Normalmente, no período compreendido entre setembro e novembro, as empresas brasileiras desenvolvem seu planejamento orçamentário e demandam de suas áreas de tecnologia da informação, segurança da informação e gestão de riscos os números referentes às medidas de segurança cibernética.
Não se trata de um orçamento simples de preparar. São muitas as frentes que precisam ser atendidas pelas medidas de segurança — desde questões ligadas à continuidade dos negócios até as obrigações legais com as leis de proteção de dados — passando pela defesa contra ataques emergentes, como as novas variantes de engenharia social com o uso de inteligência artificial.
O segredo para a priorização das frentes é a análise de riscos. Devemos aplicar recursos tanto na categoria de investimentos (CAPEX) quanto em gastos operacionais (OPEX), com foco na proteção contra aquilo que mais nos ameaça. Geralmente, os riscos emergentes geram níveis maiores de preocupação, por introduzirem situações novas para as quais os controles implantados na empresa ainda não estão estabelecidos ou ajustados.
Dessa forma, em termos gerais, um orçamento de segurança cibernética bem estruturado para 2026 deverá contemplar verbas para lidar com os riscos associados à inteligência artificial — principalmente seu uso sem planejamento adequado (Shadow AI) — e também sua aplicação em golpes de engenharia social cada vez mais sofisticados.
Entre essas verbas, sem dúvida alguma, a principal deverá ser destinada à conscientização e ao treinamento dos colaboradores. Por mais importantes e poderosas que sejam as ferramentas de segurança da informação, o ser humano ainda é o elemento central em sua aplicação, operação e manutenção. Sem colaboradores conscientes e responsáveis, a melhor estratégia de segurança pode se revelar vulnerável.
Nesse aspecto, o programa de conscientização e treinamento mais indicado é aquele que traz as práticas de segurança para o dia a dia dos colaboradores. Não adianta apresentar conceitos e regras abstratas que não estejam diretamente relacionadas às situações com as quais o colaborador lida em suas funções e em sua vida diária — muito menos cobrar ações que não fazem parte do que ele entende como seu papel na empresa.
Além disso, um bom programa de conscientização e treinamento em segurança cibernética precisa estar incorporado à cultura da empresa — e cultura se constrói ao longo do tempo. O tema deve estar presente nas conversas e reuniões. Nos programas que elaboramos e aplicamos, sempre sugerimos palestras e cursos com temas encadeados e distribuídos ao longo do ano.
Vale a pena trazer instrutores e palestrantes do mercado para reforçar a mensagem e dar maior peso à participação dos colaboradores nos eventos. Quando aplico esses treinamentos, é fácil perceber como eles são vistos de forma diferente daqueles apresentados por pessoas internas, que acabam sendo absorvidos mais como uma forma de “cumprir tabela” do que de conquistar novas competências.
Enfim, neste final de ano, em que estamos na temporada de planejar onde os recursos da empresa serão melhor aplicados, uma boa prática é começar o planejamento dos recursos destinados à segurança cibernética pela revisão dos riscos — e não esquecer que, entre eles, estão os riscos ligados ao comportamento humano.
