The article argues that human behavior is the central element of cybersecurity, as many risks originate from employee errors or negligence, such as falling for phishing. It states that internal threats from authorized individuals are a major challenge, making employee education and a strong security culture more fundamental than technical tools alone.
The article emphasizes the need for an integrated strategy where cybersecurity is a shared responsibility across all business areas, including Human Resources, not just the IT security team. It also highlights that technological monitoring and tools like AI are essential allies, but must be applied ethically and transparently to respect employee privacy and build trust.
Main Topics: Human factor in cybersecurity; internal threats and human error; building a security culture; organizational integration and shared responsibility; ethical monitoring and use of technology.
Por Eder Souza*
As organizações são formadas por pessoas. Um negócio é nada sem o fator humano.
Quando pensamos em segurança cibernética, temos que ter em mente que ela não pode ser dissociada do comportamento das pessoas que trabalham nas organizações. Muitas falhas e riscos nascem dentro do ambiente de trabalho, assim como acontece com o usuário doméstico.
Mesmo que os funcionários não tenham más intenções, eles podem facilitar ou cometer falhas por desatenção, negligência, descuido ou erro pessoal e expor os dados e sistemas a riscos diversos quando clicam em um link de phishing ou usam senhas fracas.
As ameaças internas representam um dos maiores desafios em segurança digital, pois ocorrem a partir de ações de pessoas com acesso autorizado, com credenciais acima de suas atribuições, o que pode provocar vazamentos de dados ou quaisquer outros incidentes graves.
A identificação e o monitoramento desses comportamentos são fundamentais para prevenção. Há ferramentas tecnológicas para isso, mas as organizações devem compreender todo o cenário envolvido, com ênfase no comportamento humano e na cultura cibernética.
A cibersegurança é, primordialmente, uma questão comportamental e, portanto, a cultura da cibersegurança deve ser incentivada cotidianamente. É indispensável educar e conscientizar colaboradores sobre riscos, regras e boas práticas, antes mesmo de implementar as políticas e ferramentas técnicas.
Importância da humanização na segurança
As organizações devem atuar para humanizar a segurança digital, transformando-a em um ambiente saudável e de colaboração, agregando valor à operação, com proteção ao colaborador e promovendo um ambiente mais saudável e colaborativo.
Alguns dados relevantes que destacam a importância do fator humano para a cibersegurança foram apontados por uma pesquisa da IBM, com uma parcela significativa dos ciberataques e violações de dados estando ligada a fontes internas das organizações. Ou seja, partem de indivíduos que já possuem acesso legítimo a sistemas, sejam funcionários ou prestadores de serviços. Ex-colaboradores também estão na lista, acredite.
Identificar ameaças ainda desconhecidas
Apenas aprovar orçamentos financeiros para aquisição de tecnologias não é suficiente, se o fator humano estiver fora desta conta para os investimentos. Alinhar a segurança com as áreas de negócio e compliance também deve fazer parte da estratégia efetiva e integrada de cibersegurança. Para isso, toda a organização deve estar envolvida, não apenas delegando ao time de SI esta responsabilidade.
A Inteligência Artificial (IA) como aliada
A sociedade tem questionado se a Inteligência Artificial (IA) irá substituir os seres humanos. Em muitas tarefas, certamente sim. A tecnologia deve ser aplicada como aliada, porque ela é uma ferramenta indispensável para inovação e produtividade. Seu uso dentro da empresa deve ser monitorado para evitar vazamentos de dados sensíveis, mantendo um equilíbrio entre segurança e liberdade do usuário.
Integração entre segurança e o RH
A área dos Recursos Humanos deixou — nos últimos anos — de ser limitada à contratação de pessoal, políticas de férias e benefícios. Ela ampliou a sua colaboração para outras áreas e processos gerenciais e de negócios, justamente porque toda a organização envolve “recursos humanos”, entre os quais Agilidade/DevOps e, mais recentemente, cibersegurança para apoiar a capacitação das pessoas sobre os riscos envolvidos.
Para que toda a organização esteja empenhada na cibersegurança, todas as áreas precisam trabalhar de forma integrada, formando uma tríade que contempla regras, bem-estar do funcionário e prevenção de riscos, promovendo uma visão unificada e alinhada ao negócio.
Monitoramento ético e transparente
A linha entre segurança e invasão de privacidade é tênue e o monitoramento digital deve respeitar a privacidade, ser transparente e ético, com políticas claras, evitando abusos e construindo confiança entre colaboradores e gestores. A tecnologia deve ser humanizada e não invasiva. É fundamental, portanto, que as empresas estabeleçam políticas claras, definição de responsáveis e uso consciente das ferramentas para evitar abusos e manter o equilíbrio.
Tecnologias disponíveis para a análise comportamental para prevenção disponíveis oferecem recursos avançados para analisar comportamentos e identificar riscos e prevenir falhas humanas, adaptando-se rapidamente às novas ameaças e auxiliando na redução de incidentes causados por erro humano.
A cibersegurança deve ser aplicada como aliada das equipes, das pessoas que atuam em uma organização. Sendo vista como uma proteção ao colaborador, a tecnologia garante um sentimento seguro no ambiente de trabalho.
Educação e conscientização
A combinação entre cultura, educação e tecnologia é essencial para o sucesso da segurança cibernética. Está mostrado — e temos confirmado isso em nossa vivência diária com as empresas — que esta combinação é a base para as boas práticas de segurança. As ferramentas sozinhas não resolvem.
É necessário que as pessoas — do board à base da pirâmide organizacional — saibam como a cibersegurança funciona, o que fazer e o que evitar. A prevenção de falhas humanas é um processo dinâmico que exige atualização constante das regras e ferramentas de segurança.
Muitas organizações ainda enfrentam um desafio enorme neste quesito, mas o mercado de cibersegurança brasileiro está amadurecido e pode ajudá-las nesta jornada.
*Eder Souza CTO da e-Safer.
Meridiano