O cenário regulatório em cibersegurança tornou-se significativamente mais complexo e exigente em 2025, transformando-se de uma abordagem reativa para uma que exige resiliência contínua e proativa. Regulamentações chave como NIS2 (Diretiva de Segurança de Redes e Sistemas de Informação da UE), DORA (Lei de Resiliência Operacional Digital da UE), as Regras de Divulgação de Cibersegurança da SEC (EUA), a Lei de IA da UE e ISO/IEC 27001:2022 estão elevando os padrões e encurtando os prazos de conformidade.

Imagen tomada de la tapa de la fuente citada al principio de este documento.
Estas novas normativas implicam o seguinte:
- NIS2 e DORA expandem os requisitos de cibersegurança para setores críticos como saúde, finanças e infraestrutura digital, exigindo uma gestão integral do risco cibernético e testes de resiliência regulares, com possíveis sanções substanciais por não conformidade.
- As Regras de Divulgação de Cibersegurança da SEC obrigam as empresas públicas a reportar incidentes significativos rapidamente e a detalhar a gestão de riscos, estratégia e governança de cibersegurança a nível do conselho de administração.
- ISO/IEC 27001:2022 introduz novos controles focados em inteligência de ameaças, segurança de serviços em nuvem, monitoramento de segurança física e prevenção de vazamento de dados, exigindo uma transição da versão anterior até outubro de 2025.
- A Lei de IA da UE começa a ser aplicada, introduzindo um marco baseado no risco para a IA que exige transparência, segurança e mitigação de vieses para sistemas de alto risco, proibindo certas práticas de IA.
Outras normativas como a Lei de Cibersegurança e Resiliência do Reino Unido (CSRA), a CPPA do Canadá, as atualizações do GDPR, os refinamentos de HIPAA e PCI 4.0 também reforçam a necessidade de maior supervisão, proteção de dados e conformidade de segurança.
O novo padrão é a conformidade contínua, que se afasta das auditorias pontuais para se tornar uma abordagem sempre ativa e integrada. Isso significa incorporar a conformidade nos fluxos de trabalho diários de segurança, TI e desenvolvimento, utilizando o monitoramento automatizado, a “política como código” e a coleta de evidências em tempo real para garantir que as não conformidades sejam detectadas e remediadas imediatamente.
O elemento humano na regulamentação
Embora muitas regulamentações se concentrem em controles técnicos e processos, o “erro humano” continua sendo o vetor de ataque mais prevalente, envolvido em 74% de todas as violações de dados. Portanto, o fator humano é uma vulnerabilidade crítica que as arquiteturas de cibersegurança puramente tecnológicas não podem mitigar completamente.
As regulamentações, ao exigir resiliência, gestão de riscos, conformidade com políticas, controle de acesso e divulgação de incidentes, implicitamente exigem abordar o comportamento humano. A emergência de tecnologias como IA, ML e LLMs também apresenta novos desafios de conformidade que devem ser gerenciados com uma abordagem de “segurança desde a concepção”, onde os vieses humanos nos dados ou na tomada de decisões algorítmicas são uma preocupação importante.
Como a SoSafe pode ajudar as empresas do Brasil a abordar o risco humano e o monitoramento contínuo nas regulamentações
A SoSafe oferece uma abordagem baseada na ciência comportamental para a cibersegurança, projetada para ir além da conscientização tradicional e focar na Gestão de Riscos Humanos (HRM). Isso é fundamental para as empresas do Brasil que buscam cumprir as regulamentações e fortalecer sua postura de segurança.
1. Redução do Risco Humano:
- Abordagem de Ciência Comportamental:** A SoSafe utiliza uma abordagem baseada na ciência comportamental para criar programas de treinamento que impulsionam uma mudança de comportamento sustentável, em vez de apenas transmitir conhecimentos. Isso aborda a lacuna entre “saber e fazer”.
- Treinamento Personalizado e Contínuo: Oferece conteúdo de treinamento adaptado a papéis, riscos e estilos de aprendizagem específicos, reforçando o aprendizado continuamente para contrariar a Curva do Esquecimento de Ebbinghaus.
- Simulações Realistas: As simulações práticas, incluindo as de *smishing* (phishing por SMS) e phishing, preparam os funcionários para identificar e responder a ataques reais, fomentando um “firewall humano”.
- Fomento de uma Cultura de Segurança: A SoSafe ajuda a construir uma cultura onde os funcionários se sentem seguros para reportar erros sem medo de retaliação, alinhando-se com a filosofia de construir confiança sobre o medo.
2. Monitoramento Contínuo para a Conformidade Regulatória:
- Quantificação do Risco Humano: A SoSafe fornece métricas como o *Human Risk Score* (HRS) e o Human Risk Index (HRI), que avaliam a probabilidade de as ações de um funcionário levarem a uma violação. Essas métricas permitem que as organizações identifiquem funcionários de alto risco e realizem intervenções direcionadas, demonstrando o Retorno sobre o Investimento (ROI) em segurança.
- Automação para a Eficiência de TI: A plataforma da SoSafe busca reduzir a carga de trabalho das equipes de TI por meio da automação e da implementação rápida. Isso inclui a automação do treinamento de conscientização e a aplicação de políticas.
- Relatórios Prontos para Auditorias: A SoSafe facilita a gestão da conformidade com relatórios integrados para auditorias de TI e segurança, simplificando a preparação para normativas como ISO 27001, NIS2 e DORA.
- Integração de Dados: A SoSafe pode integrar fontes de dados de segurança díspares, como resultados de simulações de phishing e alertas de segurança, em uma plataforma unificada, o que permite uma automação inteligente e uma consciência granular do perfil de risco individual de cada funcionário. Isso é chave para o monitoramento contínuo exigido pelas regulamentações modernas.
- Melhoria Contínua: O monitoramento contínuo dos perfis de risco e dos padrões de comportamento dos funcionários, juntamente com loops de feedback robustos, garante que os programas de segurança sejam adaptáveis e respondam às ameaças em evolução.
Ao abordar o risco humano de forma quantificável e contínua, a SoSafe e a Babel-Team, parceiro oficial da SoSafe, capacitam as organizações de Brasil a transformar seus funcionários de possíveis vulnerabilidades em uma força ativa, o que é essencial para construir uma postura de cibersegurança resiliente e cumprir as crescentes demandas regulatórias.

Este artigo foi criado pela equipe da Babel-Team [link para ] com base nas normativas de cibersegurança vigentes e na documentação oficial da SoSafe.
Previous Next