83% usam IA; apenas 13% têm visibilidade - Relatório de 2025 da Cyera sobre o Estado da Segurança de Dados de IA

Laboratórios de Pesquisa
September 29, 2025

CyberSecurity Insiders em parceria com Cyera Research Labs - o braço de pesquisa de Segurança de Dados e IA da Cyera, entrevistou mais de 900 líderes de TI para fornecer as evidências que os clientes continuavam solicitando.

Principais Conclusões:

  • 83% das empresas já usam IA - mas apenas 13% relatam ter forte visibilidade sobre como ela interage com seus dados.
  • 76% dizem que agentes de IA autônomos são os mais difíceis de proteger, e apenas 9% monitoram a atividade de IA em tempo real.
  • Controles ficam atrás dos incidentes: 66% detectaram IA acessando dados sensíveis em excesso, enquanto apenas 11% conseguem bloquear automaticamente atividades de risco.

O primeiro alerta não veio de um SIEM. Veio de um gerente de vendas perguntando por que um copiloto de IA conseguia "magicamente" encontrar uma apresentação de preços que não deveria conhecer. Nenhuma exploração. Nenhum zero-day. Apenas acesso padrão, ausência de proteções e ninguém monitorando a camada de prompt.

Essa história apareceu repetidamente no Relatório de Segurança de Dados de IA de 2025: a IA já está integrada ao trabalho diário, mas os controles que mantêm os dados seguros não acompanharam o ritmo. O resultado é uma lacuna de prontidão - o uso é alto, a supervisão é baixa - e está se ampliando exatamente nas bordas que invasores e acidentes adoram.

De Perguntas a Evidências: Por Que (e Como) Realizamos a Pesquisa

Os clientes continuavam fazendo as mesmas perguntas - Onde estamos em relação aos concorrentes? Quais proteções são realmente padrão? Como medimos a prontidão? Não havia uma linha de base neutra e intersetorial. Então, em parceria com CyberSecurity Insiders, realizamos uma pesquisa estruturada de múltipla escolha com 921 profissionais de TI e segurança de diversos setores e portes (CISOs, líderes de segurança, arquitetos, chefes de SOC, funções de governança de dados). Os resultados são estatisticamente robustos (±3,2% a 95% de IC). Focamos em adoção e maturidade, visibilidade e monitoramento, controles na borda de prompt/agente, identidade e acesso para IA, e governança/prontidão - alinhados ao OWASP Top 10 para Aplicações LLM.

O que perguntamos (e por quê)

Queríamos saber se a IA está sendo governada com o mesmo rigor que aplicamos a usuários, sistemas e dados. Então, perguntamos sobre:

  • Onde a IA vive (ferramentas, modelos e fluxos de trabalho)
  • Qual visibilidade existe (logs, sinais em tempo real, auditabilidade)
  • Quais controles estão ativos (filtros de prompt, redação de saída, bloqueio automático)
  • Como o acesso é concedido (IA como identidade de primeira classe ou "apenas mais um usuário")
  • Quem é responsável pela governança (e se a política corresponde à prova)

Veja o Que os Dados Dizem

A adoção supera o controle. A IA é mainstream-83% a utilizam no trabalho diário-mas apenas 13% dizem ter forte visibilidade sobre como ela afeta os dados corporativos. A maioria das equipes ainda está em pilotos ou maturidade "emergente", mas o uso já abrange trabalho de conteúdo/conhecimento e colaboração. É assim que os pontos cegos se expandem.

O risco se concentra nas extremidades. A confiança é maior quando a IA está incorporada dentro de um SaaS familiar. Ela desmorona quando a autonomia ou prompts públicos entram em cena. 76% dizem que agentes autônomos são os mais difíceis de proteger; 70% sinalizam prompts externos para LLMs públicos. Quase um quarto (23%) não possui nenhum controle de prompt ou saída. Isso não é uma falha do modelo; é uma falha de política na interface.

IA é uma nova identidade - tratada como uma antiga. Apenas 16% tratam a IA como sua própria classe de identidade com políticas dedicadas. 21% concedem amplo acesso a dados por padrão. 66% já flagraram a IA acessando informações em excesso (frequentemente, não raramente). E embora o privilégio mínimo deva estar vinculado à classificação de dados em tempo real, apenas 9% afirmam que seus controles de segurança de dados e identidade estão verdadeiramente integrados para IA.

A Governança de IA está atrasada em relação à realidade. Apenas 7% têm um comitê dedicado de governança de IA, e somente 11% se sentem totalmente preparados para a regulamentação emergente de IA. Os registros são, com muita frequência, artefatos pós-incidente; o bloqueio automático existe em apenas 11% dos programas. Em outras palavras: estamos observando depois do fato e aplicando manualmente.

Conclusões para CISOs, Arquitetos e Líderes de Dados

Se você tratar a IA como um aplicativo, perderá o risco real. Se tratá-la como um humano, dará permissões em excesso. Se ignorar a camada de prompt/saída, nunca verá o vazamento.

Aqui está o caminho pragmático a seguir:

  1. Instrumento do primeiro piloto
     Ative a descoberta de ferramentas/modelos de IA, o registro centralizado de prompts/saídas e sinais de anomalia em tempo real (tentativas de exfiltração, jailbreaks, consumo excessivo). Não crie dívida de governança que você pagará mais tarde.
  2. Fortalecer a interface
     Padronize para filtragem de entrada e redação de saída nos gateways. Mantenha os escopos de agentes restritos, exija aprovações para autonomia e imponha limites de taxa e interruptores de emergência. Busque o bloqueio automático onde os padrões de risco são claros.
  3. Tornar a IA uma identidade de primeira classe
     Forneça à IA seu próprio tipo de identidade e ciclo de vida. Aplique privilégio mínimo vinculado à classificação e contexto de dados, continuamente—não trimestralmente. Revise e expire escopos como você faria com tokens de produção.
  4. Ancorar a governança em evidências
     Designe um responsável nomeado para a governança de IA. Mapeie políticas para logs, decisões e resultados que você possa efetivamente demonstrar (DPIAs/TRAs quando aplicável). Acompanhe métricas de nível executivo: cobertura, taxa de bloqueio automático, taxa de acesso excessivo e tempo para detectar/conter incidentes na camada de prompt.

Apresentando o Cyera Research Labs (e o que vem a seguir)

Esta publicação inaugura o Cyera Research Labs - nosso braço de pesquisa dedicado a fornecer orientações claras e baseadas em dados na interseção entre IA e segurança de dados. Espere resumos concisos, análises de resposta rápida quando o cenário mudar e manuais práticos que você pode colocar em produção. Se você quiser o próximo relatório, nos avise e compartilharemos benchmarks e padrões de proteção que você pode usar na segunda-feira.

Palavra final: A IA não está esperando a governança alcançá-la. Os líderes que vencerão não serão os mais barulhentos — serão aqueles que conseguirem provar visibilidade, contenção e privilégio mínimo para atores não humanos, começando agora.

Leia o Relatório sobre o Estado da Segurança de Dados de IA 2025.

Baixar Relatório

Tipo de Pesquisa

Research Blog

Compartilhar

83% usam IA; apenas 13% têm visibilidade - Relatório de 2025 da Cyera sobre o Estado da Segurança de Dados de IA

Laboratórios de Pesquisa
September 29, 2025

CyberSecurity Insiders em parceria com Cyera Research Labs - o braço de pesquisa de Segurança de Dados e IA da Cyera, entrevistou mais de 900 líderes de TI para fornecer as evidências que os clientes continuavam solicitando.

Principais Conclusões:

  • 83% das empresas já usam IA - mas apenas 13% relatam ter forte visibilidade sobre como ela interage com seus dados.
  • 76% dizem que agentes de IA autônomos são os mais difíceis de proteger, e apenas 9% monitoram a atividade de IA em tempo real.
  • Controles ficam atrás dos incidentes: 66% detectaram IA acessando dados sensíveis em excesso, enquanto apenas 11% conseguem bloquear automaticamente atividades de risco.

O primeiro alerta não veio de um SIEM. Veio de um gerente de vendas perguntando por que um copiloto de IA conseguia "magicamente" encontrar uma apresentação de preços que não deveria conhecer. Nenhuma exploração. Nenhum zero-day. Apenas acesso padrão, ausência de proteções e ninguém monitorando a camada de prompt.

Essa história apareceu repetidamente no Relatório de Segurança de Dados de IA de 2025: a IA já está integrada ao trabalho diário, mas os controles que mantêm os dados seguros não acompanharam o ritmo. O resultado é uma lacuna de prontidão - o uso é alto, a supervisão é baixa - e está se ampliando exatamente nas bordas que invasores e acidentes adoram.

De Perguntas a Evidências: Por Que (e Como) Realizamos a Pesquisa

Os clientes continuavam fazendo as mesmas perguntas - Onde estamos em relação aos concorrentes? Quais proteções são realmente padrão? Como medimos a prontidão? Não havia uma linha de base neutra e intersetorial. Então, em parceria com CyberSecurity Insiders, realizamos uma pesquisa estruturada de múltipla escolha com 921 profissionais de TI e segurança de diversos setores e portes (CISOs, líderes de segurança, arquitetos, chefes de SOC, funções de governança de dados). Os resultados são estatisticamente robustos (±3,2% a 95% de IC). Focamos em adoção e maturidade, visibilidade e monitoramento, controles na borda de prompt/agente, identidade e acesso para IA, e governança/prontidão - alinhados ao OWASP Top 10 para Aplicações LLM.

O que perguntamos (e por quê)

Queríamos saber se a IA está sendo governada com o mesmo rigor que aplicamos a usuários, sistemas e dados. Então, perguntamos sobre:

  • Onde a IA vive (ferramentas, modelos e fluxos de trabalho)
  • Qual visibilidade existe (logs, sinais em tempo real, auditabilidade)
  • Quais controles estão ativos (filtros de prompt, redação de saída, bloqueio automático)
  • Como o acesso é concedido (IA como identidade de primeira classe ou "apenas mais um usuário")
  • Quem é responsável pela governança (e se a política corresponde à prova)

Veja o Que os Dados Dizem

A adoção supera o controle. A IA é mainstream-83% a utilizam no trabalho diário-mas apenas 13% dizem ter forte visibilidade sobre como ela afeta os dados corporativos. A maioria das equipes ainda está em pilotos ou maturidade "emergente", mas o uso já abrange trabalho de conteúdo/conhecimento e colaboração. É assim que os pontos cegos se expandem.

O risco se concentra nas extremidades. A confiança é maior quando a IA está incorporada dentro de um SaaS familiar. Ela desmorona quando a autonomia ou prompts públicos entram em cena. 76% dizem que agentes autônomos são os mais difíceis de proteger; 70% sinalizam prompts externos para LLMs públicos. Quase um quarto (23%) não possui nenhum controle de prompt ou saída. Isso não é uma falha do modelo; é uma falha de política na interface.

IA é uma nova identidade - tratada como uma antiga. Apenas 16% tratam a IA como sua própria classe de identidade com políticas dedicadas. 21% concedem amplo acesso a dados por padrão. 66% já flagraram a IA acessando informações em excesso (frequentemente, não raramente). E embora o privilégio mínimo deva estar vinculado à classificação de dados em tempo real, apenas 9% afirmam que seus controles de segurança de dados e identidade estão verdadeiramente integrados para IA.

A Governança de IA está atrasada em relação à realidade. Apenas 7% têm um comitê dedicado de governança de IA, e somente 11% se sentem totalmente preparados para a regulamentação emergente de IA. Os registros são, com muita frequência, artefatos pós-incidente; o bloqueio automático existe em apenas 11% dos programas. Em outras palavras: estamos observando depois do fato e aplicando manualmente.

Conclusões para CISOs, Arquitetos e Líderes de Dados

Se você tratar a IA como um aplicativo, perderá o risco real. Se tratá-la como um humano, dará permissões em excesso. Se ignorar a camada de prompt/saída, nunca verá o vazamento.

Aqui está o caminho pragmático a seguir:

  1. Instrumento do primeiro piloto
     Ative a descoberta de ferramentas/modelos de IA, o registro centralizado de prompts/saídas e sinais de anomalia em tempo real (tentativas de exfiltração, jailbreaks, consumo excessivo). Não crie dívida de governança que você pagará mais tarde.
  2. Fortalecer a interface
     Padronize para filtragem de entrada e redação de saída nos gateways. Mantenha os escopos de agentes restritos, exija aprovações para autonomia e imponha limites de taxa e interruptores de emergência. Busque o bloqueio automático onde os padrões de risco são claros.
  3. Tornar a IA uma identidade de primeira classe
     Forneça à IA seu próprio tipo de identidade e ciclo de vida. Aplique privilégio mínimo vinculado à classificação e contexto de dados, continuamente—não trimestralmente. Revise e expire escopos como você faria com tokens de produção.
  4. Ancorar a governança em evidências
     Designe um responsável nomeado para a governança de IA. Mapeie políticas para logs, decisões e resultados que você possa efetivamente demonstrar (DPIAs/TRAs quando aplicável). Acompanhe métricas de nível executivo: cobertura, taxa de bloqueio automático, taxa de acesso excessivo e tempo para detectar/conter incidentes na camada de prompt.

Apresentando o Cyera Research Labs (e o que vem a seguir)

Esta publicação inaugura o Cyera Research Labs - nosso braço de pesquisa dedicado a fornecer orientações claras e baseadas em dados na interseção entre IA e segurança de dados. Espere resumos concisos, análises de resposta rápida quando o cenário mudar e manuais práticos que você pode colocar em produção. Se você quiser o próximo relatório, nos avise e compartilharemos benchmarks e padrões de proteção que você pode usar na segunda-feira.

Palavra final: A IA não está esperando a governança alcançá-la. Os líderes que vencerão não serão os mais barulhentos — serão aqueles que conseguirem provar visibilidade, contenção e privilégio mínimo para atores não humanos, começando agora.

Leia o Relatório sobre o Estado da Segurança de Dados de IA 2025.

Baixar Relatório

Tipo de Pesquisa

Research Blog

Compartilhar

Recursos relacionados

Research Blog

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

From Prompt to Exploit: Cyera Research Labs’ Discloses Command & Prompt Injection Vulnerabilities in Gemini CLI

Research Blog

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Are Your Salesforce Permissions Protecting You - or Exposing You?

Research Report 

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

O Relatório de Segurança de Dados de IA de 2025

Experimente a Cyera

Para proteger seu dataverse, primeiro você precisa descobrir o que ele contém. Deixe-nos ajudar.

Solicite uma demonstração →
Decorative

Aprenda o básico
de DSPM

Baixar e-book "DSPM para leigos"
Cyera DSPM for Dummies Book

CYERA US INC

1375 Broadway, 11º Andar
New York, NY 10018

ESCRITÓRIO CYERA TLV

Torre Landmark
Arania Osvaldo St 24
Tel Aviv-Yafo, Israel

Solicite uma Demonstração
Plataforma
Visão Geral da PlataformaÚltimas Inovações

Módulos

DSPMAI GuardianPrevenção contra Perda de DadosAcesso de IdentidadeIdentityData Subject RequestsPrivacidade

Serviços

Avaliação de Risco de DadosDataWatcher
Soluções

Casos de uso

Visão Geral de Casos de UsoProntidão para ConformidadeM&A e DesinvestimentosHabilitar IA com SegurançaAvaliar Risco de DadosAtaque M365Suporte On-PremVisibilidade de DadosMinimização de DadosDispersão de DadosExposição Pública

Setor

FinançasTecnologiaManufaturaVarejo e ViagensSaúde
Por que a Cyera?
Por Que Escolher a Cyera
Empresa
Sobre NósCarreirasParcerias e IntegraçõesEquipe CSOSala de imprensaCentral de ConfiançaContato
Recursos
Central de RecursosBlogEventosWebinarsDivulgação de VulnerabilidadesGuias DSPMLaboratórios de PesquisaAvaliação de Segurança de Dados de IA
Cyera Careers We're Hiring
Estamos Contratando
Saiba Mais

Copyright © 2025 Cyera. Todos os direitos reservados.

Política de PrivacidadePolítica de Cookies
Decorative