Imagine que, para além de reforçarmos as barreiras digitais, investimos mais na formação, motivação e compreensão das pessoas que estão por trás do teclado ou do ecrã. Este paradigma é o guião para a Gestão do Risco Humano (Human Risk Management ou HRM): não culpabilizar, mas capacitar a equipa para se tornar um forte escudo contra os ciberataques.
O que é a gestão dos riscos humanos e porque é que é vital?
A gestão dos riscos humanos (GRH) consiste em identificar, medir e atenuar os riscos associados ao comportamento das pessoas num ambiente tecnológico. É um processo holístico que não só fornece formação, mas também aplica análises para quantificar o risco individual e propor acções personalizadas.
De acordo com diferentes fontes, entre 80% e 95% das violações de segurança são causadas por erro humano (palavras-passe fracas, roubo de identidade, etc.). Mesmo que não especifiquemos os números, não há dúvida de que a gestão do risco humano deve ser uma parte fundamental de qualquer estratégia avançada de cibersegurança.
A abordagem comportamental da gestão do risco humano
Ao contrário dos programas tradicionais de sensibilização para a cibersegurança, que oferecem conhecimentos mas não garantem mudanças sustentáveis de comportamento, a GRH aplica princípios da psicologia e do comportamento humano: análise contínua, microconteúdos adaptados a cada perfil, feedback em tempo real, reconhecimento das boas práticas e redefinição de processos.
O objetivo é que os colaboradores não se sintam vigiado, mas sim parte ativa da ciberdefesa: as suas acções fornecem dados que alimentam um ciclo de melhoria constante, para reforçar a segurança da organização.
Benefícios da GRH
As empresas que integram as ferramentas de gestão dos riscos humanos constatam rapidamente benefícios mensuráveis. Os comportamentos seguros melhoram, os cliques em emails de phishing são reduzidos, os relatórios de incidentes aumentam… A própria equipa torna-se um promotor interno de boas práticas, o que ajuda a promover uma cultura proativa contra possíveis ameaças.
Além disso, as métricas fornecidas por estas ferramentas permitem aos gestores tomar decisões estratégicas, como formação específica, revisão de processos críticos ou reforço de áreas vulneráveis.
Desafios e recomendações
1.- Mudar a narrativa interna. É necessário deixar para trás a ideia de que as pessoas são o problema e concentrar-se na formação e nas ferramentas corretas, de modo a torná-las na melhor proteção.
2. – Adotar uma solução comportamental. A implementação de uma ferramenta especializada de gestão de recursos humanos ajusta a formação à situação real e ajuda a reduzir a carga de trabalho da equipa de segurança.
3.- Medição e controlo contínuo. A gestão dos riscos humanos exige um acompanhamento e uma adaptação constantes e não acções pontuais. Trata-se de uma maratona e não de um sprint.
4.- Respeito pela privacidade. Os dados recolhidos devem ser geridos de forma transparente e em conformidade com os regulamentos correspondentes. Recordemos que a abordagem é pedagógica e não punitiva.
5.- Envolver a direção e os Recursos Humanos. A GRH não pode ser um esforço isolado do departamento de TI. Requer o envolvimento de toda a organização para gerar campanhas empáticas e que apoiem coerentemente a cultura de segurança.
Em suma, a gestão dos riscos humanos é uma evolução necessária nas políticas de cibersegurança das empresas. Não basta implementar camadas tecnológicas: é necessário criar uma cultura de segurança ativa em que a sua equipa compreenda o seu papel, esteja motivada e aja em conformidade.
