Cibersegurança como cultura corporativa: por que ela falha quando ela é de responsabilidade apenas da área de TI
O cenário atual de ameaças digitais atingiu um ponto de ruptura em que a tecnologia, isoladamente, não consegue mais conter os riscos. De acordo com o relatório Global Digital Trust Insights 2025 da PwC, apenas 2% das organizações globais implementaram ações de resiliência cibernética em todas as suas áreas de negócio, apesar de por que ela falha o cibercrime ter gerado prejuízos estimados em US$ 10,5 trilhões no último ano.
Segundo Fernando Dulinski, fundador do Cyber Economy Brasil, hub estratégico criado para acelerar a maturidade cibernética no país e liderar a transição do Brasil para uma economia digital segura, madura e competitiva, essa estatística reflete uma falha estrutural, onde o erro começa na percepção do problema. “As empresas ainda tentam resolver com software o que, na verdade, é um problema de comportamento e processos. Sendo assim, o TI pode erguer o muro, mas é o resto da empresa que decide quem entra pelo portão”, afirma.
Dentro do papel de cada pilar na segurança coletiva, o RH atua como a primeira e a última linha de defesa. Portanto, esse comportamento deve ser ensinado já no primeiro dia do colaborador na empresa, por meio de treinamento e onboarding. “Ao criar políticas claras e consequências para a negligência, a cultura de responsabilidade é fortalecida. Além disso, é importante investir em uma gestão de desligamento e garantir o “offboarding” imediato para evitar usuários fantasma. Isso ajuda a implementar a ética digital no recrutamento e na avaliação de desempenho dos líderes”, aponta o executivo.
Por sua vez, quando se trata do produto vendido ou executado pela empresa, é necessário aplicar a Security by Design, criada especificamente para a proteção desse serviço. “Como cada caso é um caso, a companhia precisa avaliar com cuidado todos os seus pormenores, prevendo os possíveis riscos. Assim, integrar requisitos de segurança desde o rascunho e desenvolver fluxos que não sejam tão burocráticos ou não chamem a atenção, pode fazer a diferença na hora de desenhar o sistema”, analisa Fernando Dulinski.
Já na área do compliance e da proteção de dados, o jurídico traduz leis como a LGPD em diretrizes de sobrevivência, cuidando da gestão de terceiros e dos protocolos legais para casos de vazamento.
Enquanto isso, a divisão de operações atua na continuidade dos negócios, garantindo que a empresa não pare, validando backups e aplicando o princípio do privilégio mínimo (acesso apenas ao necessário). Toda essa integração pode se tornar um diferencial competitivo no setor de segurança. “Quando a cibersegurança é isolada no TI, ela fica mais vulnerável. No entanto, ao ser encarada como uma responsabilidade de todos que fazem parte da empresa, a segurança deixa de ser um produto que se compra e passa a ser um hábito que se cultiva em todos os níveis da hierarquia”, conclui o especialista.