Os métodos de trabalho têm mudado com o passar dos tempos. Com o crescimento do modelo de trabalho híbrido, que combina o trabalho remoto com o presencial, as empresas se organizam de forma mais eficiente e melhoram suas performances em índices de qualidade.
Porém, surgem também novos e complexos desafios para a segurança organizacional das instituições, necessitando a construção e manutenção de fortes culturas de segurança, o elemento mais crítico para proteger dados, ativos e pessoas nessa nova realidade.
De acordo com o relatório Cost of a Data Breach da IBM, uma violação de dados no Brasil gera, em média, um prejuízo de R$ 6,75 milhões por incidente. O dado evidencia não apenas o peso financeiro de falhas de segurança, mas também os impactos reputacionais que podem comprometer a confiança no negócio.
O que é cultura de segurança e por que ela é crucial no modelo híbrido?
Chamamos de Cultura de Segurança o conjunto de práticas, valores, crenças e atitudes que os membros de uma organização compartilham em relação à segurança. É a forma de agir, os hábitos que as pessoas mantêm quando não estão sendo supervisionadas, adquirindo boas práticas para a vida e transformando regras em condutas comuns.
É de extrema importância manter uma cultura de segurança sólida no modelo híbrido de trabalho, pois trabalhar de forma remota expande o perímetro de segurança da empresa até as residências, introduzindo dispositivos pessoais e redes menos seguras.
O The State of Human Risk 2025 mostrou que 95% das violações de dados envolveram erro humano, evidenciando que, mesmo com boas ferramentas de proteção, a postura e os hábitos dos colaboradores seguem sendo o ponto mais crítico da segurança.
Em ambientes mais distribuídos, também aumenta o risco de ameaça humana, sendo um dos principais vetores de ataques, como o phishing, por exemplo. O relatório State of the Phish 2024 mostra que 68% das organizações brasileiras sofreram comprometimento de e-mail corporativo, um dos vetores mais comuns de ataques baseados em erro humano — reforçando a necessidade de uma cultura de segurança bem estabelecida.
Manter uma cultura de segurança consistente constrói um fronte e transforma cada colaborador em uma “linha de defesa.
Além disso, a cultura de segurança ajuda a manter a consistência no cumprimento de regulamentações como a LGPD e outras diretrizes normativas independentemente da localização geográfica do funcionário.
Os pilares da cultura de segurança no trabalho híbrido
Pilar 1: Liderança comprometida e visível
O comprometimento com a cultura de segurança deve ser visto como uma prioridade estratégica, não apenas uma obrigação de TI.
A liderança deve demonstrar o comportamento esperado ao objetivar a mitigação de riscos, utilizando ferramentas seguras e desenvolvendo práticas positivas, deve alocar recursos adequados para que todos os colaboradores possam fazer o mesmo e comunicar regularmente a importância dos procedimentos de segurança.
Pilar 2: Educação contínua e contextualizada
A segurança não é um evento sazonal, é um processo contínuo.
O treinamento deve estar pautado e focado em riscos reais do ambiente híbrido (Wi-Fi público, phishing direcionado ao home office), sendo interativo e fácil de consumir remotamente.
Pilar 3: Comunicação clara e multidirecional
É essencial que as políticas sejam entendidas por todos e que os colaboradores se sintam à vontade para reportar incidentes ou dúvidas sem medo de punição (cultura de não-culpa).
Pilar 4: Responsabilidade compartilhada
É de extrema importância que seja compreendido que segurança não é apenas responsabilidade da TI.
Cada colaborador deve entender seu papel na proteção dos ativos, sejam eles dados corporativos ou seu próprio equipamento.
Pilar 5: Adaptabilidade e melhoria contínua
A cultura deve ser flexível para se adaptar rapidamente a novas ameaças e tecnologias, o que significa aprender com os erros e atualizar políticas e treinamentos constantes para que os bancos de ameaças estejam sempre atualizados, maximizando a cobertura e expandindo a proteção aprendida.
Desafios específicos do modelo híbrido para a segurança
Dispersão geográfica e inconsistência de práticas
A falta de um ambiente físico único leva à aplicação inconsistente de regras de segurança (ex: quem usa VPN x quem não usa; políticas de bloqueio de tela variadas). Esse pode ser um diferencial na hora de minimizar riscos.
Variedade de dispositivos e redes
Os colaboradores usam redes Wi-Fi domésticas (que podem contar com roteadores desatualizados ou senhas fracas) e, muitas vezes, equipamentos pessoais, aumentando o risco de invasão de perímetro e acesso não autorizado a informações internas.
Dificuldade de monitoramento e supervisão
É mais difícil para a TI manter uma visibilidade completa dos endpoints remotos, realizar patch management e garantir a higiene digital sem ferramentas robustas de gerenciamento de endpoints.
Burnout digital e fadiga de segurança
A sobrecarga de informações, alertas de segurança e a necessidade constante de se autenticar podem levar à fadiga de segurança, fazendo com que os colaboradores ignorem ou tratem os alertas como “spam”, diminuindo a cobertura e aumentando o risco.
Estratégias de liderança para construir cultura de segurança
Liderança pelo exemplo: Práticas dos gestores
Como líderes, aqueles colaboradores a frente de outros em coordenação, gerenciamento e gestão devem ser exemplo de conduta voltada a segurança, sendo os primeiros a adotar políticas de utilização de Autenticação de Múltiplos Fatores (MFA), promovendo o bloqueio de tela ao se ausentar mesmo em home office e não sendo vítimas em testes de phishing simulado.
Comunicação regular sobre segurança
É importante promover comunicações frequentes curtas e objetivas ao invés de longos documentos anuais, mantendo o tema fresco e relevante.
Investir em estruturas como “Dicas de Segurança da Semana” e “Lembretes de Segurança” no início do expediente podem fazer a diferença e fortalecer a cultura de segurança da empresa.
Alocação de recursos e priorização
Para que seja possível manter altos índices de boas práticas da cultura de segurança, é imprescindível garantir que as equipes de TI tenham orçamento para ferramentas essenciais como VPN, EDR e Password Managers corporativos.
Reconhecimento e celebração de bons comportamentos
Em vez de focar apenas em quem cometeu um erro, mantenha na empresa uma mudança de perspectiva que reconhece e bonifica quem reportou um e-mail suspeito, colaboradores que concluíram treinamentos em tempo recorde e aqueles que auxiliaram colegas a resolver problemas de segurança.
Programa de treinamento e conscientização eficaz
Conteúdo adaptado para diferentes perfis
Para um treinamento mais engajado e eficiente, efetuar algumas adaptações conforme o perfil dos colaboradores pode ser uma ótima estratégia com um retorno positivo.
Para profissionais de TI e Engenharia, foco em práticas de Secure Coding e arquitetura de nuvem. Para colaboradores de vendas e RH, proteção de dados sensíveis e engenharia social.
Manter práticas focadas para novos contratados com módulo obrigatório onboarding de segurança desde o primeiro dia também é de extrema importância.
Frequência e formatos ideais para equipes híbridas
A utilização de micro-aprendizado (microlearning) com módulos de 3 a 5 minutos, acessíveis a qualquer hora, combinando vídeos, quizzes e podcasts para diferentes estilos de aprendizado deixa o aprendizado mais lúdico e mantém o interesse do colaborador por mais tempo.
Simulações de phishing e cenários realistas
Realização de testes de phishing simulados de forma contínua e variada com feedback construtivo e imediato que direcionem o colaborador a um treinamento rápido de reforço costuma ser uma estratégia inteligente que diminui o risco de erro humano com eficiência.
Métricas de eficácia do treinamento
Oferecer o treinamento é essencial, assim como medir o seu impacto real, analisando a taxa de aberturas de e-mails simulados, o tempo médio de reporte de um incidente e o número de falhas de autenticação após a implantação de MFA.
Buscar melhores números para esses índices deve ser um objetivo coletivo até o mais próximo da mitigação.
Políticas e procedimentos para o modelo híbrido
As políticas devem ser claras, concisas e desenhadas para a flexibilidade. As principais diretrizes para manter um modelo efetivo e eficiente de trabalho híbrido incluem:
- Definir regras claras sobre o uso de dispositivos pessoais, impressão remota e o que pode/não pode ser feito em redes Wi-Fi públicas;
- Exigir o uso de gerenciadores de senhas corporativos e políticas rigorosas de senhas longas e complexas;
- Incluir procedimentos claros sobre como reportar uma violação (ex: ransomware no PC de casa) e como a TI irá isolar e remediar o dispositivo remotamente e
- Manter requisitos claros para que os colaboradores mantenham seus sistemas operacionais e aplicativos atualizados, mesmo em seus dispositivos pessoais usados para o trabalho.
Métricas e indicadores de cultura de segurança
Para saber se a cultura está funcionando, é preciso ir além das métricas tradicionais de TI, incluindo outros tipos de métricas como:
- comportamentais – utilizando indicadores como taxa de reporte de acidentes voluntário para medir se as pessoas se sentem seguras para reportar falhas;
- de conscientização – utilizando taxas de sucesso em testes simulados de phishing para verificar a eficiência do treinamento na prática;
- de adesão à políticas – verificando a porcentagem de colaboradores com MFA ativado, estabelecendo o cumprimento de regras críticas;
- de percepção – realizando pesquisas de clima organizacional para compreender o quanto os colaboradores percebem a segurança como prioridade e não como obstáculo;
- de risco – análise de reincidências em ações inseguras para confirmar se a lição aprendida está gerando mudanças de hábito a longo prazo.
A Clavis, empresa referência em segurança da informação, oferece serviços especializados em desenvolvimento de cultura de segurança cibernética para ambientes híbridos. Garanta um ambiente seguro para sua rotina de trabalho independente da localização geográfica.
Entre em contato agora mesmo e permita que a Clavis resolva para você.
