a história inteira. Os relatórios do setor contam um segundo capítulo, bem mais incômodo. Segundo a Verizon (DBIR 2025), 60% das violações de dados envolvem o chamado “elemento humano”, ou seja, gente, não hackers geniais de filme. E o custo disso não é simbólico: o custo médio anual do risco interno chegou a US$ 19,5 milhões em 2025, de acordo com o relatório Ponemon/DTEX de 2026.

Traduzindo para o mundo real: enquanto olhamos fixamente para a fronteira, boa parte do estrago já mora dentro de casa, e sai bem mais caro do que a gente imagina.

O “insider” não é quem você pensa

Quando alguém fala em “ameaça interna”, a imagem que vem à cabeça é o funcionário revoltado, de casaco preto, copiando arquivos secretos na madrugada. É uma cena boa de cinema e péssima de estatística. A realidade é muito mais banal e, por isso mesmo, mais perigosa.

Cerca de 53% dos incidentes internos são causados por negligência, não por má intenção. Os maliciosos ficam em 27%, e o roubo de credenciais responde pelos 20% restantes. Ou seja: na maioria esmagadora dos casos, o “insider” não é vilão. É alguém cansado, distraído ou com mais acesso do que deveria. É a senha reaproveitada entre o sistema da empresa e o e-mail pessoal.

É o clique afobado num link no meio de um dia corrido. É a boa intenção que abre uma porta sem perceber. Isso muda tudo na forma de se proteger. Você não combate distração com desconfiança, e sim com processos simples e bem desenhados.

As três portas internas que quase ninguém tranca

Se o risco mora dentro, vale conhecer por onde ele costuma entrar:

1. O colaborador distraído. O mais comum. Não quer causar dano nenhum, mas repete senha, cai num golpe bem feito ou compartilha um acesso “só por hoje” que vira permanente.

2. O acesso órfão. Aquele que sobra. A pessoa mudou de área, terminou o projeto ou saiu da empresa, e o acesso continuou lá, ativo, esquecido. Uma porta destrancada de um cômodo que ninguém mais visita.

3. O terceiro com a chave da sua casa. Esse cresce assustadoramente. A participação de terceiros nas violações dobrou de 15% para 30% em um ano, segundo a Verizon (DBIR 2025). Fornecedores, prestadores e parceiros com acesso aos seus sistemas ampliam a superfície de risco muito além das suas próprias paredes. Você pode ter a melhor fechadura do mundo, mas se entregou uma cópia da chave para o encanador, a segurança agora depende do chaveiro dele também.

A porta mais nova: a IA que ninguém aprovou

Existe uma quarta porta, recém-instalada e quase sempre sem tranca: o Shadow AI, o uso de ferramentas de inteligência artificial não aprovadas pela empresa. É o funcionário bem-intencionado que cola um contrato, uma planilha de clientes ou um trecho de código sensível dentro de uma IA pública para “adiantar o trabalho”. Ele quer produtividade, mas sem querer entrega dado confidencial para um sistema fora do controle da organização.

O tamanho disso já aparece nos números. O uso de Shadow AI acrescentou cerca de US$ 670 mil ao custo médio de uma violação, e 97% das organizações que sofreram um incidente ligado a IA não tinham controles adequados de acesso, segundo a IBM (2025). E não é caso isolado: 15% dos funcionários acessam sistemas de IA generativa a partir de dispositivos corporativos, sendo que 72% deles usam e-mails pessoais para isso, ou seja, quase todo esse tráfego acontece fora de qualquer política de identidade.

É a tradução moderna do velho recado: a tecnologia nova entra pela porta antes de a gente lembrar de instalar a fechadura.

Por que isso te afeta, mesmo que você não seja da área de TI

Aqui vai a virada de chave. No dia a dia, você é o insider de alguém. Da sua empresa, da sua família, do grupo do prédio, do time do projeto. O acesso que você tem, a senha que você repete em cinco lugares, a permissão que sobrou de um trabalho antigo: cada uma dessas coisas é uma porta.

Pense no seu mundo pessoal. Quantas pessoas têm a senha do seu streaming? Quem ainda tem acesso ao álbum de fotos compartilhado que você criou há três anos? O ex-parceiro que continua logado em alguma conta sua? Nenhum deles é um “hacker”. Mas todos são chaves espalhadas. Segurança não é só sobre trancar a porta por fora, é sobre saber quem, do lado de dentro, ainda consegue abri-la.

Confiar, mas verificar (sem virar paranoico)

A reação instintiva a tudo isso é errada: travar tudo e desconfiar de todo mundo. Isso não é segurança, é paralisia, e mata a produtividade que faz o negócio funcionar. A ideia mais inteligente do mercado hoje tem um nome técnico intimidante, “confiança zero”, mas um princípio simples de vó: confiar, mas verificar. Não se trata de tratar as pessoas como suspeitas. Trata-se de não dar a chave de tudo para todo mundo por padrão, e de conferir de vez em quando se as chaves que estão na rua ainda precisam estar. Confiança deixa de ser uma porta escancarada e vira uma porta com campainha.

O que dá para fazer hoje

● Menos chaves na mão de cada um. Nem toda pessoa precisa de acesso a tudo. Revise, em casa e no trabalho, quem pode ver e mexer no quê. O acesso mínimo necessário resolve boa parte do risco antes de ele existir.
● Saiu, revogue na hora. Acesso órfão é a porta mais fácil de esquecer aberta. Crie o hábito: quando alguém sai ou muda de função, o corte de acesso é parte do processo, não um “depois eu vejo”.
● Trate a distração como risco real. Senhas únicas, um bom gerenciador de senhas e verificação em duas etapas neutralizam a maioria dos incidentes por negligência (que, lembrando, são a maioria de todos).
● Combine regra com ferramenta para a IA. Em vez de proibir e empurrar o uso para a sombra, defina o que pode e o que não pode ir para uma IA, e ofereça uma alternativa aprovada. Proibição sem opção só cria Shadow AI.
● Olhe para quem tem a sua chave. Fornecedores e parceiros também são porta de entrada. Vale perguntar: eles cuidam do meu acesso com o mesmo zelo que eu?
● Crie cultura de avisar sem medo. Quem percebe que errou precisa se sentir seguro para reportar rápido. Punir o mensageiro só faz o problema ficar escondido, e o tempo escondido é exatamente o que encarece cada incidente.

A fortaleza mais bem construída ainda pode ruir por dentro. E talvez a pergunta certa nunca tenha sido “quem está tentando entrar?”, mas sim: em quem eu confiei acesso, e será que ainda faz sentido?

Fica a provocação: quantas chaves da sua casa digital estão espalhadas por aí agora, esquecidas em cima de alguma mesa?

Luciano Takeda

Especialista em Segurança da Informação com foco em conscientização e comportamento humano. Atuo traduzindo riscos cibernéticos em decisões simples do dia a dia, ajudando empresas a construírem uma cultura de segurança que realmente funciona

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo