Em um cenário em que o volume de dados é crescente e as falhas humanas continuam sendo uma das principais vulnerabilidades, a Eletrobras tem buscado fortalecer suas defesas com foco na análise de comportamento dos usuários. Durante o Security Leaders Rio de Janeiro 2025, o gerente executivo de Operações de Cibersegurança e TI da companhia, Mauricio Britto, apresentou a estratégia adotada para mitigar riscos internos e identificar potenciais incidentes antes que eles gerem danos significativos.
A jornada da Eletrobras passa pela necessidade de entender o comportamento de seus usuários em atividades cotidianas que, muitas vezes, escondem riscos operacionais. “As pessoas têm dias bons e dias ruins. Às vezes, num momento de distração, clicam em um link malicioso ou compartilham informações sensíveis sem perceber o impacto. O desafio é lidar com essa imprevisibilidade humana”, explicou o executivo no palco do Security Leaders.
A parceria com a Proofpoint tem sido essencial na jornada da Eletrobras. Segundo Tiago Figueiredo, Senior Sales Engineer da Proofpoint, um estudo recente da companhia indicou que mais de 60% dos incidentes envolvendo dados sensíveis são causados por usuários considerados “descuidados”. As áreas mais críticas identificadas são RH, finanças e suporte – setores que lidam com grandes volumes de informações confidenciais. “Isso mostra a importância de ter uma abordagem de cibersegurança centrada no comportamento humano”, reforça o executivo.
Conscientização
Mauricio Britto destacou ainda que a visibilidade do comportamento do usuário, associada a indicadores de risco, permite à organização antecipar ações e reforçar a proteção de dados. “Se conseguimos identificar padrões anômalos de acesso ou atividade, podemos agir com base em sinais prévios, evitando o vazamento de informações”, afirmou.
A estratégia de conscientização é um pilar central. O executivo defende que campanhas contínuas e com graus variados de dificuldade são mais eficazes. “Começamos com treinamentos básicos, depois evoluímos. Quando os desafios aumentam, mais pessoas são impactadas. Esse tipo de repetição, com intensidade crescente, tem se mostrado eficiente para transformar o comportamento”.
Outro ponto relevante foi a criação de um canal único para reporte de incidentes. O objetivo é retroalimentar o sistema de governança e fortalecer a cultura de segurança entre os colaboradores. “Esse canal facilita o aprendizado e torna os próprios usuários parte ativa da proteção”, acrescentou.
Classificação e risco
A Eletrobras também implementou tecnologias de prevenção contra perda de dados (DLP), mas Britto alerta: tecnologia sem contexto não é suficiente. “A classificação dos dados é fundamental, mas é preciso ir além. Precisamos entender a intenção por trás da ação do usuário. Um comportamento arriscado pode ser acidental, mas não deixa de ser um risco”, reforçou.
Nesse sentido, indicadores de comportamento ganham protagonismo. “A ideia é identificar não apenas ações maliciosas, mas hábitos cotidianos que, mesmo não intencionais, contrariem as políticas da companhia e exponham a organização a ameaças”, finaliza Britto.
