A falácia da “equipa de ciber”

Ao delegar a segurança digital apenas ao “departamento de IT”, as organizações esquecem-se de um dado essencial:
os agentes maliciosos já contam com essa divisão interna.

Não é preciso hackear servidores. Basta um único email bem pensado e desenhado, um ficheiro partilhado num grupo errado, um link partilhado numa mensagem de SMS ou WhatsApp ou uma password fraca usada por alguém bem-intencionado.

O risco não existe apenas nos sistemas. Está presente nas nossas rotinas, hábitos, ou mesmo nas pequenas distrações do dia a dia.

Cibersegurança começa na cultura

Organizações verdadeiramente seguras partilham um traço comum: a cibersegurança está enraizada na cultura, não apenas nos sistemas.

• Um colaborador que questiona sobre um pedido que não é comum.
• Um gestor que solicita provas antes de aprovar uma transferência urgente.
• Uma equipa que sabe o que reportar e quando.

Tudo isto não depende de firewalls ou qualquer outra tecnologia.
Depende de consciência. Formação. Liderança.

Exemplos reais de falhas humanas

• Caso 1: uma empresa de retalho perdeu 3,4 milhões de euros após um email de phishing enviado ao CFO. A mensagem imitava o CEO e pedia uma transferência urgente.
• Caso 2: uma colaboradora partilhou acidentalmente um link com permissões administrativas num grupo de WhatsApp da empresa.
• Caso 3: um assistente comercial, sem qualquer má intenção, utilizou a mesma password em plataformas diferentes – e abriu a porta a um ataque que permitiu realizar um movimento lateral devastador.

Todos estes cenários têm algo em comum: não foram os firewalls ou a tecnologia que falharam. Foram as pessoas que não estavam preparadas.

O que cada pessoa pode (e deve) fazer

Para todos os colaboradores:

• Duvidar de mensagens urgentes e fora do habitual, a urgência obriga à reação rápida sem pensar.
• Nunca partilhar passwords ou quaisquer outras credenciais (ex.º cartões de acesso; tokens) – nem com colegas, uma boa intenção hoje é um risco para a organização e para o próprio colaborador.
• Denunciar comportamentos suspeitos sem receio utilizando os canais apropriados.

Para líderes e gestores:

• Reforçar a cultura de reporte, não basta apenas definir a direção, tem de se saber o que está a acontecer.
• Garantir que a formação é prática, e não genérica – exercitar cenários reais e desafiantes permite aumentar a resiliência das pessoas e, por conseguinte, da organização.
• Dar o exemplo: não clicar, não ignorar alertas, não facilitar, não solicitar exceções que possam, inadvertidamente, aumentar a exposição ao risco da organização.

Para RHs e diretores:

• Incluir a cibersegurança nos planos de onboarding, acompanhar a aplicação das práticas, reforçar, consciencializar ao longo da relação contratual, e integrar práticas de cibersegurança na mudança de funções ou nos processos de offboarding.
• Mapear os riscos comportamentais por função, com particular atenção para as funções com acessos privilegiados.
• Investir em programas de literacia digital contínua – uma formação, workshops online, acompanhar as notícias da área, subscrever newsletters e outras informações que possamos receber de entidade reputadas de forma regular, permite-nos acompanhar a mudança digital, novos riscos e desafios.

A segurança começa na formação

Cibersegurança não se compra. Constrói-se com conhecimento, responsabilidade e compromisso coletivo.

Na Behaviour, acreditamos que as Melhores Práticas existem por uma razão: proteger, capacitar e tornar as pessoas e organizações mais resilientes.

Cursos como ISO 27001, CISSP, NIS 2 ou DORA Compliance Lead Manager não são apenas formaçãos ou certificações.
São oportunidades de mudar o mindset das equipas e preparar todas as partes, não apenas os técnicos, para enfrentar os riscos com confiança e clareza.

Segurança não é um papel. É uma atitude.

Se há uma coisa que os últimos anos nos ensinaram é que nenhuma tecnologia é suficiente quando a cultura falha.

A cibersegurança do futuro não será feita apenas de firewalls, criptografia ou IA. Será feita de pessoas conscientes, equipas preparadas e decisões seguras, mesmo quando suportadas por tecnologias, mas validadas por pessoas.

Porque no fim, a pergunta certa não é “quem é responsável pela segurança?”.
A pergunta certa é: “de que forma estamos todos a contribuir para ela?”

Autor: Behaviour
Publicado em: 27 outubro de 2025
Não é autorizada a cópia ou reprodução deste artigo.