O tema segurança da informação e cibernética tem sido muito presente no noticiário diário, normalmente em aspectos bem negativos, como: vazamento de dados, ransomware, malware, vulnerabilidades etc. Embora os investimentos em tecnologias de segurança tenham aumentado significativamente nos últimos anos, os incidentes continuam a ocorrer com muita frequência gerando desgaste na imagem das instituições e grandes prejuízos financeiros. Uma certeza é que, em muitos casos, falhas humanas favorecem as ações dos meliantes digitais.
Diante desse cenário, especialistas buscam alternativas de tornar o ambientes digitais mais seguros a partir de uma mudança estratégica: adotar os chamados Security Behavior and Culture Programs (SBCPs). O grande objetivo não é algo novo, mas continua sendo o desejo de dez entre cada dez Chiefs Information Security Officer (CISOs). Como ferramenta principal para mitigar riscos ligados ao comportamento humano, a promoção de uma verdadeira cultura de segurança desponta como a solução ideal.
A Gartner propõe uma distinção clara entre programas tradicionais de conscientização e os SBCPs. Enquanto os primeiros se concentram em ensinar regras e boas práticas por meio de treinamentos genéricos, os SBCPs assumem uma abordagem mais ampla e orientada por dados, com o objetivo de moldar os comportamentos e as atitudes do usuário em relação à segurança da informação e cibernética. A consultoria enfatiza que o sucesso dos SBCPs está ligado ao seu alinhamento com a cultura organizacional, ao uso de dados comportamentais e à participação ativa das lideranças. Empresas que adotam SBCPs com apoio de tecnologias como GenAI poderão, segundo previsões da Gartner, reduzir em até 40% os incidentes causados por erro humano até 2026. O lema para essa mudança de ação seria: Evoluir da conscientização para o comportamento.
A Keepnet Labs destaca que os SBCPs são essenciais porque atuam na raiz do problema: o comportamento humano. Segundo a empresa, a cultura de segurança deve ser continuamente reforçada por meio de comunicação, feedback e reforço positivo, criando um ambiente em que práticas seguras sejam não apenas esperadas, mas socialmente normatizadas. Além disso, SBCPs eficazes são construídos com base em ciclos iterativos de avaliação e melhoria, utilizando métricas para identificar lacunas e mapear tendências comportamentais específicas de cada organização. Com isso aprende-se outra regra importante, que a cultura de segurança não se impõe, na verdade ela é construída.
A Group-IB vai além, argumentando que a dependência exclusiva da tecnologia como defesa contra ameaças é um erro. Em sua análise de diversos incidentes reais, a empresa demonstrou que a ausência de uma cultura de segurança sólida frequentemente é o fator decisivo que permite a efetivação de ataques. Seja por descuido, negligência ou desconhecimento, ações humanas continuam sendo a principal porta de entrada para cibercriminosos. Para reverter esse quadro, é necessário que as organizações tratem a segurança como um valor institucional, integrando-a aos objetivos corporativos, aos processos internos e à mentalidade dos colaboradores. Resumidamente, tecnologia, apesar de importante, não é suficiente, pois o principal vetor de ataques é facilitado pela aus6encia de uma cultura de segurança.
A CyberconIQ apresenta um framework para a criação de um SBCP sustentável e adaptável à realidade de cada organização. O primeiro passo é realizar uma avaliação diagnóstica da cultura de segurança vigente, identificando crenças, atitudes e comportamentos. Em seguida, devem ser definidas metas de mudança e intervenções, como campanhas de comunicação, treinamentos personalizados e mecanismos de reforço. A empresa destaca ainda a importância da participação das lideranças, do uso de dados para tomada de decisão e da capacidade de adaptação contínua do programa conforme os resultados evoluem.
Os Security Behavior and Culture Programs representam uma postura das organizações, na qual a tecnologia, embora necessária, não é suficiente. Organizações que compreendem o comportamento humano na cadeia de riscos estão investindo em programas que promovem mudanças reais de atitude, consolidam a confiança e aumentam a resiliência frente às ameaças.
No entendimento desse autor, a consolidação de uma cultura de segurança não é um simples projeto, mas sim um processo relevante para toda instituição pública ou privada com um resultado claro, que é obter vantagem competitiva frente às outras organizações que não escolherem o caminho da segurança eficiente.
Fontes
-
Gartner. Security Behavior and Culture Programs (SBCPs) Adoption Strategies. Disponível em: https://www.gartner.com/peer-community/oneminuteinsights/omi-security-behavior-culture-programs-sbcps-adoption-strategies-pqp. Acesso em: maio de 2025.
-
Group-IB. Technology Alone Isn’t the Answer to Cyber Threats — Time to Rethink Security Culture. Disponível em: https://www.group-ib.com/blog/technology-alone-isn-t-the-answer-to-cyber-threats-time-to-rethink-security-culture/. Acesso em: maio de 2025.
-
Keepnet Labs. What Is a Security Behavior and Culture Program (SBCP)?. Disponível em: https://keepnetlabs.com/blog/what-is-a-security-behavior-and-culture-program-sbcp. Acesso em: maio de 2025.
-
CyberconIQ. Building a Security Behavior and Culture Program. Disponível em: https://cyberconiq.com/blog/building-a-security-behavior-and-culture-program/. Acesso em: maio de 2025.
Descubra mais sobre DCiber
Assine para receber nossas notícias mais recentes por e-mail.
