Por Priscila Meyer — CEO da Eskive, especialista em segurança da informação com foco no risco humano

Nos últimos tempos, vimos uma sequência de incidentes de cibersegurança — incluindo no setor bancário e em órgãos públicos ligados ao Governo Federal — que tiveram como ponto de partida ações voluntárias ou involuntárias de agentes internos. Foi a partir dessa aparente “tendência” que eu desenvolvi uma pergunta simples, mas que me tirou o sono por bastante tempo pensando em sua complexidade: afinal, é possível conscientizar pessoas de má índole?

A resposta não cabe em um simples “sim” ou “não”. Ela exige que deixemos de tratar o problema como um bloco homogêneo e passemos a olhar para perfis, vieses e contextos. O mercado costuma usar a palavra insider como se fosse um rótulo único — na prática, são realidades bem distintas. Elas se dividem em pelo menos três grupos: o criminoso convicto; o colaborador aliciado; e o colaborador coagido. Cada um deles nasce (ou se encontra) em circunstâncias diferentes e, portanto, pede estratégias diferentes.

O insider (realmente) malicioso

O primeiro grupo — o criminoso convicto — reúne aqueles cujo comportamento é, em essência, mal-intencionado. Aqui, nem o melhor programa de conscientização terá poder de “conversão”: esses indivíduos procuram oportunidades para causar dano e raramente são impedidos por apelos éticos. Claro, a resposta ideal para esse perfil seria mantê-lo fora da organização, mas não é fácil identificar tais indivíduos, não é mesmo?

Dessa forma, a solução tem menos a ver com campanhas educativas e mais com desenho de sistemas, controles rigorosos e detecção precoce: limitar oportunidades, segmentar acessos, monitorar padrões e isolar riscos. Muitas empresas já contam, felizmente, com departamentos inteiros dedicados a identificar de forma antecipada eventuais ações fraudulentas de sua própria equipe, tal como realizar um “pente fino” antes da contratação.

O insider psicologicamente manipulado

O segundo grupo é composto por colaboradores aliciados. Não são necessariamente pessoas “más”, mas sim cidadãos comuns, às vezes até mesmo de boa índole, que são persuadidos a colaborar com atos ilícitos por promessas, gratificações ou pela banalização do risco (“não vai dar em nada”). É nesse ponto que a teoria econômica e a psicologia nos ajudam a entender porque a conscientização tradicional às vezes falha.

Gary Becker, vencedor do Nobel, escreveu a Teoria Econômica do Crime, sobre como decisões que chamamos de “crimes” costumam ser decisões resultantes de um cálculo racional sobre custos e benefícios — ele mesmo contou o exemplo de decidir estacionar em local proibido quando o custo percebido de uma multa parece menor que o benefício imediato de chegar a tempo.

Do outro lado, Dan Ariely mostrou que o comportamento desonesto é muitas vezes previsível e sensível ao contexto: pequenas oportunidades de racionalização, quando repetidas, ampliam a tolerância da pessoa a transgressões. Ou seja: não é só ter informação; é reduzir incentivos, tornar as consequências claras e cortar as justificativas fáceis.

Tudo isso se encaixa perfeitamente no contexto socioeconômico que estamos vivendo, sobretudo no Brasil. Muitas pessoas não possuem uma renda compatível com as suas necessidades e o crime organizado sabe muito bem disso. Uma ideia plantada aqui, uma facilitação inserida ali e pronto: o cenário está propício para que o profissional aliciado se torne convicto de que vale a pena cometer a transgressão por uma recompensa financeira.

O insider que também é vítima

O terceiro e último perfil — talvez o mais desafiador eticamente falando — é o do colaborador coagido. Ele age sob ameaça, chantagem ou pressão de atores externos. Criminalizá-lo sem investigar o contexto é um erro duplo: além de injusto, é contraproducente, pode empurrar outras pessoas vulneráveis para o silêncio. É por isso que, em muitos casos, a “conscientização” precisa caminhar junto com canais seguros de denúncia, apoio psicológico e medidas que diminuam a exposição do colaborador a riscos externos.

Esses três perfis que acabamos de falar se relacionam intimamente com o que, na criminologia, é o que o criminologista Donald Cressey chamou de Triângulo da Fraude: pressão, oportunidade e racionalização. O primeiro lado desse triângulo — pressão — significa os motivos que empurram alguém, como dívidas, vícios e ambição. O segundo — oportunidade — é a brecha técnica ou processual que permite o ato, como controles fracos, acessos desnecessários, supervisão ineficiente. E o terceiro — racionalização — é o mecanismo mental que permite à pessoa convencer a si mesma de que o ato “não é tão grave” ou que “todo mundo faz”.

É quando esses três elementos se encontram que a fraude acontece; por isso, a nossa resposta precisa desmontar esse triângulo em cada vértice.

Se conscientizar não é o suficiente, o que fazer?

Na prática, isso implica ações integradas, não uma lista de boas intenções. Controles técnicos e arquitetura de identidade reduzem a oportunidade; programas de assistência a empregados e processos transparentes de gestão reduzem a pressão; formação baseada em dilemas reais, lideranças que exemplifiquem condutas e uma comunicação que torne as consequências palpáveis reduzem a possibilidade de racionalização.

A conscientização eficaz é contínua, contextualizada e vinculada a políticas concretas — remuneração justa, revisões de acesso, processos de investigação humanizados e caminhos seguros para pedir ajuda. Tudo, é claro, acompanhado da conscientização sobre a existência dos canais de assistência e treinamentos sobre postura segura no ambiente de trabalho.

Também é preciso ajustar o foco das investigações internas. Nem todo desvio é crime intencional; alguns são sintomas de problemas mais amplos — cultural, operacional ou pessoal. Tratar uma pessoa coagida como autora desde a primeira hipótese elimina a chance de prover suporte e corrige apenas o sintoma, não a causa. Por outro lado, fingir que o problema é apenas de caráter e confiar apenas em filtros de contratação expõe a organização a surpresas: pesquisas comportamentais indicam que, sob determinadas pressões e oportunidades, qualquer pessoa pode “sair da linha”.

Uma abordagem prática e madura combina três frentes: tecnologia com desenho à prova de falhas; cultura que reduz a normalização da transgressão; e processos humanos que protejam e investiguem com justiça. Isso envolve desde o princípio do menor privilégio e segregação de funções até programas de Employee Assistance que enfrentem vulnerabilidades financeiras e emocionais. 

Envolve também exercícios de tabletop que simulam cenários de insider, integração efetiva entre Segurança, RH e Jurídico e, o mais difícil, uma liderança disposta a admitir falhas e a melhorar processos sem buscar apenas culpados.

Conscientizar “pessoas de má índole” sem essa camada extra de análise é, em muitos casos, gastar energia onde não vai gerar resultado. Mas desistir de educar e construir cultura porque alguns são irrecuperáveis é igualmente derrotista. Nossa tarefa prática é reconhecer quem pode ser influenciado — reduzindo incentivos e justificativas — e quem precisa ser contido por controles. E, acima de tudo, acolher quem pode estar agindo sob coação.

Este é um tema sensível, estudado na criminologia e na psicologia, que exige políticas profundas e realistas. A pergunta que lanço — e a que você deveria refletir bem antes de reestruturar as suas defesas internas — é simples: dentro da sua empresa, como vocês vêm destrinchando o triângulo da fraude? Onde a conscientização tem funcionado e onde ainda faltam controles ou apoio humano?

Continuar essa conversa é parte da solução; e, inclusive, ciente do aumento vertiginoso no caso de incidentes causados por insiders maliciosos, a Eskive resolveu convidar especialistas no assunto para debater tal fenômeno com os olhos de quem vive tal desafio diariamente. Aos interessados em acompanhar tal painel, vale a pena reservar o dia 14 de maio para descobrir as estratégias adotadas por profissionais experientes.