Em um cenário em que os ciberataques se tornaram uma das principais preocupações nas corporações — e o custo médio de uma violação de dados já ultrapassa US$ 4,45 milhões, segundo a IBM Security (2024) — a pergunta que deveria ser feita é: quanto do que a minha organização investe em segurança depende do comportamento humano para funcionar?
Mais de 70% dos incidentes de segurança digital têm origem em ações humanas, de acordo com o World Economic Forum – Global Cybersecurity Outlook (2024). E é justamente por isso que a Human Risk Management (HRM) ou a Gestão de Risco Humano vem ganhando espaço.
Durante anos, o mundo corporativo apostou nas soluções tecnológicas como a linha de frente da proteção. Firewalls, autenticações multifator, inteligência artificial e criptografia seguem como fundamentais — mas evidentemente já não são suficientes.
“Podemos ter o sistema mais seguro do mundo, e ainda assim um clique equivocado anular todos os investimentos”, como aponta Harvard Business Review no artigo: The Human Side of Cybersecurity. A vulnerabilidade não reside apenas na máquina, mas nas microdecisões de cada colaborador: o e-mail aberto sem atenção, o documento compartilhado no canal errado ou a senha reaproveitada por comodidade.
O novo olhar da Gestão de Risco Humano parte justamente desse ponto: a segurança não é apenas técnica — é comportamental e organizacional.
E o comportamento humano, quando analisado e gerenciado com estratégia, pode se transformar em ativo de defesa.
Gestão de Risco Humano
O conceito é simples, mas poderoso: usar dados, psicologia comportamental e cultura corporativa para compreender, medir e reduzir riscos que envolvem comportamentos humanos. Isso de forma estruturada, compreendendo os seguintes pilares:
- Proteção com base em análise comportamental e dados
- Educação personalizada com aprendizado contínua, superando o treinamento formal e genérico.
- Engajamento ao alinhar cultura organizacional e propósito à segurança da informação.
- Mensuração com indicadores e análises que dão suporte a governança.
O Gartner estima que organizações que aplicam métricas comportamentais no programa de Segurança da Informação podem reduzir perdas operacionais em até 60%.
A Gestão de Risco Humano está na interseção entre a área de segurança e o negócio. Envolve mensurar riscos que afetam não apenas dados e finanças, mas reputação, continuidade operacional e valor de marca, gerando:
- Redução de incidentes internos.
- Aumento no engajamento de colaboradores em práticas seguras.
- Melhor ROI em treinamentos de segurança cibernética.
O lado estratégico do comportamento humano
Ao combinar simulações, métricas e cruzamento de dados, é possível mapear vulnerabilidades comportamentais: quem clica mais em phishing, quem ignora políticas de atualização de senha, quais áreas estão mais expostas. Esses dados alimentam o ecossistema de informações que permite tomar decisões mais ágeis, sustentáveis e orientadas por evidência.
Uma nova geração de líderes já entende a Segurança da Informação como vantagem competitiva, que reforça confiança, continuidade e diferenciação no mercado. Pois, empresas com maturidade em Gestão de Risco Humano constroem cultura de segurança, reduzem perdas e preparam o negócio para operar com resiliência em um mundo cada vez mais conectado e vulnerável.
A Segurança da Informação migra, cada vez mais, para o campo estratégico nas organizações, em que o fator humano se desloca para o centro da resiliência corporativa. Perante o mercado, isso significa empresas mais sustentáveis e menos expostas a crises.
*Coluna escrita por Renato Batista, formado em Administração de Empresas e Sistemas de Informação e com MBAs em Marketing e Cyber Security Governance & Management, fundador e CEO da Netglobe Cyber Security
As opiniões transmitidas pelo colunista são de responsabilidade do autor e não refletem, necessariamente, a opinião da BM&C News. Leia mais colunas do autor aqui.
O post Gestão de Risco Humano: o novo eixo estratégico da Segurança da Informação apareceu primeiro em BM&C NEWS.
