“A cultura da segurança da informação não é uma tendência passageira. É uma necessidade urgente”. E foi com essa afirmação que Brayan Poloni, CISO da Introduce, deu início à sua participação no SecOps Summit 2025, um dos principais eventos de segurança cibernética do país.
Em um auditório repleto de especialistas, líderes e profissionais da área, ele trouxe à tona uma pergunta provocativa, que já se tornou quase um clichê nas discussões sobre segurança digital: “a culpa é do usuário?”
Mas, ao contrário do discurso comum que busca um culpado, sua fala apontou para algo mais profundo e mais importante: A responsabilidade compartilhada e a construção de uma cultura organizacional forte e consciente.
O problema não está apenas na tecnologia ou nos processos, mas na ausência de uma mentalidade de segurança que envolva todos os níveis da empresa.
Não é sobre tecnologia. É sobre pessoas.
Vivemos em um momento crítico para a cibersegurança. No terceiro trimestre de 2022, o Brasil registrou um aumento de 37% nos ataques cibernéticos em relação ao mesmo período do ano anterior, mostrando que o país está no radar dos cibercriminosos globais.
Esse dado, por si só, já seria suficiente para acender alertas. Mas a realidade vai além dos números: empresas de grande porte, como a Sabesp, e instituições de peso, como o Superior Tribunal de Justiça (STJ), foram vítimas de ataques relevantes em 2024, revelando a vulnerabilidade estrutural mesmo em organizações com orçamentos robustos.
Ainda assim, há luz no fim do túnel. Segundo relatório da União Internacional de Telecomunicações (UIT), o Brasil foi reconhecido como o segundo país das Américas em maturidade de cibersegurança.
Um sinal de progresso, mas também de responsabilidade. Afinal, a maturidade não garante imunidade. O cenário atual exige mais do que tecnologia: Exige consciência, estratégia e uma mudança profunda de cultura.
Quando a segurança se transforma em cultura, ela deixa de ser um esforço pontual para se tornar um valor compartilhado. E é essa transformação que define quem está preparado para o presente e principalmente, para o futuro.
A cultura de segurança da informação existe na sua empresa?
A pergunta parece simples, mas carrega um peso imenso: A cultura de segurança da informação existe, de fato, na sua empresa?
Em muitas organizações, a segurança é lembrada apenas quando algo dá errado, depois de um incidente, de uma perda de dados, de uma falha de acesso. Esse é o retrato clássico de uma cultura fraca: Ausência de processos claros, sobrecarga de responsabilidades sobre os usuários, e uma visão de segurança como algo “do time de TI”.
Em contraste, uma cultura forte vê a segurança como prioridade estratégica. Os treinamentos são frequentes, os processos são acessíveis e bem definidos, e a mentalidade da proteção está incorporada no dia a dia das equipes.
Não se trata apenas de prevenir incidentes, mas de promover uma atitude coletiva de cuidado com os ativos digitais. Em uma cultura forte, todos sabem que fazem parte da defesa da empresa e agem como tal.
7 passos para estabelecer uma cultura de segurança
Construir uma cultura sólida de segurança da informação é um processo que vai além de documentos e firewalls. É uma construção humana e organizacional. E essa construção passa por sete pilares fundamentais.
1. Símbolos
A cultura começa a se consolidar quando deixa de ser apenas dita e passa a ser vista.
Símbolos são a face visual da segurança, elementos como wallpapers corporativos com mensagens educativas, camisetas de campanhas internas, pulseiras, quadros nas áreas comuns, cartilhas impressas e digitais, personagens ou mascotes.
Esses itens funcionam como lembretes constantes e naturais que inserem o tema da segurança no cotidiano, mesmo em momentos de descontração ou rotina operacional.
Eles criam identidade e pertencimento, e ajudam a fixar a mensagem de forma leve, mas eficaz. Quando bem aplicados, os símbolos geram engajamento e tornam a segurança algo visível, tangível e parte do clima organizacional.
2. Rituais
Rituais são práticas recorrentes que transformam a teoria em comportamento. São ações que repetidas ao longo do tempo constroem cultura, desde reuniões periódicas de awareness, passando por semanas temáticas de segurança, datas comemorativas, gamificações, até o envio constante de alertas sobre novas ameaças.
Eles criam um ritmo dentro da organização que mantém a segurança em pauta de forma orgânica. Mais do que eventos isolados, os rituais são instrumentos para criar hábitos coletivos e memória institucional. A segurança deixa de ser uma preocupação pontual e se torna parte da rotina de cada colaborador.
3. Políticas
As políticas de segurança da informação não devem ser vistas como documentos burocráticos ou barreiras à produtividade. Elas são diretrizes que protegem, e quando bem escritas, com clareza e linguagem acessível, se tornam facilitadoras do dia a dia.
Políticas eficazes tratam de temas cruciais como o uso de senhas, classificação da informação, controle de acessos, ética digital, dispositivos pessoais e privacidade de dados.
Elas estabelecem os limites e as permissões do ambiente digital de trabalho, fornecendo segurança sem comprometer a eficiência. Mais do que regras, são compromissos organizacionais que alinham expectativas e reduzem riscos operacionais.
4. Crenças
Crenças são frases e ideias que orientam o pensamento coletivo dentro da organização. São como os “mantras” da cultura de segurança, simples, poderosos e repetitivos.
Expressões como “Segurança é responsabilidade de todos”, “Confiança, mas verifique”, ou “Se parece bom demais para ser verdade, provavelmente é um golpe” funcionam como âncoras cognitivas.
Elas moldam o inconsciente coletivo e criam um alinhamento invisível entre colaboradores, líderes e fornecedores. Quando disseminadas com consistência, essas crenças passam a guiar decisões mesmo quando ninguém está olhando o que é o verdadeiro sinal de uma cultura viva.
5. Treinamentos
Capacitar é essencial e deve ser feito com frequência, relevância e realismo. Os treinamentos não podem ser genéricos ou esporádicos. Eles devem estar conectados à realidade da empresa e aos riscos do seu setor.
Isso inclui desde microlearnings práticos no e-mail, até simulações de phishing, role-playing de engenharia social, aulas presenciais ou remotas, workshops sobre segurança digital pessoal e familiar e onboardings para novos colaboradores.
O objetivo é construir autonomia e senso crítico, permitindo que as pessoas saibam reconhecer ameaças e respondam de forma adequada. O treinamento certo transforma o usuário de elo fraco em agente ativo da proteção.
6. Processos
A cultura de segurança também se sustenta em infraestruturas silenciosas, que muitas vezes não são percebidas pelo usuário final, mas que garantem resiliência e continuidade operacional.
Processos como gestão de ativos e inventário de TI, autenticação multifator obrigatória (MFA), rotinas de backup e recuperação, auditorias regulares, gestão de acessos, resposta a incidentes e atualização constante de sistemas são o que protege a empresa nos bastidores.
A existência e a maturidade desses processos demonstram comprometimento real com a segurança e tornam o ambiente digital mais estável e confiável para todos.
7. Comportamentos
Por fim, o reflexo mais direto da cultura de SI está nos comportamentos cotidianos dos colaboradores.
Ações simples como bloquear a tela ao se afastar do computador, usar senhas seguras com MFA, evitar redes públicas, verificar links antes de clicar, não compartilhar credenciais, ou reportar rapidamente qualquer suspeita são atitudes que, quando adotadas em massa, formam uma linha de defesa poderosa.
O comportamento é o elo entre conhecimento e ação. E ele só se consolida quando há cultura: Quando as pessoas não apenas sabem o que fazer, mas fazem mesmo quando ninguém está cobrando.
Cada um com sua responsabilidade!
Durante anos, a segurança da informação foi vista como responsabilidade exclusiva da TI. Mas essa visão está ultrapassada e é perigosa. A responsabilidade por proteger dados, reputação e continuidade dos negócios é compartilhada e cada papel dentro da organização tem um papel específico.
O CEO precisa liderar pelo exemplo, incluindo a segurança na visão e missão da empresa, apoiando investimentos e mantendo um diálogo aberto com o CISO. O CISO, por sua vez, deve equilibrar proteção e usabilidade, promovendo uma cultura acessível e integrada à realidade do negócio.
O Líder de Segurança transforma as diretrizes em prática, promovendo treinamentos, testes e garantindo o entendimento das normas. O Analista de Segurança é o elo entre a estratégia e a operação: Monitora, responde a incidentes, automatiza processos e gerencia riscos.
Já o Fornecedor de Segurança deve ser mais do que técnico: Precisa ser consultivo, transparente e comprometido com os objetivos do cliente. E, finalmente, o usuário, muitas vezes culpado, precisa ser empoderado. Quando treinado e conscientizado, ele deixa de ser o elo mais fraco e passa a ser o primeiro agente de defesa.
Para onde o futuro da cultura de segurança da informação está apontando?
O futuro da segurança da informação não está nos firewalls mais avançados, nas IA de resposta automática ou nas criptografias mais complexas. Está na cultura.
Em um mundo onde a tecnologia evolui mais rápido do que a regulamentação, e onde o fator humano continua sendo a principal vulnerabilidade, a verdadeira inovação está em formar pessoas conscientes, treinadas e engajadas com a proteção do seu ambiente digital.
A verdadeira transformação começa quando cada colaborador entende que também é responsável por proteger o que constrói.
Quando a cultura não é um projeto, mas uma postura. Quando segurança não é uma área, mas uma mentalidade. E quando todos, juntos, escolhem ser… Guardiões Digitais!
Conectando Pessoas, Cultura e Tecnologia com a Introduce!
Na Introduce, acreditamos que a segurança da informação vai muito além da tecnologia, ela nasce da cultura e se fortalece com conhecimento compartilhado.
Por isso, criamos o Guardiões Digitais Talks, uma série de encontros abertos e gratuitos que conecta especialistas, líderes e profissionais em torno dos principais desafios da cibersegurança moderna.
Além disso, desenvolvemos o Canvas de Segurança da Informação, a primeira ferramenta visual que ajuda empresas a estruturarem sua estratégia de proteção com foco em cultura, processos e comportamento.
Se você quer transformar riscos em proteção e pessoas em verdadeiros guardiões digitais, venha construir essa jornada com a gente. Segurança se constrói juntos!