A frase “pessoas são o elo mais fraco” já virou bordão no mundo da segurança. Mas quando o foco é conscientização em cibersegurança e conscientização em segurança da informação, a questão crítica não é apenas quem é o elo — é como construímos e mantemos esse elo dentro das organizações.
Nos últimos anos, duas abordagens concorrentes se destacaram: as campanhas de conscientização “feitas à mão” — artesanais, locais e fortemente curadas — e os programas de conscientização automatizados, baseados em plataformas que orquestram conteúdo, simulações e métricas em escala.
Isto posto, vale uma reflexão: estamos presenciando a gradual obsolescência das iniciativas handmade? A automação é, de fato, o futuro inevitável do awareness?
Recursos humanos em security awareness
Para contextualizar a discussão, vale trazer à tona um dado que tem orientado muitas decisões de investimento. Segundo o SANS Security Awareness Report 2024, as organizações que mudam efetivamente o comportamento da força de trabalho tendem a ter pelo menos 1,8 FTEs (full time employees) dedicados; para avançar e embutir uma cultura de segurança estratégica, a recomendação sobe para cerca de 4,2 FTEs.
Essas relações entre tamanho de equipe e maturidade reforçam a pergunta: se poucos FTEs são a realidade da maioria das empresas, como manter campanhas artesanais eficazes sem sacrificar alcance e consistência?
Essa observação ilumina um ponto central: a escassez de recursos humanos impacta diretamente a capacidade de sustentar iniciativas manuais ao longo do tempo, empurrando muitas organizações para soluções que prometem escala.
Uma comparação complexa
O termo “handmade” aplicado a campanhas de conscientização descreve atividades produzidas internamente com elevado grau de curadoria humana. São newsletters personalizadas, workshops presenciais, vídeos com referências internas, roadshows e jogos presenciais que refletem a cultura local da empresa.
Essas ações valorizam o contexto, a narrativa e a empatia — falam a linguagem das equipes e se conectam com exemplos reais da operação. Em contrapartida, a automação em programas de conscientização envolve plataformas que disparam simulação de phishing periódica, microlearning adaptativo, fluxos automatizados de remediação e dashboards que consolidam métricas mensuráveis. A promessa dessas plataformas é clara: repetir, mensurar e escalar com o mínimo de intervenção humana.
Comparar ambas as abordagens exige distinguir objetivos e horizontes temporais. Em termos de ganhos táticos imediatos — redução de cliques em simulações, aumento do reporte de incidentes, envio de microlearnings a quem apresenta gaps — a automação costuma entregar resultados mais rápidos e mensuráveis.
Ferramentas que enviam simulação de phishing segmentada por função, que aplicam microlearning com base nas falhas e que geram relatórios padronizados permitem acompanhar tendências com precisão. Para organizações com poucos FTEs, isso representa uma alavanca operacional: é possível executar centenas de testes mensais sem precisar multiplicar as horas humanas.
A importância da humanização
Já a mudança cultural de longo prazo responde a parâmetros distintos. Quando falamos em transformar atitudes, criar senso de responsabilidade compartilhada e construir confiança entre a área de segurança e as demais áreas da empresa, as iniciativas artesanais têm vantagens reais.
Um workshop bem conduzido, um encontro com liderança que compartilha um episódio real de risco, ou um conteúdo produzido com linguagem local podem gerar empatia, adesão e narrativas que se enraízam. A arte de persuadir e de contar histórias costuma fugir ao campo do algoritmo — pelo menos quando a automação é aplicada de forma puramente operacional, sem curadoria.
Ao olhar para os pontos positivos e negativos de cada abordagem, a análise precisa ser ampla. As campanhas handmade entregam relevância contextual e flexibilidade criativa. A capacidade de reagir rapidamente a um ataque que atingiu a própria empresa, de personalizar a mensagem para um time que precisa de atenção especial ou de criar uma experiência presencial memorável é algo que a automação, por si só, não replica com a mesma profundidade.
Além disso, o contato humano constrói relacionamento: um gestor que participa de um treinamento ao vivo tende a ser um aliado mais concreto do que um gestor que apenas recebe relatórios automatizados.
O benefício estratégico da automação
No entanto, a dependência de pessoas-chave é a principal fragilidade do modelo artesanal. Programas baseados em um núcleo reduzido — frequentemente um ou dois FTEs que acumulam awareness entre outras funções — ficam vulneráveis a ausências, turnover e cortes orçamentários. A mensuração, quando realizada de forma artesanal, costuma ser irregular e difícil de comparar entre campanhas diferentes.
Escalar ações criativas exige tempo e recursos que muitos dos times simplesmente não têm. É aí que a automação aparece como uma alternativa prática: proporciona repetição controlada, frequência ideal de contato, e métricas comparáveis que podem ser apresentadas ao board com facilidade.
E então, como fazer?
A provocação que muitos líderes de segurança precisam enfrentar é direta: a automação tornará o handmade obsoleto? A resposta requer nuance. A automação está definitivamente tornando obsoletas as campanhas pontuais, desconexas e incapazes de escalonar resultados. No entanto, não se pode subestimar o valor do conteúdo artesanal quando este é pensado estrategicamente e integrado a processos e métricas.
O handmade perde utilidade quando usado para tarefas operacionais e repetitivas; ele ganha valor quando direcionado a experiências que demandam sensibilidade humana — construir confiança, discutir dilemas éticos, narrar falhas reais de forma educativa. Para quem projeta ou governa programas de conscientização, algumas recomendações práticas surgem naturalmente dessa análise.
Primeiramente, mensure com inteligência: combine métricas táticas (taxa de cliques em simulação de phishing, tempo médio para reportar um incidente, cobertura de treinamentos) com métricas qualitativas de cultura (pesquisas de clima sobre segurança, entrevistas com líderes, relatos de comportamento).
Em segundo lugar, automatize o que é repetitivo e dedique pessoas ao que é estratégico: use tecnologia para simulações, microlearning e relatórios; use talento humano para workshops, storytelling e alinhamento executivo.
A transparência é outro ponto essencial: comunicar abertamente a existência e os objetivos das simulações reduz a resistência e fortalece a confiança. Finalmente, personalize com senso crítico: a automação entrega personalização técnica, mas exige curadoria para evitar vieses e garantir sensibilidade cultural.
O equilíbrio perfeito
Em conclusão, a escolha entre automatização e hand made não deve ser tratada como uma competição binária. Cada abordagem tem virtudes e limites. A automação oferece escala, repetição e dados — qualidades indispensáveis em ambientes com restrição de recursos humanos.
A prática artesanal oferece conexão, contexto e capacidade de lidar com dilemas humanos complexos — elementos críticos para internalizar comportamentos no longo prazo. A maturidade, portanto, advém da interseção: plataformas que executam simulações e microlearning bem orquestrados, suportadas por profissionais capazes de traduzir dados em narrativas, relacionamentos e ações estratégicas.
É nesse ponto de equilíbrio que os programas de conscientização em segurança da informação se tornam robustos, sustentáveis e verdadeiramente transformadores.
