gestaoderiscos

Você Conhece seus Riscos Humanos?

Por

Quando estamos falando de riscos, pensamos muito no que pode vir de fora e nos pegar de surpresa, como um hacker atacando nossas aplicações e servidores ou um fornecedor que abre nossas informações para a concorrência. Dificilmente, pensamos no nosso próprio comportamento.

A realidade é que nosso comportamento pode ser de risco e nem nos damos conta disso. Por “nosso comportamento”, entende-se qualquer comportamento das pessoas que trabalham em benefício da empresa, de sócios a colaboradores.

Sem dúvida, uma empresa não existe sem as pessoas e para as pessoas. Só que o comportamento humano de risco pode ameaçar a atividade empresarial em vários níveis e em várias frentes. Isso quando não representa risco para o próprio indivíduo (haja vista todas as diligências necessárias na segurança do trabalho, por exemplo). Quando o comportamento humano é analisado sob a perspectiva da segurança, abrem-se muitas janelas de atenção para os gestores.

Do ponto de vista da responsabilização, a empresa pode ser obrigada a indenizar terceiros por danos comprovadamente decorrentes da sua atividade, produtos ou serviços. Por isso, a empresa se responsabiliza pelo comportamento imprudente ou propositalmente malicioso de todos os seus agentes, que são as pessoas vinculadas à empresa por contrato de trabalho, prestação de serviços ou qualquer outra relação que puder causar a percepção de que a pessoa tem autorização para atuar em nome da empresa. Ou seja, toda a força de trabalho envolvida na atividade empresarial tem o potencial de causar danos a terceiros caso o seu comportamento seja de risco.

Por essa razão, a empresa deve realizar uma série de atividades para mitigar os riscos humanos, como a capacitação constante dos colaboradores e a adoção de ferramentas técnicas que controlem e padronizem o comportamento humano durante a execução do trabalho. Não se trata de robotizar as pessoas, mas de garantir que haja razoáveis níveis de previsibilidade, qualidade e segurança na entrega de produtos e serviços ao mercado.

A padronização do comportamento dos colaboradores com relação ao trabalho começa com a conscientização dos envolvidos sobre a responsabilidade da empresa e de sua contribuição individual para que tudo corra bem nas suas atividades. Para cada departamento da empresa e para cada nível hierárquico, há particularidades a serem definidas pela gestão através de Políticas e incorporadas em mecanismos de padronização, como os Procedimentos Operacionais, Instruções de Trabalho, Cartilhas, Manuais, Playbooks e outros (os nomes dos documentos podem variar de acordo com a preferência da empresa).  

Nos negócios digitais e de tecnologia, a segurança é essencial, pois qualquer falha de segurança representa uma falha no próprio produto ou serviço, já que uma falha de segurança torna o produto ou serviço impróprio para o consumo ou pode prejudicar o cliente. É como quando um restaurante não cuida o prazo de validade dos ingredientes ou quando uma indústria de cosméticos utiliza matéria-prima contaminada. O cliente simplesmente não consegue se beneficiar do que comprou ou, pior ainda, acaba sendo prejudicado pela compra.

Há inúmeras ferramentas de segurança disponíveis no mercado. Praticamente tudo o que se faz usando tecnologia pode contar com dispositivos de segurança que protegem de APIs a servidores, de aplicações em nuvem de terceiros a sistemas on premise proprietários. Nada disso é efetivo, no entanto, se o comportamento humano for de risco. Por essa razão, que a conscientização das pessoas é tão essencial.

Os colaboradores precisam, antes de tudo, entender que estão a serviço da empresa em todas as interações de trabalho. Precisam compreender que as informações sigilosas da empresa estão sob seus cuidados porque precisam delas para o trabalho e que elas não devem ser usadas fora do escopo de suas atividades profissionais. Necessitam ter a consciência do que significa ter postura de segurança no contexto do seu trabalho.

Para que a percepção das pessoas esteja alinhada com as necessidades da empresa, é dever da empresa esclarecer quais são as regras éticas para cada tipo de trabalho desempenhado. Além de organizar programas de conscientização e capacitação dos colaboradores, as empresas precisam comprovar que tomaram os cuidados necessários relativos à sua equipe.

A empresa deve esclarecer as regras éticas para cada colaborador através de cláusulas contratuais, treinamentos e campanhas de conscientização e também da divulgação dos documentos da Governança Corporativa, que devem ser constantemente revisados e divulgados com linguagem própria para o público a que se direcionam.

No caso dos empregados, por exemplo, o Contrato de Trabalho deve conter Cláusula de Sigilo e Confidencialidade. A própria legislação trabalhista já prevê o dever de sigilo entre as regras de demissão por justa causa. Então não se trata de um assunto novo nas relações de trabalho.

É fundamental que os colaboradores percebam a existência da Governança dentro da empresa para que tenham orientação sobre as expectativas da empresa com relação ao seu comportamento, inclusive sobre os cuidados que devem tomar na condução de suas atividades no dia-a-dia. Os riscos de segurança de cada atividade devem estar muito claros para todos os envolvidos e todas as medidas de contenção dessas ameaças devem ser conhecidas e treinadas.

A Gestão de Riscos nas Parcerias Estratégicas

Por

Uma parceria estratégica é um acordo entre duas ou mais empresas que têm objetivos em comum. Se você acredita que pode encontrar parceiros estratégicos que podem alavancar o crescimento de sua empresa, o primeiro passo é entender por que você procura uma parceria estratégica:

  • Você quer chegar a mais clientes?
  • Você quer atender melhor os clientes que você já tem?
  • Você quer incorporar mais funcionalidades a um produto?
  • Você precisa de algum conhecimento que não possui?

Em quaisquer dos casos, é claro que o que você busca é algo que você não tem, alguma complementariedade à sua expertise. Por isso, na hora de buscar um parceiro estratégico, você vai precisar buscar um perfil diferente do seu próprio perfil, mas ao mesmo tempo complementar.

Neste momento, é interessante estipular seus próprios objetivos e os critérios de avaliação que você vai utilizar na hora de escolher seus parceiros estratégicos. Provavelmente você desenvolverá uma lista para te apoiar no momento de comparar seus potenciais parceiros estratégicos e definirá critérios de desempate, que serão aqueles que você mais valoriza numa parceria e que são mais relevantes para o atingimento dos objetivos comuns que sua empresa e seus parceiros têm em comum, mas você precisa definir também o que você não quer da parceria estratégica.

Como você está lidando com um negócio desconhecido, será difícil escolher o parceiro estratégico certo, já que você terá novos parâmetros de análise, aos quais você provavelmente não estará acostumado. É importante também buscar, além de fatores técnicos e comerciais, o alinhamento de valores com os parceiros estratégicos.

É no alinhamento de valores que você precisa tomar cuidados para que a parceria estratégica não se torne um problema no futuro. É aí que entra a Gestão de Riscos da parceria. O apetite ao risco do potencial parceiro, por exemplo, pode ser incompatível com os valores de sua empresa. É o apetite ao risco que vai definir a sua disposição e a do parceiro no comportamento e na tomada de decisão no dia-a-dia da parceria estratégica e potencialmente pode gerar muitos conflitos.

Imagine que seu parceiro desenvolve soluções pontuais e assertivas, com foco na usabilidade, e suas soluções oferecem mais segurança e interatividade. Haverá necessidade de grandes esforços técnicos para que as soluções conversem e toda a estratégia comercial entre vocês será provavelmente incompatível. Potencialmente, sua empresa pode ser mais avessa ao risco e seu parceiro, que tem soluções mais autônomas tecnicamente, tem mais liberdade para tomar riscos.

Essa divergência no apetite ao risco certamente pode ser contornada, mas o esforço pode não valer a pena e pode atrasar ou prejudicar os objetivos da parceria. Por essa razão, é essencial que o perfil de risco dos potenciais parceiros estratégicos seja previamente avaliado.

Uma boa maneira de avaliar o apetite ao risco de um potencial parceiro é analisar as outras parcerias estratégicas que ele já desenvolveu e quais são as medidas estruturantes dessas parcerias. Eles têm um Programa de Parceria estabelecido ou participam de programas de terceiros? Eles costumam formalizar os termos da parceria via contrato? Eles costumam realizar auditorias em seus parceiros ou costumam passar por auditorias externas? Eles têm pessoas dedicadas às parcerias estratégicas na sua estrutura? Eles têm processos de negócio para parceiros estratégicos que diferem dos processos que utilizam com clientes e com fornecedores comuns?

Outra maneira de avaliar o apetite do potencial parceiro estratégico ao risco é levantando dados acerca de sua reputação no mercado. É a hora de verificar se seu potencial parceiro estratégico está envolvido em processos judiciais, se existem notícias sobre envolvimento da empresa em operações ilícitas e se seus sócios têm boa reputação. Com o amadurecimento das tratativas da parceria estratégica, é recomendável também que você submeta seu parceiro estratégico a um processo formal de escrutínio, que é o due dilligence, ou devida diligência.

Só que a avaliação do apetite de risco de um potencial parceiro estratégico vai além de evitar potenciais conflitos com o parceiro em si. Você pode enfrentar problemas com as autoridades e com terceiros, já que as responsabilidades das empresas em uma cadeia de valor são compartilhadas. Ou seja, você pode responder por danos provocados por atos ilícitos de seus parceiros estratégicos e até por omissão ou negligência dessas empresas e você terá que comprovar que não tem culpa.

Para evitar esses riscos, a comunicação clara no momento da estruturação da parceria estratégica e o alinhamento de metas comuns são essenciais para garantir que todos trabalhem em sinergia. Além disso, as responsabilidades de cada parceiro devem ser formalizadas em contrato, que deve prever práticas de gestão de desempenho para monitorar e manter o alinhamento dos esforços e objetivos comuns a longo prazo.

Gestão Estratégica de Riscos

Por

Gestão Estratégica de Riscos

Gestão de Riscos

A gestão de riscos é uma prática essencial no mundo corporativo. A gestão de riscos se dedica a identificar, avaliar e priorizar ameaças. Essas atividades são seguidas pela aplicação coordenada e econômica de recursos para minimizar, monitorar e controlar a probabilidade ou impacto de eventos indesejados ou para maximizar o aproveitamento de oportunidades. A Consonante, em parceria estratégica com a Next4Sec, possui uma abordagem inovadora e eficiente em gestão de riscos, especialmente voltada para empresas que operam no setor de tecnologia.

Em um mundo cada vez mais digitalizado, onde transações, contratos e interações ocorrem online, diversos riscos se apresentam para o empresário, desde fraudes financeiras e violações de propriedade intelectual até falhas de infraestrutura e ataques cibernéticos. A Consonante orienta sempre a identificação prévia desses perigos, especialmente aqueles que podem afetar negativamente a operação do negócio.

A abordagem da Consonante envolve um estudo detalhado dos aspectos técnicos e estratégicos do negócio, visando identificar potenciais vulnerabilidades que possam ser exploradas por atores mal-intencionados ou que possam resultar em falhas operacionais. A parceria com a Next4Sec é fundamental nesse processo, pois combina a expertise estratégica da Consonante com a especialização técnica da Next4Sec, permitindo uma avaliação abrangente e a implementação de soluções robustas.

Entre os riscos mais comuns enfrentados por empresas de tecnologia estão:

Fraudes envolvendo valores e contratos: A gestão de riscos visa prevenir situações em que a empresa ou seus clientes possam ser prejudicados por fraudes financeiras ou contratuais.

Violações de propriedade intelectual: Proteger a propriedade intelectual e prevenir o uso indevido ou a cópia não autorizada é fundamental para manter a integridade e o valor dos produtos ou serviços oferecidos.

Falhas de infraestrutura técnica e de rede: A continuidade dos serviços online depende diretamente da estabilidade e segurança da infraestrutura de TI e redes, aspectos que são cuidadosamente monitorados e gerenciados.

Invasões e roubos de dados: A segurança de dados é uma prioridade, com estratégias para prevenir invasões e o roubo de informações sensíveis, protegendo tanto a empresa quanto seus clientes.

Para cada um desses desafios, a Consonante desenvolve estratégias personalizadas, incluindo planos de contingência e recuperação, para garantir que as empresas sejam resilientes, seguras e confiáveis. Isso envolve não apenas a implementação de soluções técnicas avançadas mas também a promoção de uma cultura de segurança e conscientização que engloba a gestão de riscos em todos os níveis da organização.

Cibersegurança no Segmento de TIC

Por

Cibersegurança no Segmento de TIC

Cibersegurança

O Fórum Econômico Mundial publica anualmente o ranking das maiores ameaças aos negócios no curto e longo prazos. No ranking de 2024, a insegurança cibernética aparece na quarta posição no curto prazo e, no longo prazo, aparece em oitavo lugar. A ameaça representada pela insegurança cibernética varia em intensidade de acordo com o segmento em que cada empresa atua e é, sem dúvida, crítica para empresas de tecnologia e de base digital.

A produção intensiva de propriedade intelectual, a dependência de dados como matéria-prima e a infraestrutura física para rodar as soluções são peculiaridades do segmento de tecnologia da informação e serviços e são fatores determinantes para a exposição das empresas do setor aos riscos de cibersegurança.

As ameaças digitais são especialmente maiores para o segmento das TICs e empresas de base digital também por conta da responsabilidade jurídica das empresas desse segmento por vícios de produto e serviços que possam vir a prejudicar os consumidores e clientes empresariais. Os primeiros pela desproporcional vulnerabilidade na relação com essas empresas e os demais pela natureza dos danos experimentados, que podem representar a necessidade de ressarcimento de lucros cessantes por paradas produtivas, por exemplo.

Outra questão é que, em geral, quem tem time técnico focado na produção dos produtos e serviços pensa que está bem servido de conhecimento adequado para a solução de problemas, proteção contra ameaças externas e a conscientização do pessoal. Entretanto, pode ser que essa excessiva confiança seja justamente o comportamento de risco a ser explorado por potenciais invasores. Isso porque os conhecimentos em cibersegurança não são exatamente os mesmos que os conhecimentos necessários para o desenvolvimento, implementação e operação de aplicações e outras soluções de tecnologia.

A mão-de-obra em tecnologia da informação é tão variada e tão multidisciplinar que raramente quem olha de fora consegue compreender o que ocorre dentro de uma equipe técnica. Mesmo quem trabalha com TI pode precisar de ajuda para identificar o tipo de conhecimento necessário para a proteção da empresa. Faz parte da descoberta originária da gestão de riscos estratégicos olhar com cuidado para o conjunto de saberes necessário para formar uma camada de proteção adequada ao negócio.

Já quem integra o time de tomada de decisão de negócio precisa compreender que cibersegurança é tão essencial quanto o próprio funcionamento da solução oferecida ao mercado. Se a solução funciona, mas funciona com vulnerabilidades básicas, melhor nem entrar em produção. Daí a necessidade de se atentar para a segurança desde a concepção das soluções.

Quando se fala em segurança de uma aplicação, deve-se considerar a hospedagem, os meios pelos quais a solução será acessada, as alçadas de administração, os dispositivos que vão acessá-la, os perfis de acesso dos usuários finais, os tipos de transações realizados, enfim, todo o cenário futuro de produção da solução deve ser desenhado considerando suas potenciais vulnerabilidades.

A segurança deve ser considerada ao longo de todo o ciclo de vida da aplicação. A começar pela delimitação do escopo de desenvolvimento, a segurança deve ser prevista como requisito essencial, sobretudo para aplicações desenvolvidas para transações financeiras e mercados regulados. Se a aplicação transaciona valores em dinheiro ou quaisquer outros ativos financeiros, há chances altas de que alguma regra de segurança prevista em legislação ou regulação seja aplicável e deva ser considerada como requisito desde a concepção.

Durante o desenvolvimento da aplicação, é recomendável que módulos de segurança sejam incluídos, quer sejam soluções integradas de parceiros, quer sejam desenvolvidos pela própria equipe de projeto. É o exemplo dos sistemas antifraude, que atuam na identificação e bloqueio de potenciais transações fraudulentas realizadas através da aplicação.

Na fase de teste, é recomendável considerar a possibilidade de realizar avaliações de vulnerabilidades e testes de intrusão, os famosos pentests, que simulam tentativas não autorizadas aos sistemas que fazem parte da solução. É melhor conhecer as vulnerabilidades antes da produção para evitar potenciais prejuízos, tanto para os clientes finais, quanto para o provedor da solução.

Durante o uso da solução, o provedor precisa pensar na disponibilização de suporte técnico para potenciais problemas envolvendo questões de segurança, além do suporte relativo às funcionalidades esperadas para a solução. Afinal, o cliente final não saberá identificar a natureza do incidente quando ele ocorrer. Em caso de desconhecimento dos conceitos básicos de segurança, é possível que nem o próprio provedor da solução seja capaz de reconhecer se a natureza do incidente é de segurança ou não.

Por fim, não se pode esquecer que as soluções são dinâmicas e podem vir a apresentar desafios de segurança no decorrer do uso. Isso sem contar com a crescente especialização dos agentes de ameaças cibernéticas, que conseguem encontrar brechas com mais facilidade à medida que escalam suas atividades. Para tanto, é essencial que uma boa operação de segurança seja armada e que os ativos críticos de TI sejam constantemente monitorados.

Se seu negócio é a oferta de soluções de tecnologia, a gestão estratégica de riscos deve considerar todo o ciclo de vida das aplicações que sua empresa produz. Caso contrário, abalos na disponibilidade, na integridade e na confidencialidade das suas soluções e dos dados nelas transacionados podem trazer impactos negativos importantes para a empresa, como a perda de contratos, danos reputacionais, gastos imprevistos com a correção de problemas e até processos judiciais com potencial necessidade de indenizar seus clientes por lucros cessantes e perdas e danos.  

Segurança para SaaS

Por

Segurança para SaaS

SaaS

A segurança cibernética é uma preocupação primordial para as empresas e uma das mais importantes obrigações para provedores de soluções em nuvem do tipo SaaS (Software as a Service). Para isso, a Consonante sempre indica que os desenvolvedores priorizem uma série de práticas para garantir a segurança cibernética de seus clientes e também das suas próprias atividades.

Desde a implementação de criptografia robusta até a resposta eficaz a incidentes, os provedores de SaaS devem adotar uma abordagem abrangente e proativa para mitigar riscos e garantir a confiança dos clientes em relação à segurança de seus dados na nuvem.

Confira algumas práticas de segurança cibernética que a Consonante destaca para SaaS:

Firewalls e controles de acesso de rede

Implementar firewalls robustos e controles de acesso de rede ajuda a proteger a infraestrutura contra acessos não autorizados. Configurar regras de firewall para restringir o tráfego desnecessário e utilizar Listas de Controle de Acesso (ACLs) para controlar quem pode acessar os recursos da rede são medidas essenciais para evitar invasões nas soluções SaaS.

Monitoramento contínuo de ameaças

Estabelecer um sistema de monitoramento contínuo de ameaças é fundamental para os provedores SaaS detectarem e responderem rapidamente a qualquer atividade maliciosa ou anomalia na rede. Isso pode incluir a utilização de ferramentas de detecção de intrusões, análise de comportamento de usuários e tráfego, e a colaboração com serviços de inteligência de ameaças.

Implementação de criptografia de ponta a ponta

Como provedor de soluções SaaS, é crucial implementar criptografia de ponta a ponta em todas as etapas do processo de armazenamento e transmissão de dados. Isso garante a proteção dos dados sigilosos dos clientes contra acesso não autorizado, seja durante o armazenamento na nuvem ou durante a transferência entre dispositivos.

Educação e conscientização dos funcionários

Investir em educação e conscientização dos funcionários é crucial para fortalecer a segurança cibernética de uma empresa. Os funcionários devem ser treinados regularmente sobre as melhores práticas de segurança, como identificar e relatar tentativas de phishing, proteger suas credenciais de login e manter a segurança de dispositivos utilizados para acessar a nuvem. Provedores SaaS devem se atentar a esse item para promover a conscientização aos colaboradores próprios e dos seus clientes. 

Caso tenha alguma dúvida, entre em contato com a Consonante para identificar as melhores medidas de proteção para seu negócio.