Por que o RH virou peça-chave na estratégia de cibersegurança das empresas?
Relatórios globais de segurança têm sido categóricos: a maior parte dos incidentes cibernéticos ainda passa pelas pessoas. O Data Breach Investigations Report (DBIR) 2025, da Verizon, um dos estudos mais completos sobre violações de dados no mundo, indica que cerca de 60% dos casos analisados envolveram algum tipo de elemento humano – desde o uso indevido de credenciais até golpes de engenharia social e erros operacionais aparentemente simples.
Quando esse tipo de dado se torna recorrente, a forma de enxergar o risco digital precisa mudar. Se decisões, distrações e hábitos cotidianos dos usuários estão na origem de boa parte dos incidentes, não faz sentido tratar cibersegurança apenas como um problema de tecnologia. Firewalls mais robustos, soluções de detecção avançada e camadas extras de autenticação continuam sendo fundamentais, mas já não são suficientes sozinhos para conter o avanço das ameaças.
A segurança hoje está diretamente ligada à maneira como as pessoas lidam, no dia a dia, com sistemas, dados e informações sensíveis. Aquele colaborador que compartilha senhas, que baixa anexos duvidosos, que ignora avisos de segurança ou que utiliza dispositivos pessoais sem cuidados básicos, passa a ser tão crítico quanto uma falha de software. A fronteira entre o “erro humano” e a vulnerabilidade técnica tornou‑se praticamente indissociável.
Essa mudança de foco também aparece em análises de mercado. Consultorias como o Gartner destacam o fator humano como um dos pilares das estratégias modernas de segurança, com ênfase especial no uso e na gestão de identidades. A mensagem é clara: o investimento em ferramentas avançadas precisa vir acompanhado de um esforço consistente para reduzir riscos ligados ao comportamento dos usuários. Em outras palavras, a tecnologia evoluiu, mas o modo como as pessoas interagem com ela continua sendo um ponto frágil no gerenciamento do risco cibernético.
Diante desse cenário, programas de conscientização em segurança da informação deixaram de ser iniciativas pontuais e se tornaram componentes estruturais das estratégias corporativas. Muitas empresas passaram a apostar em ações contínuas de educação digital: trilhas de treinamento, campanhas internas de comunicação, simulações de ataques de phishing, jogos e dinâmicas que ajudam os colaboradores a identificar ameaças e a reagir de forma adequada.
É justamente nesse ponto que Recursos Humanos ganha protagonismo.
Não se trata apenas de “dar um treinamento de segurança” uma vez por ano, mas de influenciar comportamento em escala organizacional. Programas eficazes de conscientização têm muito mais a ver com cultura, engajamento e gestão de competências do que com apresentações técnicas cheias de siglas. Estruturar jornadas de aprendizagem, medir participação, segmentar conteúdos por perfil de função, trabalhar reforços periódicos e alinhar tudo isso à experiência do colaborador são tarefas intimamente ligadas à atuação do RH.
Quando RH, Segurança da Informação e TI trabalham de forma integrada, a conscientização deixa de ser uma palestra isolada na semana da SIPAT e passa a se incorporar naturalmente ao dia a dia da empresa. A segurança começa a aparecer na integração de novos colaboradores, em campanhas internas recorrentes, em avaliações de desempenho, em políticas de home office, em critérios de promoção e até em programas de reconhecimento. O tema deixa de ser visto como “assunto do time de tecnologia” e passa a ser parte do jeito de trabalhar da organização.
O avanço das ameaças digitais e a ampliação do trabalho remoto e híbrido tornaram essa maturidade cultural ainda mais urgente. Em muitos casos, colaboradores passaram a acessar sistemas corporativos de casa, em redes pouco protegidas, utilizando dispositivos pessoais ou compartilhados com a família. Sem orientação clara e treinamento contínuo, o risco de vazamento de dados e invasões cresce de forma significativa. Nesse contexto, proteger sistemas e informações sensíveis passa, necessariamente, por capacitar pessoas para reconhecer riscos e adotar atitudes seguras em qualquer ambiente de trabalho.
Para além da conscientização, o RH também assume um papel importante na definição de perfis e responsabilidades ligadas à segurança. A forma como cargos são desenhados, como níveis de acesso são concedidos e como processos de demissão ou movimentação interna são conduzidos afeta diretamente a superfície de ataque da organização. Desligamentos mal geridos, por exemplo, podem deixar contas ativas em sistemas críticos por mais tempo do que o necessário, ampliando oportunidades para abuso de credenciais.
Outro ponto sensível é a inclusão da segurança digital na jornada de onboarding. O primeiro contato do novo colaborador com a empresa é uma oportunidade valiosa para estabelecer expectativas claras sobre o que é um comportamento seguro, quais são as políticas da companhia e como funcionam os canais de suporte e denúncia em caso de suspeita de incidente. Quando o RH incorpora esses temas desde o primeiro dia, a mensagem transmitida é de que segurança não é algo periférico, e sim parte intrínseca da função de qualquer profissional, independentemente do cargo.
Programas de desenvolvimento de liderança também podem – e devem – ser usados como alavanca de cibersegurança. Gestores que entendem o impacto de suas decisões sobre o risco digital tendem a apoiar mais fortemente as iniciativas de segurança, replicar boas práticas em seus times e reduzir resistências a mudanças de processo. Cabe ao RH incluir temas como gestão de riscos, proteção de dados, privacidade e ética digital nos treinamentos de liderança, conectando esses assuntos à estratégia de negócios e aos resultados da organização.
Há ainda uma dimensão de clima e confiança que influencia diretamente a postura dos colaboradores em relação à segurança. Ambientes em que as pessoas têm medo de admitir erros ou reportar situações suspeitas tendem a retardar a detecção de incidentes. Já culturas em que a comunicação é aberta e o erro é tratado como oportunidade de aprendizado criam condições para que os funcionários se sintam à vontade para relatar possíveis problemas rapidamente. O RH, ao atuar em pesquisas de clima, planos de ação e programas de engajamento, ajuda a construir esse ambiente mais transparente, que favorece a resposta rápida a ameaças.
Outro aspecto em que o RH se torna estratégico é na gestão da diversidade e na atração de talentos para a área de cibersegurança. A escassez de profissionais especializados é uma realidade global, e iniciativas voltadas à inclusão de mulheres, pessoas negras e outros grupos sub-representados no setor têm ganhado espaço. Ao apoiar programas de formação, trilhas de capacitação e políticas de recrutamento focadas em ampliar a base de talentos em segurança, o RH contribui diretamente para reduzir o gap de profissionais qualificados.
Além disso, o desenho de políticas de trabalho flexível, BYOD (bring your own device) e uso de ferramentas colaborativas também precisa ser pensado em conjunto com a área de segurança. Decisões sobre quais modelos de trabalho serão adotados, como será o suporte a colaboradores remotos, quais aplicações de comunicação serão permitidas e como serão tratadas as exceções devem considerar desde o início o impacto sobre a proteção de dados. O RH, ao participar dessas decisões, ajuda a equilibrar bem-estar, produtividade e redução de riscos.
Por fim, a inclusão de critérios de segurança em processos de avaliação e reconhecimento reforça a mensagem de que o tema é prioritário. Metas individuais e de equipe podem contemplar indicadores como participação em treinamentos, redução de incidentes causados por descuido, adesão a políticas de senha e atualização de dispositivos. Campanhas que valorizam publicamente comportamentos seguros – como o reporte responsável de tentativas de phishing – contribuem para tornar a segurança um valor vivido, e não apenas um discurso formal nos documentos internos.
O papel do RH na cibersegurança, portanto, vai muito além de apoiar treinamentos pontuais. Trata-se de posicionar-se como parceiro estratégico na construção de uma cultura em que todos, do estagiário à alta liderança, compreendem seu papel na proteção de sistemas e informações. Em um cenário em que o elemento humano está presente em cerca de 60% das violações, ignorar essa dimensão é abrir mão de uma das alavancas mais poderosas para reduzir riscos.
À medida que as ameaças se sofisticam e o ambiente de trabalho se torna cada vez mais digital e distribuído, empresas que integram efetivamente RH, Segurança da Informação e Tecnologia tendem a estar melhor preparadas. Não apenas porque terão ferramentas modernas, mas porque contarão com pessoas capazes de usá‑las de forma consciente, responsável e alinhada aos objetivos estratégicos do negócio.