sobregrupos de trabalhoeventos
publicações
notíciasrevistaswhitepaperscanal abranetmídia
contatoentrarassocie-se
  • Fone (11) 3078-3866
  • WhatsApp +55 11 94528-2739
  • E-mail sec@abranet.org.br
Rua MMDC, 450, cj 304, Butantã, São Paulo-SP, 05510-000
Conheça nosso podcast Pensai!
#005 - Marketing e IA: conversa com Thiago Gonçalves, Country Manager da Blip México
#005 - Marketing e IA: conversa com Thiago Gonçalves, Country Manager ...
01h00/30 abr 2025
/
YouTubeSpotifyInstagram
Copyright © 2014 - 2025
Abranet - Associação Brasileira de Internet
Produzido e gerenciado por Editora Convergência Digital / Site criado pela SENNO
  1. home
  2. publicações
  3. notícias
  4. Quase 90% das empresas brasileiras não têm política de governança para Inteligência Artificial

Quase 90% das empresas brasileiras não têm política de governança para Inteligência Artificial

30 de julho de 2025

por Da Redação Abranet

Quase 90% das empresas brasileiras não têm política de governança para Inteligência Artificial

O custo médio de uma violação de dados no Brasil atingiu R$ 7,19 milhões, enquanto em 2024 o custo foi de R$ 6,75 milhões, um aumento de 6,5%, marcando uma pressão adicional sobre as equipes de segurança cibernética que enfrentam desafios altamente complexos. Setores como Saúde, Finanças e Serviços lideraram a lista dos mais impactados, registrando custos médios de R$ 11,43 milhões, R$ 8,92 milhões e R$ 8,51 milhões, respectivamente. Os dados são do relatório anual Cost of a Data Breach (CODB), da IBM, divulgado nesta quarta-feira, 30/7.

O relatório aponta que no Brasil, as organizações que adotam extensivamente IA e automação seguras relataram custos médios de R$ 6,48 milhões, enquanto aquelas com implementação limitada apresentaram custos de R$ 6,76 milhões. Para empresas que ainda não utilizam essas tecnologias, o custo médio subiu para R$ 8,78 milhões, destacando as vantagens da IA no fortalecimento da segurança cibernética.

Além de avaliar os fatores que elevam os custos, o Relatório Cost of a Data Breach de 2025 analisou elementos que podem reduzir os impactos financeiros de uma violação de dados. Entre as iniciativas mais eficazes, estão a implementação de inteligência de ameaças (que reduziu custos em uma média de R$ 655.110) e o uso de tecnologia de governança de IA (R$ 629.850).

Mesmo com essa redução significativa de custos, o relatório constatou que apenas 29% das organizações estudadas no Brasil utilizam tecnologia de governança de IA para mitigar riscos associados a ataques a modelos de IA. De modo geral, a governança e a segurança de IA estão sendo amplamente ignoradas, com 87% das organizações estudadas no Brasil relatando não possuir políticas de governança de IA em vigor e 61% sem controles de acesso à IA.

O relatório também identificou as causas iniciais mais frequentes de violações de dados no Brasil. Phishing se destacou como o principal vetor de ameaça, representando 18% das violações, resultando em um custo médio de R$ 7,18 milhões. Outras causas significativas incluem comprometimento de terceiros e da cadeia de suprimentos (15%, com custo médio de R$ 8,98 milhões) e exploração de vulnerabilidades (13%, com custo médio de R$ 7,61 milhões). Credenciais comprometidas, erros internos (acidentais) e infiltrados mal-intencionados também foram relatados como causas de violações, demonstrando a ampla gama de desafios enfrentados pelas organizações na proteção de dados.

Outras descobertas globais do relatório Cost of a Data Breach de 2025:

  • 13% das organizações relataram violações envolvendo modelos ou aplicações de IA, enquanto 8% não sabiam se haviam sido comprometidas dessa forma. Das organizações comprometidas, 97% relataram não ter controles de acesso para IA em vigor.

  • 63% das organizações violadas não possuem uma política de governança de IA ou ainda estão desenvolvendo uma. Entre aquelas com políticas, apenas 34% realizam auditorias regulares para detectar o uso não autorizado de IA.

  • Uma em cada cinco organizações relatou uma violação devido à shadow IA, e apenas 37% possuem políticas para gerenciar ou detectar essa tecnologia. Organizações que utilizaram altos níveis de shadow IA observaram uma média de US$ 670.000 a mais em custos de violação em comparação com aquelas com baixos níveis ou sem IA oculta. Incidentes de segurança envolvendo IA oculta levaram ao comprometimento de mais informações de identificação pessoal (65%) e propriedade intelectual (40%) em comparação com a média global (53% e 33%, respectivamente).
    · 16% das violações estudadas envolveram hackers utilizando ferramentas de IA, frequentemente para ataques de phishing ou deepfake.
     

  • O custo financeiro de uma violação
    · Custos de violação de dados. O custo médio global de uma violação de dados caiu para US$ 4,44 milhões, a primeira queda em cinco anos, enquanto o custo médio de uma violação nos EUA atingiu o recorde de US$ 10,22 milhões.
    · Ciclo de vida global de uma violação atinge tempo recorde. O tempo médio global para identificar e conter uma violação (incluindo a restauração do serviço) caiu para 241 dias, uma redução de 17 dias em relação ao ano anterior, à medida que mais organizações detectaram a violação internamente. As organizações que detectaram a violação internamente também economizaram US$ 900.000 em custos de violação em comparação com aquelas notificadas por um invasor.
    · Violações na área da saúde continuam sendo as mais caras. Com uma média de US$ 7,42 milhões, as violações no setor de saúde permaneceram as mais caras entre todos os setores estudados, mesmo com uma redução de US$ 2,35 milhões nos custos em comparação com 2024. Violações neste setor levam mais tempo para serem identificadas e contidas, com um tempo médio de 279 dias, mais de 5 semanas acima da média global, de 241 dias.
    · Fadiga do pagamento de resgate. No ano passado, as organizações resistiram cada vez mais às demandas de resgate, com 63% optando por não pagar, em comparação com 59% no ano anterior. À medida que mais organizações se recusam a pagar resgates, o custo médio de um
    incidente de extorsão ou ransomware permanece alto, especialmente quando divulgado por um invasor (US$ 5,08 milhões).
    · Aumento de preços pós-violações. As consequências de uma violação continuam a se estender além da contenção. Embora em queda em relação ao ano anterior, quase metade de todas as organizações relataram que planejavam aumentar o preço de bens ou serviços devido à violação, e quase um terço relatou aumentos de preços de 15% ou mais.
    · Estagnação nos investimentos em segurança em meio ao aumento dos riscos da IA. Houve uma redução significativa no número de organizações que relataram planos de investir em segurança após uma violação: 49% em 2025, em comparação com 63% em 2024. Menos da metade das que planejam investir em segurança pós-violação se concentrarão em soluções ou serviços de segurança baseados em IA.

“Nosso estudo mostra que já existe uma lacuna preocupante entre a rápida adoção da IA e a falta de governança e segurança adequadas, e agentes mal-intencionados estão explorando esse vácuo. A ausência de controles de acesso em modelos de IA expôs dados sensíveis e aumentou a vulnerabilidade das organizações. Empresas que subestimam esses riscos não estão apenas colocando informações críticas em risco, mas também comprometendo a confiança em toda a operação”, explica Fernando Carbone, Sócio de Serviços de Segurança da IBM Consulting na América Latina.

leia

também

  • Drex, a moeda digital nacional, teve 500 operações de 11 instituições em 50 dias de piloto

    Drex, a moeda digital nacional, teve 500 operações de 11 instituições em 50 dias de piloto

    13 de setembro de 2023 | Redação da Abranet

    O Banco Central (BC) informou que, em 50 dias de projeto piloto, 500 transações foram bem sucedidas no Drex, a moeda digital brasileira, e 11 instituições operam na rede. Segundo a autoridade monetária, os participantes do programa começaram a ser incorporados à plataforma no fim de julho. De lá para cá, vários tipos de operações têm sido simuladas, tanto no atacado quanto no varejo, disse o BC. De acordo com a autarquia, a primeira emissão de títulos públicos federais na plataforma Drex para fins de simulação foi realizada nessa segunda-feira (11). Cada um dos participantes já habilitados recebeu uma cota da versão para simulação dos títulos públicos e, a partir de então, podem iniciar também a simulação de procedimentos de compra e venda desses títulos entre eles e entres clientes simulados, afirmou. Vários tipos de operações têm sido simuladas tanto no atacado quanto no varejo – como criação de carteiras, emissão e destruição de Drex e transferências simuladas entre bancos e entre clientes. Todos os participantes conectados já realizaram ao menos alguns desses tipos de transações, sendo que cerca de 500 operações foram conduzidas com sucesso. A primeira fase do piloto deve ser encerrada no meio de 2024, com o desenvolvimento ainda de outras facilidades na fase seguinte. A cada semana, um tipo novo de operação é realizado pelas instituições participantes. Todas essas transações são apenas simuladas e se destinam ao teste de infraestrutura básica do Drex, que ainda não conta com a soluções de proteção à privacidade que serão testadas ao longo do Piloto Drex, ressaltou o BC.

    ler mais
  • BC publica cronograma para testes do Pix Automático

    BC publica cronograma para testes do Pix Automático

    04 de setembro de 2024 | Da Redação Abranet

    O Departamento de Competição e de Estrutura do Mercado Financeiro do Banco Central publicou nesta quarta, 4/9, uma nova instrução normativa que trata de diferentes aspectos da adesão ao Pix, além de prever a oferta de produtos e serviços adicionais ou facultativos. A norma trata de como os interessados, tenham já ou não autorização do BC para operar, devem fazer para aderirem ao sistema de pagamento instantâneo, as diversas etapas do processo e exigências para a formalização, como o projeto de experiencia do usuário, uso de QR Codes, etc. A autoridade monetária também trata de como instituições autorizadas a funcionar podem oferecer serviços adicionais, se habilitar ao Diretório de Identificadores de Contas Transacionais – DICT, ou serviços de iniciação de pagamentos, saque, por exemplo. Prevê, ainda, que uma instituição já participante do Pix, ou em processo de adesão, poderá apresentar, a qualquer tempo, pedido para ofertar ou consumir funcionalidades, de natureza facultativa, relacionadas ao Pix Automático. Além disso, a IN 511 traz um cronograma relacionado aos testes do Pix Automático: I – instituições que concluíram a etapa homologatória do processo de adesão ao Pix antes de 28 de abril de 2025, inclusive instituições participantes em operação, devem realizar com sucesso os testes entre 28 de abril de 2025 e 6 de junho de 2025; II – instituições que concluíram a etapa homologatória do processo de adesão ao Pix entre 28 de abril de 2025 e 6 de junho de 2025 devem realizar com sucesso os testes no prazo de oito semanas contadas a partir da conclusão com sucesso da etapa homologatória pertinente; III – instituições que não concluírem a etapa homologatória do processo de adesão ao Pix até 6 de junho de 2025 devem concluir os testes do Pix Automático dentro do prazo determinado para a conclusão com sucesso dessa etapa; e IV – instituições participantes em operação que ofertem conta apenas a usuários pessoa jurídica e optem por não ofertar pagamentos via Pix Automático devem encaminhar formulário cadastral indicando dispensa da oferta de Pix Automático até 4 de abril de 2025. Instituições participantes do Pix que estejam obrigadas a ofertar serviços do Pix Automático ou que, de forma facultativa, enviem até 4 de abril de 2025 formulário de atualização cadastral indicando a intenção de oferta de serviços do Pix Automático, devem cumprir os testes entre 28 de abril de 2025 e 6 de junho de 2025.

    ler mais
  • Comitê que vai definir futuro da internet tem dois brasileiros

    Comitê que vai definir futuro da internet tem dois brasileiros

    15 de julho de 2014 | Roberta Prescott

    Passado o evento NetMundial, agora representantes de grupos setoriais trabalham juntos para formar comitê que vai elaborar uma proposta para nortear a migração dos trabalhos da Iana, sigla em inglês para Autoridade para Designação de Números da Internet, para, ao que tudo indica, uma entidade multissetorial.; A IANA é um departamento da ICANN (em português, Corporação da Internet para Atribuição de Nomes e Números), cujo controle, até agora, é exercido pela NTIA, agência dos EUA responsável por aconselhar o presidente nos assuntos envolvendo políticas de telecomunicações e de informação.; O atual contrato do governo dos Estados Unidos com a ICANN para gerenciar as funções técnicas de DNS expira em 30 de setembro de 2015, podendo ser estendido por até quatro anos, se a comunidade precisar de mais tempo para desenvolver a proposta de transição. Desde que os Estados Unidos anunciaram sua saída, entidades do mundo todo vêm se organizando para debater como será a feita a transição e quem ficará na coordenação.; Durante o NetMundial, realizado entre 23 e 24 de abril, em São Paulo, o governo dos Estados Unidos se opôs a um modelo multilateral, apontando, entre as condicionantes para a transição, que apoiam o modelo multissetorial (multistakeholder). Os EUA também deixaram claro que não vão aceitar uma proposta de transição que substitua o papel NTIA com uma solução conduzida por algum governo ou uma solução intergovernamental.; O NetMundial foi aclamado por seus participantes por indicar uma série de princípios que devem reger a internet, como a neutralidade de rede, a liberdade de expressão e o direito de acesso. A consolidação destes princípios foi o grande legado, como explicou para a Abranet Vanda Scartezini, representante para a América Latina da ONG PIR. ; ; Cada um dos grupos dos stakeholders, líderes dos principais setores da cada sociedade interessados no tema, elege os participantes que integrarão o comitê, sempre visando ao caráter técnico e não político. No total, cerca de 30 pessoas integrarão o comitê de trabalho cujo objetivo é apresentar uma proposta do que poderia substituir o controle que hoje é da NTIA. Dois brasileiros fazem parte deste comitê: Demi Getschko, do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), e Hartmut Richard Glaser, secretário-executivo do Comitê Gestor da Internet no Brasil – CGI.br.; A expectativa, explica Vanda Scartezini, é ter alguma proposta no próximo encontro da ICANN, em outubro em Los Angeles. Despois disto, as ideias vão para consulta pública, quando recebem críticas e sugestões, que são compiladas e analisadas. “Esta é a primeira fase de trabalhos. Como é um grupo grande, imagino que eles devam se dividir em subgrupos”, comenta. ; ;

    ler mais