Por muito tempo, a cibersegurança corporativa se apoiou em uma premissa que, à primeira vista, parece irrefutável: o usuário é o elo mais fraco — e, portanto, educá-lo seria o caminho mais eficaz para reduzir riscos. Esse raciocínio orientou investimentos, campanhas internas e agendas executivas inteiras. O problema é que, ao longo da última década, os dados deixaram claro que essa estratégia, isoladamente, não resolveu o problema.
O Verizon Data Breach Investigations Report 2025 indica que aproximadamente 68% das violações de segurança ainda envolvem algum tipo de elemento humano. Não se trata de um desvio pontual. É um padrão persistente, que atravessa setores, geografias e níveis de maturidade digital. Em outras palavras, mesmo com mais treinamento, mais comunicação e mais “consciência”, o comportamento de risco continua presente — e explorável.
Isso expõe um paradoxo relevante dentro das organizações. Quanto mais se fala sobre segurança em nível conceitual, menos se avança naquilo que, de fato, reduz o impacto dos incidentes: a construção de uma arquitetura capaz de operar independentemente da falha humana. A consciência é, por natureza, passiva. O ataque é ativo, oportunista e automatizado. Não há simetria possível nessa equação.
Esse desalinhamento não é apenas teórico. Ele se materializa na forma como a segurança é construída dentro das empresas. Em muitos ambientes, o que se vê não é uma arquitetura integrada, mas uma sobreposição de soluções pontuais — diferentes fornecedores para identidade, endpoint, rede, cloud e resposta a incidentes, operando com baixo nível de integração entre si. A cada nova demanda, adiciona-se uma ferramenta. A cada novo risco, uma nova camada. Com o tempo, forma-se uma estrutura fragmentada, difícil de operar e ainda mais difícil de interpretar.
O próprio Gartner vem alertando que a fragmentação de ferramentas é hoje um dos principais entraves para a maturidade em cibersegurança. Sem integração, não há visão consolidada do ambiente. E sem essa visão, a capacidade de resposta se deteriora exatamente no momento em que ela deveria ser mais rápida e precisa. A organização passa a conviver com múltiplos alertas, diferentes consoles e decisões descentralizadas — um cenário que aumenta a complexidade, mas não necessariamente a proteção.
Esse contexto ajuda a explicar por que tantas empresas, mesmo conscientes dos riscos, continuam expostas. Estudos de mercado mostram de forma consistente que, embora a maioria das organizações declare alto nível de conhecimento em segurança, apenas uma parcela significativamente menor possui planos de resposta a incidentes efetivamente testados, integrados e automatizados. O problema, portanto, não está no diagnóstico. Está na capacidade de execução.
A comparação com a aviação ajuda a evidenciar esse ponto com mais clareza. Um piloto comercial é treinado de forma intensiva, tem pleno entendimento dos riscos e opera sob protocolos rigorosos. Ainda assim, a segurança de uma aeronave não depende exclusivamente do julgamento humano. Ela é garantida por sistemas redundantes, automação embarcada e mecanismos que impedem ou corrigem decisões potencialmente críticas. A lógica é simples: o erro é inevitável, portanto o sistema precisa conseguir absorvê-lo.
Na maior parte dos ambientes corporativos, a lógica ainda é inversa. Espera-se que o colaborador seja a última barreira contra ameaças cada vez mais sofisticadas, enquanto os controles técnicos permanecem fragmentados e, muitas vezes, dependentes de intervenção manual. É nesse ponto que a estratégia deixa de ser segurança e passa a ser expectativa.
O avanço da computação em nuvem aprofundou esse problema. A Gartner projeta que, até o final de 2026, 99% das falhas de segurança em ambientes de cloud serão resultado de erros do próprio cliente, especialmente relacionados a configurações inadequadas. Não estamos falando de ataques altamente sofisticados, mas de exposições previsíveis, muitas vezes decorrentes de decisões tomadas sob pressão operacional, prazos curtos ou falta de governança consistente. O improviso — aquilo que nasce como exceção — acaba se tornando permanente, e com isso amplia-se a superfície de ataque.
Esse cenário revela uma fragilidade estrutural mais profunda. A segurança não falha por falta de tecnologia disponível, mas por ausência de disciplina arquitetural. Organizações que operam com múltiplas soluções desconectadas, processos pouco padronizados e baixa capacidade de orquestração acabam acumulando uma espécie de dívida técnica em segurança. E, nesse ambiente, o atacante não precisa ser sofisticado. Ele precisa apenas encontrar a brecha que já existe.
Diante disso, a discussão estratégica precisa mudar de eixo. O foco não deve estar em eliminar o erro humano — algo inviável —, mas em reduzir drasticamente a dependência dele como última linha de defesa. Isso implica avançar para modelos baseados em arquitetura, não em comportamento. Significa consolidar visibilidade, integrar camadas de proteção e automatizar a detecção e a resposta a incidentes de forma consistente e escalável.
Maturidade em cibersegurança não se mede pelo nível de consciência organizacional, mas pela capacidade de absorver falhas sem que elas se transformem em crises. Enquanto a segurança depender da atenção constante de milhares de usuários, em ambientes distribuídos e complexos, ela continuará vulnerável por definição.
No fim, a consciência continua sendo necessária. Mas ela não é suficiente. O risco não persiste por falta de aviso. Ele persiste porque, quando o erro acontece, não existe estrutura capaz de contê-lo.
É nesse espaço, entre saber e executar, que a maioria dos incidentes nasce — e é exatamente aí que a cibersegurança precisa evoluir: sair do discurso e entrar, definitivamente, no campo da engenharia.
*Por Plinio Fava, Diretor de Cybersecurity, Networking & Employee Experience da Axians Brasil.
