O risco silencioso dos arquivos esquecidos: o avanço do Dark Data nas empresas

O volume de Dados corporativos cresceu em ritmo exponencial nos últimos anos, mas o que mais preocupa não é a quantidade, é a falta de controle. Estudos recentes indicam que entre 52% e 68% dos Dados armazenados pelas empresas são classificados como “Dark Data”, ou seja, informações não utilizadas e sem Governança adequada, segundo análises de mercado da IBM e da Splunk. Esse fenômeno, antes tratado como ineficiência operacional, passou a ser reconhecido como um vetor relevante de risco.

No Brasil, esse cenário se intensifica com a rápida adoção de ambientes híbridos e multicloud. O relatório “Data Age 2025”, da IDC, projeta que mais de 80% dos Dados corporativos globais serão não estruturados — o que inclui documentos, e-mails, arquivos de colaboração e registros dispersos. Esse tipo de dado é justamente o mais difícil de classificar e proteger.

O conceito de Dark Data abrange tudo aquilo que a empresa armazena, mas não conhece. Não se trata apenas de Dados antigos. Inclui arquivos ativos, duplicados, versões intermediárias e conteúdos esquecidos em repositórios como SharePoint, Google Drive ou servidores locais. Segundo a Gartner, organizações subestimam sistematicamente esse volume, o que compromete a eficácia das estratégias de Segurança e Compliance.

O problema se torna mais evidente quando se observa a mudança no perfil dos ataques. Relatórios recentes de threat intelligence mostram que invasores têm priorizado o uso de credenciais legítimas em vez de explorar vulnerabilidades técnicas. Uma vez dentro do ambiente, o acesso ao Dark Data amplia drasticamente o potencial de dano. A CrowdStrike aponta que ataques baseados em identidade cresceram significativamente nos últimos anos, reduzindo o tempo necessário para movimentação lateral dentro das redes.

Essa mudança altera a lógica tradicional da segurança da informação. Durante décadas, a proteção esteve concentrada em sistemas estruturados, tais como bancos de Dados, aplicações críticas e redes. Hoje, o risco migrou para onde há menos controle: arquivos dispersos, compartilhamentos abertos e Dados não classificados.

Esse deslocamento é particularmente sensível em contextos regulatórios. No Brasil, a Agência Nacional de Proteção de Dados (ANPD) exige que empresas saibam exatamente onde estão os dados pessoais sob sua custódia. Isso inclui controle sobre armazenamento, acesso e ciclo de vida das informações. O Dark Data, por definição, inviabiliza esse nível de visibilidade.

Dados ocultos trazem riscos à Governança
A consequência é direta: muitas organizações estão potencialmente em não conformidade sem saber. Um levantamento da Varonis mostra que uma parcela significativa das empresas mantém dados sensíveis acessíveis a um grande número de usuários internos, sem necessidade operacional clara. Em alguns casos, arquivos críticos estão disponíveis para toda a organização.

Do ponto de vista técnico, o desafio está na natureza do dado. Diferentemente de sistemas estruturados, arquivos não seguem padrões fixos. Isso exige tecnologias mais avançadas para identificação e classificação. Ferramentas de Data Security Posture Management (DSPM) e soluções baseadas em Inteligência Artificial têm sido adotadas para mapear e analisar esses ambientes.

Segundo a Forrester, essas soluções operam em três camadas principais: descoberta de Dados, classificação automática e análise de exposição. O objetivo é responder a três perguntas essenciais: onde estão os Dados, que tipo de informação eles contêm e quem tem acesso a eles.

Ainda assim, tecnologia não resolve o problema sozinha. O Dark Data é, em grande parte, resultado de processos organizacionais fragmentados. Cada área armazena informações de forma independente, sem uma política unificada de Governança.

Além disso, a própria IA pode ser utilizada para exploração. Ferramentas automatizadas permitem identificar padrões e localizar dados sensíveis dentro de grandes volumes de informação não estruturada. O que antes exigia esforço manual agora pode ser feito em escala.

Do ponto de vista estratégico, a ausência de visibilidade sobre Dados representa uma fragilidade estrutural. Empresas que não sabem o que armazenam não conseguem proteger adequadamente seus ativos, nem responder a incidentes com eficiência.

O desafio não está apenas em proteger o que é conhecido, mas em revelar o que está oculto. O Dark Data não é um problema de tecnologia isolado. É um reflexo de crescimento desordenado, falta de Governança e ausência de processos estruturados. A lógica é simples: não se protege o que não se conhece e, em um ambiente onde Dados são o principal ativo das organizações, operar às cegas deixou de ser uma opção.

Por Juliana Bauer Lomonaco Quinto, gerente de Marketing da Access para América Latina.