conscientização de cibersegurança

Livre de culpa: como sentir-se seguro ajuda a melhorar a cibersegurança

As empresas precisam fomentar uma cultura de segurança. Mas isso é impossível quando os funcionários têm medo de relatar incidentes ou sugerir melhorias.

Stan Kaminsky
27 ago 2025

Até mesmo as empresas que adotam uma postura madura com relação à cibersegurança e fazem investimentos significativos em proteção de dados não estão imunes a incidentes cibernéticos. Os invasores podem explorar vulnerabilidades de dia zero ou comprometer uma cadeia de suprimentos. Os funcionários podem ser vítimas de golpes sofisticados, projetados para violar as defesas da empresa. A própria equipe de cibersegurança pode cometer um erro ao configurar as ferramentas de segurança ou durante um procedimento de resposta a incidentes. No entanto, cada um desses incidentes representa uma oportunidade para melhorar processos e sistemas, tornando suas defesas ainda mais eficazes. Isso não é apenas um alerta. É uma abordagem prática que tem tido bastante sucesso em outros setores, como o da segurança da aviação.

No setor de aviação, quase todos os funcionários, de engenheiros de projeto de aeronaves a comissários de bordo, precisam compartilhar informações para evitar incidentes. Isso não se limita a travamentos ou falhas do sistema. O setor também encoraja o relato de problemas potenciais. Esses relatos estão em análise constante, e as medidas de segurança são ajustadas com base nas descobertas. De acordo com as estatísticas da Allianz Commercial, essa implementação contínua de medidas e tecnologias novas levou a uma redução significativa no número de incidentes fatais: de 40 por um milhão de voos em 1959 para 0,1 em 2015.

O setor reconheceu há muito tempo que esse modelo simplesmente não funcionará se as pessoas tiverem medo de relatar violações de procedimentos, problemas de qualidade e outras causas de incidentes. É por isso que os regulamentos do setor de aviação incluem requisitos para a realização de relatos sem acarretar punições e a implementação de uma cultura justa, indicando que relatar problemas e violações não deve resultar em punição. Os engenheiros de DevOps adotam um princípio semelhante chamado de cultura livre de culpa, na qual eles se baseiam ao analisar incidentes importantes. Essa abordagem também é essencial na cibersegurança .

Todo erro tem um nome?

O oposto de uma cultura livre de culpa é a ideia de que “todo erro tem um nome”, o que significa que uma pessoa específica é a culpada por ele. Segundo essa abordagem, todo erro pode levar a uma ação disciplinar, incluindo demissão. Isso é considerado prejudicial e não melhora a segurança.

Os funcionários temem levar a culpa e costumam distorcer os fatos durante as investigações de incidentes, chegando até mesmo a destruir provas.
Provas distorcidas ou parcialmente destruídas dificultam a implementação de uma resposta ao incidente, e isso piora o resultado geral, porque as equipes de segurança não conseguem fazer uma avaliação rápida e adequada do escopo de um determinado incidente.
Achar uma pessoa para culpar durante uma avaliação de incidente impede que a equipe se concentre em encontrar uma forma de alterar o sistema para evitar que incidentes semelhantes ocorram novamente.
Os funcionários têm medo de relatar violações das políticas de TI e de segurança, fazendo com que a empresa perca oportunidades de corrigir falhas de segurança antes que elas ocasionem um incidente crítico.
Os funcionários não se sentem motivados para falar sobre questões de segurança cibernética, treinar uns aos outros ou corrigir os erros dos colegas de trabalho.

Para permitir que os funcionários realmente contribuam para a segurança da sua empresa, você precisa adotar uma abordagem diferente.

Os princípios fundamentais de uma cultura justa

Quer você chame isso de “realização de relatos sem acarretar punições” ou de “cultura livre de culpa”, os princípios fundamentais são os mesmos:

Todos cometem erros. Devemos aprender com os erros ao invés de focar em achar culpados. Porém, é crucial distinguir entre um erro honesto e uma violação maliciosa.
Ao analisar incidentes de segurança, é necessário considerar o contexto geral, a intenção do colaborador e quaisquer problemas sistêmicos que possam ter contribuído para a situação. Por exemplo, se uma rotatividade alta de funcionários de varejo contratados apenas por um determinado período impedir que cada um receba uma conta individual, pode ser que eles tenham que compartilhar um único login para um terminal de ponto de venda. A culpa é de quem administra a loja? É provável que não.
Além de avaliar os dados técnicos e logs, você deve ter conversas francas com todos os envolvidos em um incidente. Para isso, deve ser criado um ambiente produtivo e seguro onde as pessoas se sintam à vontade para compartilhar suas perspectivas.
O objetivo de uma avaliação de incidentes deve ser o de melhorar o comportamento, a tecnologia e os processos no futuro. No caso de incidentes graves, os processos devem ser divididos em dois tipos: resposta imediata, para mitigar os danos, e análise post mortem, para melhorar os sistemas e procedimentos.
Mais importante ainda, seja aberto e transparente. Os funcionários precisam saber como os relatórios de problemas e incidentes são tratados e como as decisões são tomadas. Eles devem saber exatamente a quem recorrer se virem ou até mesmo suspeitarem de um problema de segurança. E precisam sentir que vão ter o apoio dos supervisores e especialistas em segurança.
Confidencialidade e proteção. Relatar um problema de segurança não deve gerar problemas para a pessoa que o relatou nem para a pessoa que possa tê-lo causado, desde que ambas tenham agido de boa-fé.

Como implementar esses princípios na sua cultura de segurança

Garanta a adesão dos líderes. Uma cultura de segurança não requer um investimento direto enorme, mas precisa de suporte consistente das equipes de RH, segurança da informação e comunicações internas. Os funcionários também precisam ver que a alta administração está empenhada em endossar essa abordagem.

Documente sua abordagem. A filosofia da cultura livre de culpa deve constar nos documentos oficiais da sua empresa, desde políticas de segurança detalhadas até um guia simples e curto que realmente será lido por todos os funcionários. Esse documento deve indicar claramente a posição da empresa com relação à diferença entre um erro e uma violação maliciosa. Deve haver uma declaração formal de que os funcionários não sofrerão responsabilidade pessoal por erros honestos, e que a prioridade de todos é melhorar a segurança da empresa e evitar recorrências futuras.

Crie canais para as pessoas relatarem problemas. Ofereça várias opções para os funcionários relatarem problemas: uma seção própria na intranet, um endereço de e-mail específico ou a opção de simplesmente informar o supervisor imediato deles. O ideal seria também ter uma linha anônima direta para fazer relatos sem medo.

Treine os funcionários. Treinamentos ajudam os funcionários a reconhecer processos e comportamentos inseguros. Use exemplos reais de problemas que devem ser relatados por eles e guie-os através de diferentes cenários de incidentes. Você pode usar nossa plataforma on-line Kaspersky Automated Security Awareness Platform para organizar essas sessões de treinamento de conscientização em cibersegurança. Incentive os funcionários não apenas a relatar incidentes, mas também a sugerir melhorias e pensar em como evitar problemas de segurança no trabalho diário.

Eduque os líderes. Todos os gerentes precisam saber como lidar com os relatórios da equipe. Eles precisam saber como e para onde encaminhar um relatório e como evitar criar ilhas com foco na culpa em um mar de cultura justa. Ensine os líderes a lidar com a situação de uma forma que faça com que os colegas de trabalho se sintam apoiados e protegidos. A forma como os líderes reagem a incidentes e relatórios de erros precisa ser construtiva. Eles também devem incentivar conversas sobre questões de segurança em reuniões de equipe a fim de normalizar o assunto.

Desenvolva um procedimento de avaliação justo para tratar de incidentes e relatórios de problemas de segurança. Você precisará reunir um grupo diversificado de funcionários de várias equipes para formar um "time de avaliação não focada na culpa". O grupo será responsável pelo processamento pontual dos relatórios, tomar decisões e criar planos de ação para cada caso.

Recompense a proatividade. Elogie e recompense em público os funcionários que relatarem tentativas de spearphishing ou descobertas recentes de falhas em políticas ou configurações, ou que simplesmente concluírem o treinamento de conscientização melhor e mais rápido do que outros membros da equipe. Mencione esses funcionários proativos em comunicações regulares sobre TI e segurança, como boletins informativos.

Integre as descobertas nos seus processos de gerenciamento da segurança. As conclusões e sugestões do time de avaliação devem ser priorizadas e incorporadas ao plano de resiliência cibernética da empresa. Algumas descobertas podem influenciar apenas as avaliações de risco, enquanto outras podem ocasionar mudanças nas políticas da empresa ou levar à implementação de novos controles de segurança técnica ou à reconfiguração dos existentes.

Transforme os erros em oportunidades de aprendizado. Seu programa de conscientização da segurança será mais eficaz se contiver exemplos da vida real relacionados à própria organização. Você não precisa citar o nome de pessoas específicas, mas pode mencionar equipes e sistemas, bem como descrever cenários de ataque.

Avalie o desempenho. Para garantir que esse processo esteja funcionando e entregando resultados, é necessário usar as métricas de segurança da informação, bem como os indicadores-chave de desempenho do RH e das comunicações. Verifique o MTTR (tempo médio para correção) dos problemas identificados, a porcentagem de problemas descobertos por meio dos relatórios dos funcionários, os níveis de satisfação de funcionários, o número e a natureza dos problemas de segurança identificados e a quantidade de funcionários motivados a sugerir melhorias.

Exceções importantes

Uma cultura de segurança ou cultura livre de culpa não significa que ninguém seja responsabilizado. Os documentos de segurança da aviação com relação a realização de relatos sem acarretar punições, por exemplo, incluem exceções cruciais. A proteção não se aplica quando alguém desvia das normas de forma consciente e maliciosa. Essa exceção impede que um colaborador que tenha vazado dados para concorrentes desfrute de impunidade total após confessar.

A segunda exceção é quando os regulamentos nacionais ou do setor exigem que funcionários individuais assumam responsabilidade pessoal por incidentes e violações. Mesmo com esse tipo de regulamentação, é essencial manter o equilíbrio. O foco deve permanecer na melhoria dos processos e na prevenção de incidentes futuros, e não em descobrir quem é o culpado. É possível construir uma cultura de confiança se as investigações forem objetivas e punições só forem aplicadas quando realmente necessário e justificado.

Como as redes sociais da Meta se tornaram uma plataforma para golpes de investimento

Vídeos deepfake, perfis falsos no Instagram e Facebook, conversas privadas no WhatsApp: como as plataformas de mídia social de Mark Zuckerberg se tornaram o principal meio utilizado para golpistas de investimentos.

FERRAMENTAS GRATUITAS

Livre de culpa: como sentir-se seguro ajuda a melhorar a cibersegurança

Todo erro tem um nome?

Os princípios fundamentais de uma cultura justa

Como implementar esses princípios na sua cultura de segurança

Exceções importantes

Uso de chaves de acesso corporativas: nuances e desafios

A tecnologia de chaves de acesso funciona para empresas?

Como as redes sociais da Meta se tornaram uma plataforma para golpes de investimento

Dicas

Configuração de segurança e privacidade no ecossistema Garmin

Do CVSS ao RBVM: como fazer uma priorização de vulnerabilidades bem feita

Seu roteador está trabalhando secretamente para inteligências estrangeiras?

Tudo sobre o CVSS: a evolução da pontuação de vulnerabilidade

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog