Os dados nunca foram tão valiosos, nem tão vulneráveis

Em 2026, com o custo médio de uma fuga já acima dos 4,8 milhões de euros e com a NIS2 e o DORA a colocarem responsabilidade direta nos administradores, essa constatação deixou de ser retórica para se tornar num constrangimento orçamental e jurídico.

A transformação digital expandiu a superfície de exposição

Durante décadas, a segurança da informação assentou numa lógica funcional: proteger o perímetro. Firewalls, VPNs, zonas de confiança. Um modelo adequado quando os dados viviam dentro de casa.

A transformação digital alterou esse mapa. Os dados de uma organização estão hoje distribuídos por dezenas de plataformas, partilhados com parceiros externos, replicados em ambientes que o departamento de TI muitas vezes desconhece. O perímetro foi-se dissolvendo gradualmente, enquanto continuávamos a investir em muros à volta de uma casa que já não tinha paredes.

A consequência é visível nos números: segundo o IBM Cost of a Data Breach Report, 68% das organizações desconhece onde residem todos os seus dados sensíveis. E não falo de startups sem recursos; falo de empresas com equipas de TI estruturadas, políticas formalizadas e auditorias regulares. A visibilidade, saber onde os dados estão, quem lhes acede e qual o seu nível de exposição, é o ponto de partida de qualquer estratégia de proteção eficaz.

A inteligência artificial veio amplificar o problema

A adoção de IA generativa acontece a uma velocidade que os departamentos de segurança não acompanham. O entusiasmo é compreensível; a questão é que a IA funciona com dados que, introduzidos em ferramentas externas sem políticas claras, criam novos vetores de exposição ainda não mapeados.

Do lado dos atacantes, a IA serve igualmente de acelerador: phishing mais convincente, ataques mais rápidos e vulnerabilidades exploradas em escala. As organizações que mantêm modelos de segurança desenhados para um mundo pré-IA competem num campo de jogo diferente do dos seus adversários.

NIS2 e DORA: a regulação como catalisador de maturidade

A tendência é encarar a NIS2 e o DORA como mais burocracia. São, na verdade, uma oportunidade para forçar conversas que muitas organizações têm adiado.

A NIS2 coloca a aprovação da estratégia de cibersegurança no Conselho de Administração, com responsabilidade pessoal dos gestores em caso de negligência. Os prazos de notificação, de 24 horas para o alerta inicial e 72h para relatório completo, exigem processos testados com regularidade. O DORA vai mais longe: a resiliência operacional passa a ser requisito, garantindo que as funções críticas operam mesmo perante um incidente. Ambos assentam numa convicção que subscrevo: a segurança de dados é uma responsabilidade de gestão.

A mudança começa pela decisão

A consciência do problema existe. O que está comprometido é a capacidade de agir: a pressão do dia a dia, a escassez de talento e a dificuldade em traduzir risco técnico em argumentos que influenciam e movem orçamentos.

A mudança começa pela visibilidade: saber onde estão os dados sensíveis e quem lhes acede é o fundamento de uma estratégia coerente de prevenção, controlo de acessos e monitorização. A dimensão cultural é igualmente determinante: a cibersegurança tem de entrar nas decisões de aquisição de SaaS, na integração de fornecedores e nas políticas de uso de IA. Os gestores de topo têm de tratar a proteção dos dados com a mesma seriedade com que tratam riscos financeiros ou operacionais.

Na maioria dos casos, a tecnologia existe. O que falta é a decisão de elevar a segurança dos dados ao estatuto de prioridade estratégica. E essa decisão, como todas as que realmente importam, começa no topo.

Conteúdo co-produzido pela MediaNext e pela Oramix