“Não podemos estar sempre a culpabilizar o erro humano”: O futuro do trabalho híbrido em debate (com vídeo)

A mesa-redonda da IT Security Summit Porto 2026 dedicada ao futuro do trabalho híbrido reuniu diferentes perspetivas sobre os desafios de segurança num contexto de transformação das organizações. Entre a gestão do risco, a evolução das práticas de Security Awareness e o impacto de novas tecnologias como a Inteligência Artificial (IA), André Assunção, IT Manager & Cybersecurity Specialist do Município Vila Nova de Gaia, José Filipe Alves, Membro do Conselho Geral e CSIRT da Universidade do Porto, Orlando Letra, Head of Cybersecurity, e Frederic Reyntjens, Business Development Manager da Warpcom, destacaram a necessidade de alinhar pessoas, processos e tecnologia num cenário cada vez mais distribuído e complexo.

O pêndulo da responsabilidade 

José Filipe Alves começou por destacar a existência de uma “multiplicidade de perfis” que existem em contexto académico e que levam, consequentemente, a uma maior complexidade de dados e a um maior risco associado.

Os processos mal definidos e a elevada rotatividade são dois dos entraves que existem no processo de gestão da organização. 

“As grandes organizações tendem a responsabilizar os utilizadores finais pela boa ou má utilização dos recursos; eu gosto de colocar o pêndulo das responsabilidades do lado da organização porque é isso que a NIS2 vem dizer”, refletiu.

Na perspetiva de André Assunção, IT Manager & Cybersecurity Specialist do Município de Vila Nova de Gaia, os utilizadores são vistos como “sensores humanos”, através do recurso a ferramentas que permitam aos utilizadores alertarem para possíveis riscos. No entanto, o especialista admite que, com a grande diversidade de perfis, “torna-se muito difícil garantir que toda a gente tenha o mesmo nível de formação e de conhecimento”.

Orlando Letra vai mais longe: “os utilizadores devem sentir-se à vontade, devem levantar o dedo para assumirem ‘estou com um problema e preciso de ajuda’. Trabalhar esse aspeto dentro da cultura da empresa é bastante importante, até para evitar caminhos que podiam ser facilmente travados”. Para o responsável de cibersegurança, a ideia passa por “tornar a equipa de IT como um aliado perfeito, e não como um impedimento”, com uma estratégia que passe por trazer os colaboradores para o lado das equipas de segurança.

A consciência da pertença a uma organização

Frederic Reyntjens considera que é inevitável não identificar alguma falha humana dentro das organizações. No entanto, e no seu entender, “não podemos estar sempre a culpabilizar o erro humano”. 

Neste caso, elencou dois fatores a ter em consideração: o primeiro implica quem decide e quem aplica os controlos, sendo que, neste caso, é necessário ter presente “a premissa de que nós somos humanos é que vamos falhar, adaptando os controlos a este facto”; o segundo está relacionado com a própria cultura de cibersegurança dentro das organizações.

“A tecnologia, por si só, não é suficiente, mas se conseguirmos garantir que temos esta dialética entre pensar antes de clicar em alguma coisa, e a aplicação dos controlos a pensar em quem já possa ter clicado em algo que não devia, vamos conseguir dificultar a vida a quem nos quer fazer mal”, reforçou.

Security Awareness: uma necessidade ou uma cruz na check list?

No caso da Universidade do Porto, a instituição de ensino superior implementa um plano anual de formação para técnicos, de forma a incrementarem as competências no âmbito da segurança da informação.

“A repetição dos temas não incrementa por si só a consciência dos utilizadores; é necessário compreenderem qual a finalidade”, frisou José Filipe Alves, referindo-se à necessidade de aplicar uma “dose essencial de awareness” à comunidade.

O peso da mudança na administração pública

O advento do trabalho híbrido levou a uma mudança de paradigma do trabalho em si, com o aumento da diversidade de contextos de trabalho e do perímetro das ameaças. 

André Assunção recorda que há seis anos, aquando da pandemia, e à semelhança de centenas de organizações, o município de Gaia viu-se obrigado a “expor os seus serviços”, num passo onde a proteção deixou de ser feita “apenas no castelo”, para passar a abranger também as identidades.

A mudança cultural, onde se incluíram formações mais direcionadas, revelou-se insuficiente, tendo sido necessário adotar uma governação de risco.

O plano passou, assim, pela proteção das identidades e pela aplicação de uma estratégia de zero trust, com a inovação tecnológica a assentar numa premissa de “segurança dos dados dos nossos cidadãos”.

Agentes de IA: Os novos utilizadores a ter em conta

Não só de trabalho híbrido se constrói o presente e futuro dos postos de trabalho. Os agentes de inteligência artificial são hoje uma realidade para a qual devemos olhar “como se fossem novos colaboradores”, aconselhou Orlando Letra.

Para gerir o efeito dos agentes de IA nos sistemas, será necessário não só introduzir ferramentas que tentem controlar a área onde os agentes podem interagir, mas também falar com os colaboradores para que compreendam “o risco que correm quando utilizam este tipo de tecnologias”, sublinhou. No fundo, a estratégia passa por “absorver as tentativas dos colegas em serem mais produtivos e dar-lhes uma solução ao invés de bloquear o site e impedir o acesso”. 

(Des)alinhamento entre tecnologias e pessoas

Na dupla tecnologias-pessoas, a falta de maturidade dos colaboradores e dos seus processos continua a exigir medidas e atenção redobrada.

Frederic Reyntjens não tem dúvidas de que o problema está na parte organizacional e não tanto no excesso de tecnologia. “Aquilo que vejo em muitos clientes é que existe efetivamente a tecnologia, mas um dos desafios comuns é a dificuldade extrema em atrair, reter e fazer evoluir talento no que toca à cibersegurança”, constatou o manager.

Por outro lado, nem sempre também é possível tirar o “melhor partido destes investimentos em cibersegurança”.

Na priorização de decisões, Frederic Reyntjens desenha o plano que as organizações devem ter em atenção: identificar os serviços críticos que não podem parar; saber qual a tecnologia necessária para entregar e garantir o funcionamento destes serviços; identificar as fragilidades na tecnologia; identificar o dono da tecnologia e saber o que fazer para mitigar possíveis fragilidades.  

“Às vezes, é muito mais fácil, através da gestão de risco, tentar ‘convencer’ a gestão de topo a tomar certas decisões, inclusive se houver a necessidade de novos investimentos”, acrescentou.

No caso do Município de Gaia, a análise de risco ganha uma outra dimensão: a mudança da administração local de quatro em quatro anos, e a consequentemente alteração de equipas, obriga a “confiar na maturidade dos nossos processos”, explicou André Assunção.

A retenção do talento em cibersegurança é vista com bons olhos pelo IT Manager da autarquia, ao permitir que as equipas conheçam e acompanhem todo o processo, adaptando a linguagem e o risco para o executivo. “Permite-nos amadurecer a nossa gestão de risco, mas ainda há uma confiança quase cega na tecnologia que nos obriga, por vezes, a gastar mais do que o devido”, admitiu.

Um caminho de adaptação, sempre em segurança

Na reta final da discussão, o foco deslocou-se para a dimensão cultural e comportamental das novas formas de trabalho. Orlando Letra sublinhou a necessidade de promover uma abordagem mais colaborativa na adoção de ferramentas, defendendo a partilha interna de experiências como forma de acelerar a maturidade das organizações. O responsável elencou a crescente importância de modelos de deteção baseados em comportamento, sobretudo no contexto da proteção contra perda de informação.

Já José Filipe Alves defendeu que o principal desafio passa por reorganizar processos e promover uma mudança de mentalidades, com foco na consciencialização e na agilidade organizacional. “É uma questão de organizarmos o tabuleiro e mudar primeiro as mentalidades, consciencializar as pessoas, implementar processos de forma ágil e sólida e, depois sim, pensar se precisamos de mais tecnologia para resolvermos problemas que nós mesmos criamos”, concluiu.