Em parceria com a OneTrust e a KnowBe4, e com o apoio da Aliant, a Protiviti Brasil promoveu no último dia 30 o Risk Day: Executive Meetup On Top Risks, um encontro estratégico, fechado para convidados, que reuniu líderes executivos de empresas de diversos segmentos para uma manhã de conteúdo e networking no auditório do MAM, em São Paulo.

Voltado para C-Levels, diretores executivos e membros de conselhos administrativos, o conteúdo do evento teve como ponto de partida a pesquisa global Top Risks 2024, realizada pela Protiviti Inc. em conjunto com a Universidade da Carolina do Norte, que entrevista executivos ao redor do mundo para identificar, a partir da perspectiva coletiva dos líderes, quais os principais riscos corporativos previstos para o próximo ano e para a próxima década. A pesquisa está em sua 12ª edição e, pela primeira vez, teve um encontro presencial como um de seus desdobramentos no Brasil.

A abertura do evento foi conduzida por Heloisa Macari, Diretora Executiva da Protiviti Brasil, que apresentou o evento e a pesquisa aos presentes. “Esse primeiro RiskDay 2024 já fica marcado no calendário da Protiviti no Brasil como um evento em que a gente pode não só trazer o pano de fundo dos principais riscos apontados pelos executivos brasileiros pela pesquisa Top Risks como, principalmente, promover um debate sobre eles entre os executivos, com insights muito interessantes e que de fato levam aí o nome da Protiviti e dos nossos parceiros nessa jornada de auxiliar os nossos clientes a gerir os riscos corporativos”, comentou Heloisa Macari, Diretora Executiva da Protiviti. 

Keynote speaker do dia, o analista político e professor associado da FGV, Oliver Stuenkel, conduziu uma palestra sobre como o cenário macroeconômico e geopolítico se relaciona com os riscos corporativos, destacando os pontos de atenção observados hoje no mundo e seu impacto na gestão executiva de empresas, principalmente no contexto global.

Para encerrar a manhã, o CEO da Protiviti, Fernando Fleider, recebeu Talita Lacerda (CEO da Pet Love), Flávio Serebrinic (VP de Transformation da Atvos) e Marco Antonio Bologna (Sócio da Galápagos Capital) para o painel de debates “Da porta para dentro: Top Risks 2024 na agenda executiva”.

Confira a seguir algumas fotos do evento e baixe os resultados completos da pesquisa Top Risks 2024.

Acaba de ser divulgada a edição 2024 do ranking Leaders League, com os resultados do ciclo Dispute Resolution. 43 rankings compõem o ciclo de pesquisa Dispute Resolution, Investigations & Insurance, reunindo as melhores empresas de consultoria, escritórios de advocacia e empresas do setor. A organização é uma editora fundada em Paris, em 1996, focada em produzir relatórios e pesquisas voltadas para executivos e C-levels ao redor do mundo.

Em 2024, a Protiviti Brasil foi novamente reconhecida entre as Melhores Consultorias de Compliance, mantendo a categoria Líder – a mais alta do ranking.

Além disso, a empresa foi premiada como Excelente entre os Melhores Especialistas em Forensics e Complex Investigations, mantendo o reconhecimento do último ano, e também entre os Melhores Especialistas em Privacidade de Dados, pelo terceiro ano consecutivo. A empresa também figura como Altamente Recomendada entre as Melhores Consultorias de Gestão de Risco, Melhores Consultorias para Auditoria e Melhores Consultorias em Segurança Cibernética, citada pela primeira vez nesta categoria.

Os rankings produzidos pela editora são reconhecidos ao redor do mundo e reconhecidos por sua metodologia de pesquisa imparcial, compreensiva e transparente. Confira as premiações no site.

Sobre a Leaders League

A Leaders League é uma empresa de serviços empresariais sediada em Paris e uma agência de classificação com presença global. Além disso, a organização organiza eventos para executivos, rankings abrangentes e análises detalhadas projetadas para unir os mercados globais. Fundada em 1996, em Paris, a Leaders League é uma agência de classificação internacional e serviços empresariais com foco nas seguintes indústrias:

• Jurídica • Private Equity e Serviços Financeiros • Capital Humano • Inovação e Marketing • Gestão de Patrimônio e Gestão de Ativos A empresa organiza mais de 20 eventos de alto nível em capitais globais como Paris, Nova York e São Paulo, além de produzir classificações internacionais e conteúdo de notícias para as indústrias jurídica, financeira, tecnológica e de RH.

A Leaders League é composta por 150 profissionais distribuídos em vários locais ao redor do mundo, incluindo a sede em Paris e escritórios em Londres, Madri, Lima, Milão, Rio de Janeiro e São Paulo.

Em uma realidade em que riscos de alto impacto são cada vez mais frequentes para as organizações, é importante possuir mecanismos para identificar incidentes e direcionar os esforços de resposta à eles.

Para mapear a estruturação das estratégias mais comuns em empresas nacionais e construir um panorama sobre o cenário brasileiro, foi elaborada a 1ª Pesquisa Nacional sobre Maturidade em Gestão de Crises e Continuidade de Negócios.

Resultados da pesquisa sobre Gestão de Crises e Continuidade de Negócios no Brasil: destaques importantes:

• 45% das empresas apresentaram pelo menos um tipo de incidente nos 12 meses anteriores à pesquisa; 
• Acessos indevidos foram as principais causas para interrupções no ambiente de Tecnologia de Informação. 
• 18% dos participantes afirmaram que suas empresas tiveram perdas acima de R$500 mil em incidentes relacionados a Gestão de Crises e Continuidade de Negócios.
• E mais! 

Este ano, a pesquisa Top Risks contou com a participação de 1.143 profissionais de gestão executiva, identificando suas percepções sobre o impacto desses riscos em suas organizações em 2024. Além desses insights sobre riscos de curto prazo em 2024, os entrevistados também deram suas opiniões sobre o impacto desses riscos daqui uma década, em 2034. No Brasil, 72 executivos foram consultados

Conheça quais riscos corporativos se destacam para executivos e C-Levels do Brasil e do mundo.

No cenário corporativo contemporâneo, empresas e organizações de todos os segmentos precisam navegar águas turbulentas e em constante movimento. Nesse contexto, quais os principais desafios e riscos observados pelos executivos? Para ajudar a identificar essas ameaças e permitir que as organizações se preparem para o futuro, a Protiviti e a ERM Iniciative realizaram a pesquisa Top Risks 2024, que identifica os principais riscos ao negócio na percepção de executivos e C-levels ao redor do mundo.

Este ano, a pesquisa Top Risks contou com a participação de 1.100 profissionais de gestão executiva. Isso permitiu identificar suas percepções sobre o impacto desses riscos em suas organizações em 2024. Além desses insights sobre riscos de curto prazo em 2024, os entrevistados também deram suas opiniões sobre o impacto desses riscos daqui uma década, em 2034.

A ICTS, holding de empresas de consultoria, tecnologia e serviços em gestão de riscos e compliance, e segurança conquistou pela sexta vez consecutiva o selo da edição 2022-2023 do Cadastro Pró-Ética. Promovida pela Controladoria Geral da União (CGU) e Instituto Ethos, iniciativa que visa reconhecer organizações que atuam com o mais alto nível de comprometimento com a ética, transparência e integridade nos negócios.

“Estamos muito honrados de, mais uma vez, termos sido reconhecidos pelo selo Pró-Ética, conquista ininterrupta desde 2015. Entendemos que como empresa líder no setor de ética corporativa, temos a obrigação e o compromisso com os mais altos padrões éticos e de integridade em todas as nossas operações”, disse Fernando Fleider, CEO da ICTS.

Na edição deste novo biênio, 84 empresas inscritas foram reconhecidas pela entidade. “Este reconhecimento reforça o compromisso que temos com nossos clientes, parceiros e colaboradores na promoção de um ambiente empresarial mais sustentável, incluso e confiável. O selo Pró-Ética é uma parte integral da nossa identidade corporativa, por meio da atuação de valores inegociáveis do nosso grupo”, completou Fleider.

Sobre a ICTS

No mercado desde 1997, a ICTS Participações é uma holding limitada de empresas pioneiras em soluções de prevenção de riscos, compliance e segurança no Brasil. O grupo é composto por empresas destacadas nestas áreas de atuação. São elas Protiviti, Aliant, ICTS Security e SafeCompany.

Sobre o Pró-Ética

Criada em 2010 pela Controladoria Geral da União (CGU), o Pró-Ética é uma iniciativa pioneira na América Latina que visa reconhecer publicamente empresas brasileiras e as multinacionais que atuam no país pelas ações de comprometimento com medidas de prevenção, detecção e remediação de atos de corrupção e fraude.

Com a LGPD (Lei Geral de Proteção de Dados), muitas ações passaram a ser necessárias para que empresas pudessem cumprir com essa nova regulamentação. Ferramentas como o framework “privacy by design” ganham espaço nesse contexto.

Dentro de um programa complexo para atender tanto a titulares de dados, demonstrar conformidade à ANPD (Autoridade Nacional de Proteção de Dados) e assegurar um “sono tranquilo” de acionista e executivos, as empresas adotaram práticas e realizaram investimentos substanciais para que a LGPD fosse cumprida dentro de seu ambiente de trabalho.

Entretanto, dada a necessidade de redução de custos e despesas, bem como a necessidade de priorização de atividades que gerassem receita para seus negócios, empresas optaram pela terceirização de muitas tarefas (em alguns casos quarteirização), o que limitou o controle sobre o que é feito com os dados pessoais de seus titulares e colocou em xeque os esforços e os investimentos para atender à Lei.

Essa limitação de controle, por vezes, aumenta consideravelmente os riscos relacionados à LGPD, obrigando as organizações a monitorar e avaliar possíveis impactos, tais como vazamento ou tratamento indevido de dados pessoais por seus terceiros contratados. Também é necessário implementar mecanismos de proteção e mitigação de riscos decorrentes dessa nova regulação.

Um dos controles mais eficazes na gestão de riscos relacionados à LGPD é o “Privacy by Design”, um framework que permite que a privacidade seja implementada desde o início do desenvolvimento de produtos, serviços, sistemas, aplicações ou processos envolvendo terceiros.

Um “Privacy by Design” bem implementado pode assegurar que a finalidade, a adequação e a necessidade, que são os princípios estabelecidos no artigo 6º da Lei, sejam cumpridos e reduzam o risco de tratamento indevido do dado de uma pessoa, bem como minimize impactos relacionados a vazamento.

Para que esse controle seja bem implementado é fundamental que a empresa coloque em prática as oito ações demonstradas abaixo.

1. Levantamento de terceiros que coletem, tratem e armazenem dados pessoais em nome da empresa contratante.
2. Avaliação de riscos de terceiros, entendendo possíveis ameaças à privacidade e à segurança dos dados, bem como fatores de compartilhamento, acesso a dados pessoais e controles de segurança existentes na empresa contratada.
3. Processo de seleção e homologação de terceiros considerando que os riscos de privacidade e de segurança dos dados estejam mitigados por meio de certificações, normativas de segurança, controles e políticas de privacidades e processo de armazenamento de logs e trilhas de auditorias em sistemas que armazenam e transacionam dados pessoais.
4. Cláusulas contratuais específicas de privacidade e segurança em contratos com terceiros, visando estabelecer requisitos de coleta, tratamento e armazenamento de dados pessoais mínimos necessários, bem como estabelecimento de responsabilidades das partes envolvidas e medidas a serem tomadas em caso de violação de dados.
5. Acesso mínimo e limitado de dados dos terceiros, bem como, um programa contínuo de redução de dados não essenciais para as finalidades existentes, sendo que apenas informações estritamente necessárias para realizar suas atividades serão tratados no período de vigência do contrato. Além disso, após a vigência ou extinção do contrato, medidas de anonimização devem ser tomadas pelo terceiro em relação aos dados da contratante.
6. Monitoramento contínuo e auditorias regulares para verificar se os terceiros estão cumprindo os requisitos contratuais e tratando exclusivamente o que é essencial e necessário para atingimento da finalidade contratada.
7. Treinamento e conscientização para os profissionais de terceiros que terão acesso aos dados pessoais da empresa entendam os riscos, as responsabilidades e os impactos relacionadas ao tratamento de dados.
8. Revisão e avaliação contínua dos elementos de dados coletados sempre que houver alteração no processo de tratamento pelo terceiro contratado, objetivando sempre a coleta do mínimo necessário.

Ao adotar práticas de Privacy by Design na contratação e relação com terceiros, as empresas podem reduzir significativamente os riscos associados ao compartilhamento de dados com entidades externas, assegurando a privacidade e a segurança dos dados de seus clientes e profissionais. Além disso, isso contribuirá para a construção de uma reputação sólida e responsável em relação aos direitos exigidos pela LGPD.

A gestão eficaz da cadeia de suprimentos tornou-se uma prioridade fundamental para empresas em todo o mundo. Uma parte essencial desse processo é a diligência de fornecedores. Trata-se de uma avaliação rigorosa por meio de análises de Due Diligence, um conjunto de procedimentos e avaliações realizadas para garantir que os fornecedores atendam a critérios de qualidade, ética e conformidade.

Considerando um cenário em que a qualidade dos produtos e serviços fornecidos é fator determinante para a satisfação do cliente, o processo de diligência ajuda a verificar se os fornecedores possuem os padrões necessários para atender às demandas da empresa.

Essa avaliação é essencial para identificar e mitigar riscos potenciais, como interrupções de fornecimento, baixa qualidade ou práticas antiéticas que podem afetar, na esfera reputacional, a integridade do contratante. Desta forma, a verificação da conformidade dos diligenciados com regulamentações e a própria legislação é crucial para evitar problemas legais e garantir que a empresa não seja cúmplice de procedimentos ilegais.

Ao conduzir a análise de Due Diligence, as organizações podem ter conhecimentos sobre os padrões éticos e de integridade de seus fornecedores, e, ao entender que eles não cumprem com sua própria cultura e valores, é possível evitar a perda de confiança por parte dos clientes e stakeholders, bem como repercussões negativas à reputação. Para chegar a tal eficiência, uma diligência de fornecedores deve minimamente cobrir:

1. Análise de documentos: inclui a revisão de documentos legais, licenças, certificações e outros registros para verificar a legitimidade e a conformidade do fornecedor.
2. Auditorias de qualidade: visa avaliar operações, qualidade de produtos, processos de fabricação e conformidade com normas específicas.
3. Análise de riscos: busca identificar os riscos potenciais associados ao fornecedor, como irregularidades fiscais, trabalhistas, financeiras, ambientais, regulatórias, processuais e de conformidade.
4. Avaliação ética e de sustentabilidade: tem como foco avaliar as práticas éticas e de sustentabilidade do fornecedor, incluindo políticas de trabalho justo, direitos humanos e responsabilidade ambiental.
5. Análise reputacional: envolve a coleta, o monitoramento e a análise de informações provenientes de várias fontes, como mídias sociais, notícias, pesquisas, avaliações on-line e outras formas de feedback público.

O processo de diligência é uma ferramenta eficaz para identificar proativamente os riscos potenciais, como problemas financeiros ou práticas antiéticas, visando medidas preventivas para tornar uma cadeia de suprimentos mais resiliente e preparada para enfrentar desafios imprevistos.

Outro aspecto importante é a conformidade regulatória e legal. A avaliação dos fornecedores quanto à conformidade com regulamentações é uma forma de evitar questões legais, garantindo que a empresa não apenas cumpra com suas obrigações, mas também evite envolvimento em atividades ilegais que possam prejudicar sua reputação.

A devida diligência contribui para a integridade e a ética dos negócios. Ao avaliar as práticas éticas, sociais e de sustentabilidade dos fornecedores, as empresas podem garantir que estejam associadas a parceiros que compartilham valores semelhantes, buscando construir e manter uma imagem de marca positiva e responsável, atraindo clientes e demais relacionamentos comerciais que se alinhem com esses princípios.

Investir tempo e recursos na seleção de fornecedores confiáveis não é apenas uma estratégia de negócios inteligente, mas também um passo importante em direção a uma cadeia de suprimentos responsável e eficiente.

*Marina Mello é consultora de Compliance da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

Pentest e Red Teaming são duas práticas essenciais de cibersegurança que fortalecem a postura de uma organização ao descobrir vulnerabilidades em seus sistemas, redes, pessoas ou processos de negócios. Essas metodologias possuem objetivos, escopos, abordagens e tecnologias distintas. Entenda algumas dessas diferenças a seguir.

O pentest é um ataque simulado direcionado a um sistema ou rede específicos, com o objetivo de descobrir e relatar vulnerabilidades suscetíveis à exploração. Esse tipo de teste é projetado para avaliar controles primários, como gerenciamento de patches e vulnerabilidades, configuração e fortalecimento do sistema, criptografia, segurança de aplicativos, segmentação de rede, gerenciamento de acesso privilegiado e aplicação de políticas de segurança. O escopo desse engajamento é definido, e o custo varia com base na extensão e profundidade da avaliação.

Por outro lado, o red teaming oferece uma avaliação direcionada da postura de segurança de uma organização. Muitas vezes, concentra-se na capacidade de uma ameaça obter acesso não intencional, juntamente com testes de controles detectivos e preventivos.

Controles detectivos vs. controles preventivos

Controles detectivos incluem sistemas de detecção de intrusões (IDS), resposta a incidentes em endpoints (EDR), sistemas de gerenciamento de informações e eventos de segurança (SIEM), análise de logs e detecção de anomalias. Já os controles preventivos envolvem firewalls, listas de controle de acesso, sistemas de prevenção de intrusões (IPS), autenticação multifator (MFA) e segmentação de rede. O objetivo é identificar e explorar vulnerabilidades de maneira semelhante a um atacante real. Ao mesmo tempo, o teste avalia a capacidade da organização de detectar e prevenir ataques. O red teaming é um exercício baseado em objetivos destinado a simular ameaças do mundo real que visam uma organização.

Esses objetivos normalmente incluem a comprometimento do ambiente interno a partir de uma perspectiva externa, acesso a sistemas sensíveis ou interrupção de processos de negócios. Os caminhos de ataque ou metodologias do atacante nos exercícios de red teaming ajudam a avaliar a resiliência de uma organização contra vários atores de ameaças, incluindo estados-nação, crimes organizados e ameaças internas. Essa abordagem exige testadores altamente qualificados, que devem trabalhar de maneira lenta, deliberada e silenciosa para evitar detecção, o que pode resultar em um custo mais alto em comparação com os pentests. A complexidade e sofisticação do exercício, a necessidade de extensa pesquisa e reconhecimento, e a exigência de um maior nível de coordenação entre testadores e a organização são alguns dos fatores que contribuem para o maior custo.

Como escolher entre pentest e red teaming?

As organizações devem basear sua decisão em seus objetivos específicos e tolerância a riscos.

• Para o red teaming, em particular, as empresas devem adaptar o escopo e os objetivos para se concentrarem em áreas de riscos-chave.
• Por exemplo, um sistema de saúde pode priorizar a proteção de registros médicos. Ao mesmo tempo, uma organização de P&D pode enfatizar a proteção da propriedade intelectual. Já organizações com processos de aquisição complexos podem concentrar-se nos dados financeiros.
• Ou seja, ao alinhar a metodologia e áreas críticas, as organizações podem abordar efetivamente as vulnerabilidades potenciais e seu impacto na reputação, compliance e bem-estar financeiro.

Em termos de tecnologia, ambas as práticas empregam várias ferramentas e técnicas, como scanners automatizados de vulnerabilidades, utilitários de teste de penetração manual e scripts personalizados para avaliar redes e sistemas-alvo.

• O red teaming visa simular ameaças do mundo real.
• Todas as ferramentas e técnicas geralmente são consideradas dentro do escopo, mas podem não ser necessariamente usadas.
• O red teaming também pode incorporar engenharia social e avaliações de segurança física para avaliar a conscientização dos funcionários e a aderência às políticas de segurança.

Cibersegurança: práticas essenciais

Pentest e red teaming são práticas cruciais que ajudam a identificar e abordar vulnerabilidades potenciais em sistemas, redes e processos das organizações.

Contratar especialistas externos e imparciais para essas avaliações pode oferecer novas perspectivas e identificar problemas que equipes internas podem ignorar. É crucial não apenas identificar vulnerabilidades, mas também priorizar a remediação e validação oportunas para fortalecer a postura de segurança geral da organização. Ao considerar as descobertas desenvolvidas como parte de um red team ou pentest, os líderes podem tomar decisões informadas para proteger os ativos da organização.

Originalmente publicado por Jon Medina, Manny Gomez e Abdoul Cisse em Protiviti Inc. Traduzido e adaptado por Protiviti Brasil.

A ICTS, holding de empresas em soluções de prevenção de riscos, compliance e segurança, adquire a totalidade das operações da T4 Compliance, empresa especialista em soluções de governança, riscos, compliance e privacidade de dados.  

Com a transação, a Protiviti, empresa da ICTS que atua como um braço de consultoria, auditoria e tecnologia, vai absorver a carteira de serviços de consultoria em GRC (Governança, Risco e Conformidade), investigações e privacidade de dados, se consolidando como a maior empresa de investigações corporativas do Brasil.  

Já a Aliant, especializada em plataformas de Compliance e ESG e também pertencente à holding, incorpora a plataforma de due diligence e background check da T4, denominada C.Drive, se tornando a 3ª maior plataforma de diligência do mercado conjuntamente com sua liderança em canais de denúncias.

Com a aquisição, 100 clientes de médio e grande portes se somam à base da ICTS, aumentando sua carteira em 7%, além de ampliar a presença em algumas indústrias relevantes da economia brasileira, como a de energia e do setor financeiro.  

Já os clientes da T4, com essa transação, passam a ter acesso a um portfólio mais amplo de soluções como cibersegurança, auditoria interna, gestão de riscos corporativos e continuidade de negócios, que são linhas de negócios pertencentes à Protiviti, assim como canais de denúncias, relato e acolhimento, promovidos pela Aliant, sem contar o acesso à rede global de escritórios da Protiviti Inc. 

De acordo com Fernando Fleider, CEO da ICTS, o sócio fundador da T4 Compliance, Matheus Cunha, profissional com grande reconhecimento na área de compliance, transformou a empresa em referência no seu mercado pela excelência no atendimento e agilidade na entrega. Agora, esse trabalho bem-sucedido se soma à experiência da Protiviti, que assume o protagonismo no mercado de GRC. 

“Esse é mais um passo na consolidação das nossas soluções de gestão de riscos, compliance e privacidade de dados. Adicionalmente, juntaremos à nossa equipe o conhecimento de profissionais seniores nas suas áreas de atuação”, finaliza Fleider.