Compliance digital: como treinar colaboradores para evitar riscos na internet
Treinamento de compliance pode reduzir vulnerabilidades relacionadas à cibersegurança
Shutterstock
Segundo pesquisa encomendada pela Mastercard ao Instituto Datafolha, 64% das empresas brasileiras são alvo de fraudes e ataques digitais com média ou alta frequência. Embora 84% das companhias considerem a cibersegurança muito importante, em 23% delas o tema ainda não é prioridade no orçamento.
O estudo indica que, mesmo reconhecendo a relevância da segurança digital, muitas organizações ainda não estruturam políticas sobre o assunto, nem oferecem treinamento aos colaboradores.
Esse cenário se mostra preocupante, já que o fator humano exerce “grande influência na ocorrência de incidentes cibernéticos”, conforme destaca a Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais (Anbima).
Para a associação, é essencial que as empresas invistam em conscientização, capacitação e engajamento para reduzir vulnerabilidades e fortalecer a segurança da informação em todos os níveis.
O treinamento pode ser conduzido no âmbito do compliance digital, que diz respeito à conformidade legal e à governança da empresa no ambiente on-line. A prática busca mitigar riscos na internet por meio de políticas, programas e procedimentos que previnam infrações ligadas ao uso da tecnologia da informação.
“Enquanto a cibersegurança foca na defesa de dados e sistemas, o compliance digital define as regras para que essa proteção seja eficiente, ética e em conformidade com as leis e regulamentos do setor”, explica o CEO do clickCompliance, Marcelo Erthal.
Segundo ele, além de reforçar a segurança, a estratégia protege a reputação da companhia e evita prejuízos financeiros decorrentes de multas e sanções. Dados da pesquisa Digital Trust Insights 2025, da PwC, revelam que um terço das empresas brasileiras registraram perdas de, pelo menos, US$ 1 milhão em ciberataques nos últimos três anos.
Para auxiliar na realização de treinamento de compliance nas empresas, a Anbima elaborou o guia técnico de “Orientações para o treinamento de colaboradores em cibersegurança”. O documento define objetivos que devem ser adotados pelas empresas, como garantir que todos os colaboradores tenham acesso aos princípios de governança, políticas, regras e boas práticas em segurança cibernética.
A associação também orienta disponibilizar materiais atualizados e recursos que ampliem o nível de conhecimento sobre os principais conceitos da área, tipos de ameaças e técnicas utilizadas em ataques virtuais, como phishing, ransomware, malware, deepfake, cavalo de tróia, keylogger e ataque de força bruta.
Para Marcelo Erthal, pensar no engajamento da equipe é determinante para o sucesso dos treinamentos. “Um bom ponto de partida é presumir que os colaboradores não têm grande interesse inicial em aprender sobre normas e ética. A partir daí, o treinamento pode ser construído de forma mais criativa, com conteúdos separados em aulas temáticas e dinâmicas. Isso torna o aprendizado mais leve e evita a repetição de formatos que acabam não despertando a atenção da equipe.”
Segundo a Anbima, são exemplos de estratégias didáticas: aulas presenciais ou on-line, com exposição teórica, exercícios, exemplos práticos, jogos, simulações, debates e perguntas e respostas. Também são destacadas ações para incentivar e reconhecer o desempenho dos colaboradores, como programas de gamificação, que utilizam elementos de jogos, como medalhas, pontos, rankings e desafios.
Outro ponto mencionado pela associação é assegurar que todos os funcionários conheçam os procedimentos internos para reportar situações suspeitas ou potenciais ameaças, entendo como classificar as informações. Essas denúncias podem ser feitas por meio de um canal de denúncias em compliance.
Além disso, a Anbima recomenda monitorar e avaliar o desempenho e o impacto dos treinamentos na redução dos riscos e na melhoria da segurança cibernética da organização.
Práticas que devem ser adotadas pelos colaboradores
De acordo com a Anbima, para que as boas práticas de segurança cibernética sejam introduzidas ao dia a dia dos colaboradores, é fundamental que as empresas descrevam em suas políticas e regras as ações que precisam ser seguidas individual e coletivamente. A definição desses processos ajuda a padronizar comportamentos e contribui para a melhoria do desempenho organizacional na proteção contra ameaças digitais.
Entre as recomendações de práticas que devem ser adotadas está o uso restrito do e-mail corporativo apenas para atividades relacionadas à empresa, evitando cadastros em plataformas externas sem autorização prévia. Também merece atenção a criação de senhas fortes e seguras ou o uso de “frases senhas”, com pelo menos 24 caracteres, que dificultem a ação de programas automatizados usados para quebrar códigos de acesso.
Outro ponto destacado pela Anbima são os os riscos associados às redes sociais. O compartilhamento de informações pessoais ou profissionais, a exposição a conteúdos falsos ou maliciosos e a possibilidade de invasão de privacidade ou usurpação de identidade são algumas das vulnerabilidades mais comuns nesse ambiente.
A proteção de dados e a privacidade também precisam estar no centro das estratégias corporativas, especialmente diante das exigências da Lei Geral de Proteção de Dados (LGPD, n° 13.709/2018).
“A norma determina que as empresas obtenham consentimento explícito para a coleta de dados, sejam transparentes quanto à forma como as informações são utilizadas e adotem medidas de segurança para prevenir vazamentos”, explica o CEO da clickCompliance.
Além desses pontos, a Anbima reforça a necessidade de atenção ao uso de redes Wi-Fi públicas. Conexões automáticas podem facilitar o acesso de agentes mal-intencionados a dados sensíveis. A recomendação é evitar acessar informações bancárias ou inserir senhas em ambientes de internet aberta.
Os colaboradores devem, ainda, saber adotar processos de avaliação de riscos, comparando vulnerabilidades detectadas com critérios previamente estabelecidos, para identificar quais situações merecem maior atenção. Também precisam entender como classificar as informações, de acordo o processo definido nas políticas e regras da organização, indicando o nível de confidencialidade e sensibilidade dos dados.
