Um e‑mail convincente. Uma solicitação “urgente” atribuída a alguém com autoridade. Uma exceção aprovada fora do fluxo padrão.
Esses não são falhas técnicas. São falhas de decisão sob pressão — e é exatamente por isso que controles tecnológicos, por mais robustos que sejam, não eliminam esse risco sozinhos.
Os dados são precisos. O Verizon Data Breach Investigations Report 2024 mostra que 68% das violações envolveram o fator humano — número que, nessa edição, exclui insiders maliciosos e reflete estritamente erros e vítimas de engenharia social, tornando-o ainda mais relevante para o debate sobre capacitação. O relatório IC3 2024 do FBI registrou US$ 2,77 bilhões em perdas com BEC (Business Email Compromise) em um único ano. Segundo o relatório IBM Cost of a Data Breach 2025, o custo médio de uma violação de dados no Brasil chegou a R$ 7,19 milhões — aumento de 6,5% sobre o ano anterior. Engenharia social segue sendo um vetor de alto impacto financeiro e operacional, não uma ameaça residual.
Para CEOs, CIOs, CISOs, Conselheiros e Auditores, o ponto central é outro: esse risco já é tratado como material por reguladores e normas técnicas — e é responsabilidade da alta administração tomar as medidas apropriadas para minimizá-lo.
A LGPD e a ANPD exigem medidas técnicas e organizacionais adequadas e comunicação de incidentes relevantes. No setor elétrico, a Resolução Normativa ANEEL nº 964/2021 determina explicitamente programas de capacitação periódica, plano de conscientização dos usuários e comprometimento da alta administração com a melhoria contínua — sendo a política aprovada pelo Conselho de Administração ou órgão equivalente. No sistema financeiro, a Resolução CMN nº 4.893/2021 vai além: exige que a política de segurança cibernética seja aprovada pelo conselho ou diretoria, e que um relatório anual — contendo incidentes ocorridos e resultados de testes de continuidade — seja apresentado a esse mesmo colegiado até 31 de março de cada ano. Ou seja: não é “tema de TI”. É tema de governança, com nome e sobrenome no organograma.
Com a IA generativa, o problema ganhou uma nova dimensão. Em 2024, um funcionário financeiro da empresa Arup, em Hong Kong, participou de uma videoconferência em que o CFO e todos os demais participantes eram deepfakes. O resultado foram transferências fraudulentas superiores a US$ 25 milhões. Os sinais clássicos de fraude — erros gramaticais, e-mails suspeitos, pedidos fora do padrão — deixaram de ser critérios confiáveis de detecção. O risco migrou para o processo decisório em si.
Por isso, não surpreende que todos os principais frameworks e normas tratem capacitação como controle formal, não como iniciativa de RH:
- NIST CSF e NIST 800‑53 possuem categorias específicas de Awareness & Training (PR.AT e família AT), mapeadas diretamente a controles de risco.
- ISO 27001, ISO 27701 e ISO 22301 exigem competência documentada, conscientização verificável e evidência objetiva. Treinamento, nesse contexto, é requisito auditável — não recomendação.
A pergunta chave que a alta direção da empresa deve se fazer é: conseguimos demonstrar, com evidência, que as pessoas foram treinadas, testadas e preparadas para reconhecer as ameaças em cenários reais do negócio?
A capacitação e a conscientização das equipes são temas aos quais retorno com frequência em artigos e aulas, porque não se trata de preferência temática, mas de uma condição fundamental para a resiliência cibernética da organização. Planos que nunca foram de fato incorporados à vivência corporativa do dia a dia falham de forma previsível quando a ameaça surge. E quando o incidente se consolida no nível gerencial, o impacto não é operacional. É estratégico. Se quiser conversar sobre como estruturar capacitação prática, contextualizada e alinhada à realidade das equipes internas, fico à disposição.
Carlos A. I. Bernardo
Consultor, Instrutor e Mentor em Segurança da Informação e Gestão de Riscos
Observação: Este artigo é de minha autoria e usei a inteligência artificial para revisão crítica e refinamento, não para a geração de conteúdo.
