Cibersegurança entra no escopo das áreas de gente

Mais do que capricho, cuidar da cibersegurança é hoje uma prioridade de negócio para as empresas. Segundo a companhia suíça de segurança digital Cybersecurity Ventures, é esperado que, até o ano que vem, os prejuízos com o cibercrime globalmente atinjam US$ 10,5 trilhões por ano. Diante de uma ameaça que tira o sono das diretorias executivas, não é mais suficiente orientar os funcionários a redefinirem as senhas de seus computadores periodicamente — a dimensão do risco tem exigido soluções mais criativas. 

“Na cibersegurança, o elo mais fraco são as pessoas. Mas, a depender da cultura organizacional, pode ser um ponto de força”, destaca Eduardo Gonçalves, country manager no Brasil da Check Point Software, multinacional especializada em segurança e tecnologia da informação. O executivo afirma que os clientes da CheckPoint que mais têm sucesso na proteção digital são aqueles que unem internamente esforços de diferentes departamentos, envolvendo principalmente a área de recursos humanos. 

A articulação funciona por alguns motivos. De acordo com especialistas, grande parte das invasões cibernéticas usam colaboradores como pontes – em um caso em 2022, por exemplo, um hacker atacou os sistemas do Uber após invadir a conta do Slack de um funcionário. Além disso, os profissionais de tecnologia sozinhos não conseguem mobilizar a organização como um todo, já que não são especializados em comunicação e conscientização. 

Nesse sentido, não há mais como a área de gente estar descolada do tema de segurança digital, defende Camila Costa, gerente de RH da fintech Neon.  “A cibersegurança faz parte da nossa cultura. Não dá para ser diferente: somos uma empresa financeira, altamente regulada, que precisa ser confiável para o cliente”, afirma.  “O RH é quem está conectado a todas as áreas de negócios. Temos expertise para dominar a informação e compartilhá-la da melhor forma considerando as particularidades de cada time”.   

Na Neon, durante algum tempo a educação em cibersegurança se restringia ao momento de integração de novos funcionários. Hoje, o trabalho é mais amplo e constante, conta Camila. Dada a necessidade de atualização no tema, os colaboradores participam de treinamentos online semestralmente. Após as capacitações, a empresa aplica uma prova virtual que exige 75% de acerto – caso a pontuação não seja atingida, o funcionário precisa refazer as lições. Há também campanhas de informação que compartilham notícias do mercado sobre cibersegurança e discutem os caminhos de evitar casos semelhantes. 

Testes constantes são importantes

Para manter a pauta no dia a dia, outra aposta da Neon são as simulações, como testes de phishing (golpe virtual que usa iscas como e-mails para roubar informações dos usuários). Recentemente, a fintech enviou um e-mail falso aos colaboradores anunciando descontos na loja da Neon, que vende produtos como camisetas e bonés com o logotipo da empresa. “Muitos funcionários caíram na armadilha. Usamos a experiência para reforçar a atenção”, diz a gerente de RH. “Os treinamentos formais são necessários, mas há maneiras mais leves de fazê-los. Nosso papel como área de gente é desmistificar que cumprir as regras é algo chato”. 

Quem também aposta nos testes de phishing é a gigante de software financeiro Sinqia – há pouco tempo, a empresa usou como armadilha a oferta de novos benefícios corporativos. Além dos testes, há treinamentos obrigatórios realizados anualmente, com o mesmo sistema de prova usado pela Neon para testar o conhecimento dos colaboradores. “Não acredito em outra forma de engajamento que não seja pela educação. Além dos exercícios técnicos, o tema é recorrente em campanhas internas e a própria liderança fala ativamente sobre segurança”, diz Marcia Drysdale, diretora de RH da companhia. 

Delinear a relevância da segurança digital parece ser o segredo para alavancar as iniciativas. “O comportamento do funcionário muda quando ele entende por que tem que ser treinado. É preciso entender os riscos de prejudicar a companhia. Por conta de ataques, empresas estão queimando suas marcas e até fechando as portas”, afirma Thiago Tanaka, diretor de cibersegurança da empresa de tecnologia TIVIT. 

Proteção não deve vir pelo medo

A conscientização, contudo, deve se atentar ao tom da conversa. Propagar o medo não é caminho, argumenta Gonçalves, da Check Point: “Muitas empresas adotaram essa postura ao ver seus pares falindo. Mas isso pode impedir a companhia de inovar e crescer, já que a pessoa se retrai e passa a fazer só o básico”. 

Mais do que travar a evolução, a preocupação desmedida pode estimular ambientes de vigilância — estratégia que, segundo especialistas, é fadada ao fracasso. A confiança é a base de qualquer relação, e no vínculo entre empresa e funcionário não é diferente. “As pessoas precisam ter clareza de por que realizamos cada um dos processos. Todas as informações precisam ser contextualizadas”, diz Camila, da Neon. Vale lembrar ainda que as companhias têm responsabilidade ética de informar quais atividades dos funcionários são monitoradas e os motivos do monitoramento. 

Na visão de Tanaka, da TIVIT, essa mentalidade construtiva também deve ser acompanhada pelos profissionais de tecnologia. Foi-se o tempo em que falas proibitivas funcionavam. “O profissional de segurança do passado é o que falava não para tudo. Hoje, ele nega, mas isso traz um porém: a segurança não pode parar o negócio. Se fizermos dessa forma, não dará certo”, afirma. 

Além dos motivos, quanto mais o colaborador assimilar utilidade dos cuidados, melhor. Isso passa por entender que os conhecimentos adquiridos em segurança podem (e devem) ser adotados na vida pessoal. 

Não é só burocracia: o treinamento corporativo que ensinou autenticação de dois fatores pode evitar que contas de WhatsApp sejam clonadas, por exemplo, o que é um conhecimento muito importante para qualquer pessoa nos dias de hoje. “O departamento de tecnologia tem o conhecimento, enquanto nós temos o olhar educativo”, pontua Marcia, da Sinqia.  “Precisamos trabalhar juntos e enxergar a área de segurança como uma parceira, não uma polícia.”