Pessoas tornam-se o elo mais forte quando o Board assume seu papel

24/09/2025 mindsecblog Artigos, Notícias 0

Pessoas tornam-se o elo mais forte quando o Board assume seu papel na governança em cybersecurity

Apontar o dedo para os usuários, chamando-os de “o elo mais fraco” da política de cybersecurity da empresa não melhora a postura de nenhuma organização. Não se trata de ignorar o papel dos erros humanos em incidentes. O real desafio do CISO é atuar como um líder moderno, que torna o alinhamento dos usuários às melhores práticas de segurança o caminho de menor resistência. Para isso, é fundamental deixar no passado a culpa jogada sobre os usuários e se concentrar na governança em cybersecurity e na capacitação contínua de usuários de todos os níveis hierárquicos e todos os departamentos.

É esse o caminho que está sendo incentivado pelo governo do Reino Unido, que acaba de lançar o  Código de Práticas de Governança Cibernética. Pela primeira vez, estabelece-se uma diretriz clara de engajamento dos usuários e se passa a responsabilizar os conselhos de administração – o Board – pelos riscos cibernéticos humanos.

 

Cybersecurity com o mesmo status das áreas de finanças e jurídica

Por trás deste movimento está a certeza de que, na economia digital, as empresas dependem totalmente de dados para operar. Neste contexto, a cybersecurity tem o mesmo status das áreas financeira e jurídica. Ser vulnerável a um ataque de hackers é visto como uma falha de governança corporativa. A partir dessa premissa, o novo código do Reino Unido estabelece que os membros do Board são, em última instância, os responsáveis por preservar a resiliência de suas organizações.

O Código de Práticas de Governança Cibernética descreve como os conselhos de administração e os executivos devem governar os riscos humanos — uma área há muito tratada como uma nota de rodapé ou delegada às equipes de conformidade. O risco cibernético passa a ser visto não como um problema operacional, mas como uma falha de liderança estratégica.

Para evitar desastres, o código estabelece quatro áreas de responsabilidade de governança:

 

  1. Criar uma cultura ciber-resiliente

Espera-se que os conselhos promovam e modelem comportamentos que permitam uma cultura segura de cima para baixo. A alta administração tem que dar o exemplo, priorizar práticas seguras e garantir que a conscientização sobre os riscos esteja incorporada na forma como as decisões são tomadas. A cultura cibernética tem de começar a se sentar na cabeceira da mesa das salas de reunião.

 

  1. Alinhar as políticas para permitir os comportamentos corretos

As políticas não devem existir apenas para satisfazer os auditores. Elas devem estar alinhadas com a forma como as pessoas trabalham e se comportam diariamente. Políticas abstratas ou punitivas, desconectadas da realidade do local de trabalho, são fadadas ao fracasso. Quando os funcionários ignoram as políticas para fazer seu trabalho, geralmente não é por imprudência. Trata-se de um contexto em que o atrito entre o colaborador e a regra de segurança é alto, e para fazer seu trabalho a pessoa acaba não adotando o comportamento seguro.

 

  1. Desenvolver conhecimento, habilidades e alfabetização cibernética em todos os níveis hierárquicos

Muitas organizações investem em treinamento de conscientização sobre segurança e simulações de phishing para os funcionários, mas negligenciam os membros do Board e os líderes das áreas de negócios. Os conselhos devem investir em sua própria conscientização sobre segurança, não para se tornarem especialistas técnicos, mas para serem administradores eficazes. Isso significa ser alfabetizado em cybersecurity e, a partir daí, conseguir fazer as perguntas certas, compreender os riscos comportamentais e técnicos e supervisionar as intervenções estratégicas.

 

  1. Usar métricas para monitorar riscos culturais e comportamentais

O que não pode ser medido não pode ser controlado. Ainda assim, a maioria dos relatórios de segurança cibernética para conselhos se concentra em atividades de ameaças e vulnerabilidades do sistema, não em indicadores de risco humano.

 

É hora de trabalhar com novas métricas:

  • Quantificar o risco cibernético humano por pessoa, por equipe e por unidade de negócios;
  • Monitorar indicadores comportamentais, como suscetibilidade a phishing, violação de políticas ou percepção de risco;
  • Acompanhar a maturidade cultural ao longo do tempo, com métricas reais alinhadas às estruturas de governança;
  • Fornecer aos conselhos de administração dashboards dinâmicos que reflitam o risco real trazido por pessoas, não apenas o tipo de falha ou de ataque.

 

Atrito com soluções de cybersecurity abre brechas para o ataque

Quem seguir esse caminho iniciará a revolução da governança cibernética, algo que trará vantagens para a organização como um todo. Para o time de TI e Cybersecurity, em especial, o atrito causado pela implementação de soluções avançadas de segurança – e a possível rejeição dessa inteligência por parte dos usuários – será muito suavizado.

Isso é estratégico quando se trata, por exemplo, de defender a identidade do usuário, o ativo mais cobiçado pelos criminosos digitais. O Gartner indica em estudo realizado em 2023 que credenciais roubadas estão por trás de 61% de todos os vazamentos de dados ocorridos nos EUA. Por outro lado, uma pesquisa patrocinada pela Identity Defined Security Alliance (IDSA) revela que 99% dos entrevistados acreditavam que os vazamentos relacionados a identidades poderiam ter sido evitados se a empresa contasse com outra governança de segurança em relação a esse ativo.

Esses dados dizem respeito a identidades de usuários em geral. Quando se trata, porém, de usuários com papel crítico na empresa – os super usuários – a situação é ainda mais dramática. Contas privilegiadas incluem o Board, líderes das áreas de negócios, administradores de domínios digitais e administradores locais. O dono do acesso privilegiado tem acesso ou permissão a recursos e sistemas que contêm informações altamente confidenciais. Esses usuários podem fazer alterações críticas em aplicações, infraestrutura de TI e sistemas. Um estudo da Forrester Research estima que 80% das violações de segurança ocorridas nos EUA em 2024 envolviam o abuso de acesso privilegiado.

Outra frente de batalha estratégica é conquistar a adesão de usuários de todos os níveis hierárquicos às plataformas de gerenciamento de senhas. Usando Inteligência Artificial, criminosos digitais  conseguem quebrar 51% das senhas em menos de 60 segundos. Dentro de casa falhas na governança de cybersecurity colaboram com o sucesso dos atacantes. 78% dos usuários usam a mesma senha para mais de uma conta – 14% confessam usar a mesma senha para acessar Apps pessoais e aplicações de missão crítica da empresa onde trabalham.

Em todas essas frentes de batalha, o mercado conta com soluções baseadas em IA e ML que detectam e respondem a ataques contra identidades. Por falhas na governança e falta de letramento digital da parte dos usuários, a força dessas plataformas nem sempre é plenamente explorada. O atrito na implementação e uso dessas tecnologias pode reduzir os resultados propiciados por essas plataformas.

As empresas brasileiras que, porém, enxergarem no novo Código de Práticas de Governança Cibernética um bom exemplo para seu Board, deixarão no passado essa falta de alinhamento interno. A governança em cybersecurity contribui para que pessoas tornem-se o elo mais forte, engajando-se de forma passional na proteção dos dados críticos da empresa onde trabalham.

Por: Thiago N. Felippe é CEO da Aiqon, hub de inteligência em cybersecurity.

 

Veja também:

About mindsecblog 3217 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Artigos

Como engajar colaboradores e evitar riscos?

20/08/2025 mindsecblog Artigos, Notícias 0

Treinamento em cibersegurança: como engajar colaboradores e evitar riscos? Mesmo com tecnologias avançadas, falhas humanas seguem como principal porta de entrada para ataques virtuais; especialista da Trend Micro ensina como reduzir vulnerabilidades com ações de […]

Notícias

CCleaner Hackeado Infectou mais de 2 Milhões de Usuários

20/09/2017 mindsecblog Notícias 1

Se você baixou ou atualizou o aplicativo CCleaner em seu computador entre 15 de agosto e 12 de setembro deste ano a partir do seu site oficial, então preste atenção – seu computador foi comprometido. […]

Notícias

Redes de varejo estão entre os dez setores mais atacados por cibercriminosos

09/03/2022 mindsecblog Notícias 0

Redes de varejo estão entre os dez setores mais atacados por cibercriminosos, aponta relatório da Apura. Mercado de ciberameaças movimenta bilhões de dólares todos os anos Relatório da Apura Cyber Intelligence mostra que redes de […]

Be the first to comment

Deixe sua opinião!