[Novo relatório] 79% dos CISOs querem adotar uma abordagem mais estratégica à gestão do risco cibernético humano. Lê o relatório.

68% dos CISOs ainda identificam os funcionários como o maior risco de segurança

79% estão a mudar para uma gestão do risco cibernético humano baseada no comportamento, mas os progressos não estão a acompanhar a evolução das ameaças

Londres, 13 de maio de 2026 - Os CISO da região EMEA estão a dar um tempo à formação tradicional de sensibilização para a segurança. Os CISOs da região EMEA estão a pedir tempo para a formação tradicional de sensibilização para a segurança, uma vez que um novo estudo revela que 78% acreditam que a sua abordagem à formação de sensibilização para a segurança precisa urgentemente de evoluir. A investigação da MetaCompliancea empresa de gestão do risco cibernético humano que está a transformar a forma como as organizações constroem culturas de segurança resilientes, realça a preocupação generalizada entre os CISO de que os métodos actuais não estão a conseguir abordar o risco cibernético humano.

O estudo, que inquiriu 200 CISO no Reino Unido, Suécia, Alemanha e França, revelou que 81% dos CISO afirmam que os programas de sensibilização para a segurança falham porque tratam o risco cibernético humano como uma questão de formação e não como um desafio mais vasto de gestão do risco. Ao mesmo tempo, 68% das empresas identificam os empregados como o seu maior risco de segurança, o que revela uma vulnerabilidade persistente e não resolvida no centro da segurança das empresas.

Apesar do investimento contínuo em programas de sensibilização - com as organizações a afectarem, em média, 15% dos orçamentos anuais de segurança à educação para a sensibilização e 79% a ministrarem formação pelo menos de duas em duas semanas - os resultados continuam a ser inconsistentes. Um quarto (25%) das organizações afirma ter dificuldade em captar a atenção dos empregados, enquanto 24% não conseguem integrar o comportamento seguro no trabalho quotidiano e outros 24% têm dificuldade em alinhar as partes interessadas em todas as funções. Isto reforça o facto de o desafio ser tanto organizacional como comportamental.

Esta desconexão está a ser motivada por uma abordagem ultrapassada. Embora muitos CISOs acreditem que as suas organizações ultrapassaram a sensibilização “tick-box” - com alguns a descreverem a sua abordagem como orientada para o comportamento (33%) ou integrando a gestão do risco humano (24%) - este progresso percebido não se está a traduzir numa mudança significativa.

James Mackay, Diretor Executivo da MetaCompliance, afirmou “A confiança está a aumentar, mas isso não significa que o risco esteja a diminuir. Muitas empresas confundem formação de segurança completa com segurança real, quando as vulnerabilidades humanas subjacentes não mudaram.

“Isto cria uma desconexão perigosa. As empresas sentem-se mais seguras, mas os funcionários continuam a ser a maior fonte de risco. Ao mesmo tempo, as ameaças estão a tornar-se mais sofisticadas, com a IA a acelerar a escala e a precisão dos ataques de engenharia social. Isto está a deixar as organizações cada vez mais expostas se esta lacuna não for colmatada.”

Como resultado, os CISO estão a apelar a um modelo mais estratégico. Quase quatro em cada cinco (79%) querem avançar para a gestão do risco humano - uma abordagem que se centra na identificação de indivíduos de alto risco e na adaptação das intervenções com base no comportamento, bem como na promoção de uma cultura de segurança colectiva em toda a organização. Outros 83% acreditam que intervenções direcionadas reduziriam o risco mais rapidamente, enquanto 80% afirmam que as mensagens de segurança são mais eficazes quando transmitidas no fluxo de trabalho.

Esta mudança ocorre numa altura em que as organizações enfrentam uma pressão crescente para modernizar as suas defesas devido à evolução do cenário de ameaças. Durante os próximos 12 meses, as organizações esperam concentrar-se no aumento da frequência de envolvimento (27%), na demonstração de um ROI mensurável (25%) e na adaptação das intervenções a indivíduos de alto risco (24%) - particularmente em resposta à engenharia social activada por IA (24%).

James Mackay acrescenta: “O risco cibernético humano tem de ser tratado como qualquer outro risco empresarial - mensurável, direcionado e gerido continuamente. Isto significa ir além da consciencialização para uma verdadeira mudança de comportamento. As organizações têm de inverter o guião da forma como gerem a cibersegurança, utilizando a segmentação e a perceção em tempo real para chegar às pessoas certas, com a mensagem certa, no momento certo. É assim que reduzes o risco cibernético humano à escala.”

FIM

Metodologia

O estudo foi conduzido pela Censuswide, entre uma amostra de 200 CISOs em empresas com mais de 250 funcionários (idade superior a 30 anos) em França, Alemanha, Suécia e Reino Unido (50 CISOs em cada mercado). Os dados foram recolhidos entre 17.02.2026 e 23.02.2026. A Censuswide é membro da Market Research Society (MRS) e do British Polling Council (BPC), e signatária do Global Data Quality Pledge. Cumprimos o Código de Conduta da MRS e os princípios da ESOMAR

Sobre a MetaCompliance

A MetaCompliance é a empresa de gestão do risco humano que está a transformar a forma como as organizações constroem culturas de segurança resilientes. A sua plataforma inteligente e pronta para as empresas combina educação personalizada em cibersegurança, análise comportamental e automação para medir, mitigar e gerir o risco humano à escala. Com a confiança de mais de seis milhões de utilizadores em todo o mundo, a MetaCompliance ajuda as empresas globais a reduzir o risco e a incorporar mudanças de comportamento duradouras. www.metacompliance.com

***

Contactos de imprensa