A proteção que parecia envolver as pequenas e médias empresas (PMEs) se desfez. Longe de serem vistas como alvos secundários, esses negócios se tornaram o centro dos vazamentos de dados, com números que fariam qualquer grande corporação se preocupar. Um levantamento recente aponta para uma estatística alarmante: mais de 300 milhões de registros foram comprometidos em 2025, e a maior parte disso, surpreendentemente, caiu nas mãos de cibercriminosos que visam justamente os negócios menores.
Os dados são de um estudo conduzido pela Proton, em parceria com a Constella Intelligence. A pesquisa revelou um panorama preocupante onde a dark web se tornou um mercado para dados roubados. Somente em 2025, foram identificados 794 incidentes de vazamento que resultaram no comprometimento de mais de 300 milhões de registros. E quando consideramos os conjuntos agregados de dados, o número de ocorrências cresce, superando 1.500 casos. É uma verdadeira fonte de informações sensíveis para quem busca.
71% dos vazamentos atingem empresas menores
O que realmente chama a atenção no relatório é quem está na linha de frente dessa artilharia cibernética. Esqueça a ideia de que apenas grandes corporações são alvos. O estudo é claro: pequenas e médias empresas são as vítimas preferenciais. Organizações com até 249 colaboradores concentram nada menos que 71% dos vazamentos registrados. Destes, 48% ocorreram em empresas com 10 a 249 funcionários, e um preocupante 23% em negócios com menos de 10 colaboradores.
Mas por que essa preferência pelos menores? A resposta, em grande parte, reside na fragilidade das defesas. Empresas com poucos recursos, sejam financeiros ou humanos, muitas vezes carecem de uma estrutura robusta de segurança da informação. Isso as transforma em alvos fáceis, vulneráveis a invasões e à exploração de dados que podem ter consequências devastadoras.
ISO/IEC 27001: Um escudo necessário?
Diante desse cenário, a Associação Brasileira de Infraestrutura da Qualidade (ABRIQ) destaca a importância da adoção de normas internacionais de segurança da informação. A família de normas ISO/IEC 27001 é apresentada como uma ferramenta essencial para proteger esses pequenos negócios, mitigar riscos e fortalecer a confiança no ambiente digital.
Essa norma internacional não é apenas um documento teórico; ela estabelece diretrizes claras para a implementação de Sistemas de Gestão de Segurança da Informação (SGSI). Com ela, as organizações podem identificar suas vulnerabilidades, adotar controles adequados e garantir uma gestão contínua e proativa dos riscos cibernéticos. Os benefícios são tangíveis: proteção de dados sensíveis, prevenção de incidentes e uma capacidade de resposta mais rápida e eficaz diante das ameaças.
“Os dados mostram que pequenas empresas estão no centro dos ataques cibernéticos. Sem uma estrutura adequada de proteção, esses negócios se tornam alvos fáceis, o que pode comprometer não apenas suas operações, mas também a confiança de clientes e parceiros”, afirma José Antônio Ferreira da Cunha, vice-presidente de Sistemas e Pessoas da ABRIQ.
Essa fala do executivo da ABRIQ ressalta que a segurança da informação deixou de ser um luxo para poucos, tornando-se uma necessidade urgente para todos. Cunha ainda adiciona que a adoção de normas como a ISO/IEC 27001 é um passo estratégico para a maturidade digital de qualquer negócio.
“A norma oferece um caminho estruturado para que empresas implementem políticas, processos e controles de segurança de forma contínua e eficaz. Não se trata apenas de tecnologia, mas de gestão, cultura organizacional e prevenção”, destaca Cunha.
Assim, não basta instalar um antivírus e achar que está tudo resolvido. A segurança cibernética, para ser eficiente, precisa ser integrada à cultura da empresa, permeando todos os seus processos e rotinas. É um compromisso constante, não uma solução definitiva.
O custo de não se proteger
Em um ambiente cada vez mais digitalizado, a proteção de dados não é apenas uma questão de conformidade, mas um fator determinante para a competitividade. A ABRIQ alerta que vazamentos de informações podem gerar prejuízos financeiros significativos, danos reputacionais irreparáveis e até sanções regulatórias pesadas. Basta olhar para o impacto da LGPD no Brasil, que impõe multas consideráveis para quem não cumpre suas diretrizes.
A entidade também enfatiza o papel crucial da Infraestrutura da Qualidade. Ela garante que normas como a ISO/IEC 27001 sejam aplicadas de forma confiável e consistente. Isso é feito através de processos de certificação, auditorias rigorosas e avaliações de conformidade, conduzidos por organismos acreditados e imparciais. É um selo de garantia para empresas e clientes.
Para a ABRIQ, a fortificação da segurança cibernética no Brasil depende da adesão a padrões reconhecidos internacionalmente e, principalmente, da conscientização das empresas sobre a gestão contínua de riscos. A segurança da informação precisa, de fato, ser elevada à categoria de prioridade estratégica. É essa mentalidade que assegurará resiliência, construirá confiança e garantirá a sustentabilidade dos negócios em um cenário digital que, cada vez mais, se expõe a ameaças sofisticadas. Até quando as pequenas empresas brasileiras vão continuar sendo alvos fáceis?