Você pode oferecer treinamentos de ponta para todos e criar políticas à prova de falhas. Se as pessoas não tiverem ferramentas para aplicar o que você defende, tudo isso praticamente não serve para nada.

Vamos voltar à história que eu relatei no início. Fiz algumas adaptações criativas nesse processo. Não é verdade que ninguém reparou em mim. Uma das pessoas foi a mulher que eu acompanhei ao entrar no prédio.

Veja, para entrar, os funcionários precisavam passar um crachá. Como eu não tinha um, precisei recorrer à antiga arte do tailgating, seguir bem de perto alguém para que a pessoa mantenha a porta aberta, já que fechá-la na sua cara seria grosseiro.

Enquanto eu seguia a mulher, percebi que ela notou que algo estava errado. O olhar furioso que ela me lançou disse tudo. Achando que meu disfarce tinha sido descoberto, me preparei para levar uma bronca de um segurança fortão e ser jogado para fora como em desenho animado.

Para minha surpresa, isso não aconteceu. Ainda assim, consegui circular pelo local por horas, espalhando pendrives como uma fada do malware, até encenar o grande final na recepção.

Enquanto eu observava a recepcionista imprimir meu currículo, ouvi parte de uma conversa curiosa bem atrás de mim. Alguém estava descrevendo alguém que eles tinham visto, e cara, com certeza soava muito parecido comigo. Minha roupa. Minha altura. Minha cor de cabelo.

Com cuidado, e de forma rápida, lancei um olhar por cima do ombro. Lá estava ela. Era a mulher da porta, descrevendo minha aparência a um segurança que vasculhava imagens das câmeras no notebook. Procurando por mim enquanto eu estava a poucos metros de distância.

De alguma forma, ainda conseguia escapar sem ser detectado.

Quando voltei para discutir os resultados da minha avaliação com o cliente, a primeira coisa que perguntei foi: “Por que demoraram tanto?” A mulher me viu enquanto eu estava entrando no prédio, mas ela só me denunciou três ou quatro horas depois.

Fizemos algumas escavações, e descobri que ela queria me denunciar muito mais cedo. Ela só não sabia como. Ela levou algumas horas para encontrar o endereço de e-mail certo e mais algumas para que a segurança retornasse para ela.

Vejo isso acontecer o tempo todo: alguém me flagra entrando junto no tailgating. E eu solto um “Obrigado!” no tom mais animado que consigo. Eles me olham de cima a baixo. Eles não me reconhecem. Mas o que eles devem fazer?

Eles não sabem o que dizer. Essas pessoas não sabem como impedir alguém de entrar colado nem como recusar educadamente quando um estranho pede para usar a impressora. As pessoas não são treinadas para questionar os outros, ainda mais quando é da natureza humana querer ajudar, muito menos dizer um “não” direto.

O ponto é que não basta dar ordens como “Não deixe estranhos entrarem no prédio” ou “Informe à segurança sobre pessoas suspeitas”. Mostre aos funcionários como esse processo funciona na prática e ofereça oportunidades para que treinem essas situações.

Se você vir alguém circulando sem crachá e que não lhe parece familiar, interrompa essa pessoa. Pergunte: “Posso ajudar você? Vamos fazer o check-in." Se você vir alguém circulando sem crachá e que não lhe parece familiar, pare essa pessoa. Vamos passar na segurança rapidinho.”

E não espere que as pessoas memorizem todos esses passos. Na hora do aperto, é fácil se atrapalhar. Garanta que cada estação de trabalho, cada equipamento e mesa tenha um guia acessível para reagir a ataques de engenharia social, físicos ou digitais. Inclua números de telefone importantes, endereços de e-mail e instruções detalhadas de como relatar um incidente.

Se aquela mulher tivesse conseguido agir assim que me viu, eu nunca teria conseguido enganar a recepcionista.

Então, se pensarem bem, a culpa é dela. Não minha.