A porta que nenhum firewall fecha

Toda organização com algum nível de maturidade em segurança investe em tecnologia. Firewall, EDR, autenticação multifator, monitoramento de rede. São camadas necessárias e inegociáveis. Mas existe um vetor que nenhuma dessas ferramentas consegue bloquear sozinho. A decisão humana tomada sob pressão, com informação incompleta, num momento de distração.

O Verizon Data Breach Investigations Report 2025 registrou que o fator humano está presente em 60% das violações de dados globalmente. No Brasil, o IBM Cost of a Data Breach 2024 aponta que o custo médio de uma violação de dados chegou a R$ 6,75 milhões e que ataques de phishing foram o vetor inicial mais comum, presentes em 16% dos incidentes. São números que mostram que o impacto não é só operacional. É financeiro, jurídico e reputacional.

O problema é que a superfície de ataque humana cresce junto com a sofisticação das ameaças, sendo que a maioria das empresas ainda trata o treinamento de funcionários como mera formalidade, sem reconhecer a importância do seu papel para a segurança da informação.

O que a IA mudou no jogo da engenharia social

Durante anos, identificar um ataque de phishing exigia pouco mais do que atenção básica dos usuários. Erros de ortografia, remetentes ou domínios estranhos, layouts mal formatados, etc. Os indicadores eram óbvios o suficiente para que um treinamento introdutório conseguisse cobri-los.

Esse cenário mudou. Com o acesso massificado a ferramentas de IA generativa, produzir uma mensagem personalizada, no tom certo, com o vocabulário adequado para cada função e sem nenhum sinal visível de fraude deixou de ser privilégio de grupos de ameaça sofisticados. Hoje qualquer atacante com intenção e acesso à internet consegue construir uma comunicação personalizada para aquele usuário que passa pelos filtros visuais que as pessoas aprenderam, tradicionalmente, a aplicar.

Mais do que isso, os ataques estão se tornando multicanais. Um e-mail que parece vir do jurídico, seguido de uma ligação de quem se apresenta como o mesmo remetente, com detalhes que só alguém interno saberia, é engenharia social em camadas. Deepfakes de voz já foram usados em ataques reais para imitar executivos e autorizar transferências. O funcionário que nunca treinou para esse nível de sofisticação não tem como estar preparado intuitivamente. Assim, a IA não apenas acelerou o volume de ataques, mas elevou o padrão de qualidade. E isso exige uma resposta proporcional.

Por que o treinamento anual não acompanha esse ritmo?

A prática mais comum ainda é o treinamento anual obrigatório. Um módulo online que todos completam em modo automático, uma apresentação em reunião geral ou uma política de segurança enviada por e-mail para assinar. Cumprida a atividade, o tema some até o próximo ciclo.

Esse modelo foi insuficiente antes da IA. Com ela, passa a ser insustentável. É necessário destacar que com a mudança no cenário de riscos, as organizações precisam estar preparadas para reagir adequadamente. Trata-se de um paradigma de diligência que, se não cumprido adequadamente, pode representar uma atuação negligente dos gestores. E isso pode aparecer justamente quando a empresa menos quer falar sobre: no caso de incidentes, processos judiciais ou atuações de entidades reguladoras, como a ANPD. E aí há uma diferença fundamental entre os gestores: existem aqueles que somente querem dar alguma demonstração vazia de conformidade e outros que querem realmente gerir o risco de forma adequada. Cada um desses cenários, inclusive, poderá ser facilmente verificado por terceiros, o que faz com que a primeira escolha exponha toda a organização a cenários de riscos bastante complexos.

Conhecimento sem reforço se dissolve rápido. Um funcionário que assistiu a uma apresentação sobre phishing em janeiro e nunca mais lidou com o tema vai reagir em agosto exatamente como reagiria sem treinamento nenhum. No instinto. E o instinto, sem prática, é o que os atacantes contam.

O comportamento seguro não se constrói com informação pontual. Se constrói com repetição, com exposição controlada a situações reais e com feedback imediato quando algo dá errado. Simulações de phishing funcionam porque criam exatamente isso. A experiência concreta de ser enganado num ambiente controlado, sem consequências reais, com um aprendizado que permanece porque foi vivido, não apenas lido.

A diferença entre um colaborador que leu sobre phishing e um que já clicou num simulado e entendeu onde errou é a mesma diferença entre saber a teoria de dirigir e ter feito o percurso. Um deles vai reagir melhor quando o imprevisto aparecer.

Cada função carrega um perfil de risco diferente

Tratar toda a organização com o mesmo conteúdo de treinamento é um dos erros mais comuns e mais caros nos programas de conscientização. O risco que o time financeiro enfrenta não é o mesmo que ameaça o time de TI ou a diretoria, e um treinamento que ignora essas diferenças não protege ninguém de forma adequada.

O financeiro é alvo prioritário de fraude de e-mail corporativo, ataques em que o invasor se passa por fornecedor, executivo ou cliente para redirecionar pagamentos ou obter informações sensíveis. São ataques construídos especificamente em torno dos fluxos de aprovação financeira, muitas vezes com contexto real obtido por pesquisa em fontes abertas, e que exigem que o treinamento cubra os sinais específicos desse vetor dentro da rotina daquele time.

O time de TI enfrenta um paradoxo. A familiaridade técnica gera uma confiança que pode trabalhar contra a segurança. Ataques direcionados a profissionais de infraestrutura usam o vocabulário certo, simulam alertas de sistemas conhecidos e exploram a tendência de quem trabalha com tecnologia de presumir que sabe identificar o que é legítimo. Muitas vezes não sabe, porque o ataque foi construído para isso.

A liderança é alvo de ataques altamente personalizados, com pesquisa prévia extensiva em fontes abertas, que exploram o acesso privilegiado e a autoridade decisória de quem está no topo do organograma. Um executivo que autoriza uma ação com base em uma comunicação cuidadosamente fabricada não cometeu um erro de julgamento comum. Foi vítima de um ataque sofisticado que a maioria dos controles técnicos não está posicionada para capturar.

Treinamento eficaz é aquele que faz sentido para quem recebe, dentro da realidade do trabalho daquela pessoa. Tudo que for além disso é check de conformidade, não proteção real.

O que acontece quando errar tem custo alto

Existe um elemento que determina se um programa de conscientização funciona ou não, e que raramente aparece nas discussões sobre o tema. O que a organização faz quando alguém erra.

Se um colaborador clica em um phishing simulado e sente que vai ser exposto, cobrado ou tratado como o responsável por um problema, ele aprende uma coisa com rapidez. Passa a esconder quando algo suspeito acontece. Esse reflexo, num incidente real, é catastrófico. A diferença entre um ataque contido nas primeiras horas e um incidente que se expande por dias é, na maioria das vezes, a velocidade com que alguém reportou.

Organizações que constroem um ambiente onde reportar é o comportamento esperado e reconhecido, onde o colaborador que apontou algo suspeito recebe retorno positivo e não silêncio constrangedor, essas organizações têm respostas a incidentes mais rápidas e danos mais controlados. Não porque o time de segurança seja mais competente. Porque recebem as informações a tempo de agir.

Isso não se constrói com política escrita. Se constrói com consistência. Com a forma como o time de segurança responde quando alguém chega com uma dúvida. Com a postura da liderança quando um incidente é comunicado antes de virar catástrofe.

A LGPD nesse contexto

A Lei Geral de Proteção de Dados não cita treinamento de forma explícita, mas o artigo 6º estabelece o princípio de accountability. Não basta estar em conformidade, é preciso demonstrar que medidas técnicas e administrativas foram adotadas para proteger dados pessoais. Um programa de treinamento documentado, com registros de periodicidade e escopo, compõe essa demonstração.

A ANPD intensificou sua atuação ao longo de 2024 e 2025, e a ausência de evidências de capacitação tem aparecido como agravante em autos de infração. Além disso, a responsabilidade civil por vazamento de dados é objetiva na LGPD, independe de culpa provada. Demonstrar que a organização investiu em conscientização é, também, uma linha de defesa jurídica concreta.

Como a BrownPipe atua nessa frente

A BrownPipe desenvolve programas de treinamento e campanhas de phishing simulado customizadas para a realidade de cada cliente. O ponto de partida não é um catálogo de módulos genéricos. É o entendimento do perfil da organização, dos vetores mais relevantes para o setor e das funções que concentram maior exposição.

Não são disparos genéricos em massa. São mensagens elaboradas com base no perfil da organização, no setor em que atua e nas funções mais expostas. O objetivo não é gerar um relatório de taxa de clique. É identificar onde a equipe está vulnerável antes que um atacante identifique isso primeiro, e entregar um aprendizado que muda o comportamento dos colaboradores.

Se sua empresa quer estruturar ou revisar o programa de conscientização, nossa equipe está disponível para analisar o cenário e recomendar a abordagem mais adequada.

Entre em contato com a BrownPipe

Conteúdo produzido pela equipe da BrownPipe. Fontes: Verizon DBIR 2025, Check Point Research 2024, Fortinet Security Awareness and Training Global Research Report 2025.