O lançamento do livro Gamificação em cibersegurança – um programa de conscientização da teoria à prática, de Vinícius Perallis, reuniu um grupo de profissionais de segurança da informação, representantes da Claro empresas, Netskope e Tenable, além de especialistas em cultura organizacional e privacidade.
O encontro, na sede da Claro Corporate, contou com a participação de CISOs, DPOs e profissionais com quem o autor conversou durante a elaboração do livro. A Claro aproveitou a oportunidade e reuniu esses experts em dois paineis. Com um tom informal e direto, foram abordados desafios e tendências emergentes com o pragmatismo de quem atua na segurança no dia a dia das organizações.
“Brincadeira” com propósito e estratégia
Baseado na experiência com projetos corporativos da Hacker Rangers, Perallis defende que “a gamificação não pode ser um recurso lúdico decorativo, mas sim uma metodologia estruturada”. “Gamificar não é brincar. É mudar mentalidades com estratégia, propósito e inteligência”, define o autor.
O livro mostra como articular áreas de segurança, RH e comunicação para estruturar campanhas contínuas, com metas individuais e coletivas e recompensas tangíveis. As dinâmicas propostas ajudam a reduzir comportamentos de risco motivados por impulso ou constrangimento social. “Funcionamos muito por impulso. Um bom caminho é trabalhar a noção de pertencimento”, observou Juliana D’Addio, estrategista de cultura de segurança do Santander. Por exemplo, a probabilidade de se compartilhar uma senha por constrangimento individual se reduz quando essa atitude tem a reprovação do grupo.
Durante o painel no evento de lançamento, Samanta Oliveira, DPO do Mercado Livre, também apontou que treinamentos coercitivos geram desgaste, enquanto a gamificação pode engajar com inteligência emocional e propósito coletivo.
“Este livro não é apenas um manual operacional, é um convite inspirador e generoso para que você também transforme cultura em proteção, engajamento em resultados tangíveis, e responsabilidade individual em uma defesa coletiva forte e resiliente”, comentou Samanta, na contracapa do livro. “Ao longo das páginas, Vinícius nos conduz por uma jornada bem estruturada: desperta consciência, estimula o engajamento e oferece caminhos reais de transformação”, escreveu Juliana.
Em vez de limitar a comunicação a palestras de auditores, materiais de “leitura obrigatória” e testes de “decoreba”, o jogo coloca o usuário diante de situações reais, em que precisa aplicar com critério o conhecimento adquirido no conteúdo das trilhas.
Além da amplitude e diversidade do público que passa a dedicar mais atenção às mensagens, os gestores ganham visibilidade sobre como as estratégias são entendidas e praticadas, inclusive nos microprocessos. É possível constatar os eventuais gaps na comunicação, os riscos e sinalizações de correções necessárias.
Mais do que levar os usuários a rever espontaneamente as mensagens, por meio de um app atrativo e divertido, o storytelling e os desafios relacionam o aprendizado a decisões e procedimentos do dia a dia do trabalho e até da vida pessoal.
Percepção de resultado muda atitude com riscos
Assim como se mede a produtividade de um centroavante, normalmente os bônus e reconhecimento das organizações são ligados a metas de entrega. É incomum, todavia, a premiação por uma grande defesa; por uma precaução que evitou uma “goleada” (um grande incidente, no caso). O jogo mitiga esse desequilíbrio, com um sistema de recompensas à sensatez.
“Segurança não se constrói com palestras ou medindo quantos clicaram em um phishing”, adverte Perallis, em um dos trechos do livro.
Para além do aprendizado, a abordagem proposta no livro oferece métricas concretas de engajamento. Ao simular situações do cotidiano, o jogo permite aos gestores detectar lacunas de comunicação e oportunidades de ajustes nas políticas internas. “Este livro apresenta uma proposta inteligente, ética e eficaz. Com base em vivências práticas, ele propõe uma nova abordagem”, comentou Denis Nesi, CISO da Claro.
A construção de uma cultura consequente de cibersegurança e proteção de dados pode se tornar uma referência para outros aspectos de ESG. As regras e controles ganham sentido e propósito, o que faz as pessoas se sentirem menos “obrigadas” do que gratificadas ao praticar as melhores condutas.
Segurança em escala: a arquitetura unificada
“Enquanto os times de segurança têm de cobrir diversos pontos de conexão, proteger os dados e prevenir a engenharia social, ao atacante basta uma vulnerabilidade para ganhar o dia”, advertiu Paulo Martins, diretor de segurança para B2B da Claro empresas.
Ao mesmo tempo em que o fator humano ganha novas abordagens, as empresas continuam a enfrentar riscos tecnológicos cada vez mais complexos. A demanda por proteção de dados em ambientes amplos, heterogêneos e críticos exige soluções consolidadas. “As empresas vão se conectando com vários provedores e parceiros, a ponto de se perder o controle”, constatou Martins. Nesse contexto, soluções como SASE (Secure Access Service Edge) e SSE (Security Service Edge) ganham protagonismo ao permitir a gestão unificada da segurança de redes, acessos, aplicações e dados em nuvem.
Martins também lembrou que segurança em operações críticas – em ecossistemas heterogêneos, com proteção de dados sensíveis e em larga escala – é uma premissa essencial da própria atuação da Claro empresas. “Tudo que o Denis (CISO da Claro) pesquisa, desenvolve e implementa é estendido aos clientes. Temos ainda o desafio de fazer com que as arquiteturas de segurança se traduzam em vantagens competitivas em cada contexto de negócio”, disse.
A abordagem consolidada e abrangente do SASE habilita as áreas de produtos, desenvolvimento ágil e TI a acelerar os ciclos de inovação e aproveitar as melhores condições de custo, com mecanismos de proteção e controle adaptativos e confiáveis, segundo Martins.
Por vários fatores, as demandas de segurança têm um aumento exponencial em termos de escala, complexidade e ritmo. O acesso remoto é estendido quase à totalidade dos funcionários; aplicações são abertas a terceiros; e a nova geração de serviços digitais envolve APIs entre os diversos elos das modernas cadeias de valor.
Nesse contexto, Martins salientou que soluções segregadas se tornam praticamente inviáveis, tanto por questões de funcionalidades quanto de gerenciamento. “Abordagens como conexão por VPNs são complexas, tanto para os usuários quanto para os gestores, e se cair nas mãos erradas podem agravar os riscos. Outro ponto é que as empresas trabalham com vários tipos de aplicação, do legado aos novos serviços em nuvem. Com as soluções de SASE e SSE, trabalhamos todos os aspectos de segurança em uma única plataforma. A proteção abrange todas as aplicações e, como é em nuvem, fica mais fácil escalar”, argumentou.
IA e os novos pontos cegos
Um dos pontos críticos do debate foi o impacto da inteligência artificial nos modelos de proteção. Denis Nesi, CISO da Claro, identificou três áreas que requerem atenção imediata: automação, uso de modelos de terceiros e governança de dados. “Precisamos de um framework que dê visibilidade a isso tudo”, alertou.
Robson Costa, diretor de riscos e cibersegurança da Azul Linhas Aéreas, contou que a companhia optou pela construção de um modelo proprietário, o Azul GPT. “Impedimos o acesso a ferramentas públicas, principalmente para não ter riscos à privacidade dos clientes”, justificou.
A presença de IA no ambiente corporativo, se por um lado contribui com detecção de ameaças e aceleração de processos, por outro amplia o risco de vazamentos, usos indevidos e zonas cinzentas de regulação.
A conjunção entre estratégias de conscientização gamificadas e arquiteturas técnicas robustas sugere um novo caminho para a cibersegurança nas empresas: mais próxima das pessoas, mais integrada aos negócios e mais preparada para os desafios da nova era digital.
