Em cada tela que se abre, abre-se também um portal de possibilidades instantâneas. O acesso a novas ferramentas, notícias, informações, tendências e conexões múltiplas nos permite ter respostas rápidas, ficar por dentro de tudo e colaborar em tempo real. Mas, por trás de toda essa fluidez, esconde-se outro portal, esse indesejado e silencioso: o dos riscos cibernéticos. Eles aparecem em cada clique impensado, em softwares instalados sem validação ou em dados compartilhados sem critério. Seja por descuido, desconhecimento ou mesmo má-fé, o comportamento humano tem colocado à prova a capacidade das empresas de se protegerem. A mesma conectividade que acelera projetos, facilita decisões e viabiliza o trabalho remoto também aumenta a superfície de ataque da empresa.

 

No relatório Cyber Risk Report 2025, da Trend Micro, empresa global de segurança cibernética, consta que uma de suas soluções, a Trend Vision One, detectou e bloqueou 57 milhões de ameaças de e-mail de alto risco em 2024, aumento de 27% na comparação com 2023. Soma-se a isso que as violações de prevenção contra perda de dados ficaram em sexto lugar entre as principais ameaças, revelando um comportamento preocupante: muitos colaboradores ainda enviam, inadvertidamente, e-mails com informações sensíveis, dados financeiros ou propriedade intelectual, sem a devida proteção ou classificação de segurança. Isso significa que, ainda que sejam feitos investimentos em proteção digital, as falhas humanas seguem como a principal vulnerabilidade nas estratégias de cibersegurança das organizações. Exemplo disso é o e-mail corporativo permanecer como um dos vetores preferidos dos cibercriminosos para a entrega de cargas maliciosas.

 

BRASIL NA MIRA

De acordo com o levantamento da Trend Micro, o Brasil está entre os dez países com maior número de ameaças de malwares (softwares maliciosos criados para infectar, danificar ou obter acesso não autorizado a sistemas e dispositivos) detectadas e bloqueadas. O país também figura na lista dos dez com ameaças de ransomwares (popularmente, podem ser definidos como softwares para sequestro de dados e pedido de resgate). Flávio Silva, diretor técnico da empresa no país, diz que isso se deve a dois motivos. O primeiro é o amplo mercado digital brasileiro, com uso intensivo de internet mobile banking e grandes volumes de transações online, que transforma o país em alvo. Por outro lado – e aí vem a boa notícia –, estar entre os “top 10” também indica que o país hoje apresenta uma capacidade de detecção mais madura, na qual empresas e provedores têm adotado ferramentas de segurança mais robustas, capazes de identificar e bloquear ameaças antes que causem danos.

 

“Em alguns casos, o número alto de bloqueios indica investimento preventivo, mas também reflete o alto interesse de cibercriminosos no país. Ou seja, é tanto um indicador de que estamos nos preparando melhor quanto de que estamos na mira”, sintetiza o especialista.

 

Entre os brasileiros, o vetor mais comum de ataques ainda é phishing por e-mail. Nesse tipo de invasão, os golpistas usam mensagem ou site falsos, que aparentam ser confiáveis, induzindo as vítimas a clicarem em um link ou preencherem um formulário e abrirem a porta de acesso a dados pessoais, como senhas, dados bancários e números de cartão de crédito.

 

Para agravar, a inteligência artificial tem sido uma importante aliada de criminosos. Roberto Rebouças, gerente geral da Kaspersky no Brasil, também fornecedora global de segurança cibernética, alerta: “Um dos principais usos da IA é feito no aprimoramento das mensagens de phishing e em golpes baseados em engenharia social [quando cibercriminosos exploram a confiança das pessoas para roubar dados e facilitar os ataques]. Com a IA, é possível gerar e-mails, SMS e sites falsos extremamente convincentes, imitando a comunicação legítima com uma precisão alarmante, aumentando significativamente o risco de as vítimas, mesmo as mais experientes, serem enganadas e terem suas informações comprometidas”.

 

Dados da empresa apontam que a popularização da IA aumentou o número de ataques no mundo. No Brasil, de acordo com o relatório intitulado Defesa cibernética e IA: você está pronto para proteger sua organização, 85% das empresas consideram os ataques digitais baseados em IA uma séria ameaça e 26% afirmam ter sofrido mais golpes com uso de IA do que sem ela.

 

Indo além, a IA generativa, como ChatGPT e Gemini, pode se tornar fonte de alto risco. Rodrigo Souto, diretor de RH da IBM Brasil, explica que isso se deve ao fato de que, em algumas empresas, o acesso a essas ferramentas foi restringido. Com isso, muitos funcionários passaram a utilizá-las fora do ambiente corporativo, levando para casa dados relacionados ao trabalho e inserindo essas informações em plataformas externas. “Esse movimento representa um risco, pois informações restritas e confidenciais podem ser processadas por modelos de linguagem de larga escala (LLMs), sem o devido controle da organização”, alerta o executivo.

 

REPUTAÇÃO EM JOGO

Depois de um ciberataque, algumas organizações se concentram em mitigar as consequências operacionais, mas muitas vezes negligenciam outro custo que pode se estender por meses ou até anos após o incidente: os danos à reputação. Um estudo de 2023 da Kaspersky mostra que quase um terço (31%) das empresas no Brasil havia sofrido ciberataque nos últimos dois anos e relataram ter sentido impacto direto em sua imagem. Embora pareça intangível em um primeiro momento, não é raro esse impacto se traduzir em desconfiança por parte do mercado e dúvidas sobre a capacidade de a companhia operar com segurança mesmo muito tempo depois de ter restaurado seus sistemas, operações e informações sensíveis. Portanto, quando uma empresa sofre uma violação de segurança, não apenas o incidente em si é avaliado, mas também sua capacidade de resposta.

 

A mesma pesquisa mostra que 36% das violações de segurança no país têm sua origem em ameaças internas, prática em que os funcionários, sem saber, abrem a porta da empresa para ataques. Esses erros, longe de serem casos isolados, muitas vezes são interpretados externamente como falta de investimento em treinamento de pessoas ou protocolos robustos de segurança digital, o que enfraquece sua credibilidade.

 

Quando a credibilidade fica comprometida, as consequências rapidamente se materializam em decisões externas que afetam a continuidade dos negócios:19% das empresas brasileiras afetadas por incidentes de segurança perderam a confiança de seus clientes e 6% enfrentaram a retirada dos investidores no país. Além disso, 11% têm sentido impactos econômicos mais amplos, entre eles, cancelamento de pedidos de produtos ou serviços, queda no valor das ações e rompimento de alianças com clientes-chave.

 

A boa notícia é que, embora o dano à reputação possa ser profundo, não é irreversível. As organizações que adotam uma postura proativa, investem na cultura de segurança cibernética e respondem de forma transparente aos incidentes podem recuperar a confiança do mercado.

 

Para o gerente geral da Kaspersky, essa é uma decisão estratégica de negócios, pois protege também a reputação, a continuidade operacional e o relacionamento de confiança com clientes, parceiros e investidores. “Em um ambiente em que os ataques são inevitáveis, a diferença não está em evitar todos os incidentes, mas em como eles são evitados, como as empresas reagem e, acima de tudo, quais aprendizados deixam”, orienta Roberto. Isso significa que ter uma estratégia sólida de proteção digital, que inclua tecnologia avançada, treinamento de funcionários e protocolos de resposta claros, reflete liderança atuante, compromisso e responsabilidade.

 

O PAPEL DO RH

É nestes tempos digitais e perigosos que a área de Recursos Humanos assume (mais) um papel: conduzir a organização para uma cultura consistente, que transforme cada pessoa em linha de defesa, e não em ponto de risco.

 

“Somos os guardiões da experiência do colaborador. Somos nós que promovemos a conscientização, apoiamos os líderes a serem exemplos e criamos espaços de diálogo e aprendizado. O RH atua como elo entre as necessidades de compliance, privacidade e tecnologia, guiando comportamentos e estabelecendo padrões éticos em governança de dados e uso de inteligência artificial, um desafio que exige adaptação constante às mudanças regulatórias”, argumenta Rodrigo, da IBM.

 

Roberto, da Kaspersky, concorda: “O RH desempenha um papel crucial na garantia da cibersegurança, atuando como um elo entre a tecnologia e os colaboradores, promovendo uma cultura de segurança e conscientização”. Essa atuação, assinala, envolve a parceria com a área de TI, na qual o RH pode auxiliar na implementação de políticas de segurança, treinamento dos funcionários e na criação de um ambiente de trabalho mais seguro.

 

De acordo com ele, a maioria dos erros ocorre porque os funcionários não conhecem os riscos. “Você pode reduzir o erro humano por meio de treinamento eficaz de conscientização sobre cibersegurança, incluindo a instrução dos funcionários sobre os riscos da engenharia social. O objetivo deve ser aumentar a conscientização sobre as ameaças de cibersegurança à empresa. O treinamento da equipe, um boletim informativo regular por e-mail ou intranet ou cursos de introdução no trabalho serão úteis.”

 

Flávio, da Trend Micro, se une ao coro: “As empresas não conseguem se defender daquilo que seus colaboradores não conhecem. Por isso, investir em conhecimento é o primeiro passo para transformar os funcionários na linha de frente contra ataques”, afirma o executivo.

 

Ao prever e antecipar caminhos de ataque baseados no comportamento dos usuários, a resposta vem de forma muito mais rápida e precisa. Assim, a conscientização deixa de ser um complemento e passa a ser um pilar fundamental da segurança cibernética.

 

• No endereço do remetente, não confie apenas no nome exibido, pois os endereços reais podem não ter relação com a empresa ou pessoa que aparentemente enviou a mensagem.

• Cheque minuciosamente a ortografia do endereço, que pode conter mudanças difíceis de perceber à primeira vista, como “1” em vez de “I” ou “0” em vez de “O”.

• Só abra e-mails e clique em links se houver certeza absoluta da legitimidade do remetente.

• Se o remetente for legítimo, mas o conteúdo da mensagem parecer suspeito, vale confirmar sua autenticidade por outro canal de comunicação.

• Por fim, use uma solução de segurança confiável ao navegar na internet.

NA PRÁTICA

Se o assunto é segurança cibernética, nada mais natural do que buscar inspiração em uma empresa de tecnologia. Referência em inovação, a IBM alia sua expertise técnica a uma forte cultura de conscientização e capacitação de pessoas, processo no qual Recursos Humanos tem atuação central.

 

Na visão do diretor de RH, a segurança digital não é apenas uma atribuição técnica, vai além da tecnologia, envolve comportamento, portanto, é preciso fazer cada pessoa compreender que proteger dados significa proteger a empresa, os colegas e os clientes.

 

A IBM busca inserir esse valor desde o primeiro dia de onboarding e o reforça ao longo da jornada do colaborador. Rodrigo conta que ingressou na companhia como estagiário e nessa época já recebia treinamento sobre o que era informação pessoal e sensível e como deveria ser tratada. “Posso afirmar que, após alguns anos de capacitação, um IBMista se torna um verdadeiro especialista no tema. No meu caso, até mesmo em casa e entre amigos, acabo sendo consultado sobre questões relacionadas à segurança digital”, relata.

 

Todas as áreas da IBM atuam de forma integrada nesse objetivo. O tratamento das informações segue os padrões locais e, no Brasil, respeita a LGPD. Desde antes de sua vigência, já havia treinamentos para lidar adequadamente com diferentes tipos de dados. No RH, por exemplo, que lida com informações pessoais e sensíveis, o tratamento e compartilhamento são restritos a quem realmente precisa, pelo tempo necessário e com finalidade específica. Isso vale não apenas para dados de colaboradores, como também códigos de sistemas, informações de clientes, parceiros e fornecedores.

 

Hoje, um dos principais desafios do executivo é a adaptação às mudanças tecnológicas cada vez mais rápidas e a forma como elas são incorporadas ao ambiente corporativo. A introdução maciça de agentes de IA, a descentralização do uso de tecnologia – todas as áreas podem ter seu próprio agente de IA, não apenas TI –, e a necessidade de padronização e governança agora são parte dos negócios. “Muitas vezes, a legislação não acompanha esse ritmo, e as empresas precisam agir por meio de novas políticas, sempre alinhadas a padrões éticos e de governança”, recomenda.

 

Para se proteger, a IBM promove treinamentos frequentes sobre segurança digital e ameaças cibernéticas, de forma a acompanhar as mudanças globais, e realiza campanhas internas que reforcem boas práticas, como o uso consciente de senhas, a atenção a e-mails suspeitos e a proteção de dados sensíveis.

 

Ao longo desse processo, os gestores são peças-chave na comunicação e na gestão do tema. Nos treinamentos da IBM, dependendo da ameaça ou da situação, o gerente pode ser a primeira pessoa procurada. A partir daí, em conjunto com os colaboradores, aciona os times internos de Segurança da Informação para a adoção das medidas necessárias. Frequentemente, a área de Segurança da Informação envia comunicações de incidentes cibernéticos para o RH, que utiliza os casos reais nos treinamentos, compartilhando seus impactos e as boas práticas de prevenção. “Os líderes, nesse processo, têm a responsabilidade de multiplicar esse conhecimento e reforçar com suas equipes uma postura sólida de proteção de dados”, comenta Rodrigo.

 

TREINAR, TREINAR, TREINAR

Flávio, da Trend Micro, reforça que o combate eficaz aos riscos humanos começa por um programa bem estruturado de conscientização e treinamento. Diante do número expressivo de violações, é essencial adotar uma abordagem sistêmica, que envolva desde a alta liderança até o engajamento contínuo dos colaboradores. 

 

Nesse sentido, ele indica oito frentes para “fechar o cerco” a ataques cibernéticos:

 

1. Envolvimento da liderança

A adesão da diretoria garante orçamento, recursos e disseminação da cultura de segurança e posiciona a cibersegurança como prioridade que reverbera por toda a organização.

 

2. Avaliação do cenário

Pesquisas internas, análise de incidentes anteriores e simulações de phishing ajudam a identificar o nível de maturidade da empresa em segurança cibernética e as principais lacunas de conhecimento.

 

3. Metas claras e mensuráveis

As metas devem ser baseadas em risco e orientadas por resultados, como redução de cliques nas simulações de phishing, aumento na denúncia de e-mails suspeitos e melhorias nas pontuações de risco dos usuários.

 

4. Ferramentas adequadas

A escolha das plataformas de treinamento deve considerar o porte da empresa, sua estrutura tecnológica e necessidades específicas. Combinar simulações práticas com conteúdo educativo mantém o treinamento atual e relevante.

 

5. Engajamento

Comunicação clara, personalização de mensagens e uso de gamificação e incentivos ajudam a manter os funcionários motivados e participativos.

 

6. Medição da eficácia

Mais do que taxa de conclusão dos treinamentos, é fundamental avaliar a mudança de comportamento ao longo do tempo, com relatórios de incidentes e evolução das pontuações de risco.

 

7. Personalização

Cada colaborador representa um nível diferente de risco. O uso de automação permite direcionar treinamentos de acordo com cada perfil e comportamento.

 

8. Criação de cultura de segurança

O objetivo é gerar mudanças comportamentais sustentáveis e integrar a segurança à rotina organizacional. A união entre conscientização, gestão de exposição e identidade é a chave para uma abordagem mais estratégica e eficiente.

 

Depois de tudo posto, como diz o diretor de RH da IBM, Rodrigo Souto, segurança digital é também uma responsabilidade cultural. E cultura se constrói com pessoas, por isso, sim, é papel do RH criar e sustentar uma cultura de segurança digital. “Afinal, ninguém entende mais de pessoas do que o RH”, frisa o executivo.