Há alguns anos que se tem verificado uma mudança na cibersegurança e a maioria dos CISO já a sentiu de uma forma ou de outra. Muitos tentaram contorná-la, ajustando programas, acrescentando novas ferramentas, aperfeiçoando as mensagens, mas é cada vez mais difícil ignorar que algo mais fundamental tem de mudar.
A forma como temos vindo a abordar a sensibilização para a segurança já não corresponde à forma como o risco acontece.
No nosso recente relatório, Rethinking Human Cyber Risk: How CISOs can transform security awareness training to drive measurable risk reduction ( Repensar o risco cibernético humano: como os CISOs podem transformar a formação de sensibilização para a segurança de modo a promover uma redução mensurável do risco), baseado numa pesquisa com 200 CISOs do Reino Unido e da Europa, esta mudança é claramente visível. 78% dizem que querem repensar a sua abordagem à sensibilização para a segurança. Não para a ajustar ou melhorar ligeiramente, mas para a mudar verdadeiramente. Isto levanta naturalmente a questão do porquê agora, especialmente quando a sensibilização tem sido uma parte essencial das estratégias de segurança durante tanto tempo.
A resposta reside numa combinação de factores que se têm vindo a acumular ao longo do tempo. As ameaças evoluíram rapidamente, as expectativas da liderança aumentaram e o fosso entre o que os programas de sensibilização oferecem e o que as organizações realmente precisam tornou-se muito mais visível/
Está a tornar-se claro que não se trata de fazer pequenas melhorias nos nossos programas e controlos existentes, mas sim de algo mais fundamental. Para muitas organizações, isso significa repensar totalmente o modelo e adotar uma abordagem diferente em relação à sensibilização para a cibersegurança.
O cenário das ameaças mudou mais depressa do que a consciencialização
Atualmente, a natureza das ciberameaças é muito diferente daquela para a qual muitos programas de sensibilização para a segurança foram originalmente concebidos. Os ataques já não são fáceis de detetar ou limitados a e-mails genéricos de phishing. São mais direcionados, mais convincentes e estão muito mais alinhados com a forma como as pessoas trabalham.
A inteligência artificial acelerou esta mudança. Agora é possível gerar mensagens que soam naturais, reflectem o tom com precisão e fazem referência ao contexto do mundo real, tornando-as muito mais difíceis de detetar. De facto, 46% dos CISO que se sentem menos confiantes na gestão do risco cibernético humano do que há um ano atrás apontam diretamente a engenharia social com recurso à IA como uma das principais razões. Ao mesmo tempo, a engenharia social tornou-se mais sofisticada, utilizando informações publicamente disponíveis para criar cenários que parecem familiares e credíveis.
Isto cria um desafio porque os funcionários estão muitas vezes a confiar em orientações que foram criadas para um tipo diferente de ameaça. Reconhecer má gramática ou formatação suspeita já não é suficiente quando a mensagem parece e soa legítima. Como resultado, o fosso entre a formação em sensibilização para a segurança e a realidade continua a aumentar, mesmo nas organizações que estão a investir fortemente na sensibilização.
Porque é que as abordagens tradicionais de sensibilização estão a ter dificuldades
“74% dos CISOs dizem que os seus relatórios produzem painéis de controlo, mas não são suficientemente claros para tomar melhores decisões”
Ao longo dos anos, a maioria das organizações tem investido esforços significativos na sensibilização para a segurança, mas a forma como o sucesso é medido não mudou ao mesmo ritmo. As taxas de conclusão, a aprovação de políticas e os resultados de simulações de phishing continuam a ser a espinha dorsal de muitos programas, com 70% dos CISO a afirmarem que os seus sistemas de medição se baseiam nestas métricas baseadas em actividades. O desafio é que estas nem sempre reflectem a forma como as pessoas se comportam em situações reais, razão pela qual 74% dizem que os seus relatórios produzem painéis de controlo, mas não clareza suficiente para tomar melhores decisões.
Há uma diferença entre compreender o que é um bom comportamento de segurança e aplicá-lo no momento, especialmente quando alguém está ocupado, sob pressão ou a lidar com prioridades concorrentes. Os programas de sensibilização estão muitas vezes fora dessa realidade, sendo apresentados como actividades autónomas e não como algo integrado na tomada de decisões do dia a dia.
Há também a questão da relevância. A formação genérica de sensibilização para a segurança pode aumentar os conhecimentos de base, mas raramente reflecte os riscos específicos que os indivíduos enfrentam nas suas funções. Uma pessoa que trabalhe em finanças, RH ou TI depara-se com cenários muito diferentes, mas recebe frequentemente o mesmo conteúdo de formação. Ao longo do tempo, esta desconexão torna mais difícil influenciar o comportamento de forma significativa, o que se reflecte nos dados, com três quartos dos CISO a afirmarem que a relevância da formação é mais importante do que a frequência da formação quando se trata de promover um comportamento seguro.
As expectativas da administração estão a evoluir mais rapidamente do que a capacidade
“Apenas 11% dos CISO podem associar com confiança a sua atividade de sensibilização à redução de incidentes ou quase-acidentes”
Ao mesmo tempo, as expectativas depositadas nos CISOs estão a aumentar. A cibersegurança está agora firmemente posicionada como um risco empresarial, e os conselhos de administração querem uma compreensão mais clara da forma como esse risco está a ser gerido, especialmente no que diz respeito ao comportamento humano. De facto, 77% dos CISO dizem que agora se espera que provem o ROI de forma mais rigorosa para as iniciativas de risco humano do que para os controlos técnicos, elevando a fasquia para a forma como os programas de sensibilização são medidos e justificados.
Já não é suficiente mostrar que a formação de sensibilização para a segurança foi concluída. Os líderes querem saber se está a funcionar, onde o risco é maior e o que está a ser feito para o reduzir. Esta mudança de expectativas está a acontecer rapidamente e, em muitos casos, está a ultrapassar as capacidades dos programas de sensibilização tradicionais.
Isto cria uma posição difícil para os CISO. É-lhes pedido que forneçam provas do impacto, mas as métricas disponíveis nem sempre contam a história completa. Embora muitas organizações tenham acesso a grandes quantidades de dados, 74% afirmam que os seus relatórios produzem painéis de controlo, mas não são suficientemente claros para tomar melhores decisões, e apenas 11% conseguem associar com confiança a sua atividade de sensibilização à redução de incidentes ou quase-acidentes. Esta lacuna torna muito mais difícil demonstrar o retorno do investimento ou justificar mais despesas.
O custo de ficar parado
Continuar com a mesma abordagem de sensibilização para a segurança acarreta um custo crescente, mesmo que não seja imediatamente visível para a organização. Os incidentes relacionados com o comportamento humano podem conduzir a perdas financeiras, a um escrutínio regulamentar e a danos na reputação, mas, para além disso, há um impacto mais subtil na forma como as funções de segurança funcionam.
Quando os programas de sensibilização não influenciam totalmente o comportamento, as equipas de segurança compensam muitas vezes de outra forma. Isso pode significar adicionar mais controlos, aumentar a monitorização ou responder mais frequentemente a incidentes que poderiam ter sido evitados mais cedo. Com o tempo, isto cria uma pressão adicional sobre os recursos e limita a capacidade de se concentrar em melhorias a longo prazo.
Há também um risco estratégico em ficar para trás. À medida que as ameaças continuam a evoluir, as organizações que não adaptarem a sua abordagem à sensibilização terão cada vez mais dificuldade em colmatar a lacuna. O que hoje parece controlável pode rapidamente tornar-se um problema muito maior à medida que a complexidade aumenta.
Repensar a sensibilização para a cibersegurança no atual cenário de ameaças
É evidente que muitos CISO reconhecem a necessidade de mudança, com 79% a afirmarem que pretendem adotar uma abordagem mais estratégica à gestão do risco humano. A questão é saber o que isso significa na prática e como a consciência da cibersegurança precisa de evoluir para a apoiar.
Evoluir não significa começar do zero e não significa eliminar completamente a formação de sensibilização para a segurança. Trata-se de mudar o foco da medição da atividade para a medição do comportamento, e de intervenções pontuais para algo mais contínuo e integrado na forma como as pessoas trabalham.
Para tal, é necessário compreender como as pessoas tomam decisões em cenários reais, onde essas decisões introduzem riscos e como esses riscos se alteram ao longo do tempo. Significa também avançar para abordagens mais contextuais e específicas das funções, em que a formação reflicta as situações com que os indivíduos provavelmente se depararão.
Para muitas organizações, isto requer uma forma diferente de pensar sobre a consciencialização. Passa a ser menos sobre a entrega de conteúdos e mais sobre a criação de um ambiente onde o comportamento seguro é mais fácil, mais intuitivo e melhor apoiado. Essa mudança permite aos CISOs ir além das métricas de nível superficial e obter uma visão mais clara de como o risco se desenvolve em toda a organização.
Um momento decisivo para a ciberconsciencialização
A razão pela qual 2026 parece diferente é o facto de várias pressões se terem juntado ao mesmo tempo. As ameaças estão mais avançadas, as expectativas são maiores e as limitações das abordagens existentes estão a tornar-se mais difíceis de ignorar. A IA está a acelerar essa pressão, com 46% dos CISOs que se sentem menos confiantes na sua abordagem de segurança do que há 12 meses atrás a citarem a engenharia social possibilitada pela IA como um fator chave.
Os CISOs já reconhecem a necessidade de mudança, mas a oportunidade agora é transformar esse reconhecimento em ação. As organizações que evoluírem a sua abordagem estarão mais bem posicionadas para compreender e reduzir o risco humano, enquanto as que continuarem com o mesmo modelo poderão ter cada vez mais dificuldade em acompanhar o ritmo.
Não se trata de reagir a uma única tendência. Trata-se de responder a uma mudança mais ampla na forma como o risco cibernético se desenvolve e como deve ser gerido.
Como é que o MetaCompliance pode ajudar
Na MetaCompliance, concentramo-nos nos comportamentos que estão por detrás do risco de segurança e não apenas na conclusão de programas de formação.
A sensibilização para o ciberespaço tem de refletir a forma como as pessoas trabalham, como as decisões são tomadas sob pressão e onde é mais provável que o risco apareça. Isto significa ir além das abordagens tradicionais e criar programas de segurança que forneçam uma visão real do comportamento e não apenas da atividade.
Ajudamos as organizações a compreender onde existe o risco humano, como evolui e que medidas práticas podem ser tomadas para o reduzir ao longo do tempo. Ao combinar a perceção comportamental com uma formação direcionada e relevante, permitimos que os líderes de segurança demonstrem um impacto mensurável e construam organizações mais fortes e resistentes.
Se estás a repensar a tua abordagem à sensibilização para a cibersegurança em 2026, chegou o momento de dar o próximo passo.
Lê o nosso último relatório para saberes como as organizações líderes já estão a começar a repensar o risco humano.
Perguntas frequentes sobre sensibilização para a cibersegurança
O que é a sensibilização para a cibersegurança e porque é que é importante?
A sensibilização para a cibersegurança refere-se à forma como os funcionários compreendem, reconhecem e respondem às ciberameaças no seu trabalho quotidiano. É importante porque a maioria dos incidentes de segurança envolve o comportamento humano, quer seja ao clicar numa hiperligação de phishing, ao manipular mal os dados ou ao tomar uma decisão sob pressão. Uma forte consciencialização ajuda a reduzir o risco, permitindo que as pessoas detectem e respondam adequadamente às ameaças antes que estas se agravem.
Porque é que as organizações estão a repensar a formação de sensibilização para a segurança em 2026?
Muitas organizações estão a repensar a sua abordagem à formação de sensibilização para a segurança porque os métodos tradicionais estão a ter dificuldades em acompanhar o ritmo das ameaças modernas. Os atacantes estão a utilizar a IA e técnicas de engenharia social mais avançadas, enquanto os programas de sensibilização se baseiam frequentemente em conteúdos estáticos e métricas básicas. Como resultado, os CISOs procuram abordagens mais eficazes e centradas no comportamento que reflictam melhor o risco do mundo real.
Quais são os maiores desafios dos programas tradicionais de sensibilização para a segurança?
Um dos maiores desafios é o facto de os programas tradicionais tenderem a centrar-se na conclusão e não no comportamento. Métricas como taxas de conclusão de formação ou resultados de testes de phishing nem sempre mostram como as pessoas agem em situações reais. Muitas vezes, há também uma falta de relevância, com conteúdos genéricos que não reflectem funções específicas ou decisões do dia a dia, o que torna mais difícil promover mudanças significativas.
Como é que os CISO podem medir a eficácia da sensibilização para o ciberespaço?
Para medir a eficácia, é necessário ir além das métricas básicas de participação e analisar a perceção comportamental. Isto inclui compreender como os empregados respondem a cenários do mundo real, onde é mais provável que o risco ocorra e como o comportamento muda ao longo do tempo. Abordagens mais avançadas utilizam dados e análises para dar visibilidade ao risco humano e demonstrar melhorias mensuráveis.
O que é a gestão dos riscos humanos na cibersegurança?
A gestão do risco humano é uma abordagem que se centra na compreensão e redução dos riscos criados pelo comportamento humano numa organização. Em vez de tratar as pessoas como o elo mais fraco, analisa a forma como as decisões são tomadas, o que influencia essas decisões e como as organizações podem apoiar melhores resultados. Combina dados comportamentais, formação orientada e melhoria contínua para reduzir a exposição a ciberameaças.