Por que o RH precisa investir em mentoria para líderes e equipes de Segurança da Informação

Sumário Executivo

Este artigo é dirigido a profissionais de Recursos Humanos, Gestão de Pessoas e Desenvolvimento Organizacional que atuam em empresas com equipes de Tecnologia da Informação e Segurança da Informação.

Discutimos por que a mentoria, entendida em seu sentido técnico preciso, como relação de desenvolvimento baseada em vivência real, é um dos investimentos de maior retorno que o RH pode fazer para acelerar a maturidade de profissionais de segurança.

Ao longo do texto, exploramos três eixos centrais:

(1) a pressão estrutural e singular que recai sobre quem lidera equipes de SI, especialmente durante incidentes;

(2) o desafio de traduzir riscos técnicos em linguagem estratégica para a liderança executiva; e

(3) as peculiaridades de gerir equipes que, além de suas atividades operacionais cotidianas, precisam estar prontas para atuar como uma brigada de incêndio digital: respondendo a crises com método, sangue frio e comunicação precisa.

1. O profissional de SI vive um cotidiano diferente da TI tradicional

É tentador, do ponto de vista de RH, tratar segurança da informação como uma especialidade técnica entre outras. Uma área que cuida de firewalls, sistemas e conformidade, cujos profissionais precisam de treinamentos técnicos periódicos e certificações atualizadas.

Essa visão está incompleta e as consequências de subestimar a singularidade dessa função são concretas e mensuráveis.

O profissional de segurança da informação opera em uma zona de tensão permanente que poucas outras funções organizacionais experimentam com a mesma intensidade. Ele é responsável por proteger ativos que não controla, convencer stakeholders que não estão sob sua autoridade e justificar investimentos preventivos cujo valor só se torna visível quando algo dá errado, ou seja, quando já é tarde demais.

É aqui que a mentoria entra como diferencial insubstituível.

2. A ponte entre o mundo técnico e a estratégia de negócios

Um dos maiores desafios do profissional de SI e um dos mais invisíveis para o RH, é a tradução. Não de idiomas, mas de realidades.

De um lado, existe o universo técnico: vulnerabilidades, CVEs, superfícies de ataque, frameworks de controle, logs, alertas, configurações. De outro, existe o universo executivo: risco de negócio, impacto financeiro, reputação, continuidade operacional, conformidade regulatória, decisões de investimento.

O profissional que não consegue transitar entre esses dois mundos é um gargalo, independentemente de sua competência técnica. Ele produz relatórios que ninguém lê, solicita budgets que ninguém aprova, e age em silo enquanto o negócio segue exposto.

O que a mentoria desenvolve que o treinamento não alcança

Treinamentos técnicos, cursos, certificações, workshops, são essenciais para manter a competência técnica atualizada. Mas, o foco deles não é ensinar como apresentar um risco de ransomware ao conselho de administração de forma que o impacto financeiro seja compreendido e o investimento preventivo seja aprovado. Eles focam na preparação técnica para lidar com um ransonware.

Essa habilidade se aprende com quem já fez isso. Com quem já sentou à mesa com a diretoria e aprendeu, muitas vezes na marra, a calibrar a linguagem, escolher o nível de detalhe certo, priorizar o que é relevante para o negócio e construir a narrativa que conecta o técnico ao estratégico.

É exatamente o que a mentoria com profissionais seniores e experientes oferece: não um conteúdo genérico, mas a transferência de julgamento acumulado em anos de prática real.

Para o RH: o que isso significa na prática

Um profissional de SI sem essa capacidade de tradução cria riscos organizacionais que vão além da segurança técnica. Decisões estratégicas são tomadas sem a perspectiva de risco adequada. Investimentos são subestimados. A liderança não tem visibilidade real de sua exposição. A mentoria é o mecanismo mais eficaz para desenvolver essa competência  e pode ser estruturada como um investimento da empresa no desenvolvimento de talentos críticos.

3. O NIST CSF e a dupla natureza da equipe de SI

O NIST Cybersecurity Framework, referência global adotada por organizações de todos os portes e setores, organiza a segurança da informação em funções: Governar, Identificar, Proteger, Detectar, Responder e Recuperar.

Identificar e Proteger têm natureza predominantemente preventiva e planejada: mapeamento de ativos, políticas, controles, treinamentos, arquitetura segura. São atividades que podem ser programadas, documentadas e executadas em ritmo controlado.

Detectar, Responder e Recuperar têm uma natureza radicalmente diferente. Elas precisam funcionar sob demanda, muitas vezes sem aviso, frequentemente fora do horário comercial, e invariavelmente sob pressão.

É aqui que a analogia da brigada de incêndio digital, que costumo usar em minhas aulas, se torna não apenas ilustrativa, mas tecnicamente precisa.

A brigada de incêndio digital

Uma brigada de incêndio não passa a maior parte do tempo apagando incêndios. Ela treina, inspeciona, mapeia riscos, mantém equipamentos e realiza simulações. Mas quando o alarme soa, ela precisa mudar de modo de operação imediatamente e fazê-lo com precisão, sob pressão extrema, com vidas em jogo.

A equipe de SI funciona da mesma forma. Durante semanas ou meses, opera em modo preventivo: implementando controles, analisando logs, gerenciando vulnerabilidades, atualizando políticas. Mas quando um incidente é detectado (um ransomware, uma exfiltração de dados, uma invasão a sistemas críticos), ela precisa acionar um modo completamente diferente de funcionamento.

Esse modo exige: contenção imediata, investigação sob pressão, comunicação controlada, decisões rápidas com informação incompleta e documentação rigorosa para fins regulatórios e forenses.

Digo sempre em minhas aulas sobre CSIRTs que “atuar em resposta a incidentes é atuar sobre pressão. O gestor não pode perder a cabeça, nem apertar demais o parafuso, senão a equipe espana.”

Essa tensão é real e cotidiana para quem lidera equipes de SI. A pressão de cima, vinda da liderança executiva querendo atualizações a cada quinze minutos, precisa ser absorvida e filtrada. A pressão de baixo,  da equipe técnica que precisa de foco para trabalhar, precisa ser protegida. E a pressão lateral, provocada por clientes, parceiros, reguladores e imprensa que podem ser impactados, precisa ser gerenciada com comunicação precisa e controlada.

4. Liderança sob pressão: o que se aprende com a experiência

A gestão de um incidente de segurança é uma das situações de liderança mais exigentes que existem no ambiente corporativo. Ela combina urgência extrema, ambiguidade técnica, impacto potencial catastrófico e visibilidade organizacional total, sendo tudo ao mesmo tempo.

Nesse contexto, o gestor de SI enfrenta um conjunto de dilemas que não existem em quase nenhuma outra função:

  • Como manter a equipe técnica focada e produtiva enquanto a diretoria exige atualizações constantes?
  • Como comunicar a gravidade do incidente sem provocar pânico organizacional que agrave a situação?
  • Como tomar decisões de contenção com informações incompletas, sabendo que cada minuto de atraso pode ampliar o dano?
  • Como manter a cadeia de evidências para fins forenses e regulatórios sem comprometer a velocidade de resposta?
  • Como notificar a ANPD ou outros reguladores dentro dos prazos legais sem expor a organização além do necessário?

Nenhum desses dilemas tem resposta certa abstrata. Cada um depende do contexto, da cultura organizacional, do tipo de incidente, do perfil da equipe e da maturidade das relações com a liderança.

Eles se aprendem com experiência, preferencialmente com a experiência de outra pessoa, através da mentoria, antes de ser forçado a improvisá-los em campo.

O risco do gestor que aperta demais

Existe uma tentação compreensível, em situações de crise, de aumentar o controle. Reuniões mais frequentes. Atualizações por hora. Cobrança intensa por resultados a cada etapa.

Para equipes técnicas em modo de resposta a incidentes, esse padrão é contraproducente. Profissionais que precisam de foco analítico para investigar um ataque sofisticado não conseguem trabalhar com interrupções constantes. A pressão excessiva gera erros. Erros em resposta a incidentes têm consequências jurídicas, regulatórias e reputacionais.

O gestor experiente sabe calibrar. Sabe quando dar autonomia e quando intervir. Sabe criar o escudo que protege a equipe técnica da pressão organizacional, sem perder o controle da situação. Essa calibração não está em nenhum manual, ela vem de ter vivido situações assim, falhado em algumas e aprendido com quem acertou.

O risco do pânico organizacional

O outro lado do mesmo problema é igualmente sério. Um gestor que subestima a gravidade do incidente, comunica de forma vaga ou demora a acionar os protocolos corretos, pode permitir que o pânico se instale de forma descontrolada na organização, nos clientes ou no mercado.

Incidentes de segurança têm o potencial de afetar cotações, contratos, relacionamentos com clientes e processos regulatórios. A comunicação durante e após um incidente é tão importante quanto a resposta técnica e precisa ser conduzida com a mesma precisão.

A mentoria com profissionais que já gerenciaram incidentes reais, incluindo a comunicação com conselho, clientes e reguladores, é o único meio de preparar gestores para essa dimensão do trabalho antes que ela se torne necessária.

Referência: NIST CSF — Funções Respond e Recover

As funções Respond (RS) e Recover (RC) do NIST CSF 2.0 incluem, respectivamente, a gestão de comunicações durante incidentes, a coordenação com partes externas e a execução de planos de recuperação. A norma reconhece explicitamente que a execução eficaz dessas funções depende de treinamento, exercícios e, criticamente, de liderança com experiência prática, não apenas de documentação e procedimentos.

5. O que o RH pode fazer: mentoria como estratégia de desenvolvimento

Para o RH, o reconhecimento dessas peculiaridades abre uma agenda de desenvolvimento de talentos muito mais precisa e eficaz do que a abordagem tradicional baseada exclusivamente em treinamentos e certificações.

Identificar quem precisa de mentoria e com qual foco

Nem todos os profissionais de SI têm as mesmas lacunas. O analista técnico sênior que quer se tornar CISO tem necessidades diferentes do gestor de TI que precisa estruturar uma área de segurança do zero, que por sua vez tem necessidades diferentes do DPO que precisa fortalecer sua atuação regulatória.

O RH, em parceria com a liderança de SI, pode mapear com precisão essas lacunas e estruturar processos de mentoria individualizados, com mentores que já vivenciaram exatamente os desafios que o mentorado precisa enfrentar.

Diferenciar mentoria de outras modalidades de desenvolvimento

A confusão entre mentoria, coaching e treinamento é frequente e tem consequências práticas. Investir em coaching para um profissional que precisa de orientação de carreira baseada em vivência real é o mesmo que contratar um personal trainer para alguém que precisa de um médico especialista.

A tabela a seguir resume as diferenças que o RH precisa dominar para fazer escolhas de desenvolvimento adequadas:

Critério

Mentoria

Coaching

Treinamento

Ferramenta central

Diálogo e vivência compartilhada

Perguntas estruturadas

Conteúdo técnico padronizado

Dá orientação direta?

Sim — aconselha

Não — facilita

Sim — instrui

Foco

Carreira e maturidade

Metas e resultados

Competências específicas

Duração

Sem prazo fixo

3 a 6 meses

Horas ou dias

Exige exp. na área?

Sim — essencial

Não obrigatório

Sim, do instrutor

Estruturar a mentoria como benefício corporativo

A mentoria para profissionais de SI pode — e deve — ser estruturada como um investimento corporativo, não como uma iniciativa individual. Isso implica:

  • Selecionar mentores com credenciais e experiência comprovadas no campo (não apenas com anos de carreira genérica)
  • Definir objetivos claros de desenvolvimento para cada processo de mentoria
  • Estabelecer frequência e formato das sessões, tipicamente quinzenal ou mensal, com duração adequada para conversas substanciais
  • Acompanhar progresso sem invadir o processo, já que a mentoria é uma relação de confiança. O RH deve agir como patrocinador, não como auditor
  • Reconhecer os resultados como parte da trajetória de carreira do profissional

6. O retorno do investimento: além do desenvolvimento individual

É legítimo que o RH questione o ROI de um processo de mentoria. Trata-se de um investimento com retorno de médio e longo prazo, sem a imediatidade de um treinamento técnico com prova de certificação ao final.

Mas os benefícios organizacionais são concretos e mensuráveis quando se sabe onde olhar.

Redução do tempo de resposta a incidentes

Um gestor que já processou, através da mentoria, como conduzir a comunicação durante uma crise responde mais rápido e com menos erros. Incidentes mal gerenciados têm custos diretos em remediação, custos indiretos em reputação e custos regulatórios em multas e notificações. A diferença entre um incidente bem gerenciado e um mal gerenciado pode ser de centenas de milhões de reais.

Retenção de talentos críticos

Profissionais de segurança da informação com certificações sênior — CISSP, CDPSE, CISM — estão em demanda crescente e escassez documentada. Investir no desenvolvimento desses profissionais sinaliza comprometimento organizacional e reduz significativamente a rotatividade nesse perfil crítico.

Aceleração do pipeline de liderança

A lacuna entre o analista técnico sênior e o gestor de SI é real e raramente preenchida de forma planejada. Profissionais são promovidos para posições de gestão sem que a transição de papel tenha sido trabalhada. A mentoria é o mecanismo mais eficaz para preparar esse salto, antecipando os desafios e acelerando a curva de aprendizado.

Maturidade da postura de segurança organizacional

Um profissional de SI que foi mentoriado por quem já construiu programas de segurança maduros (com frameworks reais, decisões difíceis e stakeholders exigentes) traz para a organização não apenas competência técnica, mas julgamento estratégico. Isso eleva a qualidade de toda a função de segurança.

7. Critérios para escolher o mentor certo

Nem todo profissional experiente é um bom mentor. E nem toda relação chamada de mentoria é, de fato, uma mentoria. Para o RH, estabelecer critérios claros de seleção é fundamental.

O mentor ideal para profissionais de SI deve ter:

  • Experiência comprovada e documentada no campo, não apenas anos de carreira, mas projetos reais, decisões difíceis e resultados verificáveis
  • Familiaridade com os frameworks e normas relevantes (NIST CSF, ISO 27001, LGPD, ISO 27701) não como conteúdo teórico, mas como prática operacional
  • Capacidade de comunicação executiva demonstrada de quem já apresentou riscos para a Alta Direção e sabe o que é necessário desenvolver nessa dimensão
  • Disponibilidade real, pois, mentoria com agenda impossível não funciona
  • Experiência de campo sob pressão, já que quem nunca gerenciou um incidente real não tem o que transmitir nessa dimensão específica

Certificações em Segurança da Informação, combinadas com vivência em papéis críticos de segurança da informação e experiência no ensino,  são indicadores confiáveis de que o profissional transita com competência entre o técnico e o estratégico.

Conclusão: a organização que aprende antes da crise

A pergunta que o RH deveria se fazer não é “vale investir em mentoria para profissionais de SI?”, mas sim: “podemos nos dar ao luxo de não fazê-lo?

Quando um incidente sério acontece (em algum momento, em alguma escala, ele acontece), a qualidade da resposta depende do preparo das pessoas, não apenas dos sistemas. Depende de um gestor que sabe filtrar a pressão sem quebrar a equipe. Depende de alguém que sabe comunicar gravidade sem provocar pânico. Depende de profissionais que já navegaram mentalmente por aquele cenário antes de enfrentá-lo pela primeira vez no mundo real.

A brigada de incêndio digital não pode aprender a combater incêndios durante o incêndio. Esse aprendizado precisa acontecer antes e em condições controladas, com a orientação de quem já esteve em campo.

A mentoria é esse mecanismo. E o RH é a função organizacional com o mandato, os recursos e a visão para estruturá-la de forma sistemática, antes que a necessidade se torne urgência.

Observação – Como este artigo foi escrito

Este artigo foi escrito originalmente pelo autor e revisado com o uso interativo de ferramentas de IA (Claude e Copilot).

 

CA

Autor

Carlos Bernardo

Consultor, Instrutor e Mentor em Segurança da Informação e Gestão de Riscos
IT SECURE Consulting · São Paulo, Brasil

Consultor em Segurança da Informação com formação em Engenharia pela Escola de Engenharia Mauá e MBA em Governança, Riscos, Controles e Compliance. Possui ampla experiência no desenvolvimento e implantação de soluções em hardware, software, sistemas distribuídos, infraestrutura de TI, ambientes internet, segurança da informação, gerenciamento de riscos tecnológicos e computação forense. Atua também como professor em cursos de Segurança da Informação, Segurança Cibernética e Gestão de Riscos na ABNT, no Instituto Mauá de Tecnologia e na TIexames.

Perfil no LinkedIn