Segurança cibernética, privacidade, dados e conformidade regulatória são classificados como os principais riscos em auditorias de TI
Uma nova pesquisa realizada pela Protiviti e ISACA descobriu que a segurança cibernética é o principal risco para os departamentos de auditoria de TI. Vários outros riscos relacionados, como privacidade e dados, bem como conformidade regulatória e liderando como principais preocupações, também foram citados na pesquisa. O estudo pediu aos entrevistados que classificassem a importância de 39 problemas de risco de tecnologia. Desses, os 10 principais riscos em auditoria de TI identificados foram os seguintes:
Violação cibernética
Gerenciar incidentes de segurança
Privacidade
Monitorar a conformidade regulatória
Risco de acesso
Integridade de dados
Recuperação de desastres
Gestão de dados
Risco de terceiros
Monitorar/auditar TI, conformidade legal e regulatória
O relatório foi baseado em uma pesquisa realizada no quarto trimestre de 2021. Nela, mais de 7.500 líderes e profissionais de auditoria de TI, incluindo diretores de auditoria (CAEs) e vice-presidentes e diretores de auditoria de TI foram entrevistados. Esses profissionais representam uma ampla gama de indústrias em todo o mundo, de múltiplos setores. A coleta de dados foi realizada em colaboração entre a Protiviti e a ISACA.
Os principais riscos citados na pesquisa deste ano destacam o papel vital, porém sensível, que os dados desempenham nas organizações hoje. Com isso, foi observado que entrevistados expressam preocupações significativas em relação à maneira como os dados são coletados, governados e protegidos. Além disso, os entrevistados também demonstraram que os profissionais de auditoria de TI estão cientes dos requisitos de conformidade em evolução enfrentados por suas organizações, relacionados à administração de dados, padrões do setor e requisitos nacionais e regionais. A pesquisa ajuda a entender as prioridades, expectativas e tendências observadas pelo setor para os próximos anos. Os resultados podem ajudar empresas de todos os portes a planejarem seus próximos passos de auditorias de TI.
Sabemos que o Metaverso é um universo composto por plataformas de realidade virtual e inteligência artificial nas quais o usuário pode se conectar para viver experiências e realizar atividades semelhantes às do mundo real, porém dentro da sua própria casa ou no local que preferir. Mas, quando falamos desse conceito, quais são os quatro mitos que o envolvem e suas implicações acerca da LGPD (Lei Geral de Proteção de Dados)?
1. Existe Metaverso sem o mundo real?
Uma vez que se trata de uma realidade virtual, pode-se pensar que ela existirá sem a presença de um mundo real por trás, o que não é verdade, uma vez que, no cadastro, são necessários dados do usuário. Dessa forma, o tema privacidade está presente, visto que a LGPD abrange o tratamento de dados pessoais, tais como RG, CPF e e-mail.
2. O Metaverso opera sem dinheiro real?
Logo após o cadastro em alguma plataforma do Metaverso, o usuário poderá se deparar com uma infinidade de avatares, NFTs (token não fungível), terrenos e lojas virtuais e diversos produtos para o consumo. Nesse momento, ele poderá acessar sua carteira virtual, comprada com uma moeda fiduciária real, e adquirir o item que escolher. Ou seja, não existe Metaverso sem dinheiro real.
3. Deverão ser implementadas medidas de segurança reais no mundo virtual?
Uma vez que o usuário se insere em uma plataforma do Metaverso, ele passará a compartilhar uma série de dados pessoais, já que poderão ser coletados informações para monitorar respostas fisiológicas, expressões faciais e sinais vitais, entre outros. Tais dados são considerados sensíveis pela LGPD, exigindo que princípios relacionados à segurança sejam obedecidos. Portanto, as empresas que adentrarem a esse universo deverão estruturar medidas rígidas de segurança em suas plataformas, como gestão de acesso e controle e prevenção a vazamento de dados, ou seja, ações de proteção do indivíduo no mundo real.
Nesse contexto, é importante determinar o responsável por implementar a segurança dos dados, uma vez que a plataforma do Metaverso poderá ser centralizada ou descentralizada, ou seja, uma ou mais empresas por trás do seu desenvolvimento e manutenção, respectivamente. Após a identificação, o responsável deverá proporcionar todas as medidas de segurança para prevenir o tratamento indevido e o vazamento de dados.
4. Os titulares de dados poderão solicitar seus direitos para as plataformas de realidade virtual?
Sabendo que o Metaverso trata dados de pessoais reais, os titulares, de acordo com a LGPD, poderão solicitar seus direitos e as empresas deverão estar preparadas para responder às demandas do usuário de forma completa e dentro do prazo estipulado pela Lei. É importante lembrar que os questionamentos poderão envolver desde solicitações simples de confirmação de dados até os mais complexos, que envolvem o entendimento sobre o tratamento automatizado das informações e o direcionamento de perfis.
Portanto, as empresas que operarem no Metaverso precisarão se adequar e cumprir todas as exigências da LGPD e, em caso de descumprimento, as penalidades serão as mesmas, ou seja, advertência, multa de até 2% do faturamento – limitado a R$ 50 milhões, publicização da infração, bloqueio dos dados pessoais até a regularização e eliminação dos dados pessoais a que se referem a infração.
* Vania Freitas é gerente de Data Privacy na ICTS Protiviti.
A linguagem corporal e as expressões faciais deixam transparecer situações das nossas vidas ou de momentos específicos. Tais movimentos involuntários e genuínos podem apontar caminhos que a nossa comunicação verbal não expressa com clareza, seja de forma intencional ou não. Por isso, a análise do comportamento não verbal, principalmente quando se trata de investigações corporativas é uma prática em ascensão.
Junto a outros processos, como o levantamento de vínculos, a análise de dados forenses (e-Discovery), a checagem de antecedentes e o trabalho de campo, a linguagem corporal e as expressões faciais são ferramentas de investigações que vão auxiliar os agentes públicos ou investigadores corporativos a identificarem e construírem uma cadeia de evidências que possibilite ao Judiciário ou aos tomadores de decisões das empresas decidirem de forma segura, ou seja, a partir de um juízo de valor formado após a análise de todos esses dados, para que se construa o que podemos chamar de conhecimento de inteligência.
Sendo assim, essa seria a forma mais correta de utilizar a linguagem corporal e as expressões faciais nas investigações, isto é, como ferramentas que auxiliam na condução das apurações, e não como soluções para identificar mentiras, pois o que vai dar robustez aos sinais esboçados na face e no gestual é a cadeia de custódia de evidências. Sem isso, o máximo que podemos inferir em uma análise crua ou preliminar é que aquele gesto ou expressão pode significar uma emoção ou sentimento, mas não uma mentira.
A análise de credibilidade utiliza seis canais: expressões faciais, linguagem corporal, linguagem verbal, para linguística (latência, intensidade e volume da voz), psicofisiologia e interação. Acontece que é humanamente impossível um investigador, durante uma entrevista, observar e analisar com clareza e em tempo real todos esses canais ao mesmo tempo e inferir sobre a credibilidade, pois poderá fazer afirmações temerárias que uma pessoa estaria mentindo, embora um entrevistador experiente consiga ter indicativos de veracidade do depoimento analisando os canais. Por isso, os canais de comunicação, além de indicarem a verdade ou a mentira, são ferramentas que auxiliam na investigação. A verdade dos fatos ou a elucidação da investigação terá êxito com a junção de várias ferramentas.
Qualquer pessoa, a depender do contexto da situação, pode emitir ou esboçar uma linguagem corporal ou expressão facial que chame atenção do entrevistador. Entretanto, o comportamento pode ser apenas um desconforto fora de contexto que levará o entrevistador a construir ou ampliar vieses de confirmação erroneamente sobre o testemunho daquela pessoa.
Portanto, é papel do investigador público ou corporativo, é principalmente do entrevistador, analisar com cautela todos os sinais de desconforto para mitigar erros de análise, pois um gesto ou expressão pode não ser dissimulado para encobrir e ocultar uma informação relevante. Cabe ao investigador identificar o que motivou o comportamento, visto que a linguagem corporal e as expressões faciais podem dar um norte ou redirecionar uma investigação ou até trazer novos pontos até então não mapeados. Em suma, e é importante utilizar as ferramentas de investigações de forma combinada e não isoladas.
*Iuri Camilo de Andrade, especialista em investigações corporativas na Protiviti.
A Lei Geral de Proteção de Dados (LGPD) trouxe uma necessidade prática de nomeação de um encarregado do tratamento de dados pessoais, conhecido como Data Protection Officer (DPO), para atuar de forma profissional e especializada nessa pauta.
Os principais desafios dessa nomeação envolvem a necessidade de conhecimentos que se dividem em aspectos regulatórios, legais, de segurança da informação e de governança capazes de harmonizar os objetivos do negócio e a proteção aos dados pessoais dos titulares envolvidos.
A Associação Internacional de Profissionais de Privacidade (IAPP) estimou que a demanda mundial pode chegar a 75 mil profissionais, escassez que se justifica pela dificuldade de encontrar todas essas habilidades em um único profissional, sobretudo no Brasil, que tem como agravante uma legislação recente e, portanto, pouca experiência no tema. Levando em consideração esse contexto, o modelo “as a service”, ou como serviço, pode ser uma excelente opção.
A modalidade traz a possibilidade de a empresa contratante ganhar experiência de forma quase que instantânea, acelerando a conformidade ao mesmo tempo em que mitiga os riscos regulatórios e os investimentos desnecessários.
Nessa terceirização, a empresa contratante, além de ter o benefício da orientação técnica atualizada e alinhada às melhores práticas de mercado, não precisa depender de orçamento para montar uma equipe de especialistas e investir em formação e certificações constantes, usufruindo da flexibilidade da modalidade enquanto amadurece a necessidade de institucionalizar e internalizar a função.
Outro ganho notado é a autonomia para implementar as boas práticas de proteção de dados, aspecto que tem sido considerado em penalidades e multas no contexto do regulamento europeu que inspirou a LGPD. Sendo assim, a terceirização mitiga o risco do conflito de interesses, que é comum na nomeação de profissionais internos.
Mas, para o modelo “as a service” ter sucesso, é fundamental o patrocínio executivo para o engajamento de todas as partes interessadas e a escolha de empresas com profissionais certificados e suficientemente experientes em proteção de dados, privacidade e segurança da informação.
DPO: situação das pequenas empresas
Neste cenário, surge a dúvida sobre as empresas de pequeno porte. Neste caso, a nomeação de um DPO é necessária? A Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu um regime jurídico diferenciado para agentes de pequeno porte, dispondo algumas regras que facilitaram a adequação, dentre elas a dispensa da nomeação de um DPO.
Porém, é preciso cautela. A resolução traz exceções de forma que nem todas as empresas de pequeno porte e startups estão isentas da obrigatoriedade do DPO. Nesse sentido, é necessária uma avaliação especializada para entender se a empresa é elegível ao benefício de simplificação e para o correto entendimento dos outros diversos dispositivos legais que permanecem aplicáveis.
O fato é que as obrigações para a manutenção da conformidade com a LGPD podem ser objeto de um contrato “as a service”, mesmo com a dispensa do DPO. Não restam dúvidas de que o ecossistema de proteção de dados das empresas no Brasil, com raríssimas exceções, é jovem, mas pode ganhar muito valor usufruindo do modelo “como serviço”.
* Bruno Santos, Gerente de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
De acordo com dados do Tribunal Superior do Trabalho (TST), somente em 2021 foram registrados 52.936 processos motivados por assédio moral nas empresas. A estatística superou de maneira significativa a estatística do ano anterior, que registrou 12.529 casos levados à Justiça.
Por mais que o assédio moral passe longe de ser um fenômeno social novo, no meio jurídico o assunto não é tão antigo quanto a prática. O mestre em Direito do Trabalho e Processo do Trabalho pela PUC/SP e sócio do Barcellos Tucunduva Advogados, Decio Daidone Jr., destaca que o assédio moral “se caracteriza por humilhações, cobranças constantes ou exposição do empregado a situações vexatórias ou constrangedoras, bem como críticas infundadas ou perseguições”.
O especialista lembra que o assédio, além de afetar a reputação da empresa, pode comprometer sua produtividade. Já para quem é assediado, além do dano à honra e à dignidade, a situação pode trazer sérios problemas clínicos e psicológicos. Por isso, a direção deve intervir ao menor sinal do problema.
“Se alguma atitude demorar para ser tomada, e houver mais de uma vítima, poderá ser considerado negligência da empresa, pois ela tinha fatos, elementos ou indícios de um comportamento desregrado”, explica o advogado.
A importância do canal de denúncias e as consequências do assédio
Segundo Cassiano Machado, sócio-diretor da Protiviti Brasil, o aumento dos relatos não se resume necessariamente a um “boom” de novos casos, mas sim pela adoção do canal de denúncias no ambiente empresarial (adoção espontânea e estimulada pela Lei Anticorrupção de 2013), o avanço do empoderamento e protagonismo dos colaboradores dentro das empresas e também o reconhecimento social sobre a importância da necessidade em seguir com uma denúncia, o que era enxergado de modo pejorativo.
Para combater o problema, um entendimento amplo sobre o assédio moral e o desenvolvimento de ações preventivas e corretivas devem encabeçar a estratégia de ação das empresas. Nesse contexto, a ferramenta se mostra de fundamental importância, à medida que as empresas têm melhor oportunidade de ação quando o problema é identificado em seu início.
Com a possibilidade de agir de forma rápida, as organizações são capazes de evitar que consequências graves possam vir a ocorrer tanto para elas próprias quanto, principalmente, para a vítima. A prática pode conduzir os indivíduos atingidos a problemas como ansiedade, depressão, dores de cabeça, distúrbios no sono, a percepção negativa sobre o ambiente de trabalho, dentre outras situações.
Além disso, os indivíduos que sofrem com o ato tendem a ter sua produtividade afetada, maior frequência de erros e a empresa encara um cenário maior de absenteísmo e turnover. “Se alguma atitude demorar para ser tomada, e houver mais de uma vítima, poderá ser considerado negligência da empresa, pois ela tinha fatos, elementos ou indícios de um comportamento desregrado”, explica Daidone Jr.
Como combater o assédio moral?
O grande desafio da liderança perante o assédio moral está no enraizamento dessa prática na cultura da organização. Nem todos enxergam e compreendem a gravidade do problema. Mais do que mudar o comportamento das pessoas, é preciso moldar o contexto em que elas co-existem, promovendo real conscientização e, consequentemente, uma mudança permanente de atitude.
Para Deives Rezende Filho, sócio fundador e CEO da Conduru Consultoria, o que está acontecendo na atualidade é uma espécie de “refinamento de assédio”. “Os novos modelos de trabalho chegaram com novas oportunidades para o assédio moral. Enquanto o estresse e excesso de tarefas deixam o trabalhador doente, o abuso de poder termina de destruir com a autoestima da pessoa. Os empregados, na maioria das vezes, acabam se submetendo a situações de assédio por se sentirem reféns e por medo de serem demitidos. Não há mais tempo para esperar: as empresas precisam, urgentemente, combater o problema através do investimento em ações que identifiquem os assédios desde o início”, diz.
Uma pesquisa da Harvard Business Review revela que funcionários infelizes produzem até 18% menos quando comparado aos demais. Já um estudo do iOpener Institute mostra que, quando motivados, os colaboradores são capazes de: produzir duas vezes mais, tirar 10 vezes menos licenças e aumentar em cinco vezes o tempo de permanência na mesma companhia.
O especialista em ética, diversidade e inclusão entende que faz parte de todos os ambientes corporativos, em especial os que trabalham com metas, a circulação de cobranças. Entretanto, é preciso que as exigências sejam feitas sem excessos verbais, ameaças, constrangimentos e exposição dos funcionários em questão.
“Adoção de código de ética, treinamentos com o corpo diretivo da empresa e também com os colaboradores, manuais de conduta, implementação de canais de denúncia e capacitação do RH para detectar rapidamente os casos e solucionar os conflitos são apenas algumas ações que ajudam no combate ao assédio moral. Após a constatação do assédio, é necessário que a empresa realize o acompanhamento e capacitação de profissionais capazes de auxiliar na solução do problema”, salienta Deives.
Talvez o impacto de mais fácil tangibilização seja a judicialização dos casos quando se obtêm uma clara dimensão do prejuízo financeiro incorrido pelas empresas ao serem condescendentes com a prática. Segundo uma análise feita pela ICTS Outsourcing baseada em informações do site JusBrasil, site que conecta pessoas à Justiça, um processo por danos morais tem valor médio de indenização de R$17.423,00. Com a soma dos custos advocatícios de 20% o montante por processo atinge a casa de R$ 20.907,60.
“Uma empresa que consiga capturar e atuar sobre cinco denúncias qualificadas de assédio moral por ano economizará cerca de R$ 100 mil ao evitar a judicialização destes casos. É um montante que sairia diretamente do resultado da empresa e que, agora, poderá ser utilizado em prol da sustentabilidade da organização, impulsionando vendas, eficiência operacional, satisfação dos empregados e um ambiente de trabalho ético e transparente“, exemplifica Machado.
Vale destacar que existem no Brasil leis municipais e estaduais que coíbem a prática do assédio moral no âmbito da Administração Pública. Também se encontra sob aguardo do Parecer do Relator na Comissão de Trabalho, de Administração e Serviço Público (CTASP) o PL 6757, que busca criar uma legislação federal abrangente.
Nesse contexto legal difuso, cláusulas da Constituição Federal, Código Civil e CLT vêm sendo utilizadas pelo Judiciário para balizamento e direcionamento da qualificação e punição da prática de assédio moral nas empresas, sejam elas privadas ou estatais.
A Protiviti Brasil está ampliando seu ecossistema de soluções antifraude para e-commerce unindo forças com a Riskified.
A Protiviti Brasil, consultoria que trabalha com Governança, Risco e Compliance, está ampliando seu ecossistema de soluções antifraude para e-commerce unindo forças com a Riskified, plataforma de gestão de fraudes utilizada pelos maiores varejistas globais.
O uso da tecnologia possibilita aumentar os índices de aprovação de vendas, além de garantir o reembolso dos estornos gerados pelas transações aprovadas pela solução.
A plataforma, que é fornecida no modelo Software as a Service (SaaS), opera de forma totalmente automatizada, ou seja, sem a necessidade de revisões manuais. Isso é feito por meio do uso de diversas fontes de dados, como biometria comportamental, análise de dispositivos e dados de mídia social, entre outros.
“A Riskified se desafia a aumentar as vendas de seus clientes cobrando apenas pelas transações aprovadas e, na outra ponta, garante o chargeback”, explica Rodrigo Castro, diretor executivo de parcerias e inovação da Protiviti Brasil.
Por meio da parceria, a Protiviti busca oferecer aos clientes uma tecnologia de ponta, aplicada a cada três dos dez maiores varejistas globais. Por ser totalmente automatizada, a tecnologia reduz o tempo de aprovação de pedidos e reduz o atrito das compras dos clientes finais.
“Somos uma consultoria reconhecida em gestão e prevenção de riscos, e fornecer soluções inovadoras como Riskified aos nossos clientes é mais um facilitador para entregarmos soluções de ponta a ponta”, reforça Fernando Fleider, CEO da Protiviti Brasil.
Para o cliente final, a parceria com a Protiviti garante um contato local no Brasil, com conhecimento no assunto antifraude, permite o faturamento da solução localmente, tornando a solução mais competitiva nacionalmente.
“A parceria com a Protiviti é fundamental para nós, pois a Riskified segue em expansão nos mercados onde já atua e agora quer apresentar nossa solução de ponta para o Brasil. Estamos ansiosos para trabalhar lado a lado com uma das principais empresas de consultoria do Brasil, dando-lhe uma clara vantagem competitiva”, disse Eido Gal, CEO e cofundador da Riskified.
Os usuários do Riskified incluem empresas de comércio eletrônico, bens digitais, mercados, companhias aéreas e corporações da Fortune 500. A empresa abriu seu capital na Bolsa de Valores de Nova York em 2021.
Rodrigo Castro será responsável por reforçar a equipe de liderança local com foco em inovação e parcerias de software
A Protiviti Brasil, consultoria de gestão de riscos e compliance, acaba de promover Rodrigo Castro, ex-diretor de Business Performance & Innovation (BPI), como diretor executivo de parcerias e inovação.
Com 20 anos de atuação na Protiviti Brasil, Castro desenvolveu atividades com foco na prevenção de perdas no varejo, garantia de receita e gestão de riscos estratégicos e operacionais. Em sua última função, foi responsável por criar e dar suporte ao desenvolvimento da Profit Shield, plataforma de gestão de prevenção de perdas que foi implementada em um dos maiores varejistas de alimentos do Brasil.
Na nova posição, Castro tem como missão promover a consultoria como provedora de soluções. Para isso, reforçará a equipe de liderança executiva local focando em iniciativas de inovação e parcerias de software. O hub de parceiros de tecnologia agrega soluções completas para problemas complexos em todas as áreas de atuação da consultoria.
De acordo com o CEO da Protiviti, Fernando Fleider, as consultorias vivem um cenário de mudança na entrega de valor aos clientes. “Precisamos ser um provedor de soluções ao invés de um provedor de projetos de consultorias pontuais. Nessa nova fase, o posicionamento de Castro será intensificar essa mudança no Brasil, além de incentivar a inovação nas organizações”, finaliza Fleider.
Rodrigo Castro – Currículo resumido
Diretor Executivo de parcerias e inovação e sócio da Protiviti. Formado em administração pública pela EAESP FGV com MBA em Gestão Estratégica de Negócios na mesma instituição. Possui mais de 20 anos de experiência em consultoria de riscos, atuando em projetos de nível estratégico e tático para empresas de grande porte em diversos setores. Capacidade de planejamento, implantação e acompanhamento de projetos. Está constantemente em busca de soluções digitais transformadoras.
Chuvas em Recife: como esse cenário pode ser usado para fazer uma analogia com as crises que afetam as empresas?
Desde a última semana, a região metropolitana de Recife, no estado do Pernambuco, enfrenta uma forte onda de chuvas e temporais, gerando tragédias por conta de alagamentos e deslizamentos. O que afeta Recife hoje não é uma novidade para muitas cidades brasileiras. E um fator preocupante se repetiu: apesar de avisos de alerta por parte do órgão estadual no último dia 25, apenas com a materialização do evento é que o plano de contingência foi acionado, ou seja, dois dias depois.
Mas quais são as lições que podemos aprender nesse cenário, quando fazemos uma analogia com as crises que afetam as empresas? É igualmente comum identificar no ambiente privado crises iniciadas por um incidente proveniente de causas não controladas.
No mundo corporativo, há uma tendência crescente por estruturação de Planos de Continuidade e Gestão de Crises em empresas. Em função da pandemia, há uma mudança no cenário de incidentes, que evidenciaram ainda mais a necessidade de preparo para situações extraordinárias, como o aumento de ataques cibernéticos, a indisponibilidade de pessoas para trabalhar e a alta nos preços, sobretudo dos combustíveis, entre outros.
Mas os planos são efetivos? As pessoas estão preparadas para atuar em incidentes? E como agir quando for “para valer”? Ou seja, quando uma emergência ou interrupção ocorrer, a empresa terá pessoas capacitadas para tomar as ações certas no momento devido? Nesse sentido, elencamos abaixo sete pontos para a estruturação de um sistema de Continuidade de Negócios efetivo que chamam a atenção nesse cenário:
Resposta à emergência: segundo todas as normativas, o intuito prioritário para se estabelecer um sistema de continuidade de negócios é a preservação da vida. Para isso, as medidas a serem tomadas devem ocorrer de forma a resguardar o maior número possível de pessoas, respeitando a priorização e o tempo devido para a atuação em cada uma das frentes necessárias.
Monitoramento: no caso das chuvas de Recife, a APAC (Agência Pernambucana de Águas e Climas) identificou e reportou aos órgãos locais sobre a iminência do incidente. E quanto ao meio empresarial? Há monitoramento dos possíveis eventos de risco? Como está estruturada a identificação de ataques cibernéticos? Há constante monitoramento da reputação da marca em redes sociais? E em mídias tradicionais? Aplicando essas ações, o reconhecimento eficaz de um incidente diminui o tempo de resposta, minimizando assim potenciais danos às instituições.
Fluxo de acionamento: após identificadas as ameaças, quem deve ser informado? Em qual tempo e de que forma? São questões que podem definir o sucesso da implementação das ações em resposta às emergências. Outro ponto importante que se destaca nesse aspecto é a coordenação entre as várias instituições: poder público, forças especiais (militares e civis), meio corporativo e população em geral. Em casos de sucesso na tratativa de crises, é notório quão bem integradas e sinérgicas foram a comunicação e a atuação de todas as partes envolvidas.
Definição e avaliação da criticidade do evento: é importante avaliar dentro de todo o contexto do fluxo de acionamento quem é a pessoa ou o grupo responsável por entender, analisar e classificar a severidade da situação. Esse é o ponto chave para que não haja alocação insuficiente de recursos ou um desperdício nesse direcionamento. Ou, ainda, que existam pontos cuja visão da situação tenha sido insuficiente.
Análise de riscos: o que tem a possibilidade de ocorrer no ambiente? Quais são os eventos que podem desencadear uma materialização dos riscos? É importante notar que é pouco assertivo se preparar para incidentes sem saber quais são as exposições. Assim, identificar as fragilidades e consequências de eventos é um ponto chave para ser eficiente em momentos de gestão de incidentes.
Estratégia e preparação: no caso de Recife, houve o acionamento de todo o efetivo das forças militares para ajudar no apoio à população. Mas ainda assim, a pergunta é: quem vai fazer cada ação após cada gatilho estipulado? Ter planejado e manter recursos disponíveis para a atuação é o que pode diferenciar uma resposta devida de uma insuficiente. Além disso, instruir as pessoas com a atuação que elas devem exercer faz com que o tempo e a efetividade da resposta sejam de melhor desempenho.
Lições aprendidas: não é novidade para quem analisa esses eventos que é recorrente a incidência de chuvas e deslizamentos, sobretudo em épocas e regiões de alta precipitação. Diante disso, a principal questão é: o que foi feito que deu certo? Quais ações poderiam ter melhores resultados? O trabalho de reunir essas informações e revisá-las em vista do que já ocorreu é um dos maiores ganhos de uma ocorrência. No calor da resposta, é inviável analisar esses pontos, mas um estudo posterior pode trazer uma robustez ainda maior à estrutura de Gestão de Continuidade e Crises.
É lugar comum entender que incidentes como as chuvas em Recife são difíceis de serem gerenciados, sobretudo por envolver situações anômalas, de altos impacto e grau de emoção – ainda mais quando há perda de vidas. Ter um sistema de continuidade funcional para essas situações é imprescindível para que os danos sejam os menores possíveis.
E, a partir desses pontos críticos, será possível evitar calamidades novamente – ainda que trabalhando na redução dos impactos. Nesse sentido, a esperança é que a maturidade em continuidade de negócios cresça, mas que isso ocorra no menor tempo possível para que se tenha a segurança necessária na rotina da sociedade.
*Alessandro Dinamarco é gerente de riscos, líder da temática continuidade de negócios da Protiviti.
Ao contrário de uma guerra convencional, a guerra cibernética não tem fronteiras. Como lidar com essa ameaça?
Quando ouvimos falar ou lemos alguma matéria sobre ataques cibernéticos, normalmente observamos que são ocorrências contra indivíduos ou empresas. Porém, podem existir ataques cibernéticos mais sofisticados, com objetivos estratégicos e, ou, geopolíticos. As consequências também podem romper a barreira tecnológica e trazer impactos físicos ou cinéticos, que são raros, porém mais temidos, porque geralmente estão associados à espionagem industrial e financeira.
Ao contrário de uma guerra convencional, a guerra cibernética não tem fronteiras, ou seja, não se limita a determinado espaço geográfico, por isso os países não envolvidos diretamente na questão motivadora também podem ser afetados.
E como as empresas do setor privado poderiam ser afetadas em caso de um ataque cibernético? A título de exemplo, um ataque direcionado a um site que esteja armazenado em uma nuvem pode afetar também outros serviços que estejam utilizando o mesmo ambiente, como uma loja virtual ou até mesmo uma base de dados. Ou seja, quanto mais uma empresa se desenvolve e expande seu ambiente tecnológico, mais suscetível a ataques ela está.
Dessa forma, não ter um bom plano de continuidade, backups e outros controles pode significar a indisponibilidade de diversos serviços em uma guerra cibernética, mesmo que o país não esteja participando diretamente.
Outros fatores, como o crescimento econômico e a liderança de mercados, como a importação de proteína animal, podem fazer com que empresas e países se tornem cada vez mais alvos de ataques e espionagem. No Brasil, por exemplo, algumas das tentativas de ataque recentes foram identificadas em players do agronegócio e em órgãos governamentais.
Mesmo com o avanço da Segurança da Informação e da proteção de dados, o Brasil ainda aparece como um dos países com mais credenciais e dados vazados no último ano. Segundo um relatório da Netscout, empresa especializada em cibersegurança, o Brasil é segundo maior alvo mundial de ciberataques, atrás apenas dos Estados Unidos, que lidera o ranking. O baixo investimento frente ao cenário, a falta de conscientização e a elevada quantidade de sistemas legados utilizados são fatores que contribuem para esta marca.
É importante considerar que praticamente 100% dos colaboradores das empresas possuem dados pessoais armazenados em sistemas públicos, e essas informações podem, sim, serem utilizadas para ataques direcionados ao setor privado. Outro ponto importante também é a consolidação das organizações criminosas, que utilizam o cibercrime como um negócio, com estratégias, metas definidas e até mesmo plano de carreira para seus integrantes, além de um alto retorno financeiro.
Em um cenário cujo aumento do interesse de cibercriminosos no Brasil é uma tendência, será necessária a disseminação de informação em todas as esferas populacionais, assim como um desenvolvimento de segurança em camadas para todas as empresas, especialmente as do setor público, que têm uma responsabilidade ainda maior em relação à proteção das informações pessoais.
É essencial que as lideranças dos setores privado e público estejam atentas e dispostas a aperfeiçoarem a sua postura de Segurança da Informação dado que o setor de atuação e a relevância de suas informações sob custódia, entre outros fatores, podem ser motivadores para uma tentativa de ataque cibercriminoso.
