O Dia Internacional da Proteção de Dados, celebrado em 28 de janeiro, traz um alerta sobre os dados esquecidos nas corporações, que podem se tornar portas de entrada para ataques cibernéticos. Servidores legados, contas inativas e repositórios em nuvem abandonados aumentam a superfície de ataque e colocam em risco informações sensíveis e a conformidade com a Lei Geral de Proteção de Dados (LGPD), destaca a Kaspersky.
Embora não participem mais das operações diárias, esses ativos permanecem conectados à infraestrutura corporativa, muitas vezes sem atualizações, monitoramento ou controles de acesso adequados, configurando uma “infraestrutura invisível” que desafia gestores de TI e de segurança da informação.
Softwares legados e aplicações antigas, por exemplo, mantêm dependências desatualizadas, preservando vulnerabilidades críticas por anos. Servidores físicos e virtuais esquecidos após migrações, fusões, aquisições ou finalização de projetos de TI também representam riscos significativos.
Dados da certificadora Let’s Encrypt indicam que, em 2024, cerca de 50% das solicitações de renovação de certificados vieram de dispositivos desvinculados dos domínios correspondentes, contribuindo para um universo estimado de cerca de um milhão de dispositivos esquecidos ainda conectados à rede global.
“Quando ativos deixam de ser visíveis para as equipes de segurança e TI, eles passam a operar fora dos modelos de governança da organização. Além de ampliar riscos cibernéticos, esses elementos consomem recursos técnicos e financeiros que poderiam estar alocados em iniciativas estratégicas, impactando diretamente eficiência, conformidade e planejamento de longo prazo”, afirma Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.
Automação e higiene digital são prioridades
O CISO Survey, estudo realizado pela Kaspersky com 300 líderes de cibersegurança de seis países da América Latina, incluindo o Brasil, mostra como a falta de maturidade em segurança digital aumenta os riscos relacionados a infraestruturas esquecidas.
A ausência de avaliações regulares de risco e a postura reativa dificultam a identificação de ativos negligenciados. No Brasil, 48% dos líderes de segurança afirmaram não ter cronograma regular de avaliações, revisando controles apenas após incidentes ou notícias na mídia.
Além disso, 54% das equipes entrevistadas dependem de processos manuais para compilar inteligência de ameaças, método lento e propenso a falhas que dificulta o rastreamento de ativos antigos em redes complexas.
Para reduzir riscos em 2026, a Kaspersky recomenda que as empresas adotem um modelo proativo de resiliência digital. Processos automatizados de Descoberta e Reconciliação de Ativos (AD&R) ajudam a identificar sistemas conflitantes, acessos indevidos e informações desatualizadas antes que se tornem alvos.
Também é fundamental estabelecer políticas formais de descontinuação de servidores e aplicações, incluindo a destruição comprovada de dados, além de integrar soluções de Gestão de Identidade e Acesso (IAM) aos processos de RH, permitindo revogação imediata de contas de colaboradores desligados ou prestadores de serviço.
Para acessar a pesquisa completa da Kaspersky, é possível baixar o relatório Pesquisa CISO 2025 na página especial da empresa.
