Por que o RH virou protagonista na estratégia de cibersegurança das empresas
Relatórios globais de segurança têm sido consistentes em um ponto: o comportamento humano continua no centro da maior parte dos incidentes cibernéticos. O Data Breach Investigations Report (DBIR) 2025, da Verizon, um dos estudos mais respeitados sobre violações de dados no mundo, mostra que cerca de 60% dos casos analisados envolvem algum elemento humano – seja uso inadequado de credenciais, golpes de engenharia social, falhas de procedimento ou simples erro operacional.
Esse dado vem mudando a forma como as organizações enxergam o risco digital. Se grande parte dos problemas nasce de escolhas cotidianas dos colaboradores – clicar em um link malicioso, compartilhar senhas, ignorar políticas internas – a resposta não pode se restringir à compra de novas soluções tecnológicas. Firewalls, antivírus e ferramentas avançadas de detecção continuam fundamentais, mas já não bastam sozinhos.
Hoje, segurança da informação é, antes de tudo, sobre como as pessoas se relacionam com sistemas, dados e informações no dia a dia. A camada humana virou o “elo crítico” da proteção, e isso exige uma abordagem muito mais próxima de gestão de cultura organizacional do que apenas de gestão de infraestrutura.
As consultorias de mercado também refletem essa mudança. O Gartner reforça que o fator humano se consolidou como um dos pilares das estratégias modernas de segurança, com especial foco na gestão de identidades e acessos, no uso seguro de credenciais e na redução de riscos ligados ao comportamento dos usuários. A tecnologia avançou de forma impressionante, mas a forma como os colaboradores usam, entendem e, às vezes, driblam essas ferramentas ainda é um dos maiores pontos de vulnerabilidade.
Diante desse cenário, programas de conscientização em segurança da informação deixaram de ser iniciativas pontuais para se tornarem componentes permanentes da estratégia corporativa. Cada vez mais empresas apostam em treinamentos recorrentes, campanhas de educação digital, simulações de ataques de phishing e ações de comunicação interna para tornar o tema presente na rotina de trabalho. O objetivo é simples, mas desafiador: transformar segurança em hábito.
É justamente aqui que o RH entra como peça-chave. Um programa de conscientização não é apenas um treinamento técnico; é um projeto de mudança de comportamento. Ele exige competência em desenho de trilhas de aprendizagem, entendimento de perfis de público, acompanhamento de indicadores de engajamento e integração de novos conhecimentos às competências organizacionais. Tudo isso faz parte, historicamente, do repertório da área de Recursos Humanos.
Quando o RH atua lado a lado com Segurança da Informação e TI, a conscientização deixa de ser uma palestra anual e se transforma em um processo contínuo, alinhado com a cultura da empresa. A segurança passa a ser incorporada desde o onboarding de novos colaboradores, nos planos de desenvolvimento, nas avaliações de desempenho e até em políticas de reconhecimento para os times que se destacam em boas práticas.
Além disso, o RH é responsável por gerir todo o ciclo de vida do colaborador na organização – do recrutamento ao desligamento. Isso tem impacto direto na cibersegurança. É o RH que pode garantir, por exemplo, que:
– a cultura de segurança seja apresentada já no momento da contratação;
– cláusulas de confidencialidade e responsabilidade sobre dados estejam claras em contratos e documentos internos;
– processos de desligamento sejam integrados à revogação de acessos, devolução de dispositivos e atualização de credenciais;
– políticas de home office, trabalho híbrido e uso de dispositivos pessoais (BYOD) estejam alinhadas com os requisitos de proteção de dados.
Outro ponto relevante é a relação entre segurança da informação, saúde mental e clima organizacional. Colaboradores exaustos, sob pressão constante ou trabalhando em ambientes pouco transparentes tendem a cometer mais erros, ignorar alertas ou burlar regras para “fazer o trabalho andar”. O RH, por estar mais próximo da gestão de bem-estar, pode contribuir para reduzir esses fatores de risco invisíveis, alinhando produtividade com segurança.
A área de Recursos Humanos também é estratégica na segmentação e personalização das ações de conscientização. Um treinamento genérico sobre cibersegurança dificilmente terá o mesmo impacto que conteúdos moldados para cada público. Profissionais de finanças, atendimento ao cliente, vendas externas, desenvolvimento de software ou alta liderança lidam com riscos diferentes. O RH pode apoiar a criação de trilhas específicas, ajustadas ao nível de exposição e responsabilidade de cada grupo.
Outro papel crucial do RH está na definição e no reforço de valores e comportamentos esperados. Cultura não se constrói apenas com documentos e políticas; ela é reforçada por rituais, reconhecimentos e pela forma como líderes se posicionam. Se a alta gestão não dá o exemplo – ignorando alertas, pedindo “atalhos” para driblar controles ou tratando segurança como burocracia – dificilmente a organização vai amadurecer nesse tema. O RH, em parceria com a liderança, pode trabalhar o desenvolvimento de gestores como patrocinadores da cultura de segurança.
Do ponto de vista de métricas, o envolvimento do RH permite transformar cibersegurança em indicador de gente e gestão, e não apenas de TI. É possível acompanhar, por exemplo:
– taxas de conclusão de treinamentos obrigatórios de segurança;
– evolução do desempenho em simulações de phishing (redução de cliques em armadilhas digitais);
– participação em campanhas internas de conscientização;
– aderência às políticas de senhas, uso de dispositivos e classificação de informações;
– correlação entre engajamento dos times e número de incidentes relacionados a erro humano.
Esses dados podem alimentar planos de desenvolvimento, nortear investimentos em capacitação e até compor metas de liderança, conectando diretamente comportamento seguro com resultados de gestão.
Outro aspecto que aproxima RH e cibersegurança é a agenda regulatória. Com leis de proteção de dados mais rigorosas, como a LGPD, o tratamento responsável de informações pessoais de clientes, parceiros e colaboradores deixou de ser apenas uma boa prática e passou a ser uma exigência legal. O RH, que lida diariamente com dados sensíveis de funcionários, precisa estar alinhado com a área de segurança para garantir que processos de recrutamento, folha de pagamento, benefícios e gestão de performance estejam em conformidade – tanto na dimensão jurídica quanto na técnica e comportamental.
Em ambientes de trabalho cada vez mais digitais e distribuídos – com home office, equipes remotas, uso intenso de ferramentas colaborativas e integração de sistemas em nuvem – erros simples ganham um potencial de dano enorme. Um arquivo compartilhado com a pessoa errada, um link aberto em rede insegura ou uma conta corporativa acessada em um dispositivo pessoal sem proteção podem se tornar portas de entrada para ataques. O RH, ao definir políticas de trabalho remoto e programas de flexibilidade, precisa incorporar critérios de segurança desde a concepção.
Também vale destacar o papel do RH na gestão de incidentes. Embora a resposta técnica a um ataque (contenção, análise, recuperação de sistemas) seja responsabilidade de equipes especializadas, a comunicação com os colaboradores, o alinhamento de orientações, o cuidado com impactos emocionais e a preservação do engajamento em momentos de crise passam, em grande parte, pela área de pessoas. Um RH bem preparado ajuda a evitar pânico, boatos e atitudes impulsivas que possam agravar ainda mais a situação.
Por fim, a maturidade em cibersegurança não se constrói da noite para o dia. Trata-se de um processo contínuo de aprendizado, ajuste de políticas e evolução cultural. Nesse caminho, a tecnologia funciona como alicerce, mas o verdadeiro diferencial está na capacidade de fazer com que cada colaborador compreenda seu papel na proteção da empresa. E isso é, essencialmente, um desafio de gestão de pessoas.
À medida que as ameaças digitais se sofisticam e o trabalho se torna cada vez mais conectado, integrar RH, Segurança da Informação e TI deixou de ser uma escolha e se tornou condição para a sobrevivência competitiva. Proteger sistemas e dados, hoje, significa desenvolver pessoas capazes de reconhecer riscos, tomar decisões responsáveis e adotar comportamentos seguros em todas as interações profissionais.
Em outras palavras: não existe estratégia de cibersegurança realmente eficaz sem que o RH esteja no centro da construção da cultura de segurança da organização.