“Em muitos casos, o risco está mais relacionado à maneira como o equipamento é operado do que à disponibilidade das ferramentas certas” – ISACA CRISC Official Review Manual 7th Edition Revised. E, pensando no contexto de quem opera, a figura humana está em primeiro lugar.
A Forrester previu que 90% das brechas de dados iriam incluir o fator humano em 2024 (Ref). O Gartner já atestava no início de 2023 que até 2027 50% dos CISOs adotarão formalmente práticas de design de segurança baseadas no ser humano para minimizar o ruído operacional e maximizar a adoção de controle (Ref) e, mais recentemente, o relatório Data Breach Investigations Rerport (DBIR) 2025 da Verizon atestou que “embora o envolvimento do elemento humano nas violações tenha permanecido praticamente o mesmo do ano passado, oscilando em torno de 60%, as porcentagens de violações em que um terceiro esteve envolvido dobraram, passando de 15% para 30%”.
Esses dados são altamente relacionáveis ao fato de os atacantes estarem se aprofundando cada vez mais nas particularidades do comportamento humano com maior facilidade, até mesmo impulsionados pela disseminação de ferramentas de IA generativas, que já podem ser usadas com prompts aparentemente inofensivos para adequação da escrita e aparência de um e-mail. A Trend Micro, empresa destaque em segurança cibernética e parceira Scunna, divulgou suas previsões para 2025 pontuando que “Ao longo de 2024, a IA generativa foi utilizada na criação e disseminação de conteúdo, bem como no desenvolvimento de personas falsas e informações enganosas. Prevê-se que o uso da IA generativa seja ainda mais aprimorado para aumentar a credibilidade do conteúdo disseminado e melhorar a eficiência operacional em campanhas de desinformação. O impacto social não deve ser subestimado. É importante que governos, empresas privadas, mídia e outras organizações colaborem para descobrir todo o escopo das operações de influência maliciosa.” (Ref). Essa última preocupação vale também para o surgimento de IAs generativas maliciosas como o WormGPT, uma LLM criminal encontrada na darkweb qual já foi dada como encerrada em 2023, mas relatórios recentes indicam estar ativa novamente, e com mais funcionalidades.
Em contrapartida às atividades maliciosas, é possível ver o surgimento de cursos e graduações que colocam em foco o estudo do comportamento humano perante a cibersegurança visando o aumento de sua proteção, um deles sendo da Temple University na Filadélfia. A graduação, intitulada “Cybersecurity and Human Behavior Major” (Ref) tem a proposta de entregar experiência em cibersegurança além das habilidades técnicas tradicionais. Em uma divulgação do curso, na página de notícias da universidade, Sandra Suárez (Ref) – uma das cabeças idealizadoras da graduação e professora de Ciências Políticas – faz uma pontuação muito importante em relação à segurança da informação “Hoje, a defesa mais eficaz contra ataques cibernéticos envolve pensadores estratégicos que podem efetivamente preencher lacunas entre políticas de segurança, tecnologias de informação e comportamentos humanos.” (Ref)
O curso acima citado é divulgado como um dos primeiros programas de graduação em cibersegurança nos EUA com o foco no comportamento humano. Aqui no Brasil a imersão no fator humano ainda não tem posição de destaque em universidades, sendo normalmente tratada como parte de um módulo de cursos focados em identificação de ameaças e táticas de prevenção.
O comportamento humano já era tratado como vetor de risco antes de evoluir para o termo “Human Risk Management”, que está em uma crescente evolutiva no mercado, aposentando a nomenclatura de “Security Awareness and Training”. Um exemplo dessa evolução se dá pela a Forrester ter oficializado a mudança do segmento SA&T para HRM em fevereiro de 2024 (Ref) para a divulgação do estudo Forrester Wave™ mais à frente, em setembro do mesmo ano (Ref). As abordagens de segurança abandonam treinamentos genéricos de usuários para ter uma gestão baseada em comportamento, com intervenções personalizadas e utilização de KPIs de risco humano dentro de frameworks de segurança. Se encaixam nessa categoria soluções que buscam gerenciar e reduzir os riscos de cibersegurança impostos por e para humanos por meio de:
• Detecção e dimensionamento de comportamentos prejudiciais à segurança com a quantificação do risco humano;
• Adoção de políticas e treinamentos direcionados com base nos riscos identificados;
• Capacitação dos funcionários visando à proteção pessoal e da organização contra ataques cibernéticos;
• Construção de uma cultura de segurança compreensível a todos.
No estudo para construção do Forrester Wave™ do segmento, Jinan Budge, VP e Diretora de Pesquisas (Ref), escreveu sobre alguns obstáculos identificados ao conversar com clientes sobre a adoção eficaz de ferramentas de HRM, desde o preconceito em acreditar que HRM nada mais é que o SA&T com um novo nome, passando pelo receio da mudança e, apego a práticas familiares e já incorporadas ao negócio que não entregam resultados eficazes. (Ref)
A Proofpoint – posicionada como “strong performers” no segmento de soluções HRM pelo Forrester Wave™ e também parceira Scunna, enfatiza que os colaboradores são tanto a primeira linha de defesa quanto uma potencial vulnerabilidade, e ressalta os benefícios que a adoção de estratégias baseadas em HRM podem trazer, dentre eles: reduzir custos e mitigação de riscos, fortalecer a resiliência operacional construindo uma cultura de trabalho consciente da segurança, otimizar as decisões sobre investimentos em segurança a partir do conhecimento mais aprofundado dos riscos relacionados aos comportamentos identificados dentro da organização e reduzir o atrito entre os fluxos de trabalho dos funcionários e os objetivos empresariais. (Ref)
O grande triunfo de programas de Human Risk Management é a mudança comportamental do usuário perante as ações do dia a dia, criando um olhar crítico e apurado para identificar simples ações ou possíveis armadilhas que podem o expor a organização a riscos cibernéticos, praticando efetivamente a cultura de segurança.
Autora: Maíra Vianna | Coordenadora de Segurança da Informação
