A segurança da informação deixou de ser uma pauta restrita ao departamento de TI. Hoje, a conscientização de colaboradores e a redução do risco humano são exigências explícitas em milhares de normas, leis e frameworks regulatórios no Brasil e no exterior, transformando o tema em prioridade de governança corporativa.
Levantamentos internacionais apontam que existem mais de 8.500 normas e dispositivos regulatórios que mencionam direta ou indiretamente a necessidade de treinamento, capacitação ou conscientização de usuários em cibersegurança. Frameworks e legislações amplamente adotadas pelo mercado, como ISO 27001, NIST CSF, LGPD, PCI-DSS e regulamentos setoriais do Banco Central e da SUSEP, incorporam o fator humano como elemento crítico na gestão de riscos.
Na prática, isso significa que investir em programas estruturados de conscientização não é mais apenas um diferencial, mas sim uma obrigação regulatória.
Para Priscila Meyer, CEO da Eskive e especialista em Cibersegurança, Segurança da Informação e Proteção de Dados, o mercado ainda subestima o impacto estratégico desse movimento. “O risco humano já está formalmente reconhecido nos principais frameworks globais. Se a empresa não demonstra que educa, mede e reporta o comportamento de seus colaboradores, ela não consegue comprovar uma alta maturidade em segurança. E isso impacta auditorias, certificações, valuation e até a contratação de seguro cibernético”, afirma a especialista.
Governança, seguro cibernético e vantagem competitiva
O endurecimento regulatório e o aumento de ataques já altera a realidade de milhares de empresas no Brasil e no mundo. Seguradoras, por exemplo, podem demandar evidências concretas de programas de conscientização antes de conceder ou renovar apólices de cyber insurance às empresas. Empresas que não conseguem comprovar métricas de engajamento, redução de cliques em phishing ou maturidade comportamental enfrentam prêmios mais altos, ou até mesmo a negativa de cobertura.
Além disso, grandes contratos corporativos e cadeias globais de fornecimento já incluem cláusulas que exigem comprovação de treinamento recorrente em segurança da informação. Ou seja: a ausência de um programa estruturado pode significar perda de negócios.
O fator humano como risco estratégico
Relatórios globais de incidentes mostram que a maioria das violações de dados envolve erro humano, engenharia social ou uso inadequado de credenciais. De acordo com Priscila Meyer, esse é um ponto que merece muita atenção, pois em cenário de ataques cada vez mais sofisticados, com uso de inteligência artificial e deepfakes, o comportamento do colaborador tornou-se linha de defesa crítica. “Quando falamos em risco humano, falamos do principal vetor de ataque nas organizações. Não basta investir em tecnologia se o colaborador não reconhece uma tentativa de phishing ou não entende seu papel na proteção dos dados”, afirma Meyer.
Apesar disso, a especialista destaca que um erro muito comum e que muitas empresas ainda cometem é considerar o treinamento em cibersegurança como ação pontual ou mera formalidade para cumprir auditorias. “O executivo que enxerga conscientização apenas como campanha anual já está atrasado. O mercado e a realidade brasileira e a evolução do cibercrime vem exigindo cada vez mais um programa contínuo, mensurável e reportável ao board”. Nesse contexto, o risco humano precisa ser tratado como KPI estratégico. O board precisa acompanhar indicadores de comportamento assim como acompanha indicadores financeiros ou operacionais”, defende Meyer.
Metodologia estruturada e verticalização da responsabilidade
Pioneira no Brasil em conscientização em segurança da informação, a Eskive atua há 15 anos com foco exclusivo na redução do risco humano. A empresa desenvolveu uma metodologia baseada em três pilares: educar, medir e reportar.
O modelo permite que a responsabilidade pela segurança seja verticalizada dentro da organização, envolvendo lideranças e áreas de negócio, sem sobrecarregar as equipes de TI ou Segurança da Informação.
Hoje, a Eskive atende mais de 200 empresas e já conscientizou 850 mil pessoas por meio de conteúdos lúdico-educativos, simulações de ataques, gamificação, palestras e atividades presenciais.
Ainda segundo a especialista, a convergência entre regulação, exigências contratuais e mercado securitário coloca a conscientização em cibersegurança como item obrigatório na agenda de governança. Para o executivo, a mensagem é direta: não investir em redução do risco humano pode significar não conformidade regulatória, encarecer ou inviabilizar seguro cibernético, expor a riscos que podem afetar a reputação e valor de mercado, além de comprometer certificações e contratos estratégicos.
“Em um ambiente de negócios cada vez mais digital e regulado, a maturidade em segurança deixou de ser atributo técnico e passou a ser indicador de governança corporativa eficiente”, conclui.
