A nova tendência de segurança para Startups e PMEs: Virtual CISOs

Se sua organização precisa usar conhecimentos e obter orientações valiosas sobre segurança e privacidade, mas não pode justificar o custo de uma equipe atuando em tempo integral, uma equipe de segurança virtual liderada por um vCISO pode ser a resposta sob demanda que você está procurando.

Até hoje segurança da Informação e privacidade é um nicho de profissionais de alto valor de mercado devido sua escassez, deixando o conhecimento desses profissionais restrito a quem pode pagar por ele, ou seja, é um desafio econômico para Startups e PMEs que precisam atender regulamentações, obrigações contratuais ao mesmo tempo que protegem dados de clientes em um ambiente tecnológico e social complexo.

O orçamento para montar a própria equipe interna continua limitado e um Virtual CISO tem sido a solução mais adequada para este problema.

Ok, mas afinal, o que é um Virtual CISO?

O Virtual CISO (Virtual Chief Information Security Officer) é um modelo de Security as a Service contínuo de segurança da informação e privacidade, entregue por um Squad em forma de serviço, responsável por expandir as melhores práticas de segurança para toda organização.

Trata-se de uma equipe de profissionais que estão familiarizados com os processos e práticas da sua empresa, da mesma maneira que uma equipe interna estaria, porém o serviço é realizado por um time multidisciplinar, de forma remota, reduzindo a ociosidade e os custos operacionais de um time local.

Qual a diferença entre um Virtual CISO e serviços de consultoria tradicional?

Serviços tradicionais de consultoria seguem o modelo de projetos (início, meio e fim), com um custo variável por projeto, com escopo fechado e realizados sob demanda, onde o cliente já possui uma dor e somente busca alguém que possa resolvê-lo por um valor que caiba no orçamento e; caso surja uma nova necessidade, mais dinheiro deverá ser desembolsado ao tanto que mais horas de consultoria serão necessárias.

Além disso, consultorias tradicionais costumam seguir metodologias engessadas de entrega que nem sempre são adaptadas para o seu modelo de negócio, obrigando sua empresa a seguir as recomendações by-the-book, onde os resultados e benefícios se perdem ao longo do tempo, devido a resistência cultural.

O ponto é: Quem alimenta, readapta e garante a continuidade das práticas de segurança após o encerramento da consultoria tradicional?

Voando para o lado oposto em velocidade de cruzeiro, um serviço de Virtual CISO assume um compromisso de relacionamento próximo constante, trabalho proativo, planejado e adaptado a estratégia e missão da empresa, integrando segurança diretamente à cultura da organização.

Segurança e privacidade não é um produto, é um processo.

Na prática, por que o Virtual CISO tem sido um modelo ideal para Startups e PMEs?

Vamos explorar alguns pontos relevantes que ajudem a validar se um Virtual CISO é adequado para a necessidade da sua empresa:

  • Acesso ilimitado à um Expertise que sua empresa não possuiQuanta experiência em segurança sua empresa precisa além da que você tem atualmente? Quanto mais acesso à experiência você precisar, mais — em tese — você investirá.
  • Maturidade do Sistema de Gestão de Segurança da Informação (ISMS — Information Security Management System)Quanta ajuda você precisa para desenvolver um ISMS eficaz sem engessar e burocratizar suas operações? Quanto mais maduro o seu ISMS estiver hoje, menos trabalho (e custo) será necessário para desenvolver, monitorá-lo e melhorá-lo.
  • Recursos InternosQual esforço investido em segurança da informação e privacidade você precisa, mas que sua empresa não pode lidar atualmente? Quanto mais tarefas relacionadas à segurança da informação e privacidade você deseja realizar internamente, maior será o seu custo mensal. Costumo dizer que recursos internos “comem no mesmo prato”, ou seja, conforme sua empresa cresce, seu custo com equipe interna também aumenta.
  • Iniciativas de Segurança — Quanto de ajuda especializada você precisa para concluir iniciativas e projetos de segurança? Exemplos de iniciativas de segurança vão desde a criação e roll out de simples políticas de segurança e privacidade, até a preparação para uma certificação ISO27001, PCI-DSS e a conclusão de um relatório SOC2, bem como a construção de um programa de gerenciamento de riscos de terceiros, gerenciamento de vulnerabilidades em infraestrutura e aplicação, etc.

Alguns exemplos do que um serviço de vCISO pode oferecer:

  • Construção e manutenção da visão, estratégia e programa de segurança da informação da sua empresa (o clássico)
  • Trazer profundos insights e conhecimentos sobre assuntos onde e sempre que sua empresa precisar.
  • Conduzir um ou vários projetos de alta prioridade para mitigar riscos rapidamente e provar a conformidade regulatória como por exemplo, a Lei Geral de Proteção de Dados (LGPD).
  • Suporte e implementação completa de conformidades com padrões internacionais de segurança como ISO27001, PCI-DSS, atendimento a regulamentações de BACEN (4658, 3380, etc), outros esforços de certificação e demais atestados.
  • Atuar como um Oficial de Proteção de Dados (DPO) para o cumprimento de obrigações das leis de privacidade.
  • Ajudar no dia a dia, conectar-se com sua equipe “periodicamente” para resolver preocupações de curto, médio e longo prazo, bem como urgências em incidentes de segurança que precisam de resposta imediata. Um serviço de vCISO também pode fornecer equipes de CSIRT (Computer System Incident Response Team).
  • Atuar como um recurso pontual para auditorias e avaliações de segurança e conformidade.
  • Liderar seu programa de gerenciamento de riscos de terceiros (Seus fornecedores também levam segurança à sério como sua empresa, quem vai verificar?)
  • Fornecer direção na resposta a incidentes de segurança e violação de dados, como também fazer a intermediação e contato com entidades reguladoras.
  • Realizar testes de penetração de rede (Pentest), avaliações de vulnerabilidades e tratamento dos riscos encontrados.
  • Liderar um programa completo de segurança de aplicações (DevSecOps), integrando segurança e testes de código no pipeline.
  • Oferecer educação de conscientização de segurança em tempo integral e/ou testes de engenharia social.

E a lista continua…

Em resumo, se toda empresa é diferente, por quê as estratégias de segurança seriam iguais? Quando falamos sobre Virtual CISOs, estamos falando sobre “Ownership” e por isso este modelo tem se destacado como a melhor opção custo-benefício para quem quer focar no negócio, ao mesmo tempo que deixam na mão de profissionais experientes um assunto tão especial.

Práticas recomendadas de segurança de e-mail que você deve seguir a partir de agora

Ao contrário do mito popular, as técnicas de hacking mais eficazes quase não exigem habilidades técnicas. Um hacker precisa apenas de uma conexão com a Internet, uma conta de e-mail e uma habilidade especial para enganar pessoas.

Os ataques por email de phishing continuam sendo o vetor de ataque mais comum e devastador. Esses ataques usam várias estratégias de engenharia social e têm como alvo os usuários finais (ou seja, você e seus colegas de trabalho) e não a infraestrutura da sua empresa ou da sua casa (sim, também estamos falando do seu celular, computador e até mesmo o seu roteador)

Como os hackers tendem a explorar os erros humanos em vez dos técnicos, a política de segurança visa enfatizar o papel de cada funcionário na prevenção de ataques cibernéticos.

Aqui estão os principais pontos em que você deve se concentrar:

Eduque-se

A coisa mais importante que você deve ter em mente, é manter a segurança uma prioridade. Comece entendendo os ataques de phishing comuns e compartilhe atualizações e lembretes com seus colegas de trabalho, amigos e familiares regularmente.

Limite suas informações públicas

Os invasores não podem segmentar os funcionários de uma empresa ou um grupo de vítimas em particular se eles não souberem seus endereços de e-mail. Não publique detalhes de contato não essenciais em seu site, rede social ou em nenhum diretório público, incluindo números de telefone ou endereços físicos. Todas essas informações podem ajudar os invasores a projetar ataques.

Verifique cuidadosamente os e-mails

Os ataques de phishing raramente são perfeitamente executados. Muitas vezes, há um aviso, vindo de um endereço e-mail bizarro (por exemplo, atendimento145@email145.com), links incomuns (por exemplo, amazon.net.ru) ou um grande número de erros de digitação ou formatação no texto. Se parecer suspeito, denuncie imediatamente para área de segurança da sua empresa.

Cuidado com links e anexos

Você deve ser cético sempre que receber um email de um remetente desconhecido. Não clique em links nem faça o download de anexos sem verificar primeiro a fonte e estabelecer a legitimidade do link ou anexo. Os anexos são especialmente perigosos porque podem conter malware, como ransomware ou spyware, que pode comprometer o seu dispositivo ou a sua rede.

Passe o mouse sobre os hiperlinks

Nunca clique no texto com hiperlinks sem passar o cursor sobre o link primeiro para verificar o URL de destino, que deve aparecer no canto inferior da sua janela. Às vezes, o hacker pode disfarçar um link malicioso como um URL curto. Você pode recuperar o URL original usando esta ferramenta.

Nunca digite sua senha

A menos que tenha 100% de certeza de que o site é legítimo, você nunca deve inserir sua senha em nenhum lugar. Se você não está fazendo login na sua conta e não solicitou a redefinição de sua senha, os links de redefinição de senha provavelmente fazem parte de um ataque de phishing. Os gerenciadores de senhas, além de ajudá-lo a usar senhas fortes e exclusivas, podem detectar sites falsos para você.

Em caso de dúvida, pergunte

Melhor prevenir do que remediar. Verifique com a equipe de segurança ou com um gerente direto sempre que tiverem dúvidas sobre um email.

E lembre-se, você é a única pessoa responsável por sua segurança online.  A segurança sempre parece exagero até o dia que se torna insuficiente.

Até mais.

Entenda o que um DPO Virtual (vDPO) pode fazer pela sua empresa

Com a disseminação global das leis de proteção de dados ao redor do mundo, muitas empresas precisarão dos serviços de um Data Protection Officer (Encarregado da Proteção de Dados nos termos da LGPD). No entanto, a menos que você seja uma grande organização, poderá  ser muito difícil justificar a posição interna de um DPO atuando em tempo integral. 

Este tipo de contratação incide em custos elevados que muitas empresas não estão dispostas a, ou preparadas para absorver financeiramente em tempo hábil de cumprir os prazos e as exigências da lei. Estes custos envolvem treinamentos e capacitações, encargos trabalhistas, bem como investimentos em tecnologias, hardware, software, licenças, entre outros. Caso a empresa tenha presença em outros países regidos por outras leis de proteção de dados, ficará ainda mais difícil encontrar profissionais que acumulem todos os requisitos de conhecimento para suportar a complexidade das adequações e suas particularidades.

Contratar uma equipe experiente em privacidade, com reconhecimento de mercado e com metodologias e processos bem definidos, tem sido a opção de muitas empresas na corrida para atendimento as leis de privacidade.

Os principais desafios para quem ainda não possui um DPO

  1. Você precisará ter alguém disponível que possa aconselhá-lo sobre como cumprir a LGPD e permanecer em conformidade à medida que seus processos de negócio evoluem.
  2. Toda vez que seus fluxos de trabalho mudarem, você precisará avaliar como a mudança proposta impacta na conformidade com a LGPD e demais leis de privacidade aplicáveis ao seu negócio.
  3. Você precisará ter acesso a um especialista em proteção de dados para avaliar a mudança proposta, fornecer conselhos e treinamentos para garantir que sua equipe entenda suas responsabilidades, a fim de minimizar o risco de uma violação de dados.
  4. Sua empresa precisará ter um programa de privacidade consistente e efetivo, alimentado de forma regular anualmente

Quais as vantagens de contratar um serviço de Virtual DPO (vDPO)?

  • Sua empresa terá uma equipe altamente especializada em privacidade, com suporte completo tanto pelo aspecto da segurança da informação quanto pelo aspecto legal, através do suporte jurídico de advogados experientes no assunto.
  • Redução de custo superior a 50% sobre contratação de uma equipe interna.
  • Capacidade rápida de adequação e adaptação as leis de privacidade, devido ao suporte contínuo realizado por profissionais seniores com vivência constante no mercado.
  • Fornecimento de treinamentos periódicos sobre segurança e privacidade para toda a organização, realizados de forma presencial ou remota. Materiais e instrutores  sempre atualizados.
  • Flexibilidade de negociação contratual sem se preocupar com horas extras, férias e outros encargos existentes na contração de uma equipe local.

Nosso serviço Virtual Data Protection Officer (Privacy360) fornece acesso a profissionais especializados em segurança da informação com mais de 15 anos de experiência, prontos para planejar e implementar um programa completo de segurança e proteção de dados, bem como realizar atividades frequentes como análises de impacto a privacidade, planos de resposta a incidentes, auditorias periódicas e o fornecimento de recomendações e acompanhamento dos projetos que envolvem tratamento de dados pessoais.

Conheça o serviço Privacy360 e como podemos ajudá-lo desde os primeiros passos até a completa implementação de um Programa de Segurança e Privacidade de Dados.

 Entre em contato conosco e fale com um de nossos especialistas.

As 10 melhores dicas para proteger seu cartão de crédito

Imagine ou relembre como é abrir sua carteira e perceber que seu cartão de crédito não esta lá. Dezenas de perguntas surgem instantaneamente: Mas onde sumiu? Quando foi a última vez que usei? Esqueci na praça de alimentação? Balcão da loja? Em casa?

O sentimento de pânico aumenta se você estiver em algum lugar onde não pode fazer muito a respeito para obter as respostas e tomar uma decisão adequada. Hoje já é comum que muitos aplicativos permitam o bloqueio imediato e temporário do cartão até que ele seja encontrado (caso tenha sido apenas perdido), mas isso não reduz a exposição ao risco.

Porém, não paramos por aí, existem vários outros riscos associados ao uso de cartões:

  • Roubo ou furto do cartão
  • Clonagem do cartão
  • Alguém pode tirar uma foto da frente e verso do seu cartão.
  • Você pode ser observado ou até mesmo filmado(a) enquanto insere a senha do seu cartão.
  • Roubo de dados de cartão através de compra em sites falsos.
  • Deixar o seu cartão de crédito com terceiros, mesmo que temporariamente.
  • Entre vários outros.

Como descobrir se você foi vítima de um vazamento de dados online

https://www.freepik.com/free-photos-vectors/technology

Gravar várias senhas é algo chato e trabalhoso, por isso acabamos repetindo as mesmas senhas para todas as contas, certo? Sim! Mas é seguro? Nem um pouco! Entenda por quê!

O problema é que os serviços que achamos seguros, na verdade nem sempre são. Estes serviços sofrem frequentemente de tentativas de ataques de hackers, que por sua vez, quando obtém sucesso roubam e expõem bases de dados comprometendo as informações armazenadas lá. Incluindo a sua.

A Mozilla disponibiliza uma página que permite verificar se suas senhas foram expostas em algum ataque realizado (que se tornou público0) na internet, para isso siga os seguintes passos:

1. Abra no link a seguir:

https://monitor.firefox.com/

2. Digite um e-mail que gostaria de consultar
3. Verifique se este e-mail foi encontrado em vazamentos de dados conhecidos
4. consulte quantos e-mails quiser.

Meus dados foram expostos em um ou mais vazamentos! O que eu devo fazer?

  1. Tudo bem, sem pânico!
  2. Altere logo que possível todas as suas senhas. (Dica: Para não ter que criar senhas completamente diferentes, você pode criar variações da mesma senha, incluindo números e símbolos, no início, meio ou fim). Evite combinações fáceis de deduzir.
  3. Utilize senhas com no mínimo 10 caracteres (Combine Maiúsculas, Minúsculas, números e símbolos). Você pode testar sua senha através deste link: http://www.passwordmeter.com/
  4. Não cadastre seu e-mail profissional em serviços de internet e não utilize a mesma senha das suas contas pessoais para acessar e-mails ou serviços da empresa em que você trabalha.
  5. Sempre habilite o Segundo Fator de Autenticação (Verificação de 2 Etapas) em todas as contas que você possui (Instagram, Facebook, TikTok, Gmail, etc). A Verificação de 2 Etapas permite que você adicione um novo fator de verificação para garantir sua identificação, como por exemplo, enviar um código para o seu telefone ou e-mail. Caso já tenha feito, ótimo.

Gostou do conteúdo? Ajude a proteger as outras pessoas! Envie esta URL para seus amigos e ajude-os a descobrir se foram expostos também!

Até logo!

Virtual Officer Security Team

Entenda como a LGPD impacta seu negócio

Com a intensificação do uso da internet, cada vez mais as pessoas passam mais tempo navegando, seja por motivos profissionais, de lazer, para realizar transações financeiras, dentre outros motivos.

Para se ter uma ideia destes números, a We Are Social, em parceria com a Hootsuite, publicou em 2019 uma pesquisa com um panorama geral do uso da internet pelos brasileiros. Os principais insights foram:

  • 70% dos brasileiros usam a internet, totalizando 149,1 milhões de pessoas;
  • 9h29min é a média diária do brasileiro utilizando a internet;
  • 68% dos usuários da internet no Brasil realizaram compra online nos últimos 30 dias.

Ou seja, as pessoas passam grande parte do seu dia online, gerando um imenso tráfego de dados que, muitas vezes, são sigilosos. Com o intuito de regulamentar a gestão de dados pessoais foi instituída a Lei Geral de Proteção de Dados Pessoais (LGPD).

No post de hoje, vamos entender um pouco sobre a LGPD e como ela impacta nas organizações.

Entendendo a LGPD

A LGPD impacta todas as empresas que realizam o tratamento de dados pessoais, independente do porte ou do segmento. Ou seja, afeta todas as empresas que solicitam algum tipo de dado ao cliente. Em termos de processos, ela exige que as empresas tornem transparentes todos os aspectos que afetam a forma de solicitar, armazenar e utilizar os dados e/ou informações. De forma sucinta, a LGPD tem 3 (três) importantes pilares:

  • Finalidade: qual a necessidade de solicitação dos dados.
  • Transparência: o que será feito com os dados recolhidos.
  • Segurança: como os dados serão armazenados de maneira segura.

Além disso, os dados pessoais que são protegidos pela LGPD são definidos como:

  • dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

LGPD: quais empresas são afetadas?

Um erro comum é acreditar que esta lei não incide sobre os pequenos negócios. Até o momento, não se faz distinção entre os diversos portes das empresas, nem se são do âmbito público ou privado.

As empresas que descumprirem a lei poderão ser multadas em 2% sobre o faturamento anual, sendo o limite de R$50 milhões.

No post “LGPD: obstáculo ou oportunidade para sua startup?” trouxemos uma reflexão como a LGPD afeta diretamente os negócios das startups.

Como os setores das empresas podem se adequar

Vamos entender quais são os pontos importantes que os setores de Recursos Humanos e de Marketing precisam ter em atenção com a LGPD.

Recursos Humanos

Por trabalhar com dados dos colaboradores, o setor também é impactado pela LGPD. Assim, a empresa precisa dispor de um DPO (Data Protection Oficer), que será a ponte entre empresa, interessados (colaboradores e/ou clientes) e a Autoridade Nacional de Proteção de Dados (ANPD).

Além disso, será necessário definir workflows para a coleta de consentimos dos colaboradores acerca das suas informações, pois a Lei compreende que o consentimento é um “pronunciamento livre, informado e inequívoco por meio do qual os titulares de dados concordam com o processamento de seus dados pessoais para um propósito específico”.

Marketing

Como grande parte das empresas têm investido em ações de Marketing Digital, tal estratégia precisará ser ajustada à LGPD.  Assim, é preciso estar atento a quais dados estão sendo coletados e adequar tais fluxos, tornando os processos mais transparentes e acessíveis, permitindo que o titular tenha mais controle sobre a privacidade dos seus próprios dados.

A LGPD traz novos desafios para as empresas e aquelas que se adaptarem com maior velocidade, certamente terão diferenciais em relação à concorrência.

Conheça mais as soluções de LGPD da IT2S Group. Quer ficar por dentro das novidades e notícias sobre segurança da informação e tecnologia? Assine nosso newsletter aqui na lateral!

A Importância da Segurança da Informação para as Startups: o que o investidor precisa saber

Entenda o que um investidor precisa levar em consideração sobre segurança da informação antes de investir em uma startup.

O contexto das startups no Brasil

A cada ano, o número de startups tem crescido. Para ter uma ideia dessa dimensão o Brasil possui, atualmente, 12.700 startups mapeadas. De 2012 até agora, houve um aumento de 404,17% (Fonte: StartupBase, 2019). Com a proliferação do número e nos segmentos de atuação, investir no ecossistema de startups tem sido uma estratégia bastante positiva.

As principais formas e modalidades para investimento são: sociedade, equity crowdfunding, investidor-anjo e seed capital. No geral, na fase de aproximação e negociação, as dúvidas acabam girando em torno da viabilidade do negócio e da sua capacidade de retorno para o investidor. Porém, tem se tornado cada vez mais comum a preocupação em relação à segurança da informação.

Por que a segurança da informação é importante para as startups?

De acordo com o Relatório de Segurança Digital no Brasil sobre o 3º trimestre de 2018 só para ter uma ideia da dimensão de ciberataques, nos primeiros 9 meses de 2018 foram 164,5 milhões detecção de links maliciosos no Brasil. Ou seja, em média, 5 links maliciosos detectados a cada segundo.

No geral, quando falamos de startups, referimo-nos a empresas que trabalham com inovação, escalabilidade, flexibilidade e rapidez. Em relação especificamente a escalabilidade, muitas vezes há o receio de que a segurança da informação irá limitar essa expansão. No post “Saiba por que a segurança da informação não engessa a escalabilidade” desmitificamos essa questão. Desta forma, o ambiente digital acaba sendo o habitat natural para esses novos negócios. E um erro comum é focar no desenvolvimento de soluções, a busca de parcerias e esquecer algo fundamental: proteger o negócio e resguardar as suas informações.

É necessário mudar essa mentalidade e compreender que ter uma política sólida de segurança da informação, além de proteger todo o know-how da startup, também será um fator de atração para a busca de parceiros e investidores. Atualmente, os potenciais investidores já perceberam que além da viabilidade do negócio, montante de investimento e capacidade de retorno, verificar as práticas de segurança da informação trará mais segurança para o investimento.

Segurança da informação: alguns pontos importantes para serem levados em consideração pelo investidor

Quando o investidor está analisando a viabilidade de uma startup, além das variáveis financeiras, é necessário também analisar alguns outros aspectos. Selecionamos aqui alguns pontos importantes:

  • Para startups do segmento financeiro, observar o cumprimento da Resolução CMN n° 4.658/2018 que define regras sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de nuvem para instituições financeiras e demais instituições autorizadas pelo BACEN. Startups do segmento financeiro que buscam efetuar parcerias com bancos e demais instituições financeiras devem atender essas regras para que possam concretizar a parceria.
  • No caso das Fintechs, é fundamental observar se ela faz parte do Programa Fintech Segura, por exemplo. Esse é um programa de boas práticas e transparência em segurança da informação direcionado, especificamente, para as Fintechs, além de ser adaptado a realidade e desafios de uma startup. Apesar de não existir obrigatoriedade de adesão, a participação neste programa demonstra preocupação e comprometimento com a segurança da informação.
  • Observar o atendimento das exigências legais para privacidade e proteção de dados pessoais, já que o não atendimento pode gerar sanções e multas que podem inviabilizar a continuidade do negócio. Caso a startup tenha em seu roadmap de negócios estabelecer parcerias com empresas maiores, ou atuar internacionalmente, não atender as leis de privacidade pode ser uma barreira para a expansão do negócio.
  • Observar a existência de um plano de continuidade de negócios, que possa garantir o funcionamento da operação da startup em casos de imprevistos. É comum encontrar startups que confiam estarem protegidas por utilizarem provedores como AWS e Google, porém ficam totalmente offline quando há algum problema no provedor.

Assim, a segurança da informação é essencial, não apenas do ponto de vista do negócio, mas também do investidor que deseja criar parcerias com a startup. Observar os aspectos de segurança pode ajudar o investidor a proteger o seu negócio e evitar surpresas que prejudiquem o seu investimento.

Security News #07 – As Principais Notícias em Segurança da Informação

Toda semana, reunimos, aqui no site do IT2S Group, as principais notícias dos últimos dias sobre o universo da segurança da informação. Confira, atualize-se e previna-se!

 

#Brasil e México lideram ataques digitais contra outros países

Levantamento sobre incidentes de segurança na América Latina mostra as vulnerabilidades de diversas verticais da economia, a maior presença de links infectados em e-mails de phishing e o uso de ambientes IoT em BotNets. (Leia na íntegra)

#Relatório aponta que funcionários podem ter acesso a 17 milhões de arquivos

Pesquisa aponta que, mesmo enfrentando riscos regulatórios e ameaças cibernéticas, 53% das empresas têm mais de 1 mil arquivos expostos. (Leia na íntegra)

#Em seis meses, Brasil sofre 1,1 bilhão de ameaças por e-mail

No primeiro semestre, o país concentrou 10,57% das ameaças globais de ransomware detectadas. Somos o segundo país com mais ameaças do tipo, atrás apenas dos Estados Unidos (11,10%). (Leia na íntegra)

#Mercado móvel global será um dos principais alvos dos hackers

Segundo relatório de empresa de segurança, há falhas de segurança preocupantes nas redes mobile, que podem se tornar alvo de hackers nos próximos anos, a menos que as operadoras entrem em ação. (Leia na íntegra)

#“Chantagem Digital” continua a crescer na América Latina

Houve um aumento em 30% dos ataques cibernéticos em comparação com o ano anterior. Além disso, os ataques de phishing dobrou na comparação com outros tipos de crimes, embora no caso de ransonware, malware e propagandas maliciosas tenha tido acréscimo de 37%. (Leia na íntegra)

#Congresso derruba vetos da LGPD

A decisão dos parlamentares retoma duas das mais severas punições quando o assunto é proteção de dados: a suspensão total ou parcial do banco de dados e até mesmo da própria atividade empresarial que dependa do tratamento de informações. (Leia na íntegra)

Virtual Officer: a chave para as startups aderirem à LGPD

Ao mesmo tempo em que cria um ambiente de maior segurança e privacidade no uso de dados, a nova Lei Geral de Proteção de Dados (LGPD), que vigorará no Brasil a partir de fevereiro de 2020, também pode soar como um desafio para as startups, ainda mais em um cenário em que poucos exemplos desta mudança são vistos – confira nosso artigo “85% das empresas ainda não estão prontas para a LGPD. O que fazer?”.

Isto porque a nova legislação demanda adaptações em modelos, práticas, sistemas e usos que, se não cumpridas, poderão render multas bem salgadas. Isto vale para todos, de micro a grandes empresários. Ninguém estará livre das sanções da LGPD, mas também não há motivo para pânico: ainda que sua empresa seja pequena ou iniciante, existe solução para adequá-la às novas exigências sem acabar com seu orçamento.

Estamos falando do Virtual Officer, solução que oferece a startups um combinado de sistema mais serviços para gerir a segurança da informação, de forma a atender a normas e regulamentações legais, além de proteger dados das startups e de seus clientes, parceiros e demais envolvidos em suas operações. Tudo de maneira prática, objetiva, especializada e economicamente viável.

COMO FUNCIONA O VIRTUAL OFFICER?

O próprio nome já entrega: o Virtual Officer funciona como um diretor virtual de conformidade, privacidade e segurança. Nós, do IT2S Group, o desenvolvemos para quem precisa iniciar ou melhorar a gestão de segurança da informação, mas, ao mesmo tempo, não dispõe de um orçamento gigantesco para isso. Falamos um pouco disso em nosso texto “3 Simples passos para iniciar a adequação à LGPD”.

Com um investimento mensal, pago como serviço e em valores que cabem no caixa das startups, o Virtual Officer oferece os serviços 360º em privacidade, compliance e segurança que só uma equipe multidisciplinar de especialistas com média de 10 anos de mercado, alicerçados por tecnologias de ponta, podem oferecer.

Desta forma, as startups podem obter todos os benefícios de uma gestão altamente especializada de segurança da informação, com a redução de custos e de burocracia trazida pela dispensa da contratação de profissionais experientes e da compra de tecnologias instaladas in house.

POR QUE MINHA STARTUP PRECISA DO VIRTUAL OFFICER?

A resposta é simples: ela precisa porque a LGPD está aí e será obrigatório atender a ela a partir do próximo ano. E, mesmo que não estivesse, segurança da informação, conformidade e privacidade de dados são uma exigência permanente do mercado.

Startups, muitas vezes, pecam por não dar a estes temas a importância que realmente merecem, e muito disso parte do erro comum que é achar que, por ser iniciante ou pequeno, seu negócio não tem dados relevantes para proteger.

 

LGPD: obstáculo ou oportunidade para sua startup?

Se você ainda está entre os 85% das empresas que não se adequaram à LGPD, cuidado: por mais que pareça um obstáculo, buscar a conformidade com a nova lei e garantir a segurança dos dados é fundamental para te dar respaldo no mercado

Os impactos da nova Lei Geral de Proteção de Dados (LGPD), que entra em vigor em menos de um ano, não se restringirão às grandes empresas: pequenas e startups também precisarão adaptar o tratamento que dão às informações aos rigores da legislação. Caso contrário, o prejuízo pode ser significativo – como você pode conferir no post “Por que as empresas continuam perdendo milhões em incidentes de segurança”.

Todo negócio que envolva a coleta e tratamento digital de dados dos clientes, para qualquer finalidade (marketing, cadastro interno, vendas etc), estará sujeito às obrigatoriedades da LGPD. Mas, se por um lado isso soa como uma verdadeira pedra no sapato, por outro pode ser uma oportunidade de galgar diferencial no mercado.

Para te ajudar a fazer esta comparação, trazemos hoje uma análise sobre alguns pontos. Lembre-se: tudo tem dois lados, e um deles sempre é a seu favor.

 

#Obstáculo – custo para a conformidade

Quem está abrindo/gerindo uma startup sabe muito bem dos custos envolvidos. E o budget, normalmente enxuto, precisa ser otimizado desde o marco zero. Como startups são empresas essencialmente digitais, a conta da conformidade com a LGPD também entra neste cálculo, e é aí que questões relacionadas à adequação, nos âmbitos estratégico, tecnológico e legal, podem pesar no orçamento. Mas até mesmo nesse ponto dá para fazer do limão, uma limonada, lançando mão de recursos que ajudam a diminuir os gastos neste processo, como mostramos no post “Quais os custos de uma estrutura de segurança e como reduzi-los”.

#Oportunidade – uso otimizado dos dados

Estabelecer uma política de proteção e conformidade dos dados com a LGPD significa conhecer e definir os usos que sua empresa terá com estas informações. Isso também representa uma possibilidade positiva para as startups. Com um maior controle, elas poderão organizar e estabelecer políticas de tratamento dos dados que terão impacto no seu negócio.

Além disso, quanto mais em conformidade com a legislação estiverem, mais as startups serão atrativas para clientes e investidores. Entenda um pouco mais sobre isso no post “Como Garantir Credibilidade Em Tempos De Ameaças Cibernéticas”.

#Obstáculo – Desvios para a inovação

A maioria das startups nasce de uma ideia, com um foco especial na inovação. Pensar em regulações e necessidades para ficar em conformidade com a lei pode parecer um desvio deste foco (afinal, em seu projeto inicial, nem passava pela sua cabeça os aspectos “quadrados” que costumam aparecer quando se fala em âmbito jurídico-legislativo).

Por isso mesmo, muitos CEOs de startups avaliam a preocupação com a LGPD como algo que vai contra a essência da criação de uma empresa digital. Para eles, estas são criadas de forma mais espontânea, e os ajustes necessários são feitos à medida que o negócio avança. Ajustes dentre os quais entram a segurança da informação e a conformidade, quando o assunto é a nova lei. E, se não estavam habituados a pensar nisso desde o início da operação, agora são obrigados a fazê-lo (para o bem do negócio).

Só que isso não precisa ser um bicho de sete cabeças. Se surge como um obstáculo, há formas de contorná-lo, e algumas delas, que permitem trazer adequação sem perder a inovação, nem engessar a escalabilidade, podem ser conferidas no post ”Saiba Por Que A Segurança Da Informação NÃO Engessa A Escalabilidade”.

#Oportunidade – mais segurança e mais confiança

Partindo do mesmo pressuposto da inovação, tudo o que foi colocado como obstáculo no tópico acima pode ser visto como oportunidade. Como¿ Ora, conceitos como design focado em privacidade, perfis de usuários e portabilidade de dados abrem um leque de possibilidade para criar soluções inovadoras e pensar na personalização e construção de confiança junto ao cliente.

As startups que prestarem atenção a esta tendência, e saírem na frente para usar isso como um elemento de valor em suas soluções, terão não apenas conformidade com a lei, mas também um diferencial competitivo

 

Obstáculos ou oportunidades, uma coisa é certa: todos estes pontos são importantes e devem ser levados em consideração por quem tem ou está pensando em criar uma startup, já que se adequar à LGPD não será opcional.

Se o impacto disso para o negócio será positivo ou negativo, cabe aos gestores decidir. E há formas de orientar essa decisão da melhor maneira: com o apoio de um parceiro com know-how em LGPD, conformidade, segurança da informação, obstáculos poderão ser facilmente transpostos – e, na maioria dos casos, transformados em oportunidades ou diferenciais.

E caso sua startup já tenha decidido iniciar a estratégia de adequação à nova lei, mas ainda não tenha escolhido a solução e o fornecedor por motivos como budget, dúvidas em relação a expertise dos terceiros, incertezas sobre serviços remotos, fica aqui a dica: semana que vem trataremos exatamente disso aqui no blog. Acompanhe.

× Como posso te ajudar?