Há mais de 25 anos trabalhando em segurança da informação, passei por praticamente todas as fases da evolução dessa disciplina no mercado nacional. Comecei em um mundo onde antivírus e firewalls eram sinônimo de segurança, evoluí para a era dos controles técnicos sofisticados e, eventualmente, cheguei a uma conclusão que desafia muitos profissionais da área: a maior lacuna em segurança não está na tecnologia. Está na incapacidade de influenciar pessoas.
A maior lacuna da segurança está no comportamento humano
Essa é uma provocação deliberada. Porque, se você é CISO ou líder de segurança e acredita que seu trabalho é principalmente técnico, você já começou errado. Não estou dizendo que tecnologia não importa. Importa, e muito. Mas a tecnologia é apenas o palco. O verdadeiro drama acontece quando as pessoas precisam decidir se vão seguir a política, contorná-la ou ignorá-la completamente.
Quando gerenciei grandes equipes e orçamentos, percebi que os maiores ganhos em redução de risco nunca vieram de um novo firewall, de um SIEM mais sofisticado ou de uma ferramenta de detecção de ameaças mais avançada. Vieram de mudanças na forma como a organização entendia e se relacionava com segurança. Vieram de liderança que conseguia conectar a necessidade de proteção aos objetivos reais do negócio. Vieram de comunicação que inspirava em vez de assustar.
O CISO moderno não gerencia máquinas, gerencia pessoas
O problema é que a maioria dos CISOs é recrutada por sua expertise técnica. Você sobe na carreira porque entende de arquitetura, de criptografia, de protocolos de rede, de análise de vulnerabilidades. Essas habilidades são valiosas, sem dúvida. Mas elas não são suficientes para liderar segurança em uma organização moderna. Porque, no fim do dia, você não está gerenciando máquinas. Está gerenciando pessoas. E pessoas são infinitamente mais complexas do que qualquer sistema que você já configurou.
Pense no seu próprio comportamento. Quantas vezes você ignorou uma recomendação de segurança porque era inconveniente? Quantas vezes você usou uma senha fraca porque era mais fácil de lembrar? Quantas vezes você compartilhou uma credencial com um colega porque era mais rápido do que seguir o processo formal? Se você, que trabalha em segurança, faz isso, imagine o que o resto da organização está fazendo.
Comportamento humano não muda apenas com treinamento
A verdade é que comportamento humano não é racional. Não é determinado apenas por conhecimento. É determinado por contexto, pressão, incentivos, hábitos, confiança e percepção de risco. Um colaborador que recebeu treinamento sobre phishing pode ainda clicar em um link suspeito se estiver sob pressão de prazo, se o e-mail parecer vir de alguém que ele confia ou se ele estiver cansado e não estiver pensando com clareza. Nenhuma quantidade de conscientização vai mudar isso completamente. O que muda é o ambiente em que a decisão é tomada.
Segurança precisa ser desenhada para a realidade da organização
É por isso que o papel do CISO está evoluindo. Não é mais suficiente ser um especialista técnico que senta em reuniões de segurança e aprova ou rejeita iniciativas. O CISO moderno precisa ser um líder que entende comportamento organizacional, que consegue comunicar de forma clara e inspiradora, que sabe influenciar sem autoridade formal, que compreende os incentivos que movem as pessoas e que consegue desenhar ambientes onde a escolha segura é a escolha natural.
Isso exige habilidades que não estão no currículo tradicional de segurança. Exige empatia. Exige capacidade de escuta. Exige compreensão profunda de como as pessoas trabalham, quais são suas pressões, quais são seus medos e quais são suas motivações. Exige a capacidade de contar histórias que conectem segurança a valores pessoais. Exige liderança que demonstra, através de ações, que segurança é realmente importante.
Gestão de risco humano depende de liderança e influência
Quando implementei programas de gestão de risco humano em grandes organizações, o diferencial nunca foi a ferramenta que usamos ou a sofisticação da análise de dados. O diferencial foi a capacidade de envolver lideranças intermediárias, de criar campeões de segurança em cada departamento, de comunicar de forma que ressoasse com cada público específico e de demonstrar, através de métricas reais, que o investimento em mudança comportamental gerava retorno tangível.
Um exemplo prático: em uma grande empresa brasileira, tínhamos uma taxa de clique em phishing de 25% entre colaboradores de finanças. Não era porque eles não sabiam que phishing era perigoso. Eles sabiam.
O problema era que estavam sob pressão constante de prazos, recebiam dezenas de e-mails por hora e tinham desenvolvido um hábito de clicar rápido sem pensar. A solução não foi treinar mais. Foi redesenhar o processo de aprovação de transferências para incluir uma camada adicional de verificação, foi criar um sistema de alertas que aparecia no momento certo, foi envolver o gestor direto para reforçar a importância, foi comunicar de forma que conectasse a segurança ao risco pessoal de cada um. Em seis meses, a taxa caiu para 8%.
Isso é gestão de comportamento. Não é tecnologia. É entender que as pessoas não são o problema. O ambiente é o problema. E o CISO que consegue mudar o ambiente consegue mudar o comportamento.
O novo repertório do CISO vai além da técnica
Mas isso exige que o CISO desenvolva habilidades que vão muito além do técnico. Exige que ele entenda psicologia comportamental, que saiba como comunicar de forma efetiva, que compreenda dinâmicas de grupo, que consiga influenciar sem ter autoridade formal sobre as pessoas que precisa influenciar. Exige que ele seja capaz de ter conversas difíceis com lideranças que não querem ouvir sobre risco. Exige que ele consiga traduzir conceitos técnicos para a linguagem do negócio, para que o board entenda por que segurança importa.
Isso também demanda que o CISO seja um aprendiz contínuo. Porque comportamento humano está sempre evoluindo. As táticas de ataque estão sempre mudando. Os incentivos organizacionais estão sempre se reajustando. O que funcionou há dois anos pode não funcionar hoje. O CISO que quer ser efetivo precisa estar constantemente observando, aprendendo, ajustando sua abordagem.
Segurança eficaz nasce da conexão com valores e objetivos de negócio
Quando penso em CISOs que realmente fizeram diferença nas organizações que conheço, não são aqueles que tinham o maior conhecimento técnico. São aqueles que conseguiam conectar segurança a valores, que conseguiam comunicar de forma clara e inspiradora, que conseguiam envolver lideranças em torno de um objetivo comum, que conseguiam demonstrar que segurança não era um custo, mas um investimento em resiliência.
Isso é liderança. E liderança é sobre pessoas, não sobre tecnologia.
O futuro da cibersegurança será definido pela capacidade de influenciar pessoas
Se você é CISO ou está pensando em se tornar um, meu conselho é este: invista em desenvolver suas habilidades de liderança e comunicação tanto quanto investe em conhecimento técnico. Aprenda sobre comportamento organizacional. Estude psicologia. Leia sobre mudança cultural. Pratique comunicação clara e inspiradora. Desenvolva empatia. Aprenda a influenciar sem autoridade formal. Porque essas habilidades vão determinar se você consegue realmente transformar a segurança da sua organização ou se você vai ficar preso em um ciclo de campanhas bem-intencionadas que não geram impacto real.
O futuro da cibersegurança não será definido por quem tem a ferramenta mais sofisticada ou o controle mais complexo. Será definido por quem conseguir entender e influenciar melhor o comportamento das pessoas. E isso é uma habilidade que você pode desenvolver, independentemente de qual é seu background técnico.
A pergunta que você precisa fazer a si mesmo é simples: você está pronto para fazer essa evolução?
Assine a nossa News e siga o Itshow nas redes sociais para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!