Há anos que a cibersegurança se debate com uma contradição incómoda.
Os colaboradores são frequentemente descritos como o maior risco que as organizações enfrentam, mas a maioria das empresas ainda não criou os sistemas, as estruturas de apoio ou os modelos operacionais necessários para ajudar as pessoas a agir de forma segura nos ambientes onde trabalham.

Essa tensão está no cerne do que muitos CISOs estão a enfrentar. De acordo com Estudo da MetaCompliance, 68% dizem que os colaboradores são o maior risco de cibersegurança da sua organização. Ao mesmo tempo, 75% acham que os seus colaboradores não percebem bem o papel que desempenham na prevenção de incidentes, enquanto 77% admitem que não têm um modelo claro para reduzir o risco humano na cibersegurança.
É evidente que se reconhece a importância do risco cibernético relacionado com o fator humano; o que falta é a confiança em como geri-lo de forma eficaz.
Por que é que a culpa persiste?
Quando ocorre um incidente cibernético, é natural que as organizações se concentrem no momento visível em que algo correu mal.
Um colaborador clicou num link malicioso. Alguém partilhou informações confidenciais com a pessoa errada. Um deepfake conseguiu contornar as verificações internas.
O indivíduo passa a ser o centro das atenções porque as ações humanas são mais fáceis de identificar do que as falhas operacionais que estão por trás delas. Isso cria uma narrativa mais simples, em que o problema é enquadrado em termos de más escolhas, em vez de se centrar na cultura, na conceção dos processos, nas prioridades concorrentes ou na responsabilização fragmentada em toda a empresa.
Muitas organizações também continuam a funcionar com base no que se poderia descrever como a lógica do «elo mais fraco». As pessoas são vistas como imprevisíveis em comparação com os controlos técnicos, pelo que os programas de segurança se concentram naturalmente em reduzir os erros dos colaboradores através da formação, da sensibilização e da aplicação de políticas.
O desafio é que os colaboradores não trabalham em ambientes controlados e nem todos enfrentam os mesmos riscos ou pressões que a maioria dos programas de formação em sensibilização para a segurança sugere. Um colaborador do departamento financeiro que lida com faturas enfrenta ameaças muito diferentes das de um programador que usa ferramentas de IA, de um executivo sénior que viaja com frequência ou de uma equipa de apoio ao cliente que gere dados sensíveis a um ritmo acelerado.
As decisões de segurança tomam-se no meio do trabalho do dia-a-dia, enquanto os colaboradores tentam conciliar prioridades concorrentes e, muitas vezes, as decisões são tomadas em segundos, sob pressão e sem terem toda a informação necessária.
É em parte por isso que a culpa tem persistido há tanto tempo. Os erros humanos parecem tangíveis e imediatos, enquanto as falhas organizacionais são mais difíceis de medir e, muitas vezes, abrangem várias equipas.
Por que é que culpar os outros não reduz o risco
A culpa raramente muda o comportamento de forma significativa ou sustentável. A maioria dos colaboradores não está a criar riscos de propósito. Na verdade, muitos estão a tentar fazer o que está certo, mesmo trabalhando em ambientes que tornam difícil manter um comportamento seguro.
Quando as organizações se concentram em atividades de sensibilização para a segurança sem terem em conta as condições mais amplas em que os colaboradores trabalham, a formação em segurança torna-se algo que as pessoas simplesmente cumprem, em vez de algo que apoia verdadeiramente a tomada de decisões em momentos de alto risco.
A nossa investigação sugere que os CISOs estão cada vez mais conscientes desta desconexão. 81% acham que a formação em sensibilização para a segurança falha porque parece demasiado genérica para ser relevante a nível pessoal, enquanto 83% dizem que poderiam reduzir o risco cibernético humano mais rapidamente se tivessem melhores formas de definir prioridades quanto a quem precisa de que intervenção e quando.
Ao mesmo tempo, só 24% das organizações adotam uma abordagem madura e integrada de gestão de riscos humanos e nenhuma referiu disponibilizar conteúdos dinâmicos de sensibilização adaptados aos riscos específicos que os colaboradores enfrentam no dia a dia.
Essa lacuna é importante porque a sensibilização tem os seus limites quando os sistemas à volta não mudam.
Os colaboradores podem compreender os princípios de segurança na teoria, mas aplicá-los em situações reais torna-se muito mais difícil quando a carga de trabalho é elevada, os processos não são claros ou as pressões operacionais privilegiam a rapidez em detrimento da cautela.
A atribuição de culpas também gera consequências culturais indesejadas. Os colaboradores ficam mais relutantes em comunicar erros ou levantar questões se temem críticas ou repercussões. Com o tempo, isso enfraquece a confiança entre as equipas de segurança e o resto do pessoal, tornando mais difícil identificar os riscos.
A ciência comportamental por trás do risco cibernético humano
Uma das maiores mudanças que se está a verificar na cibersegurança é o reconhecimento cada vez maior de que o comportamento é influenciado pelo ambiente.
As pessoas raramente tomam decisões sem ter em conta a carga de trabalho, a cultura, os incentivos, os estilos de comunicação ou a pressão operacional. A ciência comportamental demonstrou que os seres humanos tendem a optar, por defeito, pela conveniência, pela rapidez e pelo hábito quando estão sob stress ou sobrecarga cognitiva.
Isso é importante porque muitas organizações esperam que os colaboradores identifiquem ameaças cada vez mais sofisticadas, ao mesmo tempo que trabalham em ambientes que dificultam a tomada de decisões ponderadas.
A IA está a agravar esse desafio. Agora, espera-se que os colaboradores consigam identificar e-mails de phishing altamente personalizados e táticas de engenharia social em constante evolução, sem deixar de trabalhar de forma rápida e eficiente.
A nossa investigação revelou que 46% dos CISOs que se sentem menos confiantes na gestão do risco cibernético humano do que há 12 meses atrás apontam a engenharia social baseada em IA como um fator determinante. Os ataques estão a tornar-se mais convincentes, mais direcionados e muito mais difíceis de identificar no decorrer do trabalho do dia-a-dia.
78% dos CISOs afirmaram que os decisores de topo não compreendem totalmente os riscos de segurança que os colaboradores representam. Essa desconexão cria uma situação complicada, em que a responsabilidade pela redução do risco cibernético humano é atribuída aos indivíduos, sem que se preste atenção suficiente aos fatores organizacionais mais amplos que moldam o comportamento.
A verdade é que os colaboradores são fortemente influenciados pelos sistemas que os rodeiam. Se os fluxos de trabalho forem demasiado complexos, se os processos de comunicação de informações forem pouco claros ou se a produtividade for constantemente colocada à frente da segurança, as pessoas adaptam naturalmente o seu comportamento em conformidade.
É mais fácil adotar comportamentos seguros quando as organizações os tornam relevantes e os apoiam no dia-a-dia do trabalho.
Como é um modelo baseado no apoio
As organizações mais visionárias estão a começar a abordar o risco cibernético relacionado com o fator humano de forma diferente.
Em vez de tratarem os colaboradores como uma fonte de risco que é preciso controlar, estão a começar a vê-los como participantes num ecossistema de segurança mais amplo, que precisa de apoio e reforço contínuos.
Isso muda completamente a forma como as organizações encaram a formação em sensibilização para a segurança.
Em vez de se basearem em campanhas amplas e genéricas, aplicadas de forma uniforme em toda a empresa, as equipas de segurança estão a adotar abordagens mais contextuais e orientadas para o comportamento. Na verdade, 81% dos CISOs concordam que a solução está numa melhor segmentação, e não em mais formação, enquanto 83% afirmam que poderiam reduzir o risco cibernético humano mais rapidamente se tivessem melhores formas de priorizar quem precisa de que intervenção e quando.
A formação está a tornar-se mais específica para cada função e mais alinhada com a exposição real ao risco. No entanto, muitas organizações ainda têm dificuldades em termos de visibilidade, com 76% dos CISOs a afirmarem que continua a não ser claro quais as intervenções que funcionam melhor para as diferentes funções ou perfis de risco.
Estas organizações também estão a dar grande ênfase à avaliação e à visibilidade. Querem perceber onde é que o risco cibernético humano se concentra, quais são os comportamentos que criam maior exposição e onde é necessário apoio adicional.
É aí que a gestão de riscos humanos está a tornar-se cada vez mais importante.
Na MetaCompliance, vemos as organizações a irem além das meras ações de sensibilização e a adotarem estratégias mais maduras que combinam conhecimentos sobre comportamentos, intervenções direcionadas e redução mensurável do risco. O foco passa de provar que a formação foi concluída para perceber se os comportamentos seguros estão a melhorar ao longo do tempo.
Isso também exige uma maior coordenação entre as equipas de segurança, de recursos humanos, de liderança e operacionais. O risco cibernético relacionado com o fator humano não pode recair inteiramente sobre os departamentos de segurança, uma vez que o comportamento dos colaboradores é moldado pela cultura, pelos sistemas, pela comunicação e pelas prioridades da empresa.
As empresas que mais estão a progredir são aquelas que fazem perguntas diferentes. Em vez de se concentrarem apenas no motivo pelo qual os colaboradores cometeram erros, estão a analisar quais foram as condições que, desde o início, tornaram esses erros mais prováveis.
O risco cibernético humano exige uma mentalidade diferente
O risco cibernético relacionado com o fator humano não vai desaparecer. Pelo contrário, está a tornar-se mais complexo e mais interligado com as operações diárias das empresas.
As organizações que continuam a recorrer à atribuição de culpas como principal resposta às ameaças cibernéticas podem ter dificuldade em alcançar progressos significativos, porque a atribuição de culpas não oferece um plano de ação para a melhoria.
As organizações que evoluírem mais rapidamente serão aquelas que deixarem de ver os colaboradores como um problema a resolver e começarem a tratar o risco cibernético humano como um desafio organizacional partilhado, a gerir em conjunto.
Porque culpar não é uma forma de controlo.
Queres conhecer os resultados completos?
Descarrega o documento completo Relatório «Repensar o Risco Cibernético Humano» para descobrires como 200 CISOs de toda a Europa estão a repensar a sensibilização para a segurança, o risco comportamental e o futuro da gestão do risco humano.