{"id":24106,"date":"2025-08-27T09:00:10","date_gmt":"2025-08-27T12:00:10","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24106"},"modified":"2025-08-26T15:38:05","modified_gmt":"2025-08-26T18:38:05","slug":"no-blame-cybersecurity-culture","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/no-blame-cybersecurity-culture\/24106\/","title":{"rendered":"Livre de culpa: como sentir-se seguro ajuda a melhorar a ciberseguran\u00e7a"},"content":{"rendered":"<p>At\u00e9 mesmo as empresas que adotam uma postura madura com rela\u00e7\u00e3o \u00e0 ciberseguran\u00e7a e fazem investimentos significativos em prote\u00e7\u00e3o de dados n\u00e3o est\u00e3o imunes a incidentes cibern\u00e9ticos. Os invasores podem explorar <a href=\"https:\/\/securelist.com\/cve-2018-8453-used-in-targeted-attacks\/88151\/\" target=\"_blank\" rel=\"noopener\">vulnerabilidades de dia zero<\/a> ou <a href=\"https:\/\/securelist.com\/gopuram-backdoor-deployed-through-3cx-supply-chain-attack\/109344\/\" target=\"_blank\" rel=\"noopener\">comprometer uma cadeia de suprimentos<\/a>. Os funcion\u00e1rios podem <a href=\"https:\/\/thehackernews.com\/2025\/06\/fbi-warns-of-scattered-spiders.html\" target=\"_blank\" rel=\"noopener nofollow\">ser v\u00edtimas de golpes sofisticados<\/a>, projetados para violar as defesas da empresa. A pr\u00f3pria equipe de ciberseguran\u00e7a pode cometer um erro <a href=\"https:\/\/securelist.com\/compromise-assessment-cases\/114332\/\" target=\"_blank\" rel=\"noopener\">ao configurar as ferramentas de seguran\u00e7a<\/a> ou durante um <a href=\"https:\/\/securelist.lat\/incident-response-interesting-cases-2023\/99046\/\" target=\"_blank\" rel=\"noopener\">procedimento de resposta a incidentes<\/a>. No entanto, cada um desses incidentes representa uma oportunidade para melhorar processos e sistemas, tornando suas defesas ainda mais eficazes. Isso n\u00e3o \u00e9 apenas um alerta. \u00c9 uma abordagem pr\u00e1tica que tem tido bastante sucesso em outros setores, como o da seguran\u00e7a da avia\u00e7\u00e3o.<\/p>\n<p>No setor de avia\u00e7\u00e3o, <a href=\"https:\/\/www.ecfr.gov\/current\/title-14\/chapter-I\/subchapter-A\/part-5\" target=\"_blank\" rel=\"noopener nofollow\">quase todos os funcion\u00e1rios<\/a>, de engenheiros de projeto de aeronaves a comiss\u00e1rios de bordo, precisam compartilhar informa\u00e7\u00f5es para evitar incidentes. Isso n\u00e3o se limita a travamentos ou falhas do sistema. O setor tamb\u00e9m encoraja o relato de problemas potenciais. Esses relatos est\u00e3o em an\u00e1lise constante, e as medidas de seguran\u00e7a s\u00e3o ajustadas com base nas descobertas. De acordo com as <a href=\"https:\/\/commercial.allianz.com\/news-and-insights\/expert-risk-articles\/how-aviation-safety-has-improved.html\" target=\"_blank\" rel=\"noopener nofollow\">estat\u00edsticas da Allianz Commercial<\/a>, essa implementa\u00e7\u00e3o cont\u00ednua de medidas e tecnologias novas levou a uma redu\u00e7\u00e3o significativa no n\u00famero de incidentes fatais: de 40 por um milh\u00e3o de voos em 1959 para 0,1 em 2015.<\/p>\n<p>O setor reconheceu h\u00e1 muito tempo que esse modelo simplesmente n\u00e3o funcionar\u00e1 se as pessoas tiverem medo de relatar viola\u00e7\u00f5es de procedimentos, problemas de qualidade e outras causas de incidentes. \u00c9 por isso que os regulamentos do setor de avia\u00e7\u00e3o incluem requisitos para a <a href=\"https:\/\/skybrary.aero\/articles\/national-reporting-systems\" target=\"_blank\" rel=\"noopener nofollow\">realiza\u00e7\u00e3o de relatos sem acarretar puni\u00e7\u00f5es<\/a> e a implementa\u00e7\u00e3o de uma <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/?uri=celex:32014R0376\" target=\"_blank\" rel=\"noopener nofollow\">cultura justa<\/a>, indicando que relatar problemas e viola\u00e7\u00f5es n\u00e3o deve resultar em puni\u00e7\u00e3o. Os engenheiros de DevOps adotam um princ\u00edpio semelhante chamado de <a href=\"https:\/\/www.pluralsight.com\/resources\/blog\/tech-operations\/how-conduct-blameless-postmortems-incident\" target=\"_blank\" rel=\"noopener nofollow\">cultura livre de culpa<\/a>, na qual eles se baseiam ao analisar incidentes importantes. Essa abordagem tamb\u00e9m \u00e9 essencial na ciberseguran\u00e7a .<\/p>\n<h2>Todo erro tem um nome?<\/h2>\n<p>O oposto de uma cultura livre de culpa \u00e9 a ideia de que \u201ctodo erro tem um nome\u201d, o que significa que uma pessoa espec\u00edfica \u00e9 a culpada por ele. Segundo essa abordagem, todo erro pode levar a uma a\u00e7\u00e3o disciplinar, incluindo demiss\u00e3o. Isso \u00e9 considerado prejudicial e n\u00e3o melhora a seguran\u00e7a.<\/p>\n<ul>\n<li>Os funcion\u00e1rios temem levar a culpa e costumam <a href=\"https:\/\/web.archive.org\/web\/20220329080055\/https:\/www.tessian.com\/resources\/psychology-of-human-error-2022\/\" target=\"_blank\" rel=\"noopener nofollow\">distorcer os fatos durante as investiga\u00e7\u00f5es de incidentes<\/a>, chegando at\u00e9 mesmo a destruir provas.<\/li>\n<li>Provas distorcidas ou parcialmente destru\u00eddas dificultam a implementa\u00e7\u00e3o de uma resposta ao incidente, e isso piora o resultado geral, porque as equipes de seguran\u00e7a n\u00e3o conseguem fazer uma avalia\u00e7\u00e3o r\u00e1pida e adequada do escopo de um determinado incidente.<\/li>\n<li>Achar uma pessoa para culpar durante uma avalia\u00e7\u00e3o de incidente impede que a equipe se concentre em encontrar uma forma de alterar o sistema para evitar que incidentes semelhantes ocorram novamente.<\/li>\n<li>Os funcion\u00e1rios t\u00eam medo de relatar viola\u00e7\u00f5es das pol\u00edticas de TI e de seguran\u00e7a, fazendo com que a empresa perca oportunidades de corrigir falhas de seguran\u00e7a <em>antes que<\/em> elas ocasionem um incidente cr\u00edtico.<\/li>\n<li>Os funcion\u00e1rios n\u00e3o se sentem motivados para falar sobre quest\u00f5es de seguran\u00e7a cibern\u00e9tica, treinar uns aos outros ou corrigir os erros dos colegas de trabalho.<\/li>\n<\/ul>\n<p>Para permitir que os funcion\u00e1rios realmente contribuam para a seguran\u00e7a da sua empresa, voc\u00ea precisa adotar uma abordagem diferente.<\/p>\n<h2>Os princ\u00edpios fundamentais de uma cultura justa<\/h2>\n<p>Quer voc\u00ea chame isso de \u201crealiza\u00e7\u00e3o de relatos sem acarretar puni\u00e7\u00f5es\u201d ou de \u201ccultura livre de culpa\u201d, os princ\u00edpios fundamentais s\u00e3o os mesmos:<\/p>\n<ul>\n<li>Todos cometem erros. Devemos aprender com os erros ao inv\u00e9s de focar em achar culpados. Por\u00e9m, \u00e9 crucial distinguir entre um erro honesto e uma viola\u00e7\u00e3o maliciosa.<\/li>\n<li>Ao analisar incidentes de seguran\u00e7a, \u00e9 necess\u00e1rio considerar o contexto geral, a inten\u00e7\u00e3o do colaborador e quaisquer problemas sist\u00eamicos que possam ter contribu\u00eddo para a situa\u00e7\u00e3o. Por exemplo, se uma rotatividade alta de funcion\u00e1rios de varejo contratados apenas por um determinado per\u00edodo impedir que cada um receba uma conta individual, pode ser que eles tenham que compartilhar um \u00fanico login para um terminal de ponto de venda. A culpa \u00e9 de quem administra a loja? \u00c9 prov\u00e1vel que n\u00e3o.<\/li>\n<li>Al\u00e9m de avaliar os dados t\u00e9cnicos e logs, voc\u00ea deve ter conversas francas com todos os envolvidos em um incidente. Para isso, deve ser criado um ambiente produtivo e seguro onde as pessoas se sintam \u00e0 vontade para compartilhar suas perspectivas.<\/li>\n<li>O objetivo de uma avalia\u00e7\u00e3o de incidentes deve ser o de melhorar o comportamento, a tecnologia e os processos no futuro. No caso de incidentes graves, os processos devem ser divididos em dois tipos: <em>resposta imediata<\/em>, para mitigar os danos, e <em>an\u00e1lise post mortem<\/em>, para melhorar os sistemas e procedimentos.<\/li>\n<li>Mais importante ainda, seja aberto e transparente. Os funcion\u00e1rios precisam saber como os relat\u00f3rios de problemas e incidentes s\u00e3o tratados e como as decis\u00f5es s\u00e3o tomadas. Eles devem saber exatamente a quem recorrer se virem ou at\u00e9 mesmo suspeitarem de um problema de seguran\u00e7a. E precisam sentir que v\u00e3o ter o apoio dos supervisores e especialistas em seguran\u00e7a.<\/li>\n<li>Confidencialidade e prote\u00e7\u00e3o. Relatar um problema de seguran\u00e7a n\u00e3o deve gerar problemas para a pessoa que o relatou nem para a pessoa que possa t\u00ea-lo causado, desde que ambas tenham agido de boa-f\u00e9.<\/li>\n<\/ul>\n<h2>Como implementar esses princ\u00edpios na sua cultura de seguran\u00e7a<\/h2>\n<p><strong>Garanta a ades\u00e3o dos l\u00edderes.<\/strong> Uma cultura de seguran\u00e7a n\u00e3o requer um investimento direto enorme, mas precisa de suporte consistente das equipes de RH, seguran\u00e7a da informa\u00e7\u00e3o e comunica\u00e7\u00f5es internas. Os funcion\u00e1rios tamb\u00e9m precisam ver que a alta administra\u00e7\u00e3o est\u00e1 empenhada em endossar essa abordagem.<\/p>\n<p><strong>Documente sua abordagem.<\/strong> A filosofia da cultura livre de culpa deve constar nos documentos oficiais da sua empresa, desde pol\u00edticas de seguran\u00e7a detalhadas at\u00e9 um guia simples e curto que realmente ser\u00e1 lido por todos os funcion\u00e1rios. Esse documento deve indicar claramente a posi\u00e7\u00e3o da empresa com rela\u00e7\u00e3o \u00e0 diferen\u00e7a entre um erro e uma viola\u00e7\u00e3o maliciosa. Deve haver uma declara\u00e7\u00e3o formal de que os funcion\u00e1rios n\u00e3o sofrer\u00e3o responsabilidade pessoal por erros honestos, e que a prioridade de todos \u00e9 melhorar a seguran\u00e7a da empresa e evitar recorr\u00eancias futuras.<\/p>\n<p><strong>Crie canais para as pessoas relatarem problemas.<\/strong> Ofere\u00e7a v\u00e1rias op\u00e7\u00f5es para os funcion\u00e1rios relatarem problemas: uma se\u00e7\u00e3o pr\u00f3pria na intranet, um endere\u00e7o de e-mail espec\u00edfico ou a op\u00e7\u00e3o de simplesmente informar o supervisor imediato deles. O ideal seria tamb\u00e9m ter uma linha an\u00f4nima direta para fazer relatos sem medo.<\/p>\n<p><strong>Treine os funcion\u00e1rios. <\/strong>Treinamentos ajudam os funcion\u00e1rios a reconhecer processos e comportamentos inseguros. Use exemplos reais de problemas que devem ser relatados por eles e guie-os atrav\u00e9s de diferentes cen\u00e1rios de incidentes. Voc\u00ea pode usar <a href=\"https:\/\/k-asap.com\/pt\/?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">nossa plataforma on-line Kaspersky Automated Security Awareness Platform<\/a> para organizar essas sess\u00f5es de treinamento de conscientiza\u00e7\u00e3o em ciberseguran\u00e7a. Incentive os funcion\u00e1rios n\u00e3o apenas a relatar incidentes, mas tamb\u00e9m a sugerir melhorias e pensar em como evitar problemas de seguran\u00e7a no trabalho di\u00e1rio.<\/p>\n<p><strong>Eduque os l\u00edderes.<\/strong> Todos os gerentes precisam saber como lidar com os relat\u00f3rios da equipe. Eles precisam saber como e para onde encaminhar um relat\u00f3rio e como evitar criar ilhas com foco na culpa em um mar de cultura justa. Ensine os l\u00edderes a lidar com a situa\u00e7\u00e3o de uma forma que fa\u00e7a com que os colegas de trabalho se sintam apoiados e protegidos. A forma como os l\u00edderes reagem a incidentes e relat\u00f3rios de erros precisa ser construtiva. Eles tamb\u00e9m devem incentivar conversas sobre quest\u00f5es de seguran\u00e7a em reuni\u00f5es de equipe a fim de normalizar o assunto.<\/p>\n<p><strong>Desenvolva um procedimento de avalia\u00e7\u00e3o justo<\/strong> para tratar de incidentes e relat\u00f3rios de problemas de seguran\u00e7a. Voc\u00ea precisar\u00e1 reunir um grupo diversificado de funcion\u00e1rios de v\u00e1rias equipes para formar um \u201ctime de avalia\u00e7\u00e3o n\u00e3o focada na culpa\u201d. O grupo ser\u00e1 respons\u00e1vel pelo processamento pontual dos relat\u00f3rios, tomar decis\u00f5es e criar planos de a\u00e7\u00e3o para cada caso.<\/p>\n<p><strong>Recompense a proatividade.<\/strong> Elogie e recompense em p\u00fablico os funcion\u00e1rios que relatarem tentativas de spearphishing ou descobertas recentes de falhas em pol\u00edticas ou configura\u00e7\u00f5es, ou que simplesmente conclu\u00edrem o treinamento de conscientiza\u00e7\u00e3o melhor e mais r\u00e1pido do que outros membros da equipe. Mencione esses funcion\u00e1rios proativos em comunica\u00e7\u00f5es regulares sobre TI e seguran\u00e7a, como boletins informativos.<\/p>\n<p><strong>Integre as descobertas nos seus processos de gerenciamento da seguran\u00e7a.<\/strong> As conclus\u00f5es e sugest\u00f5es do time de avalia\u00e7\u00e3o devem ser priorizadas e incorporadas ao <a href=\"https:\/\/www.kaspersky.com\/blog\/cyber-resilience-101\/53464\/\" target=\"_blank\" rel=\"noopener nofollow\">plano de resili\u00eancia cibern\u00e9tica<\/a> da empresa. Algumas descobertas podem influenciar apenas as avalia\u00e7\u00f5es de risco, enquanto outras podem ocasionar mudan\u00e7as nas pol\u00edticas da empresa ou levar \u00e0 implementa\u00e7\u00e3o de novos controles de seguran\u00e7a t\u00e9cnica ou \u00e0 reconfigura\u00e7\u00e3o dos existentes.<\/p>\n<p><strong>Transforme os erros em oportunidades de aprendizado.<\/strong> Seu <a href=\"https:\/\/www.kaspersky.com\/blog\/vr-interactive-simulation\/40188\/\" target=\"_blank\" rel=\"noopener nofollow\">programa de conscientiza\u00e7\u00e3o da seguran\u00e7a<\/a> ser\u00e1 mais eficaz se contiver exemplos da vida real relacionados \u00e0 pr\u00f3pria organiza\u00e7\u00e3o. Voc\u00ea n\u00e3o precisa citar o nome de pessoas espec\u00edficas, mas pode mencionar equipes e sistemas, bem como descrever cen\u00e1rios de ataque.<\/p>\n<p><strong>Avalie o desempenho.<\/strong> Para garantir que esse processo esteja funcionando e entregando resultados, \u00e9 necess\u00e1rio usar as m\u00e9tricas de seguran\u00e7a da informa\u00e7\u00e3o, bem como os indicadores-chave de desempenho do RH e das comunica\u00e7\u00f5es. Verifique o <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/mean-time-to-respond-mttr\/\" target=\"_blank\" rel=\"noopener\">MTTR<\/a> (tempo m\u00e9dio para corre\u00e7\u00e3o) dos problemas identificados, a porcentagem de problemas descobertos por meio dos relat\u00f3rios dos funcion\u00e1rios, os n\u00edveis de satisfa\u00e7\u00e3o de funcion\u00e1rios, o n\u00famero e a natureza dos problemas de seguran\u00e7a identificados e a quantidade de funcion\u00e1rios motivados a sugerir melhorias.<\/p>\n<h2>Exce\u00e7\u00f5es importantes<\/h2>\n<p>Uma cultura de seguran\u00e7a ou cultura livre de culpa n\u00e3o significa que ningu\u00e9m seja responsabilizado. Os documentos de seguran\u00e7a da avia\u00e7\u00e3o com rela\u00e7\u00e3o a realiza\u00e7\u00e3o de relatos sem acarretar puni\u00e7\u00f5es, por exemplo, incluem exce\u00e7\u00f5es cruciais. A prote\u00e7\u00e3o n\u00e3o se aplica quando algu\u00e9m desvia das normas de forma consciente e maliciosa. Essa exce\u00e7\u00e3o impede que um colaborador que tenha vazado dados para concorrentes desfrute de impunidade total ap\u00f3s confessar.<\/p>\n<p>A segunda exce\u00e7\u00e3o \u00e9 quando os regulamentos nacionais ou do setor exigem que funcion\u00e1rios individuais assumam responsabilidade pessoal por incidentes e viola\u00e7\u00f5es. Mesmo com esse tipo de regulamenta\u00e7\u00e3o, \u00e9 essencial manter o equil\u00edbrio. O foco deve permanecer na melhoria dos processos e na preven\u00e7\u00e3o de incidentes futuros, e n\u00e3o em descobrir quem \u00e9 o culpado. \u00c9 poss\u00edvel construir uma cultura de confian\u00e7a se as investiga\u00e7\u00f5es forem objetivas e puni\u00e7\u00f5es s\u00f3 forem aplicadas quando realmente necess\u00e1rio e justificado.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kasap\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"kasap\" value=\"14517\">\n","protected":false},"excerpt":{"rendered":"<p>As empresas precisam fomentar uma cultura de seguran\u00e7a. Mas isso \u00e9 imposs\u00edvel quando os funcion\u00e1rios t\u00eam medo de relatar incidentes ou sugerir melhorias.<\/p>\n","protected":false},"author":2722,"featured_media":24116,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[1712,2109,3371,830,1243,840,3078,935,3372],"class_list":{"0":"post-24106","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ciso","11":"tag-conscientizacao-de-ciberseguranca","12":"tag-conscientizacao-sobre-seguranca","13":"tag-tips","14":"tag-economia","15":"tag-educacao","16":"tag-estrategia","17":"tag-negocios","18":"tag-resiliencia-cibernetica"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/no-blame-cybersecurity-culture\/24106\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/no-blame-cybersecurity-culture\/29388\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/no-blame-cybersecurity-culture\/24502\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/no-blame-cybersecurity-culture\/12717\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/no-blame-cybersecurity-culture\/29336\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/no-blame-cybersecurity-culture\/28421\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/no-blame-cybersecurity-culture\/31299\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/no-blame-cybersecurity-culture\/40262\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/no-blame-cybersecurity-culture\/13679\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/no-blame-cybersecurity-culture\/54075\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/no-blame-cybersecurity-culture\/23080\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/no-blame-cybersecurity-culture\/32564\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/no-blame-cybersecurity-culture\/29553\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/no-blame-cybersecurity-culture\/35254\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/no-blame-cybersecurity-culture\/34902\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/conscientizacao-de-ciberseguranca\/","name":"conscientiza\u00e7\u00e3o de ciberseguran\u00e7a"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24106","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24106"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24106\/revisions"}],"predecessor-version":[{"id":24127,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24106\/revisions\/24127"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24116"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24106"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24106"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24106"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}