Você Conhece seus Riscos Humanos?

Por

Quando estamos falando de riscos, pensamos muito no que pode vir de fora e nos pegar de surpresa, como um hacker atacando nossas aplicações e servidores ou um fornecedor que abre nossas informações para a concorrência. Dificilmente, pensamos no nosso próprio comportamento.

A realidade é que nosso comportamento pode ser de risco e nem nos damos conta disso. Por “nosso comportamento”, entende-se qualquer comportamento das pessoas que trabalham em benefício da empresa, de sócios a colaboradores.

Sem dúvida, uma empresa não existe sem as pessoas e para as pessoas. Só que o comportamento humano de risco pode ameaçar a atividade empresarial em vários níveis e em várias frentes. Isso quando não representa risco para o próprio indivíduo (haja vista todas as diligências necessárias na segurança do trabalho, por exemplo). Quando o comportamento humano é analisado sob a perspectiva da segurança, abrem-se muitas janelas de atenção para os gestores.

Do ponto de vista da responsabilização, a empresa pode ser obrigada a indenizar terceiros por danos comprovadamente decorrentes da sua atividade, produtos ou serviços. Por isso, a empresa se responsabiliza pelo comportamento imprudente ou propositalmente malicioso de todos os seus agentes, que são as pessoas vinculadas à empresa por contrato de trabalho, prestação de serviços ou qualquer outra relação que puder causar a percepção de que a pessoa tem autorização para atuar em nome da empresa. Ou seja, toda a força de trabalho envolvida na atividade empresarial tem o potencial de causar danos a terceiros caso o seu comportamento seja de risco.

Por essa razão, a empresa deve realizar uma série de atividades para mitigar os riscos humanos, como a capacitação constante dos colaboradores e a adoção de ferramentas técnicas que controlem e padronizem o comportamento humano durante a execução do trabalho. Não se trata de robotizar as pessoas, mas de garantir que haja razoáveis níveis de previsibilidade, qualidade e segurança na entrega de produtos e serviços ao mercado.

A padronização do comportamento dos colaboradores com relação ao trabalho começa com a conscientização dos envolvidos sobre a responsabilidade da empresa e de sua contribuição individual para que tudo corra bem nas suas atividades. Para cada departamento da empresa e para cada nível hierárquico, há particularidades a serem definidas pela gestão através de Políticas e incorporadas em mecanismos de padronização, como os Procedimentos Operacionais, Instruções de Trabalho, Cartilhas, Manuais, Playbooks e outros (os nomes dos documentos podem variar de acordo com a preferência da empresa).  

Nos negócios digitais e de tecnologia, a segurança é essencial, pois qualquer falha de segurança representa uma falha no próprio produto ou serviço, já que uma falha de segurança torna o produto ou serviço impróprio para o consumo ou pode prejudicar o cliente. É como quando um restaurante não cuida o prazo de validade dos ingredientes ou quando uma indústria de cosméticos utiliza matéria-prima contaminada. O cliente simplesmente não consegue se beneficiar do que comprou ou, pior ainda, acaba sendo prejudicado pela compra.

Há inúmeras ferramentas de segurança disponíveis no mercado. Praticamente tudo o que se faz usando tecnologia pode contar com dispositivos de segurança que protegem de APIs a servidores, de aplicações em nuvem de terceiros a sistemas on premise proprietários. Nada disso é efetivo, no entanto, se o comportamento humano for de risco. Por essa razão, que a conscientização das pessoas é tão essencial.

Os colaboradores precisam, antes de tudo, entender que estão a serviço da empresa em todas as interações de trabalho. Precisam compreender que as informações sigilosas da empresa estão sob seus cuidados porque precisam delas para o trabalho e que elas não devem ser usadas fora do escopo de suas atividades profissionais. Necessitam ter a consciência do que significa ter postura de segurança no contexto do seu trabalho.

Para que a percepção das pessoas esteja alinhada com as necessidades da empresa, é dever da empresa esclarecer quais são as regras éticas para cada tipo de trabalho desempenhado. Além de organizar programas de conscientização e capacitação dos colaboradores, as empresas precisam comprovar que tomaram os cuidados necessários relativos à sua equipe.

A empresa deve esclarecer as regras éticas para cada colaborador através de cláusulas contratuais, treinamentos e campanhas de conscientização e também da divulgação dos documentos da Governança Corporativa, que devem ser constantemente revisados e divulgados com linguagem própria para o público a que se direcionam.

No caso dos empregados, por exemplo, o Contrato de Trabalho deve conter Cláusula de Sigilo e Confidencialidade. A própria legislação trabalhista já prevê o dever de sigilo entre as regras de demissão por justa causa. Então não se trata de um assunto novo nas relações de trabalho.

É fundamental que os colaboradores percebam a existência da Governança dentro da empresa para que tenham orientação sobre as expectativas da empresa com relação ao seu comportamento, inclusive sobre os cuidados que devem tomar na condução de suas atividades no dia-a-dia. Os riscos de segurança de cada atividade devem estar muito claros para todos os envolvidos e todas as medidas de contenção dessas ameaças devem ser conhecidas e treinadas.

Compliance com a LGPD

Por


Afinal, a LGPD trata do quê?

A Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais – LGPD – protege dados pessoais. Então estamos falando da proteção de direitos das pessoas físicas. A LGPD coloca a pessoa física no papel de titular de dados pessoais e a empresa no papel de Agente de tratamento de dados pessoais. Dados pessoais são dados que identificam direta ou indiretamente uma pessoa física.

Sendo assim, o dono dos dados pessoais é a pessoa física, que a LGPD identifica como titular de dados pessoais. Já as empresas são identificadas pela LGPD como Agentes de tratamento, ou seja, ocupam a posição de quem custodia, ou protege, os dados pessoais do titular. A LGPD, então, coloca de um lado o titular, que é o protegido, e, do outro, o Agente de tratamento, que é o protetor.

Esse dever de proteção dos dados pessoais precisa acontecer durante qualquer tratamento de dados pessoais. Para a LGPD, tratamento é qualquer operação que envolva dados pessoais, de maneira digital ou analógica. Os tipos de tratamento vão da coleta até a eliminação dos dados pessoais. Inclui também qualquer modificação, cruzamento, visualização, comparação, enfim: qualquer operação que envolva dados pessoais, inclusive no ambiente físico.

Resumindo: a LGPD determina que os dados pessoais do titular sejam protegidos pelas empresas, que são consideradas como Agentes de tratamento.

Quais são as exigências da LGPD para as empresas?

LGPD exige que a proteção de dados pessoais seja intencional, permanente, organizada, transparente e passível de auditoria. Para operacionalizar essas obrigações, a LGPD exige do Agente de tratamento um conjunto de medidas técnicas e administrativas que estejam de acordo com as melhores práticas de mercado no que se refere à proteção de dados pessoais. Vale lembrar que todas as empresas realizam algum tipo de tratamento de dados pessoais no seu dia-a-dia, ainda que sejam somente os dados pessoais de seus colaboradores.

O Agente de tratamento de dados pessoais é obrigado, então, a adotar essas melhores práticas através de um Programa de Privacidade e Proteção de Dados pessoais permanente. Um Programa de Privacidade e Proteção de Dados pessoais precisa considerar os papeis desempenhados pela empresa nos tratamentos de dados pessoais que realiza. Com isso, todas as interfaces da empresa com pessoas naturais devem ser analisadas e cada rotina deve ser mapeada para que se identifique todo tipo de tratamento realizado e suas particularidades.

Como Agente de tratamento de dados pessoais, uma empresa pode ter maior ou menor responsabilização diante da LGPD. A LGPD classifica as empresas em relação ao benefício percebido pela empresa com o tratamento de dados pessoais. Dessa forma, a empresa será um Agente Controlador de dados pessoais quando os utiliza em operações próprias, em benefício próprio, e será um Operador de dados pessoais quando realiza tratamentos em benefício de outro Agente.

Dependendo da relação que o Agente tem com o titular de dados pessoais e do papel que a empresa desempenha num determinado tratamento, ela será um Agente Controlador ou um Agente Operador. Sendo assim, há empresas que oscilam entre os papeis de Agente Controlador e Agente Operador de dados pessoais ou desempenham ambos papeis, a depender das operações que realizam e da relação que têm com os diversos tipos de titular de dados pessoais. Nesse cenário, quando uma empresa trata dados em nome de outra, ela ocupa a posição de Operador e a empresa contratante ocupa a posição de Controlador. Existem outras combinações, mas vamos pensar no básico e vamos ilustrar com um exemplo:

Por exemplo, o Agente Controlador pode ser um supermercado que tem empregados e que precisa pagar o salário deles. Neste exemplo, o Agente Operador será o provedor do sistema de folha de pagamento pois a solução de software opera com dados pessoais (realiza tratamento de dados pessoais) para a execução das funcionalidades necessárias à realização dos pagamentos em nome do supermercado. Entre Controlador e Operador, deve haver documentos contratuais que definem os produtos fornecidos e os serviços prestados e também as regras para o tratamento de dados pessoais.

Nesse contexto, o Agente Controlador é o principal responsável pelas medidas protetivas e o Agente Operador atua como seu apoiador no Programa de Privacidade e Proteção de Dados Pessoais, já que o Controlador utiliza das ferramentas fornecidas pelo Operador para operacionalizar os tratamentos necessários à sua atividade econômica.

Resumindo: o Agente Controlador precisa das soluções do Agente Operador para operacionalizar o tratamento de dados pessoais. O Controlador tem maior responsabilidade diante da LGPD por se beneficiar economicamente das atividades de tratamento de dados pessoais.

O que está envolvido na implementação da LGPD?

LGPD impõe aos Agentes a obrigatoriedade de implementar uma série de “medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” desde a concepção dos produtos e serviços providos ou utilizados pelos Agentes (Art. 46, §§ 1º e 2º da LGPD).

Para operacionalizar esses requisitos, a LGPD impõe a necessidade de o Agente Controlador implementar um Programa de Privacidade e Proteção de Dados Pessoais, o que implica na realização de mudanças organizacionais consideráveis.

Como em toda mudança organizacional, o Programa de Privacidade e Proteção de Dados Pessoais inicia no formato de um Projeto e esse projeto precisa movimentar pessoas, processos e ferramentas. Um Projeto de Compliance com a LGPD requer a definição de uma metodologia de implementação, com prioridades, pessoas responsáveis, geração de conscientização sobre os novos conceitos em todos os níveis organizacionais e muitas outras atividades de Projeto, com o objetivo de manter as medidas em funcionamento no longo prazo.

Como vimos, A LGPD usa as expressões “medidas técnicas e organizacionais”, “medidas de segurança”, “boas práticas” e um “programa de governança em privacidade”. A LGPD prevê a obrigação de “demonstrar” e “dar transparência” dessas melhores práticas e desse Programa, ou seja, a LGPD exige a implementação de rotinas de Compliance.

Muitas empresas questionam a efetividade das medidas fiscalizatórias da Autoridade Nacional de Proteção de Dados, mantendo uma postura cética em relação à necessidade de Compliance com a LGPD. Essa postura se deve a questionamentos sobre a capacidade da Autoridade para realizar todo o trabalho necessário, considerando a grande quantidade de Agentes e todas as particularidades dos tratamentos de dados pessoais.   

Evidentemente, acompanhar o ambiente regulatório com relação à fiscalização é essencial, mas não deveria ser a única preocupação dos Agentes de Tratamento. A percepção do titular de dados pessoais com relação à posição vulnerável que ocupa na cadeia de valor vem mudando nos últimos anos, sendo que as gerações mais jovens estão mais atentas ao compartilhamento de seus dados pessoais com as empresas e a preservação de sua privacidade. As empresas que tomam os devidos cuidados no tratamento de dados pessoais serão cada vez mais valorizadas e escolhidas pelos titulares em suas relações de consumo.

Além disso, há crescente judicialização dos assuntos relativos à violação de direitos de proteção de dados pessoais, principalmente depois que esses direitos passaram a integrar a lista de direitos humanos fundamentais previstos na Constituição Federal, em fevereiro de 2022 (Emenda Constitucional 115/2022). Em paralelo, a Autoridade Nacional de Proteção de Dados – ANPD – publicou o Regulamento de Aplicação de Sanções Administrativas em fevereiro de 2023, o que aparelha a ANPD para ampliar a sua função fiscalizatória.

Resumindo: A implementação da LGPD é diferencial competitivo para todas as empresas. O Compliance com a LGPD inicia-se como um Projeto e deve ser considerado a longo prazo como uma necessidade de negócio.

Governança de Parcerias – Programa de Canais

Por

O desenvolvedor de software pode adotar a estratégia de canais para a distribuição de seus produtos e serviços. Com uma estratégia de canais, a software house pode chegar a novas geografias, a novos nichos e pode compor as ofertas de produtos e serviços dos próprios canais, que passam a integrar a solução à sua própria oferta. Há muitas combinações possíveis, inclusive para soluções White label. O objetivo é ganhar escala de vendas com uma rede de parceiros.

É uma excelente estratégia, mas podem surgir desafios quando o número de parceiros começa a aumentar e o relacionamento com diversas empresas começa a sobrecarregar as estruturas da fabricante. Por isso, é importante implementar um Programa de Canais. Um Programa é uma maneira de estruturar a Governança de vendas através de Canais, alinhando os processos de negócio, as pessoas e as ferramentas da empresa para interação com os canais.

A Governança de um Programa de Canais

Tudo deve começar pela definição dos objetivos estratégicos da empresa com relação à distribuição dos produtos e serviços. Se a distribuição por canais for estratégica para a empresa, então o próximo passo é imaginar um perfil ideal de canal de acordo com o que se quer obter. Por exemplo: para mais capilaridade em novas regiões, é importante identificar quem já domina a região, para soluções voltadas a um nicho específico, é importante identificar os players do nicho em questão, para escoar produtos white label, deve-se identificar as melhores marcas, e assim por diante.    

Outro aspecto muito importante da estratégia de canais é pensar em todas as contrapartidas esperadas para os dois lados, para além do percentual de comissionamento. Por exemplo, como serão as atividades de prestação de contas entre os envolvidos, quais são os requisitos de capacitação que os canais devem cumprir, entre muitas outras atividades que fazem parte do dia-a-dia do relacionamento entre fabricante e canal.

Definida a estratégia inicial, um Programa de Canais deve considerar todo o ciclo de vida da parceria. Desde prospecção dos canais ideais até o desligamento de canais que já não fazem mais sentido, passando por padronizar todas as atividades envolvidas no ciclo de vida, com um bom enxoval de documentos que estruturam a parceria, canais de comunicação apropriados à relação com stakeholders externos à empresa, treinamento dos colaboradores internos envolvidos na relação com parceiros, fluxos financeiros bem definidos, atividades de marketing colaborativas, acompanhamento de pipeline de vendas e gestão de incentivos para os canais, gestão de conhecimento sobre os produtos e serviços e capacitação do parceiro e sua equipe, e finalmente, uma boa gestão de riscos de terceiros.

Lembrando que a ideia é a de construir parcerias de longo prazo, com uma relação ganha-ganha para os dois lados.

Papeis Envolvidos no Programa de Canais

Dependendo do porte do fabricante, não vai haver uma pessoa dedicada para assumir cada responsabilidade, mas as responsabilidades do relacionamento com os canais têm que ser bem definidas e atribuídas a alguém dentro da empresa. Então vamos ter os seguintes papéis:

  • o recrutador (quem “vende” a parceria e identifica os parceiros adequados);
  • o responsável pela documentação contratual envolvida e a mitigação dos riscos com terceiros (esse papel vai pensar na due dilligence do parceiro e em tudo o que pode dar errado ao longo da relação, principalmente na finalização da parceria);
  • o   gerente de vendas, afinal um canal é uma extensão da força de vendas da empresa (então todas as rotinas de vendas passam a integrar os canais).
  • o responsável por evangelizar sobre a política de canais da empresa e todas as regras que vão estruturar a parceria ao longo do ciclo de vida (esse papel também faz a capacitação dos canais nos produtos e serviços e a gestão do conhecimento compartilhada);
  • a equipe de operações e suporte de produto, que agora tem que incluir uma etapa significativa na entrega e sustentação do produto, que é o canal, um terceiro em relação aos processos internos; 
  • a equipe de marketing, que vai apoiar o canal no posicionamento dos produtos e serviços para que o posicionamento e a estratégia não se percam na cadeia de valor (vai prover subsídios para eventos, material promocional e apresentações de vendas, por exemplo);
  • o financeiro, que se encarrega de calcular a remuneração do canal pelas vendas e pagar todos os incentivos e contribuições previstas no Programa, além dos impostos envolvidos.

Enfim, praticamente todas as áreas da empresa precisam conhecer o Programa de Canais e compreender quais são os seus papeis em cada atividade de interação com esses terceiros. Muitos benefícios podem surgir na relação com os canais! Se tudo der certo, pros dois lados! 

A Estruturação de um Programa de Canais

A estruturação de um Programa de Canais é importante para potencializar as vendas e a consequente penetração dos produtos e serviços da empresa no mercado. É também uma estratégia de mitigação de riscos de terceiros, já que um Programa bem estruturado protege a reputação da empresa no mercado.

Nessa dinâmica, muita confusão pode ser gerada e os impactos podem ser negativos. Se não houver uma boa governança do Programa, a relação pode gerar passivo judicial pra empresa, problemas de segurança de produto, problemas com o cliente final, descompasso no pós-venda, pagamentos indevidos, muita confusão mesmo, já que o fabricante não tem controle total sobre o canal, que é um terceiro. Não é como gerenciar uma equipe interna.

Daí a importância de se ter um PROGRAMA de Canais quando se tem vários parceiros.

A Gestão de Riscos nas Parcerias Estratégicas

Por

Uma parceria estratégica é um acordo entre duas ou mais empresas que têm objetivos em comum. Se você acredita que pode encontrar parceiros estratégicos que podem alavancar o crescimento de sua empresa, o primeiro passo é entender por que você procura uma parceria estratégica:

  • Você quer chegar a mais clientes?
  • Você quer atender melhor os clientes que você já tem?
  • Você quer incorporar mais funcionalidades a um produto?
  • Você precisa de algum conhecimento que não possui?

Em quaisquer dos casos, é claro que o que você busca é algo que você não tem, alguma complementariedade à sua expertise. Por isso, na hora de buscar um parceiro estratégico, você vai precisar buscar um perfil diferente do seu próprio perfil, mas ao mesmo tempo complementar.

Neste momento, é interessante estipular seus próprios objetivos e os critérios de avaliação que você vai utilizar na hora de escolher seus parceiros estratégicos. Provavelmente você desenvolverá uma lista para te apoiar no momento de comparar seus potenciais parceiros estratégicos e definirá critérios de desempate, que serão aqueles que você mais valoriza numa parceria e que são mais relevantes para o atingimento dos objetivos comuns que sua empresa e seus parceiros têm em comum, mas você precisa definir também o que você não quer da parceria estratégica.

Como você está lidando com um negócio desconhecido, será difícil escolher o parceiro estratégico certo, já que você terá novos parâmetros de análise, aos quais você provavelmente não estará acostumado. É importante também buscar, além de fatores técnicos e comerciais, o alinhamento de valores com os parceiros estratégicos.

É no alinhamento de valores que você precisa tomar cuidados para que a parceria estratégica não se torne um problema no futuro. É aí que entra a Gestão de Riscos da parceria. O apetite ao risco do potencial parceiro, por exemplo, pode ser incompatível com os valores de sua empresa. É o apetite ao risco que vai definir a sua disposição e a do parceiro no comportamento e na tomada de decisão no dia-a-dia da parceria estratégica e potencialmente pode gerar muitos conflitos.

Imagine que seu parceiro desenvolve soluções pontuais e assertivas, com foco na usabilidade, e suas soluções oferecem mais segurança e interatividade. Haverá necessidade de grandes esforços técnicos para que as soluções conversem e toda a estratégia comercial entre vocês será provavelmente incompatível. Potencialmente, sua empresa pode ser mais avessa ao risco e seu parceiro, que tem soluções mais autônomas tecnicamente, tem mais liberdade para tomar riscos.

Essa divergência no apetite ao risco certamente pode ser contornada, mas o esforço pode não valer a pena e pode atrasar ou prejudicar os objetivos da parceria. Por essa razão, é essencial que o perfil de risco dos potenciais parceiros estratégicos seja previamente avaliado.

Uma boa maneira de avaliar o apetite ao risco de um potencial parceiro é analisar as outras parcerias estratégicas que ele já desenvolveu e quais são as medidas estruturantes dessas parcerias. Eles têm um Programa de Parceria estabelecido ou participam de programas de terceiros? Eles costumam formalizar os termos da parceria via contrato? Eles costumam realizar auditorias em seus parceiros ou costumam passar por auditorias externas? Eles têm pessoas dedicadas às parcerias estratégicas na sua estrutura? Eles têm processos de negócio para parceiros estratégicos que diferem dos processos que utilizam com clientes e com fornecedores comuns?

Outra maneira de avaliar o apetite do potencial parceiro estratégico ao risco é levantando dados acerca de sua reputação no mercado. É a hora de verificar se seu potencial parceiro estratégico está envolvido em processos judiciais, se existem notícias sobre envolvimento da empresa em operações ilícitas e se seus sócios têm boa reputação. Com o amadurecimento das tratativas da parceria estratégica, é recomendável também que você submeta seu parceiro estratégico a um processo formal de escrutínio, que é o due dilligence, ou devida diligência.

Só que a avaliação do apetite de risco de um potencial parceiro estratégico vai além de evitar potenciais conflitos com o parceiro em si. Você pode enfrentar problemas com as autoridades e com terceiros, já que as responsabilidades das empresas em uma cadeia de valor são compartilhadas. Ou seja, você pode responder por danos provocados por atos ilícitos de seus parceiros estratégicos e até por omissão ou negligência dessas empresas e você terá que comprovar que não tem culpa.

Para evitar esses riscos, a comunicação clara no momento da estruturação da parceria estratégica e o alinhamento de metas comuns são essenciais para garantir que todos trabalhem em sinergia. Além disso, as responsabilidades de cada parceiro devem ser formalizadas em contrato, que deve prever práticas de gestão de desempenho para monitorar e manter o alinhamento dos esforços e objetivos comuns a longo prazo.

Gestão Estratégica de Riscos

Por

Gestão Estratégica de Riscos

Gestão de Riscos

A gestão de riscos é uma prática essencial no mundo corporativo. A gestão de riscos se dedica a identificar, avaliar e priorizar ameaças. Essas atividades são seguidas pela aplicação coordenada e econômica de recursos para minimizar, monitorar e controlar a probabilidade ou impacto de eventos indesejados ou para maximizar o aproveitamento de oportunidades. A Consonante, em parceria estratégica com a Next4Sec, possui uma abordagem inovadora e eficiente em gestão de riscos, especialmente voltada para empresas que operam no setor de tecnologia.

Em um mundo cada vez mais digitalizado, onde transações, contratos e interações ocorrem online, diversos riscos se apresentam para o empresário, desde fraudes financeiras e violações de propriedade intelectual até falhas de infraestrutura e ataques cibernéticos. A Consonante orienta sempre a identificação prévia desses perigos, especialmente aqueles que podem afetar negativamente a operação do negócio.

A abordagem da Consonante envolve um estudo detalhado dos aspectos técnicos e estratégicos do negócio, visando identificar potenciais vulnerabilidades que possam ser exploradas por atores mal-intencionados ou que possam resultar em falhas operacionais. A parceria com a Next4Sec é fundamental nesse processo, pois combina a expertise estratégica da Consonante com a especialização técnica da Next4Sec, permitindo uma avaliação abrangente e a implementação de soluções robustas.

Entre os riscos mais comuns enfrentados por empresas de tecnologia estão:

Fraudes envolvendo valores e contratos: A gestão de riscos visa prevenir situações em que a empresa ou seus clientes possam ser prejudicados por fraudes financeiras ou contratuais.

Violações de propriedade intelectual: Proteger a propriedade intelectual e prevenir o uso indevido ou a cópia não autorizada é fundamental para manter a integridade e o valor dos produtos ou serviços oferecidos.

Falhas de infraestrutura técnica e de rede: A continuidade dos serviços online depende diretamente da estabilidade e segurança da infraestrutura de TI e redes, aspectos que são cuidadosamente monitorados e gerenciados.

Invasões e roubos de dados: A segurança de dados é uma prioridade, com estratégias para prevenir invasões e o roubo de informações sensíveis, protegendo tanto a empresa quanto seus clientes.

Para cada um desses desafios, a Consonante desenvolve estratégias personalizadas, incluindo planos de contingência e recuperação, para garantir que as empresas sejam resilientes, seguras e confiáveis. Isso envolve não apenas a implementação de soluções técnicas avançadas mas também a promoção de uma cultura de segurança e conscientização que engloba a gestão de riscos em todos os níveis da organização.

6 Práticas de Security by Design para Desenvolvedores SaaS

Por

6 Práticas de Security by Design para Desenvolvedores SaaS

Security by Design

Security by Design é um conceito que visa integrar a segurança em todas as etapas do ciclo de vida do desenvolvimento de um sistema. Em vez de adicionar medidas de proteção ao software como uma resposta tardia – ou seja, após algum problema maior, o Security by Design enfatiza a importância de considerar os aspectos de segurança desde o início do processo de design e desenvolvimento de um sistema. Especializada em empresas de tecnologia, a Consonante sempre busca incentivar boas práticas de Security by Design para desenvolvedores SaaS.

Essa é uma forma dos seus aplicativos ganharem muito mais credibilidade com empresas e usuários.

Confira abaixo 6 práticas de Security by Design:

Auditorias de segurança regulares: Realizar auditorias periódicas para medir o desempenho do SaaS em relação a uma lista de critérios-padrão para identificar e corrigir possíveis falhas de segurança é uma importante medida de Security by Design. 

Plano de Continuidade: É fundamental que o desenvolvedor SaaS esteja preparado para possíveis invasões, paradas ou outros problemas de disponibilidade. Desenhar um bom plano de continuidade para seu SaaS diminui a ocorrência de eventos não planejados, que podem causar transtornos para seu cliente. Demonstrar essa prática de Security by Design traz maior credibilidade para sua empresa, já que os clientes finais percebem maior segurança com relação ao seu produto. Além disso, evita multas por descumprimento de contrato e problemas judiciais derivados de tempos de parada para o cliente final. 

Atualizações e patches regulares: Atualizar o software com correções de segurança e disponibilizar patches ao cliente final para que seu ambiente produtivo seja protegido contra vulnerabilidades conhecidas é essencial ao conceito de Security by Design.

Testes de intrusão: A contratação de profissionais de segurança para simular invasões ao software disponibilizado é outra prática de Security by Design. Realizando pentests, o provedor de SaaS pode verificar possíveis falhas e corrigi-las antes que uma invasão real aconteça. Num pentest, as táticas utilizadas por atacantes reais são simuladas para avaliar a eficácia das defesas do sistema e as principais vulnerabilidades são identificadas, o que permite adotar medidas preventivas e corretivas adequadas contra criminosos cibernéticos. 

Monitoramento de integridade e anomalias: Outra prática de Security by Design é implementar sistemas de monitoramento que possam detectar atividades suspeitas ou comportamento anômalo que podem indicar possíveis violações de segurança. Nessa prática, são realizadas atividades periódicas necessárias para uma efetiva avaliação e controle de ameaças aos componentes críticos que suportam o negócio de seu cliente. 

Conscientização: Não adianta incorporar um arsenal de medidas técnicas para resguardar sua solução SaaS desde a concepção e proteger os negócios de seus clientes se você não implementar uma cultura de segurança na sua empresa. A conscientização começa pela definição de uma Política de Segurança da Informação e requer campanhas consistentes de divulgação e reforço do conteúdo dessa política e seu objetivo até que toda a equipe esteja  ciente das boas práticas de Segurança e possa passar segurança para o cliente final no dia-a-dia da utilização da solução SaaS.

A Consonante atua no desenvolvimento de Políticas de Segurança Cibernética desde a concepção (Security by Design) de soluções SaaS e assessora seus clientes na gestão de riscos corporativos através da conscientização e treinamentos de equipes, elaboração de contratos e incorporação de soluções técnicas a partir de sua parceria com a Next4Sec Security Intelligence.

Provedor SaaS: Aprenda a Importância dos Termos de Uso ou Termos de Serviço

Por

Provedor SaaS: Aprenda a Importância dos Termos de Uso ou Termos de Serviço

Termos de Uso

Os documentos de “Termos de Uso” e “Política de Privacidade” são acordos bilaterais que têm o propósito de delimitar a responsabilidade de cada parte, de orientar o uso do produto pelos clientes e esclarecer dúvidas que possam surgir sobre o fornecimento do software no modelo SaaS (Software as a Service). 

Sendo especializada em consultoria para negócios da área de tecnologia, a Consonante percebe que um dos principais erros que desenvolvedores SaaS cometem ao criarem os Termos de Uso, é não compreender que esse documento é um contrato formal e muitos desenvolvedores acabam copiando e colando Termos de Uso padrão sem se atentar às particularidades do seu software. A Consonante destaca que os Termos de Uso, além de serem um contrato jurídico, são também um documento de negócio.

A Importância dos Termos de Uso

Um desenvolvedor de software sequer consegue colocar seu App SaaS em um canal de venda como as lojas de apps da Android e iOS, por exemplo, sem um documento de Termos de Uso, já que esses canais exigem esse documento como requisito básico para que o SaaS conste de seu catálogo. Em outros canais de venda, a falta do documento levanta suspeitas sobre a qualidade do app em si. A inclusão dos Termos de Uso facilita para que o software seja vendido, não somente pelas lojas de de apps mais conhecidas como também por outros sites de e-commerce.

Ao desenvolver Termos de Uso, atente-se a esses tópicos:

  • Personalização: Não utilize Termos de Uso padrão baixados na Internet. Verifique as particularidades do seu software e elabore seus próprios Termo de Uso.

  • Descrição do serviço: Explique claramente qual é o serviço ou produto oferecido pelo software em seus Termos de Uso. Detalhe as suas funcionalidades e delimite bem o escopo de utilização do app

  • Responsabilidades do usuário: Esclareça as responsabilidades do usuário em relação ao uso do serviço ou produto, como, por exemplo, proibição de usos ilícitos, respeito aos direitos autorais, etc.

  • Limitação de responsabilidade: Defina os limites da responsabilidade da sua empresa em relação a danos causados pelo uso do serviço ou produto, incluindo falhas técnicas, interrupções no serviço, etc.

  • Política de privacidade: Informe como os dados pessoais dos usuários serão coletados, armazenados, utilizados e protegidos pela empresa.

  • Disposições gerais: Inclua cláusulas sobre a vigência do contrato, alterações nos Termos de Uso, legislação aplicável e resolução de conflitos, entre outras.

Precisa de uma ajuda?

A Consonante tem uma vasta experiência e conhecimento sobre o mercado de TIC (Tecnologia da Informação e Comunicações) e todas as suas particularidades. Com isso, podemos elaborar contratos e Termos de Uso com uma maior segurança para desenvolvedores SaaS. Entre em contato conosco e saiba mais a respeito. Nós te ajudamos a estruturar o seu negócio para o sucesso.

Cibersegurança no Segmento de TIC

Por

Cibersegurança no Segmento de TIC

Cibersegurança

O Fórum Econômico Mundial publica anualmente o ranking das maiores ameaças aos negócios no curto e longo prazos. No ranking de 2024, a insegurança cibernética aparece na quarta posição no curto prazo e, no longo prazo, aparece em oitavo lugar. A ameaça representada pela insegurança cibernética varia em intensidade de acordo com o segmento em que cada empresa atua e é, sem dúvida, crítica para empresas de tecnologia e de base digital.

A produção intensiva de propriedade intelectual, a dependência de dados como matéria-prima e a infraestrutura física para rodar as soluções são peculiaridades do segmento de tecnologia da informação e serviços e são fatores determinantes para a exposição das empresas do setor aos riscos de cibersegurança.

As ameaças digitais são especialmente maiores para o segmento das TICs e empresas de base digital também por conta da responsabilidade jurídica das empresas desse segmento por vícios de produto e serviços que possam vir a prejudicar os consumidores e clientes empresariais. Os primeiros pela desproporcional vulnerabilidade na relação com essas empresas e os demais pela natureza dos danos experimentados, que podem representar a necessidade de ressarcimento de lucros cessantes por paradas produtivas, por exemplo.

Outra questão é que, em geral, quem tem time técnico focado na produção dos produtos e serviços pensa que está bem servido de conhecimento adequado para a solução de problemas, proteção contra ameaças externas e a conscientização do pessoal. Entretanto, pode ser que essa excessiva confiança seja justamente o comportamento de risco a ser explorado por potenciais invasores. Isso porque os conhecimentos em cibersegurança não são exatamente os mesmos que os conhecimentos necessários para o desenvolvimento, implementação e operação de aplicações e outras soluções de tecnologia.

A mão-de-obra em tecnologia da informação é tão variada e tão multidisciplinar que raramente quem olha de fora consegue compreender o que ocorre dentro de uma equipe técnica. Mesmo quem trabalha com TI pode precisar de ajuda para identificar o tipo de conhecimento necessário para a proteção da empresa. Faz parte da descoberta originária da gestão de riscos estratégicos olhar com cuidado para o conjunto de saberes necessário para formar uma camada de proteção adequada ao negócio.

Já quem integra o time de tomada de decisão de negócio precisa compreender que cibersegurança é tão essencial quanto o próprio funcionamento da solução oferecida ao mercado. Se a solução funciona, mas funciona com vulnerabilidades básicas, melhor nem entrar em produção. Daí a necessidade de se atentar para a segurança desde a concepção das soluções.

Quando se fala em segurança de uma aplicação, deve-se considerar a hospedagem, os meios pelos quais a solução será acessada, as alçadas de administração, os dispositivos que vão acessá-la, os perfis de acesso dos usuários finais, os tipos de transações realizados, enfim, todo o cenário futuro de produção da solução deve ser desenhado considerando suas potenciais vulnerabilidades.

A segurança deve ser considerada ao longo de todo o ciclo de vida da aplicação. A começar pela delimitação do escopo de desenvolvimento, a segurança deve ser prevista como requisito essencial, sobretudo para aplicações desenvolvidas para transações financeiras e mercados regulados. Se a aplicação transaciona valores em dinheiro ou quaisquer outros ativos financeiros, há chances altas de que alguma regra de segurança prevista em legislação ou regulação seja aplicável e deva ser considerada como requisito desde a concepção.

Durante o desenvolvimento da aplicação, é recomendável que módulos de segurança sejam incluídos, quer sejam soluções integradas de parceiros, quer sejam desenvolvidos pela própria equipe de projeto. É o exemplo dos sistemas antifraude, que atuam na identificação e bloqueio de potenciais transações fraudulentas realizadas através da aplicação.

Na fase de teste, é recomendável considerar a possibilidade de realizar avaliações de vulnerabilidades e testes de intrusão, os famosos pentests, que simulam tentativas não autorizadas aos sistemas que fazem parte da solução. É melhor conhecer as vulnerabilidades antes da produção para evitar potenciais prejuízos, tanto para os clientes finais, quanto para o provedor da solução.

Durante o uso da solução, o provedor precisa pensar na disponibilização de suporte técnico para potenciais problemas envolvendo questões de segurança, além do suporte relativo às funcionalidades esperadas para a solução. Afinal, o cliente final não saberá identificar a natureza do incidente quando ele ocorrer. Em caso de desconhecimento dos conceitos básicos de segurança, é possível que nem o próprio provedor da solução seja capaz de reconhecer se a natureza do incidente é de segurança ou não.

Por fim, não se pode esquecer que as soluções são dinâmicas e podem vir a apresentar desafios de segurança no decorrer do uso. Isso sem contar com a crescente especialização dos agentes de ameaças cibernéticas, que conseguem encontrar brechas com mais facilidade à medida que escalam suas atividades. Para tanto, é essencial que uma boa operação de segurança seja armada e que os ativos críticos de TI sejam constantemente monitorados.

Se seu negócio é a oferta de soluções de tecnologia, a gestão estratégica de riscos deve considerar todo o ciclo de vida das aplicações que sua empresa produz. Caso contrário, abalos na disponibilidade, na integridade e na confidencialidade das suas soluções e dos dados nelas transacionados podem trazer impactos negativos importantes para a empresa, como a perda de contratos, danos reputacionais, gastos imprevistos com a correção de problemas e até processos judiciais com potencial necessidade de indenizar seus clientes por lucros cessantes e perdas e danos.  

Como as empresas devem se preparar para as regulamentações que envolvem a Inteligência Artificial?

Por

Como as empresas devem se preparar para as regulamentações que envolvem a Inteligência Artificial?

Inteligência Artificial

No dia 13 de março de 2024, o Parlamento Europeu aprovou a Lei que regulamenta o uso da Inteligência Artificial (IA) na União Europeia (UE).

Com amplo apoio, a Lei busca equilibrar inovação e proteção de direitos fundamentais, destacando a importância de uma abordagem centrada no ser humano no desenvolvimento da IA. Essa legislação pioneira estabelece um modelo para tecnologia confiável, protegendo direitos fundamentais e garantindo transparência no uso da IA.

A ideia principal da Lei é regulamentar a Inteligência Artificial com base em seu potencial de causar danos à sociedade. Quanto maior o risco, mais rigorosas são as regras. As aplicações de IA que representam um “risco claro para os direitos fundamentais” serão proibidas como, por exemplo, algumas IAs que envolvem o processamento de dados biométricos.

A nova regulamentação incorpora um sistema de classificação de riscos que vai ditar o nível das exigências impostas aos desenvolvedores dos sistemas de IA. A normativa proíbe totalmente práticas como a classificação massiva de cidadãos e a vigilância em massa, visando proteger a privacidade e a liberdade dos cidadãos. Os riscos desse tipo de sistema de IA foram considerados como inaceitáveis pela nova Lei. 

A utilização da Inteligência Artificial ganhou maior destaque após o lançamento do ChatGPT pela OpenAI, no final de 2022. O UE AI Act exige, ainda, que sistemas considerados de alto risco, como aqueles usados em infraestruturas críticas, terão que aderir a requisitos mais rigorosos, incluindo análises de impacto aos direitos fundamentais. Já os modelos de IA de uso geral terão que seguir obrigações de transparência sobre a geração de conteúdo por IA e deverão cumprir as normas europeias de direitos autorais.

Apesar de ser um marco importante, críticos expressaram preocupações com possíveis atrasos no desenvolvimento da IA devido a regras pouco claras e à influência de grupos de lobby na implementação da Lei.

A Consonante acredita que a regulação da Inteligência Artificial ficará cada vez mais presente no dia a dia dos negócios nos próximos anos, se mostrando também uma oportunidade para empresas de diferentes segmentos (já é). O Projeto de Lei (PL 2.338/2023) que regulamenta a utilização da Inteligência Artificial no Brasil tramita no Senado Federal e já conta com a realização de diversas audiências públicas. O ritmo de aprovação deve ser acelerado pela aprovação final do AI Act na União Europeia.

Dessa forma, é essencial que os desenvolvedores de sistemas de Inteligência Artificial acompanhem os movimentos regulatórios no mercado nacional e internacional para incorporar os princípios éticos que estão sendo delineados desde a concepção das novas soluções, utilizando-se de técnicas de ethics-by-design e cercando-se de apoio técnico qualificado. 

Assim como em outras tecnologias, a Consonante vem se atualizando para garantir aos nossos clientes uma maior segurança ao utilizar a Inteligência Artificial nos seus negócios. Entre em contato conosco. Nós auxiliaremos na gestão dos riscos de negócio envolvendo sistemas de IA.

Parcerias: O que uma empresa de tecnologia deve avaliar antes de concluí-las?

Por

Parcerias: O que uma empresa de tecnologia deve avaliar antes de concluí-las?

Parcerias

A formação de parcerias é uma excelente forma para potencializar negócios, principalmente na área de tecnologia. Nos últimos anos, observamos diversos cases de parcerias de sucesso, como da IBM com a startup Onni.ai, de inteligência artificial.  Entretanto, alguns cuidados são deixados de lado pelos executivos em vários momentos da formação de parcerias. A Consonante possui uma ampla experiência na estruturação de parcerias estratégicas. Neste post, vamos listar alguns pontos importantes na construção de novas parcerias.

Busque Parceiros que Te Complementem

Já no início, quando estão procurando os melhores parceiros para atingir seus objetivos estratégicos, é comum que os executivos procurem semelhanças para a parceria, em vez de complementaridades ao perfil da sua empresa. Isso tira do radar bons parceiros, que fazem muito bem aquilo que a empresa não sabe ou não intenciona fazer. Além disso, acaba por favorecer conflitos com o futuro parceiro, já que ambos já têm suas práticas bem estabelecidas e certamente elas não serão totalmente aderentes. Ao buscar negócios que se complementam, as empresas fortalecem pontos que antes eram fracos para ambos os lados e a parceria começa a fazer mais sentido.

Defina em Contrato as Responsabilidades de Cada Lado

Já na fase de estruturação da parceria, é comum os empresários esquecerem de pensar nas contrapartidas, responsabilidades e regras de convivência da parceria ao longo do tempo. Normalmente, as empresas ajustam preços, descontos e condições de pagamento, mas esquecem de conversar sobre como os produtos e serviços chegarão ao cliente final, sobre como o suporte técnico será realizado e quem será responsável por cada atividade, por exemplo. 

No dia a dia da parceria, as rotinas de vendas, faturamento, atenção ao cliente e comunicação entre os parceiros vão sendo construídas sem planejamento e sem alinhamento e as dificuldades vão crescendo à medida que mais negócios vão entrando. 

Por fim, na hipótese de desfazimento da parceria, raramente há qualquer preparo para uma transição suave, que coloque os ex-parceiros em condições favoráveis de seguir em frente após a separação. Isso sem falar nos efeitos negativos para o cliente final e na reputação das empresas parceiras no mercado. É importante definir as responsabilidades de cada um dos parceiros via contrato, pensando também naquilo que ocorre caso a parceria não dê certo.

Tenha o Apoio de uma Consultoria Empresarial

Um olhar externo pode auxiliar para que a parceria seja ainda mais bem sucedida. A Consonante apoia o planejamento e a estruturação de parcerias estratégicas de longa duração, com foco no desenvolvimento mútuo dos envolvidos e na sustentabilidade econômica da parceria. 

A Consonante se envolve na estruturação de uma parceria durante todo o seu ciclo de vida, da idealização à finalização, passando pela elaboração de contratos e desenho dos novos processos de negócio necessários. Com um trabalho organizado, é possível desenhar a ampliação do modelo de parceria para um programa de parcerias com novos potenciais parceiros de mesmo perfil e até pensar em outros objetivos estratégicos a serem atingidos através de negócios colaborativos.

 A intervenção consultiva para estruturação de parcerias permite que a empresa se proteja contra eventuais riscos que podem prejudicar imensamente sua atuação e reputação. A gestão dos riscos durante o processo de estruturação de parcerias prevê potenciais ameaças aos negócios envolvidos em todo o ciclo de vida da parceria. 

Além disso, há uma crescente exigência do mercado e da regulação com relação à responsabilização das organizações dentro das cadeias de valor para além das suas atuações individuais. 

ESG 

Cada vez mais, uma empresa será responsável pelas falhas de outras com as quais interage por força de novas leis e regulamentações relacionadas a ESG (da sigla em inglês Environmental, Social and Governance). Nesse sentido, os contratos de parceria vão cobrar posturas mais profissionais e a responsabilização dos parceiros diante dos clientes da parceria, que exigirão transparência dessa relação para o mercado.

Num momento de crescente exigência com relação à ética nos negócios, seja pela superexposição das empresas nas redes sociais, seja por conta da pressão dos órgãos reguladores, do mercado (e, proximamente, do judiciário num processo de amadurecimento da agenda ESG), a estruturação de parcerias sustentáveis e responsáveis se torna fator de diferenciação e de demonstração de seriedade no mercado. A Consonante tem o conhecimento necessário para a condução de projetos de estruturação de parcerias no mercado de tecnologia e digital para elevar sua empresa ao capitalismo de stakeholders, ou capitalismo consciente.