assuntoscriativos
assuntoscriativos

8 benefícios de contar com um Virtual CISO

Um profissional familiarizado tanto com as melhores práticas em segurança da informação e conformidade, quanto com os processos específicos de cada empresa nesta linha. Porém, sem os custos de contratação interna de todas estas capacidades, podendo fazer a gestão destas demandas e ser consultado remotamente sempre que necessário.

Em resumo, esta é a definição de um Virtual CISO. Mas, indo um pouco mais além, podemos entender que o cargo de Chief Informacion Security Officer (CISO) na versão Virtual compreende não apenas um profissional, e sim um time completo e multidisciplinar capaz de suprir de ponta a ponta as necessidades de privacidade de dados e compliance de uma companhia, seja ela do porte que for: de startups a multinacionais, todas podem se beneficiar deste modelo.

Por isso, nosso foco hoje é exatamente detalhar os benefícios deste tipo de contratação. Vamos a eles:

#1. Orçamento

A tecla “orçamento” é sempre uma das mais batidas em todo planejamento empresarial. Especialmente nesta época, o último quarter do ano, em que a estratégia do próximo exercício costuma estar em pleno andamento.

Se sua startup, pequena, média ou grande empresa está vivendo este momento, faça as contas incluindo a projeção de economia entre 30% e 40% que um serviço de Virtual CISO pode trazer ao seu budget (segundo dados apurados pela Strong Security) em relação à contratação interna deste profissional.

#2. Experiência

Um Virtual CISO agrega ao seu negócio toda a vivência nos principais temas de segurança da informação, entregando gestão de qualidade, expertise elevada e governança completa.

#3. Entrega de valor imediata

Como já vem com toda a experiência que citamos acima, o Virtual CISO já chega pronto para agregar à sua estratégia o foco diário e contínuo que é recomendado para garantir o pleno funcionamento de todas as funções de seu nicho de atuação. Não será necessário investir em treinamento ou adequação, reduzindo o tempo entre a contratação e a efetiva prestação dos serviços.

#4. Foco no core business

Contando com um Virtual CISO, você terceiriza a gestão de segurança da informação, conformidade, privacidade de dados, liberando suas equipes internas da preocupação com estes temas. Assim, seus profissionais internos de TI e outras áreas poderão se concentrar nas demandas exatas do seu negócio, deixando as funções de infosec para o terceirizado com toda a tranquilidade.

#5. Mais por menos

Já mencionamos economia, mas é inevitável repetir tal ganho neste tópico: um CISO como serviço trará muito mais resultados em menos tempo do que um funcionário em período integral. Isto porque, no formato as a service, você contará possivelmente com todos os skills de um CISO prestados por mais de um profissional, em uma oferta multidisciplinar que resultará em competência, abrangência, agilidade e flexibilidade.

#6. Melhor seleção e relação com fornecedores

CISOs virtuais trazem a experiência das empresas/consultorias que prestam o serviço no relacionamento com fornecedores do mercado, sejam eles fabricantes de soluções, profissionais de serviços complementares, especialistas em todas as áreas que venham a ser necessárias ao longo do caminho. Isto poupa você de longos processos de análise, triagem, avaliação para chegar às escolhas mais assertivas.

#7. Flexibilidade contratual

Um CISO interno é um funcionário, e isso determina regras e custos de acordo com a legislação trabalhista em vigor. No modelo virtual, você pode negociar com o fornecedor o melhor atendimento à cada demanda, de forma estratégica e ágil, sem precisar se preocupar com hora extra, férias e outros encargos do gênero

#8. Independência de processos

O Virtual CISO é hábil no gerenciamento de uma gama de funções e ações – da construção de uma estratégia de segurança e conformidade à ativação de ações de resposta a violações e incidentes, passando por análises e capacitações periódicas. Tudo isso de forma independente de outras funções operacionais, já que ele tem foco naquilo que você o contratou para executar.

Como você pode ver, os benefícios agregados à contratação de um Virtual CISO são vários. Com essa lista detalhada, tenho certeza de que ficará mais fácil para você tomar a decisão que melhor se adeque ao seu orçamento e plano de negócios para este ano de 2023.

Até a próxima!

Gestão de segurança da informação é caro para startups? Experimente o custo de não gerir!

A gestão de segurança da informação é essencial para startups? Descubra as consequências financeiras de não investir nessa área!

Quase US$ 600 bilhões são perdidos globalmente (equivalente a 0,8% do PIB mundial). No Brasil, o prejuízo chega a cerca de US$ 10 bilhões. Esses números são resultados de pesquisas conduzidas por várias consultorias, incluindo o Center for Strategic and International Studies (CSIS) e a PSafe, entre outras.

No último ano, aproximadamente 71 milhões de pessoas no Brasil foram vítimas de crimes virtuais, levando o país a ocupar a indesejada terceira posição no ranking mundial de crimes cibernéticos.

Apesar desses números alarmantes, muitas empresas ainda adiam investimentos em segurança da informação. Esse erro é cometido por empresas de todos os tamanhos, mas é especialmente problemático para as startups. Apesar de movimentarem cerca de R$ 2,86 bilhões em investimentos anuais (de acordo com a LAVCA – Associação Latino-americana de Fundos de Capital de Risco), elas hesitam em destinar recursos para o planejamento e gerenciamento da segurança de dados, sistemas e redes.

Por que isso acontece? Uma explicação é o fato de que muitas startups acreditam, erroneamente, que não possuem dados importantes a serem protegidos ou que não são alvos interessantes para cibercriminosos.

No entanto, essa visão está equivocada. Todas as empresas lidam com dados e estão sujeitas a regulamentações do setor. Cuidar desses aspectos desde o início é fundamental para se destacar no mercado de forma competitiva.

Além disso, a eficiência operacional deve ser considerada um KPI (indicador-chave de desempenho) associado à segurança da informação. Caso uma pequena empresa seja alvo de um ataque, ela pode enfrentar perdas financeiras, interrupções no sistema (o que significa interrupções nos negócios) e outros impactos que podem prejudicar sua imagem e credibilidade no mercado, algo muitas vezes irreparável.

Dessa forma, ter controles avançados e gestão especializada em segurança da informação é a maneira mais confiável de minimizar a possibilidade de incidentes, evitar prejuízos potenciais e aumentar a eficiência.

Outro motivo pelo qual startups e PMEs não investem em segurança da informação de maneira profissional, é o custo. Frequentemente, essas empresas veem a cibersegurança como algo extremamente caro, fora de suas possibilidades orçamentárias.

Infelizmente, muitas vezes isso é verdade. De fato, existem sistemas de segurança da informação e serviços avançados, tanto terceirizados quanto incorporados por profissionais contratados, cujos valores podem ser considerados exorbitantes para empresas iniciantes ou em fase de expansão.

Se colocarmos tudo na ponta do lápis, levando em consideração todos os custos trabalhistas envolvidos, nenhum empresário contrataria uma equipe multidisciplinar de especialistas para cuidar da cibersegurança, desde a avaliação de riscos até a implementação de soluções adequadas, incluindo o gerenciamento contínuo das estruturas, dados e sistemas da empresa em relação às ameaças cibernéticas.

Muito menos seriam capazes de arcar com os altos custos de contratar várias soluções para todas essas áreas, incluindo licenças, hospedagem e suporte.

Felizmente, tudo isso não é necessário. Esses custos podem ser consolidados em uma plataforma única, otimizada, com valor compactado e diluído em pagamentos mensais no formato de serviço.

Uma solução que podemos destacar é a oferta do IT2S Group, que fornece uma combinação de sistema e serviços para gerenciar a segurança da informação. Isso permite que startups e pequenas e médias empresas atendam às normas e regulamentações legais, além de protegerem os dados de suas empresas, clientes, parceiros e outros envolvidos em suas operações de maneira prática, objetiva e financeiramente viável.

A solução inclui o Virtual Officer, que atua como um diretor virtual de conformidade, privacidade e segurança. Ele foi desenvolvido para organizações que precisam iniciar ou aprimorar suas iniciativas de segurança da informação, mantendo o orçamento enxuto.

O formato de contratação do Virtual Officer é elaborado de acordo com a necessidade e o orçamento de cada empresa e é apoiado por uma equipe multidisciplinar que gerencia os serviços fornecidos. Essa equipe é composta por profissionais com conhecimentos complementares que abrangem diversas áreas, incluindo conformidade, privacidade e segurança da informação.

Dessa forma, é possível obter, por meio de pagamentos mensais compatíveis com a realidade das startups, todos os benefícios de uma gestão altamente especializada em segurança da informação. Isso resulta na redução de custos e burocracias associadas à contratação de profissionais experientes. Adaptar a empresa e seu modelo de gestão e negócios à segurança de dados é fundamental para um plano de gestão que realmente levará à escalabilidade e expansão das empresas.

O que não te falam sobre a LGPD

Para muitos, a sigla LGPD pode parecer apenas mais uma lei distante. No entanto, se você acredita que não será impactado, sinto dizer que está enganado. Vamos te contar aqui, o que não te falam sobre a LGPD.

Nossos dados estão constantemente sendo monitorados e comercializados por aí! As campanhas de marketing que você vê no Google e nas redes sociais são fruto do monitoramento constante, coleta e, muitas vezes, do desrespeito aos nossos dados.

A adequação à LGPD é apenas o início de uma montanha de processos que envolvem a Segurança da Informação e a Privacidade de Dados. Não basta apenas nomear um DPO e escrever uma política de privacidade e termos de uso para o seu site. É necessário mapear, testar, monitorar, tratar e evidenciar uma série de processos cíclicos.

Analisar os riscos do seu negócio, estabelecer um plano de contingência e continuidade, responder às exigências dos fornecedores, realizar treinamentos de compliance, promover uma rotina de testes de intrusão, vulnerabilidades (pentest) e diversas outras ações fazem parte desse contexto interligado. Pois é, há muito o que não te falam sobre a LGPD, percebeu?

É importante ressaltar que a segurança da informação não se restringe apenas à tecnologia, mas envolve, principalmente, as pessoas. Cada funcionário de uma empresa é um ativo e, ao mesmo tempo, representa um risco de invasão cibernética. Ter uma equipe treinada e constantemente atualizada é uma responsabilidade essencial.

Assim como você protege seu carro com um seguro, coloca grades e alarmes em sua casa e tem cuidado ao atravessar a rua, é fundamental proteger sua empresa. Seu sistema interno também é um patrimônio que deve ser valorizado. Já parou para pensar quanto custaria um dia sem acesso a ele? O prejuízo que isso poderia gerar? Essas são perguntas que muitas empresas só fazem depois de terem seus sistemas invadidos, quando pode ser tarde demais.

Não deixe a segurança e privacidade serem assuntos relegados ao segundo plano. Antecipe-se, analise e corrija as vulnerabilidades antes que seja tarde! Lembre-se de que, se você não detectar os riscos que corre, não poderá se proteger. Um barco sem destino acaba se perdendo em um oceano agitado.

Embora nenhuma empresa seja 100% segura, estar preparado e protegido contra ameaças coloca você um passo à frente do mercado e dos concorrentes. Não se esqueça: a segurança permeia todas as áreas do seu negócio. Ter uma equipe multidisciplinar composta por profissionais jurídicos, de governança e tecnologia é uma forma de valorizar seu próprio negócio perante o mercado e investidores.

É muita coisa para se pensar, não é mesmo? Mas calma, nem tudo está perdido! A IT2S pode te conduzir nesta jornada de segurança 360° 

Proteja a sua startup do cibercrime: 5 dicas para começar agora!

Selecionamos as 5 principais dicas para você começar a proteger a sua startup do cibercrime.

Antes de mais nada, sabemos que pensar todas as pontas do negócio dá muito trabalho, mas é essencial que você proteja a sua startup do cibercrime. E é por isso que a segurança da informação tem que ser pensada desde o início. Assim, para te ajudar a trilhar este caminho, listamos aqui 5 passos essenciais para que você proteja a sua startup.

1º passo: Não subestime seu poder de atração

Muitas startups acreditam não serem atrativas para os hackers, pelo fato de serem pequenas ou iniciantes. Não caia nessa! Você precisa proteger a sua startup do cibercrime, pois exatamente por saberem que as startups pensam desta forma, e, por isso, não se protegem, os cibercriminosos tendem a atacá-las. Além disso, existe o risco dos ataques em grande escala, lançados para todos os lados e acabam atingindo quem? Isso mesmo, as empresas que tiverem menos atenção à segurança.

O correto é entender que, desde sua fundação, todo negócio pode estar na mira do cibercrime. Buscar proteção desde o início é a maneira mais tranquila de conquistar crescimento dos negócios longe de preocupações.

2º passo: Proteja seus recursos em nuvem

Grande parte das startups utilizam nuvens públicas, como AWS ou Google Cloud, para ofertar seus serviços. Até aí, tudo bem. O problema é que muitas delas não se preocupam em conhecer as configurações de segurança específicas de cada cloud, ou, ainda, não dão bola para detalhes que podem parecer triviais, como as senhas, e acabam utilizando passwords fracas. Cuidado! Estas atitudes podem deixar as companhias vulneráveis ao cibercrime. O melhor é evitá-las para fortalecer a segurança da startup.

3º passo: Cuide do armazenamento

Ao armazenar dados e documentos, é preciso utilizar senhas fortes, containers em nuvem adequados e outras medidas de segurança da informação estudadas caso a caso. Já imaginou as informações de seus clientes ou os códigos de seus aplicativos vazarem por puro descuido? Não se exponha a este risco! Documentos guardados digitalmente, sejam da própria empresa ou de terceiros, precisam ser bem protegidos para garantir a segurança do negócio em sua totalidade.

4º passo: Esteja preparado para ataques DDoS

Primeiro, entenda que ataques DDoS são uma forma de cibercrime que deixa indisponíveis as operações da empresa infectada. Em outras palavras, têm capacidade para, literalmente, tirar sua startup do ar.

Há alguns anos, a startup de criptomoedas Coinkite foi atacada por esta modalidade diversas vezes seguidas. Resultado: não houve outro remédio, senão fechar as portas. Tempos depois, os proprietários informaram que haviam sofrido ataques desde o lançamento de seus serviços, e que não conseguiram recuperar o prejuízo causado pelas invasões. Ou seja, faltou prevenção, e isso resultou em um dano irreparável. Um pecado que sua startup não pode cometer. Isto é, proteja a sua startup, se não, todo o trabalho que você (e a sua equipe) estão fazendo diariamente, vai por água abaixo, do dia para a noite!

5º passo: Faça uma economia inteligente

Ao invés de cortar investimentos em cibersegurança para poupar o orçamento, prefira investir em soluções que se adequem ao budget de forma inteligente. Assim, busque, no mercado, fornecedores que entendam o universo startup e tenham produtos, serviços e profissionais preparados para atender à realidade das mesmas, abrangendo todos os pontos: dados, redes, sistemas, gestão, políticas, pessoas – e, se isso tudo puder ser ofertado em pacotes desenhados de acordo com o caixa e as necessidades exatas de cada empresa, melhor ainda. Em se tratando de segurança da informação, personalização e facilitação na adesão, uso e pagamento são itens fundamentais.

Zele pelo seu negócio, trabalho e por tudo o que você já construiu até aqui (não foi fácil, né?). Portanto, não marque bobeira e proteja a sua startup!

Por fim, esperamos que os passos que recomendamos sejam úteis para colocar sua startup no caminho da cibersegurança. Mas é claro que o assunto não se esgota aqui: há outros pontos importantíssimos a se falar sobre a segurança das startups, e um deles é a cultura, a forma de engajar os colaboradores a trabalhar de forma segura para a empresa e seus clientes – você já viu o nosso último post com dicas de como criar uma cultura de segurança nas startups? 

Selecionamos as 10 melhores dicas para você criar uma cultura eficiente de segurança da informação

Quando se fala em como criar uma cultura eficiente de cibersegurança, privacidade de dados, conformidade, LGPD e afins, o primeiro item a vir à mente TEM que ser o fator humano. Afinal, de nada adiantará dispor de ótimas tecnologias e de profissionais super qualificados cuidando das redes, sistemas, dados, se todos os colaboradores não conhecerem as políticas e estratégias de segurança da empresa.

Você sabia que o recente relatório do Fórum Econômico Mundial revelou que 95% dos problemas de segurança cibernética são causados por erro humano?

Como criar, então, esta cultura de segurança? Criamos uma série de dicas para te auxiliar. Confira:

  1. NÃO EXISTE FÓRMULA MÁGICA OU MÉTODO IDEAL

Não espere uma receita pronta, pois o que é aplicável para muitas companhias, pode não ser para outras. Tudo requer personalização. Então, a primeira dica é não copiar.

Se a empresa X aplica determinadas práticas, não tem problema você conhecê-las para se inspirar, mas isso não significa que deverá simplesmente trazê-las para o seu negócio. Primeiro, conheça sua exata realidade e, a partir dela, desenhe sua própria política.

  1. TENHA O CONTROLE DOS ACESSOS

Inicie sua política de melhores práticas em segurança, definindo os níveis de acesso.

Isto é, que colaboradores de quais áreas podem acessar quais recursos de quais soluções? Quem realmente precisa conhecer ou trabalhar com as informações X, Y e Z?

Lembre-se: nem todo mundo pode – nem deve – acessar todos os dados ou sistemas de sua organização. Para cada cargo, forneça acesso somente ao que for essencial para realização do trabalho.

  1. INFORME SOBRE SUAS POLÍTICAS DE ACESSO

Após definir as políticas de acesso, deixe todos saberem de suas exatas permissões e proibições, bem como os porquês de cada uma.

Isso servirá para duas coisas: evitar o “tititi” que pode gerar dúvidas ou até mesmo “fake news” dentro do ambiente corporativo e minimizar o risco de que colaboradores não autorizados tentem driblar as regras para acessar o que não podem.

Se eles sabem que há um plano estruturado e que os acessos são monitorados, a chance de que tentem burlar é muito menor.

  1. REGRAS DE ACESSO NÃO SÃO APENAS PARA OS CANAIS INTERNOS

Lembre de incluir na sua política de segurança, regras não apenas para os canais internos da companhia, mas também para os externos, como as redes sociais, por exemplo.

Já imaginou um funcionário seu postando conteúdo pessoal no ambiente de negócios, e, por “descuido” expondo dados da instituição no Facebook, LinkedIn, Whatsapp, Instagram e afins? Deixe, desde o princípio, muito claro que as melhores práticas de cibersegurança valem para todas as plataformas.

  1. REGRAS SÃO FEITAS PARA SEREM CUMPRIDAS

Pegando o gancho da dica acima, é importante também que você esclareça seus colaboradores sobre as punições cabíveis para quem infringir as regras. Todos têm de estar cientes das regras que devem seguir e de como eles ou a empresa toda podem sofrer penalizações caso as burlem.

  1. SEJA COERENTE

Não crie regras impossíveis de serem compreendidas pelo time todo, ou seja: a linguagem precisa ser compreensível por todos os níveis hierárquicos.

Na mesma linha, as punições também precisam ser cabíveis: não crie penalizações faraônicas, pois estas poderão gerar mais pânico do que respeito às regras. E gente em pânico tende a cometer erros.

  1. MANTENHA UM DIÁLOGO ABERTO

Mesmo que a política de segurança da informação tenha sido criada em conjunto com seus colaboradores ou terceirizados das áreas de TI, segurança e privacidade (como deve ser), não se esqueça de manter um diálogo aberto com eles sobre isso.

É comum que os TIs não vejam o negócio ou as tecnologias do ponto de vista dos usuários, e isso pode criar distância entre estes dois públicos, gerando eventuais interferências na cultura de segurança.

Mantenha todos sempre na mesma página, isso será melhor para o funcionamento de sua estratégia.

  1. SENSIBILIZE

Mais do que informar o time sobre as políticas de segurança, é importante engajá-lo ao propósito.

Pessoas que entendem o motivo de cada regra e da política geral de segurança da informação ficam mais propensas a segui-las.

  1. INCENTIVE E RECONHEÇA

Usuários que seguem à risca as boas práticas devem ser valorizados, a fim de que permaneçam motivados e deem exemplo aos demais.

  1. FAÇA TESTES PERIÓDICOS

Podem ser avaliações por escrito, conversas ou testes práticos de uso de aplicações e dados, o importante é manter o olho sobre toda a organização e ter certeza de que as políticas de segurança da informação se tornaram, de fato, uma cultura da empresa.

Vale acrescentar que quanto mais as melhores práticas forem informadas, repetidas, reforçadas junto às equipes, melhor. A repetição é o caminho da excelência, neste sentido – com isso que você alcançará usuários não apenas engajados às suas políticas de privacidade de dados, mas também naturalmente interessados em segurança da informação.

Agora você já sabe como criar uma cultura eficiente de cibersegurança. Ficou alguma dúvida? Nos chame nas redes sociais, será um prazer esclarecer dúvidas e/ou debater ideias!

 

Inteligência Artificial: Avanço desenfreado e vulnerabilidade na segurança de dados

Em carta aberta publicada no dia 22 de março, Elon Musk, juntamente com um grupo de especialistas em inteligência artificial (IA), pediram uma pausa de seis meses no desenvolvimento de sistemas “mais poderosos” do que o novo GPT-4, da OpenAI.

De acordo com o documento, o avanço desenfreado de sistemas de IA pode gerar potenciais riscos para a humanidade. Dito isso, a ideia geral do documento é que o mercado aguarde a criação de protocolos de segurança referentes ao uso dessas ferramentas.

A preocupação com protocolos e regulamentações surgiu após um alerta da Europol, Agência de Inteligência da União Europeia, quanto ao uso criminoso da IA.

Para Leo Goldim, CEO da IT2S Group, embora o ChatGPT tenha algumas travas de segurança que tentam inibir o uso indevido da ferramenta, pessoas maliciosas conseguem burlar essa trava.

“Sabemos que os criminosos são bem espertos. Em alguns casos, eles podem pedir para que a ferramenta crie um texto de e-mail marketing persuasivo que faça com que o usuário clique em um botão.”

Goldim ainda afirma que apesar de existirem excelentes profissionais de copy no mercado, as gangues de cibercrime, que geralmente são de países como Rússia e China, não possuem domínio da nossa língua, dessa forma, ao invés contratar um profissional, eles utilizam o ChatGPT, que escreve o e-mail em qualquer língua.

“A preocupação de Musk e dos especialistas é exatamente essa: o que pode ser feito no ChatGPT para evitar esse tipo de ação.” completa o CEO.

Ainda que acredite que o mercado de segurança vai amadurecer aos poucos, o CEO ressalta que esse uso indevido não vai acabar.

“Não teremos uma plataforma de IA totalmente segura. Pessoas má intencionadas sempre encontrarão uma maneira de fazer com que a IA faça o que precisam, para ações criminosas. Seria um ciclo vicioso, onde a empresa encontra um jeito de proteger e os criminosos, um jeito de burlar.” conclui Leo Goldim.

 

Vazamento de Dados

Dois dias antes da publicação da carta aberta de Musk, a empresa OpenAI, admitiu ter desligado seus servidores devido a uma vulnerabilidade de segurança. Logo após, foi confirmado pela própria companhia que houve o vazamento de dados pessoais de usuários.

A violação de dados resultou no vazamento de informações do histórico de bate-papo dos usuários ativos, a primeira mensagem de uma conversa recém-criada e informações de pagamento pertencentes a 1,2% dos assinantes do ChatGPT Plus.

Dentre os dados vazados das informações de pagamento, podemos destacar conteúdos como nome e sobrenome, endereço de e-mail, data de validade do cartão de pagamento e os últimos quatro dígitos do número do cartão do cliente.

Marcela Ortega, advogada especialista em Direito Digital e Community Manager na IT2S Group, evidencia que algumas formas de utilização de IA podem ir contra os princípios da LGPD. “Com o crescente uso da Inteligência Artificial (IA), que ainda não é regulamentada no Brasil, pode ser necessário processar uma grande quantidade de dados para que a IA possa “aprender” de forma eficiente sobre determinado assunto. Isso pode ir contra os princípios da LGPD.” afirma.

Nesse sentido, é importante buscar a harmonização entre esses dois movimentos, garantindo um desenvolvimento seguro e sustentável das novas tecnologias, sem prejudicar os direitos dos titulares de dados, que são o “elo” mais fraco da relação.

“Embora a regulamentação da IA possa parecer uma barreira à inovação, é necessário garantir que o tratamento dos dados e o desenvolvimento da AI ocorra de forma responsável, ética e transparente, a fim de proteger os direitos dos usuários e evitar abusos ou discriminação.” finaliza.

× Como posso te ajudar?