Conteúdo do artigo

Um e‑mail convincente. Uma solicitação “urgente” atribuída a alguém com autoridade. Uma exceção aprovada fora do fluxo padrão.

Esses não são falhas técnicas. São falhas de decisão sob pressão — e é exatamente por isso que controles tecnológicos, por mais robustos que sejam, não eliminam esse risco sozinhos.

Os dados são precisos. O Verizon Data Breach Investigations Report 2024 mostra que 68% das violações envolveram o fator humano — número que, nessa edição, exclui insiders maliciosos e reflete estritamente erros e vítimas de engenharia social, tornando-o ainda mais relevante para o debate sobre capacitação. O relatório IC3 2024 do FBI registrou US$ 2,77 bilhões em perdas com BEC (Business Email Compromise) em um único ano. Segundo o relatório IBM Cost of a Data Breach 2025, o custo médio de uma violação de dados no Brasil chegou a R$ 7,19 milhões — aumento de 6,5% sobre o ano anterior. Engenharia social segue sendo um vetor de alto impacto financeiro e operacional, não uma ameaça residual.

Para CEOs, CIOs, CISOs, Conselheiros e Auditores, o ponto central é outro: esse risco já é tratado como material por reguladores e normas técnicas — e é responsabilidade da alta administração tomar as medidas apropriadas para minimizá-lo.

A LGPD e a ANPD exigem medidas técnicas e organizacionais adequadas e comunicação de incidentes relevantes. No setor elétrico, a Resolução Normativa ANEEL nº 964/2021 determina explicitamente programas de capacitação periódica, plano de conscientização dos usuários e comprometimento da alta administração com a melhoria contínua — sendo a política aprovada pelo Conselho de Administração ou órgão equivalente. No sistema financeiro, a Resolução CMN nº 4.893/2021 vai além: exige que a política de segurança cibernética seja aprovada pelo conselho ou diretoria, e que um relatório anual — contendo incidentes ocorridos e resultados de testes de continuidade — seja apresentado a esse mesmo colegiado até 31 de março de cada ano. Ou seja: não é “tema de TI”. É tema de governança, com nome e sobrenome no organograma.

Com a IA generativa, o problema ganhou uma nova dimensão. Em 2024, um funcionário financeiro da empresa Arup, em Hong Kong, participou de uma videoconferência em que o CFO e todos os demais participantes eram deepfakes. O resultado foram transferências fraudulentas superiores a US$ 25 milhões. Os sinais clássicos de fraude — erros gramaticais, e-mails suspeitos, pedidos fora do padrão — deixaram de ser critérios confiáveis de detecção. O risco migrou para o processo decisório em si.

Por isso, não surpreende que todos os principais frameworks e normas tratem capacitação como controle formal, não como iniciativa de RH:

  • NIST CSF e NIST 800‑53 possuem categorias específicas de Awareness & Training (PR.AT e família AT), mapeadas diretamente a controles de risco.
  • ISO 27001, ISO 27701 e ISO 22301 exigem competência documentada, conscientização verificável e evidência objetiva. Treinamento, nesse contexto, é requisito auditável — não recomendação.

A pergunta chave que a alta direção da empresa deve se fazer é: conseguimos demonstrar, com evidência, que as pessoas foram treinadas, testadas e preparadas para reconhecer as ameaças em cenários reais do negócio?

A capacitação e a conscientização das equipes são temas aos quais retorno com frequência em artigos e aulas, porque não se trata de preferência temática, mas de uma condição fundamental para a resiliência cibernética da organização. Planos que nunca foram de fato incorporados à vivência corporativa do dia a dia falham de forma previsível quando a ameaça surge. E quando o incidente se consolida no nível gerencial, o impacto não é operacional. É estratégico. Se quiser conversar sobre como estruturar capacitação prática, contextualizada e alinhada à realidade das equipes internas, fico à disposição.

Carlos A. I. Bernardo

Consultor, Instrutor e Mentor em Segurança da Informação e Gestão de Riscos

Observação: Este artigo é de minha autoria e usei a inteligência artificial para revisão crítica e refinamento, não para a geração de conteúdo.

Tags

Gestão de Riscos de TI Gestão de Segurança da Informação Lei Geral de Proteção de Dados LGPD NBR ISO 27001 Privacidade Eletrônica segurança cibernética
CA

Autor

Carlos Bernardo

Consultor, Instrutor e Mentor em Segurança da Informação e Gestão de Riscos
IT SECURE Consulting · São Paulo, Brasil

Consultor em Segurança da Informação com formação em Engenharia pela Escola de Engenharia Mauá e MBA em Governança, Riscos, Controles e Compliance. Possui ampla experiência no desenvolvimento e implantação de soluções em hardware, software, sistemas distribuídos, infraestrutura de TI, ambientes internet, segurança da informação, gerenciamento de riscos tecnológicos e computação forense. Atua também como professor em cursos de Segurança da Informação, Segurança Cibernética e Gestão de Riscos na ABNT, no Instituto Mauá de Tecnologia e na TIexames.

Perfil no LinkedIn