Cibersegurança as manchetes continuam a ser pontuadas por violações de alto perfil e altamente perturbadoras. Na verdade, em 2025 já assistimos a alguns dos incidentes mais prejudiciais alguma vez registados, com organizações como a M&S e a Co-Op a sofrer perturbações graves e dispendiosas.
Se o custo estimado de mais de 100 milhões de libras para a M&S não fosse suficientemente mau, foi eclipsado pelo incidente na JLR. amplamente relatado como o incidente cibernético mais caro da história do Reino Unido, com um valor económico global estimado em £1,9 mil milhões.
Estes e outros incidentes expõem os paradoxos mais duradouros da segurança cibernética: os humanos são os elos mais fortes e mais fracos da cadeia. A M&S declarou publicamente que a sua violação foi resultado de “erro humano”. Embora o júri ainda não tenha decidido na JLR, as especulações apontam para um compromisso de credenciais, uma tática clássica de engenharia social.
Ao mesmo tempo, funcionários são também a base de uma resiliência cibernética eficaz, com uma força de trabalho empenhada e bem informada, numa posição ideal para reconhecer e impedir atividades suspeitas muito antes de estas se transformarem num incidente em grande escala.
Um problema ruim está se tornando pior
O problema para segurança líderes é que a engenharia social ainda é a forma mais eficaz de contornar controles técnicos que de outra forma seriam robustos. O problema está se tornando mais grave à medida que os agentes de ameaças usam cada vez mais IA para fornecer ataques de phishing atraentes, personalizados e escalonáveis.
Embora muitos desses incidentes nunca tenham chegado à atenção do público, uma tentativa no ano passado de fraudar o WPP usou vídeo gerado por IA e clonagem de voz para se passar por executivos seniores em uma reunião deepfake altamente convincente.
Infelizmente, os riscos não param por aí. Mesmo com fortes controlos técnicos e uma força de trabalho atenta às tácticas de engenharia social, o risco também advém de funcionários que introduzem ferramentas, dispositivos ou processos que estão fora da governação formal de TI.
Amplamente conhecido como ‘Shadow IT’, este comportamento resulta muitas vezes de boas intenções, com as pessoas a tentarem trabalhar mais rapidamente ou colaborar de forma mais eficaz quando as ferramentas oficiais não satisfazem as suas necessidades, bem como as alternativas que descobriram. O resultado são pontos cegos de segurança e riscos de governação de dados que continuam a causar sérias dificuldades.
A lista de desafios continua, com hábitos cotidianos como reutilização de credenciais, armazenamento de arquivos em locais não aprovados, compartilhamento dados através do consumidor aplicativos ou usar Wi-Fi público inseguro, todos com potencial para minar a segurança organizacional.
A necessidade de uma mudança cultural
Então, onde isso nos deixa? Reduzir o risco humano não se trata apenas de eliminar erros, trata-se de criar um ambiente onde o comportamento seguro se torne o padrão. Está claro, por exemplo, que o treinamento em caixas de seleção, onde as pessoas clicam passivamente em módulos genéricos, simplesmente não é adequado ao seu propósito.
Em vez disso, o que é necessário é uma mudança tanto na mentalidade como na cultura, onde os funcionários entendam não apenas o que não fazer, mas por que razão as suas decisões do dia-a-dia, em que ferramentas confiam, como lidam com pedidos inesperados e quando optam por abrandar e verificar algo em vez de agir por instinto, são verdadeiramente importantes.
Do ponto de vista da liderança, é muito melhor promover uma cultura em que as pessoas se sintam confortáveis em denunciar atividades suspeitas sem medo de culpa, em vez de um ambiente onde assumir o risco pareça ser a opção mais fácil.
Impulsionadas pela frustração de que o treinamento de conscientização simplesmente não seja suficiente, muitas organizações implementaram camadas de ferramentas de segurança para preencher lacunas de segurança centradas no ser humano. Embora ninguém conteste que as ferramentas são essenciais, elas só podem ir até certo ponto e, sem uma cultura forte, o seu impacto é limitado.
Cultura forte
Mas como é esta “cultura forte”? Considere este cenário: Um funcionário recebe uma mensagem inesperada e-mail solicitação que parece rotineira, mas parece um pouco “estranha”. Talvez seja um fornecedor solicitando detalhes da conta ou um colega solicitando acesso a documentos de que normalmente não precisa.
Em vez de agir rapidamente para evitar atrasar o trabalho, o funcionário faz uma pausa porque a cultura normalizou a desaceleração quando algo parece incomum.
Eles também sabem exatamente como reportar ou verificar porque os processos são familiares e diretos, sem confusão sobre quem contatar ou se serão culpados por dar um alarme falso.
Uma rápida verificação com a equipe de segurança confirma que a solicitação não é legítima. A equipe trata o relatório como valioso inteligência em vez de um inconveniente.
A liderança reconhece as ações do funcionário, reforçando que as decisões ponderadas e os relatórios antecipados são reconhecidos e valorizados. O incidente torna-se um exemplo de aprendizagem para toda a organização, partilhado como melhor prática para ajudar outros a reconhecer padrões semelhantes no futuro.
A questão subjacente é que isso precisa acontecer com muito mais frequência. Acerte a abordagem e organizações de todos os tamanhos terão uma chance muito maior de permanecer no caminho certo quando confrontadas com ataques cibernéticos com potencial de se transformarem em ameaças existenciais.
Apresentamos a melhor VPN empresarial.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes do setor de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não são necessariamente da TechRadarPro ou Future plc. Se você estiver interessado em contribuir saiba mais aqui: https://www.techradar.com/news/submit-your-story-to-techradar-pro