Como uma solução pioneira e inovadora no setor, nós, da Eskive, podemos dizer com propriedade: falar sobre conscientização em segurança da informação é um assunto delicado. Afinal, por décadas, o fator humano foi menosprezado dentro desse mercado em prol de investimentos, pesquisas e implementações robustas de soluções tecnológicas — o importante, no fim do dia, era frear o ataque de uma máquina contra a sua própria máquina.
Mas as estações foram passando, e, tal como as folhas durante o outono, esses preceitos antigos começaram a cair por terra. Mais e mais ataques passaram a focar nas falhas humanas, usufruindo da inocência, do despreparo e da negligência quando a parede tecnológica estava alta demais para um cibercriminoso escalar. “A questão é: diferente das máquinas, não é possível aplicar patches nas pessoas”.
Tal frase icônica foi dita por nossa CEO, Priscila Meyer, durante sua palestra no Mind The Sec 2025, que ocorreu entre os dias 16 e 18 de setembro na capital paulista. Na apresentação “Estratégias de conscientização que reduzem o risco humano”, Meyer compartilhou insights valiosos de seus quase 30 anos de experiência no setor — grande parte desta carreira dedicada a aprimorar a arte da conscientização de colaboradores.
Os primeiros deslizes
Desafiando quem ali, da plateia, poderia lhe garantir que foi capaz de implementar um programa de conscientização eficiente, Meyer ilustrou os muitos erros — e o acerto pelo qual devemos buscar — que profissionais da área cometem através da história fictícia de Carlos, um gestor de SI recém-contratado em uma empresa de médio porte do ramo industrial. Sua missão? Estruturar toda a segurança da companhia do zero.
Após garantir que todos os controles tecnológicos estavam devidamente aplicados, ele passou a se frustrar ao ver que tais barreiras não funcionam por conta de colaboradores que caiam em golpes de phishing, tinham uma má higiene com suas senhas e afins. Pressionado pela auditoria, sua primeira ideia foi criar uma campanha feita 100% com recursos internos — mesmo que sua equipe fosse enxuta e atarefada.
Porém, os cartazes, panfletos e informativos digitais, além de não surtirem efeito, não lhe davam a mínima possibilidade de metrificar o alcance, engajamento e mudança comportamental dessas peças. Foi aí que ele cometeu o seu segundo erro: buscou ajuda do setor de Recursos Humanos, na esperança de que, inserindo os treinamentos na universidade corporativa, eles certamente ganhariam mais respeito.
Surge o verdadeiro problema
Outra bola fora — mesmo com um programa de bonificações, as iniciativas só surtiram efeito nas primeiras semanas, com a maioria dos funcionários desistindo das aulas por serem “chatas demais”. A última aposta do executivo, então, foi contratar uma agência externa para desenvolver os materiais com maior profissionalismo. Novamente: o engajamento caiu pouco tempo após a implementação.
O que estaria errado, pensava Carlos? A resposta para a dúvida que atormentava seu sono veio na forma de um único feedback aleatório: um colaborador que elogiou os treinamentos, mas revelou que seu gestor preferia que ele se mantivesse em cumprir as metas internas do que “perdesse tempo” com esse tipo de conteúdo.
Como ele não havia percebido? Esse tempo todo, seu maior entrave estava na falta de apoio justamente de sua própria “classe hierárquica” — as outras lideranças dos departamentos internos, que estavam mais preocupadas com seus afazeres do que proteger suas próprias informações. A área de SI estava sozinha nessa luta!
Após o desastre, a redenção
O inevitável logo aconteceu: a má higiene de proteção digital dos colaboradores resultou em um ataque cibernético que congelou as operações e causou quase R$ 2 milhões em prejuízo. Convidado para conversar com o CEO — e já temendo pelo seu emprego —, Carlos finalmente expôs a situação e conseguiu aplicar uma cultura de conscientização top-down, encabeçada pela alta diretoria e verticalizando as responsabilidades.
“A dor é da cibersegurança; o mandato, não”, explica Meyer. “Não existe uma área que determine a cultura da empresa. A cultura é top-down: se a alta direção é focada em lucro, todos estarão focados em lucro. Se a alta direção está focada em humanização, todos estarão focados em humanização. Dessa forma, se a alta direção estiver focada em segurança, toda a empresa vai se engajar em segurança”, complementa.
Não é à toa que a metodologia Eskive, cuidadosamente elaborada após anos de pesquisa e refinamento, propõe justamente desafogar o time de SI e distribuir as responsabilidades entre os gestores. A solução trabalha em três níveis: alta direção, lideranças e equipes, com cada um entendendo seu papel, cobrando o nível hierárquico logo abaixo e reportando ao nível hierárquico logo acima. Dessa forma, temos uma cultura focada em segurança.
“A área de segurança precisa demonstrar o risco. É preciso articular o convencimento de que os responsáveis pelas informações são cada um dos departamentos”, finaliza Meyer.
