Linkedin Youtube Instagram
Faça parte
Linkedin Youtube Instagram

O paradoxo da segurança: Quando o orçamento existe, mas a cultura bloqueia a transformação

fevereiro, 2025‎ ‎ ‎ |

‎Por José Frazão

Imagine uma empresa que dispõe de um orçamento generoso para segurança da informação, mas continua vulnerável a ataques cibernéticos. Seus sistemas são modernos, suas ferramentas são de ponta, e as auditorias apontam conformidade com as principais regulamentações. Mesmo assim, falhas críticas continuam acontecendo.

Esse fenômeno, que pode parecer um paradoxo, é mais comum do que se imagina. A segurança da informação não depende apenas de tecnologia ou investimento, mas, sobretudo, de cultura organizacional. Sem um alinhamento entre processos, comportamento humano e estratégia corporativa, o orçamento, por maior que seja, torna-se ineficaz. É imprescindível que os riscos cibernéticos, assim como as ações para mitigá-los, sejam responsabilidade do board da empresa. Já passou o tempo em que apenas contratar um gerente, direcionar um orçamento e não oferecer suporte político dentro da organização ainda gerava algum efeito duradouro.

O mito do orçamento como solução única

Durante anos, as empresas acreditaram que investir mais em segurança cibernética resultaria automaticamente em maior proteção. Sem apoio político na aprovação e execução das estratégias de gestão de riscos cibernéticos, falta o que, para mim, é a parte mais importante: o suporte na negociação de conflitos e na garantia de que o programa avance sem atrasos ou, em casos mais críticos, sem ser impedido. É, no mínimo, contraditório que exista um orçamento aprovado e que os próprios executivos que o validaram se posicionem contra o desenvolvimento do programa.

De fato, os números indicam um aumento significativo nos orçamentos dedicados à área. De acordo com a Gartner, os gastos globais com segurança da informação estão projetados para atingir US$ 183,9 bilhões em 2024, representando um aumento em relação aos US$ 162,1 bilhões estimados para 2023. Além disso, espera-se que esses gastos continuem crescendo, alcançando US$ 212 bilhões em 2025, o que representa um aumento de 15,1% em relação a 2024.

No entanto, a realidade mostra que esse investimento nem sempre se traduz em eficácia. Um estudo da PwC revelou que 75% dos executivos de grandes empresas afirmam ter investido significativamente em segurança cibernética nos últimos cinco anos, mas ainda enfrentam desafios críticos na proteção de seus dados.

Se os recursos estão disponíveis e as tecnologias são implementadas, por que tantas empresas continuam vulneráveis? A resposta está na cultura organizacional.



O papel da cultura na segurança da informação

A segurança não é apenas um problema técnico; ela é um comportamento coletivo. Sem uma mentalidade de segurança enraizada na organização, até mesmo os sistemas mais avançados podem falhar. Três grandes barreiras culturais explicam esse paradoxo:

Segurança como obstáculo, e não como facilitador

Muitas empresas ainda enxergam a segurança da informação como um fator limitante, uma barreira à agilidade e à inovação. Esse mindset gera resistência interna, principalmente entre equipes de desenvolvimento e negócios, que veem as políticas de segurança como burocráticas e desnecessárias.

Em sua obra The Phoenix Project (2013), Gene Kim ilustra esse conflito ao mostrar como times de TI e segurança frequentemente entram em atrito com áreas de negócios, resultando em um ambiente onde a segurança é deixada de lado em prol da velocidade.

Situação hipotética: Um banco investiu milhões em um novo sistema de autenticação multifator, mas encontrou resistência de clientes e funcionários, que consideraram o processo “complicado demais”. O resultado? Muitos optaram por métodos alternativos menos seguros, anulando o benefício da nova tecnologia.

Falta de responsabilização e envolvimento da alta gestão

Um erro comum em muitas organizações é considerar a segurança da informação uma responsabilidade exclusiva da equipe de TI. Sem o envolvimento ativo da alta gestão, a segurança se torna um problema isolado, sem impacto real na cultura corporativa. Por se tratar de um risco que pode não se materializar imediatamente, muitos líderes optam por seguir adiante sem enfrentar negociações difíceis ou promover mudanças culturais, temendo que isso afete seu prestígio organizacional. No entanto, essa abordagem não fortalece a resiliência da empresa**.** A McKinsey, em seu artigo “Resoluções de ano novo em tecnologia para 2023”, ressalta a importância de os líderes empresariais estarem diretamente engajados nas iniciativas de tecnologia e segurança para maximizar o valor e a proteção da organização. Isso reduz as chances de violações de dados significativos, e ocorre porque, quando a segurança é tratada como um valor estratégico e não apenas um requisito técnico, ela passa a ser incorporada em todas as decisões organizacionais.

Exemplo real: Uma grande empresa de tecnologia sofreu um vazamento de dados sensível porque a diretoria ignorou repetidos alertas do time de segurança sobre vulnerabilidades no sistema. O incidente poderia ter sido evitado se a segurança fosse tratada como uma prioridade em nível executivo.

Comportamento humano e o elo com a segurança

Por mais avançados que sejam os sistemas, o fator humano continua sendo o maior risco para a segurança da informação. O Verizon Data Breach Investigations Report revelou que 74% das violações de dados envolvem o elemento humano, incluindo erros, uso indevido de privilégios, uso de credenciais roubadas ou engenharia social. Esses riscos muitas vezes se materializam devido à falta de treinamento adequado ou porque alguns profissionais preferem acreditar que a segurança é um exagero, que ela atrapalha o trabalho e a sua relação com os clientes da área. No livro Click Here to Kill Everybody (2018), Bruce Schneier enfatiza que, embora a tecnologia seja fundamental para a segurança, ela não é suficiente por si só. Ele argumenta que a segurança eficaz requer uma combinação de tecnologia robusta e usuários bem treinados. Schneier observa que muitas empresas investem significativamente em ferramentas de segurança, mas frequentemente negligenciam o treinamento adequado de seus funcionários para lidar com ameaças cotidianas, o que pode comprometer a eficácia dessas medidas de segurança. É comum que lideranças escolham profissionais que não reportam os problemas de forma objetiva e sem propor ações concretas. Isso pode criar a ilusão de um dia a dia mais tranquilo, enquanto o status quo da insegurança é mantido.



Como superar as barreiras culturais e transformar a segurança

Para que o investimento em segurança seja eficaz, as empresas precisam ir além da tecnologia e trabalhar mudanças culturais profundas. Algumas estratégias podem ajudar nesse processo:

Reposicionar a segurança como um habilitador, não um obstáculo

A segurança precisa ser comunicada pelo board como um fator de competitividade e longevidade e proteção da estratégia, e não como um entrave à inovação. Levando muitos líderes e equipes de segurança ao burnout e até mesmo a encurtarem sua permanência nas organizações por se verem isolados politicamente e aguentando sozinhos todas as cobranças. Para reverter esta realidade é urgente integrar segurança desde as primeiras fases de qualquer projeto e garantir que as políticas de proteção sejam flexíveis, adaptáveis e voltadas para a experiência do usuário.

Adoção do DevSecOps: Incorporar segurança no ciclo de desenvolvimento de software, garantindo que proteção e agilidade caminhem juntas.

Exemplo: Empresas como Google e Microsoft implementam DevSecOps para garantir que suas equipes de desenvolvimento criem produtos seguros desde o início, sem comprometer a velocidade da entrega.

Engajar a liderança no processo de segurança

A segurança precisa ser um compromisso de toda a organização, começando pela alta gestão. Líderes empresariais devem:

  • Participar de reuniões estratégicas sobre segurança
  • Incluir métricas de segurança nos indicadores de desempenho da empresa
  • Promover uma cultura de responsabilidade compartilhada

Exemplo: Empresas do setor financeiro, como o JPMorgan Chase, exigem que executivos participem ativamente de treinamentos de segurança, reforçando a importância do tema em toda a organização.

Criar uma cultura de conscientização contínua

Treinamentos periódicos, campanhas educativas e simulações de ataques cibernéticos ajudam a transformar a segurança em um hábito. A ideia não é apenas ensinar regras, mas mudar comportamentos.

Adoção de gamificação: Empresas como IBM utilizam jogos e simulações para engajar funcionários em treinamentos de segurança, tornando o aprendizado mais eficaz.

Medir e ajustar constantemente

A segurança da informação não é estática. É fundamental medir continuamente o impacto das políticas adotadas e ajustá-las conforme necessário. Empresas devem realizar auditorias regulares, testes de penetração e análise de métricas para garantir que a cultura de segurança esteja sendo absorvida.

Em suma, o paradoxo da segurança reside na crença de que mais investimento significa automaticamente mais proteção. Na realidade, sem uma cultura organizacional que valorize a segurança, qualquer orçamento pode se tornar ineficaz.

Empresas que entendem que segurança é um processo cultural e estratégico, e não apenas um conjunto de ferramentas tecnológicas, estão melhor preparadas para enfrentar desafios cibernéticos. Afinal, a verdadeira transformação acontece quando segurança deixa de ser um custo e passa a ser um valor.

José-Frazão

CONSELHEIR@

José Frazão

José Frazão é um executivo de cibersegurança com mais de 10 anos de experiência como CISO, reconhecido por sua visão estratégica e atuação na transformação de programas de segurança, desenvolvimento de talentos e fortalecimento da cultura de segurança.

Atuou como CISO e Gerente de Segurança da Informação em empresas como Capgemini, SPC e RDI / Capgemini, conduzindo projetos de alto impacto e fortalecendo governança, conformidade e resiliência cibernética.

Esposo de Elaine Frazão e pai de Bento e Vicente, uma criança incrível no espectro do TEA, José alia expertise técnica à gestão de pessoas e desafios organizacionais. Estuda psicologia e filosofia, acreditando que esses conhecimentos ajudam a encontrar significado em todos os momentos da jornada. Como Conselheiro da Rede Líderes Digitais, contribui para o avanço da cibersegurança e da governança digital.

Certificações: CISSP, CISM e CDPSE.

Search

Categorias

Posts Recentes

LinkedIn
Twitter
Facebook
WhatsApp
Email

, , , , ,

Quem também está com a gente

Empresas, Startups, Centros de Pesquisa e Investidores

blocoAssociados_1811-mix_01
blocoAssociados_1811-mix_02
blocoAssociados_1811-mix_03
blocoAssociados_1811-mix_11
blocoAssociados_1811-mix_04
blocoAssociados_1811-mix_10
blocoAssociados_1811-mix_09
blocoAssociados_1811-mix_08
blocoAssociados_1811-mix_07
blocoAssociados_1811-mix_06
blocoAssociados_1811-mix_05

Um ecossistema onde inovação e conexão se somam para desbloquear o potencial ilimitado da transformação digital. Faça parte!

assessoria@redelideres.com

55(11) 916091108

© 2024 Rede Líderes Digitais. Todos os direitos reservados.