Risco humano na prática
Este caso aconteceu de verdade e merece atenção de quem responde por risco digital e segurança da informação. Recentemente, a Nexoria realizou, em parceria com a KnowBe4 na frente de Gestão de Riscos Humanos, um teste rápido de phishing em uma empresa de tecnologia que atua com cibersegurança. É uma abordagem típica que propomos aos interessados na solução.
O cenário parecia confortável – time técnico, supostamente bem informado, acostumado a lidar com ameaças, mas o resultado não acompanhou essa expectativa: amostra de 40 e-mails enviados, 40 cliques no link malicioso. Taxa de propensão ao phishing em 100%, justamente em um grupo que teoricamente saberia o que não fazer.
Esse tipo de evidência aponta para um desconforto importante para qualquer gestor: risco humano não guarda relação direta com o nível de conhecimento declarado. O fator determinante é o reflexo comportamental de segurança – resposta rápida, automática, construída por repetição de experiência prática, sem depender de consulta consciente ao conhecimento teórico. Em contexto real, ninguém consulta política, cartilha ou treinamento gravado. A decisão acontece em segundos, impulsionada por gatilhos emocionais como urgência, medo de perder uma oportunidade, curiosidade sobre um conteúdo exclusivo, promessa de ganho financeiro ou até afeição e empatia em mensagens supostamente vindas de alguém próximo. O atacante conhece esses gatilhos, explora vulnerabilidades emocionais e transforma colaboradores informados em alvos fáceis.
Conhecimento teórico X Ação prática
A diferença entre conhecer e reagir corretamente é o que sustenta a base de uma abordagem moderna de Security Awareness Training. Conhecimento isolado, em formato de apresentações pontuais ou campanhas esporádicas, já não responde ao desafio. O que se observa na prática é mudança de comportamento quando a empresa cria rotina, recorrência e constância. Simulações reais de phishing acontecem com frequência, colaboradores recebem feedback imediato, a correção ocorre logo após o erro e a organização mantém um programa de Security Awareness contínuo, não apenas campanhas pontuais. Com o tempo, essa cadência transforma impulso emocional em resposta racional. O clique impulsivo cede lugar a uma breve pausa, a dúvida saudável e a checagem antes da ação.
O básico bem feito
Enquanto o mercado discute deepfakes, ataques com voz clonada e campanhas hiperpersonalizadas com uso intensivo de inteligência artificial, muitas empresas ainda não endereçam o básico no seu dia a dia. E-mail simples, com narrativa de urgência bem construída, continua suficiente para comprometer credenciais, acessar sistemas sensíveis e abrir caminho para fraudes financeiras ou incidentes de grande impacto operacional. O “feijão com arroz” do phishing permanece sem solução em boa parte das organizações, inclusive em setores que atuam diretamente com tecnologia.
Conclusão
Esse descompasso gera uma pergunta incômoda, mas necessária, para qualquer empresa que pretende tratar risco humano com seriedade e foco preventivo. Se um teste de phishing roda hoje dentro da sua organização, qual índice de cliques aparece no relatório? Um número que o conselho aceita ouvir sem sobressalto ou uma taxa próxima de 100% que ninguém gostaria de ver, mas que traduz com precisão a exposição atual? A resposta orienta a prioridade: manter a discussão no plano teórico ou colocar o tema na agenda executiva com dados, simulações recorrentes e um programa de Security Awareness que acompanha a velocidade e a criatividade dos ataques.
