Dados na Mira: O que 100 Líderes de Segurança Revelaram Durante uma Simulação Real de Crise Cibernética

No DataSecAI 2025Cyera correu Operação Deep Lock — uma simulação de crise de ransomware totalmente interativa e multicloud, projetada para testar a tomada de decisões no mundo real. Cem líderes de segurança participaram ao vivo, votando em cada ponto de decisão em tempo real.
O resultado? Uma análise rara e franca de como os CISOs e líderes de segurança de hoje reagiriam sob pressão e como um contexto adicional poderia ter mudado seu curso de ação.
Ao longo de sete módulos — da criptografia inicial às negociações de resgate e às notificações aos clientes — várias tendências importantes emergiram. Abaixo, apresentamos um resumo das descobertas mais relevantes.
Líderes da área de segurança concordam: contenção vem em primeiro lugar.
Durante os estágios iniciais do ataque, os participantes priorizaram, de forma esmagadora, ação decisiva e defensiva.
Quando os atacantes criptografaram sistemas críticos simultaneamente, 96% dos entrevistados optaram por Isolar os sistemas afetados e desativar o acesso entre contas.Apenas 3% optaram por iniciar imediatamente a restauração do backup. E após o evento inicial, 89% priorizado manter o confinamento, iniciando a contagem do prazo de 72 horas do GDPR e preservando as evidências forenses.
Tendência principal: O confinamento e a preservação de provas tornaram-se respostas instintivas de primeira ação., refletindo a maturidade nos programas de resposta a incidentes e aumento da pressão regulatória.
As equipes entendem a importância do contexto dos dados.
Como parte da experiência, contexto adicional do Plataforma de segurança de dados Cyera A informação foi apresentada e foi oferecida aos participantes a oportunidade de alterarem a sua decisão com base nessa informação. O que observamos: Assim que a plataforma da Cyera revelou mais contexto de dados por trás das anomalias, as respostas mudaram drasticamente.
Por exemplo, quando um pico suspeito de saída de dados apareceu, 94% optou por suspender o acesso de saída e iniciar a perícia forense.Mas assim que Cyera o identificou como replicação de rotina com dados não restritos, 82% reclassificou corretamente como um alarme falso.
Tendência principal: A visibilidade dos dados evita escalonamentos desnecessários. — uma lição crucial, visto que as empresas estão afundando em alertas ruidosos.
Quando ocorre uma verdadeira exfiltração de recursos, os executivos recorrem à coordenação jurídica e de relações públicas.
Assim que os atacantes publicaram evidências de informações pessoais roubadas na dark web, a comunidade se mobilizou para o gerenciamento coordenado da crise.
Uma sensação avassaladora 92% optou por Contratar os serviços jurídicos e de relações públicas, iniciar a comunicação de crise e começar a análise forense.Quando questionado sobre qual ação possui prazos legalmente obrigatórios, 53% selecionado corretamente Coordenação da divulgação de informações com os departamentos jurídico e de seguros. - no entanto 28% Reconheceu-se também a necessidade de notificações regulatórias imediatas.
Tendência principal: Os líderes de segurança entendem que os vazamentos públicos não são mais apenas problemas técnicos — são emergências legais, de reputação e regulatórias.
Sistemas esquecidos = Pontos cegos constantes
O Módulo 4 do exercício apresentou um cenário comum do mundo real: ambientes de teste criptografados e ambientes legados. Este módulo destacou uma armadilha comum que os sistemas de "Teste" e "Desenvolvimento" frequentemente apresentam. Cópias reais de dados de produção, mas sem controles de segurança de produção..
93% dos participantes optaram pela quarentena e pela captura de imagens forenses. E 82% O escopo do incidente foi ampliado quando a Cyera revelou que a violação havia aumentado em centenas de milhares de registros devido a sistemas esquecidos.
Tendência principal: As organizações estão muito mais conscientes de que os ambientes de teste e desenvolvimento podem conter dados confidenciais em tempo real — mas muitas ainda têm dificuldades para gerenciá-los.
A estratégia de comunicação importa mais do que respostas imediatas.
Quando os órgãos reguladores e a mídia começaram a pressionar por detalhes, os participantes demonstraram grande disciplina. 86% Optou-se por emitir um breve comunicado, centralizando as comunicações e mantendo os fatos em linhas gerais. Apenas 4% se apressaram em compartilhar números detalhados de exposição.
Tendência principal: A maioria dos líderes de segurança agora prefere uma comunicação ponderada à transparência prematura, o que reflete práticas de comunicação de crise mais maduras.
Pedido de resgate: dividido entre “recusar” e “atrasar”
O módulo de negociação de resgate gerou as reações mais divididas.
- 44% recusou-se a pagar integralmente
- 43% A decisão foi adiada enquanto se verificavam as alegações do atacante.
- Apenas 6% optou por pagar imediatamente
Mas assim que Cyera revelou os atacantes não tinha as informações pessoais identificáveis (PII) regulamentadas que eles alegavam — e que backups limpos estariam disponíveis em poucas horas — 91% Recusaram o resgate imediatamente.
Tendência principal: A inteligência de dados altera drasticamente as decisões sobre resgates — provando que a influência é fundamental. sensibilidade dos dados, não apenas volume de dados.
Notificações precisas ao cliente geram economias de custos significativas.
Uma das constatações mais reveladoras surgiu mais tarde na simulação. Antes de saber quais clientes foram realmente afetados, 69% No exemplo de simulação, foi selecionado um aviso genérico de retenção para todos os 1,3 milhão de clientes. Mas, assim que a Cyera identificou que apenas 24% (312 mil) tinham regulamentado PII, 84% optou-se por notificar apenas esses indivíduos, reduzindo os custos previstos em US$ 17 milhões a US$ 25 milhões.
Tendência principal: A notificação baseada na precisão tornou-se indispensável — não apenas para garantir a exatidão, mas também para o controle de custos.
Principais conclusões da Operação Deep Lock
Ao longo de toda a simulação, vários padrões emergiram:
1. O contexto dos dados é tudo. Os participantes ajustaram repetidamente suas decisões assim que a Cyera revelou a sensibilidade e o alcance reais dos dados afetados.
2. Equipes de resposta a incidentes maduras priorizam a contenção e a conformidade. O isolamento rápido, a preservação de provas e o alinhamento regulamentar foram os fatores determinantes nas decisões iniciais.
3. Os “sistemas de teste” continuam sendo uma importante fonte de risco oculto. Centenas de milhares de documentos de identificação regulamentados foram encontrados em locais esquecidos.
4. As decisões sobre o pagamento de resgate dependem da comprovação da exposição do risco. Assim que a real sensibilidade dos dados foi conhecida, quase todos os líderes rejeitaram o pagamento do resgate.
5. A precisão reduz custos, pânico e divulgações desnecessárias. A classificação precisa dos dados evitou custos potenciais com notificações na casa dos milhões.
Considerações finais
A Operação Deep Lock proporcionou um retrato raro e honesto de como os líderes reagem sob pressão no mundo real. A principal lição? Organizações que compreendem seus dados — onde eles estão armazenados, qual o seu nível de sensibilidade e quem pode acessá-los — tomam decisões significativamente melhores em todas as etapas de uma crise.
Tem interesse em saber como sua organização se encontra em relação à gestão de segurança de dados e às práticas de segurança? Agende hoje mesmo uma Avaliação de Risco de Dados. e descobrir oportunidades para:
- Fortaleça sua estratégia de segurança de dados e sua postura de cibersegurança.
- Otimizar controles e processos preventivos
- Identificar e resolver proativamente as lacunas na postura de segurança.


