Hoje de manhã, rolando o feed do Instagram, me deparei com uma cena que resume bem o problema cultural que vejo em muitas organizações. Um advogado, aparentemente bem sucedido, gravou um vídeo altamente didático ensinando sua rede a compartilhar o token do sistema PJE com estagiários. Passo a passo. Na maior naturalidade.
Não era um “vazou sem querer”. Era um conteúdo intencional, quase um tutorial: “como driblar o controle de = acesso para facilitar sua rotina”. E o mais inquietante não foi só o vídeo em si, mas a forma como isso é apresentado como algo normal, esperto, eficiente.
Esse exemplo é perfeito pra ilustrar uma coisa que vejo o tempo todo: não adianta falar em tecnologia de segurança, frameworks e resiliência cibernética se, na prática, a cultura segue enxergando controles como obstáculos a serem contornados. A gente pode ter MFA, criptografia, segmentação, logs… mas se a mentalidade é “como faço para burlar isso sem ser pego?”, a casa segue vulnerável.
Quando eu entro em empresas logo após um incidente, quase nunca encontro uma única grande falha técnica isolada. O que aparece, em geral, é um conjunto de pequenas concessões culturais que vão se acumulando ao longo do tempo: “Deixa esse acesso a mais só pro fulano, ele precisa resolver rápido.” “Passa tua senha pro ciclano, é só hoje.” “Esse token fica com o estagiário, ele que faz tudo mesmo.”
O vídeo do advogado, no fim das contas, é só uma versão explícita do que acontece veladamente em muitos ambientes. E é aí que a cultura sabota a própria segurança. Quando uma figura de referência ensina publicamente a compartilhar um token de acesso a um sistema crítico, ela está comunicando, ainda que não perceba, algumas mensagens perigosas:
- Que acesso é delegável por conveniência, não por responsabilidade.
- Que o sistema é um empecilho à produtividade, não uma proteção.
- Que regras são maleáveis se você “souber o caminho”.
Agora, transporta isso pra dentro de uma empresa. Não adianta esperar resiliência se a lógica interna é a mesma: “como é que a gente dá um jeito?”. Resiliência cibernética não nasce de ferramentas, nasce de uma decisão coletiva de levar a sério o impacto de um abuso de acesso, de um compartilhamento indevido, de um “atalho” perigoso.
Do ponto de vista humano, eu entendo por que isso acontece. A pressão por produtividade é real. Prazos apertados, clientes cobrando, sistemas pouco intuitivos, autenticações que parecem atrapalhar mais do que ajudar. A tentação de “facilitar” é grande, especialmente em ambientes hierarquizados onde quem manda define o padrão – e o resto segue.
E aí entra uma frase atribuída a Peter Drucker que se aplica perfeitamente à segurança da informação: “A cultura devora a estratégia no café da manhã.”;
Não importa o quão bem desenhada esteja a sua estratégia de segurança, se a cultura do dia a dia for de atalho, gambiarra e “depois a gente vê”, os controles acabam sendo desmontados por dentro. Pode existir política, norma, playbook, comitê… mas o que realmente vale é o que é aceito, incentivado e, muitas vezes, ensinado informalmente, como naquele vídeo.
Nas organizações onde vejo avanços reais em resiliência, o movimento é outro. Em vez de ensinar a burlar, líderes passam a:
- Dar o exemplo em cima de acesso e credencial: ninguém compartilha senha, token ou login. Nem “só hoje”.
- Tratar segurança como parte da entrega, não como algo separado da área técnica ou jurídica.
- Abrir espaço pra melhorar o fluxo de trabalho sem gambiarra: se o processo está atrapalhando demais, ajusta o processo – não derruba o controle.
- Falar abertamente sobre incidentes e quase-incidentes, pra aprender com o que quase deu errado antes que vire manchete.
Mais do que políticas e normativas, o que pesa é o que é aceito e incentivado no dia a dia. Um vídeo ensinando a compartilhar token de sistema crítico não é só um “conteúdo infeliz”: ele é um sintoma. Mostra como ainda é comum tratar segurança como detalhe técnico, não como parte da responsabilidade profissional.
Se eu tivesse que resumir a provocação deste texto, seria assim: resiliência cibernética começa quando a gente para de achar normal o que é claramente arriscado.
Talvez valha se perguntar, olhando pra sua realidade hoje:
- Quais são os “tokens compartilhados” da sua organização, mesmo que não se chamem token?
- Quem, na prática, ensina o padrão cultural: o documento de segurança ou o comportamento das lideranças?
- Que tipo de conteúdo a sua empresa geraria se alguém resolvesse “ensinar um atalho” nas redes sociais?
Porque, no fim, a tecnologia faz parte da defesa. Mas é a cultura que define se ela vai ser usada como proteção ou como barreira a ser derrubada por dentro.
