Saiba por que a segurança da informação NÃO engessa a escalabilidade

Existe muita dúvida e resistência em relação à segurança da informação e conformidade quando se fala em startups, especialmente no que tange à área de desenvolvimento. Mas a realidade é outra: uma abordagem DevSecOps, conduzida pelos profissionais certos e com base nas soluções corretas, traz vantagens à estratégia de expansão. Confira

 

Segurança da informação é um diferencial, além de uma obrigação frente a seus clientes, e não um empecilho para a escalabilidade de seu negócio.

Por que estou dizendo isso? Porque, quando propomos projetos da linha de segurança e conformidade, é muito comum encontrarmos resistência, especialmente no que se refere à área de desenvolvimento de sistemas.

Vamos tomar como exemplo startups que oferecem ao mercado soluções baseadas em sistemas, aplicativos e afins. Se, na análise de segurança, forem detectadas potenciais brechas nos códigos de programação, é bem provável que os desenvolvedores enxerguem as soluções propostas para conter/resolver tais problemas como um obstáculo, que poderá atrasar ou mitigar sua capacidade de crescimento em escala.

Mas precisamos deixar muito claro que esta visão é errônea. Quando você pensa em segurança, está pensado em um benefício, tanto para seu negócio, quanto para os públicos envolvidos (colaboradores, parceiros, clientes), e não em um entrave.

NADA DE ENGESSAMENTO, NEM DE RISCOS
É claro que se algo engessar a estratégia ou a operação de sua startup, ela perderá a capacidade de escalabilidade. Só que a segurança não faz isso. Ao contrário, o que ela faz é ajudar a manter a empresa longe de riscos que poderiam trazer problemas sérios, como vazamentos de dados, ciberataques causadores de paradas de serviço e outros que poderiam incorrer em perdas financeiras, de credibilidade, danos à reputação e penalizações legais – estes sim, fatores passíveis de engessar a expansão de qualquer empreendimento.

SEGURANÇA ESPECIALIZADA, NEGÓCIO SAUDÁVEL
Assim, confiar a análise de suas redes, sistemas e processos relacionados à informação nas mãos de especialistas em segurança e conformidade é uma decisão 100% focada na saúde do negócio.

DEVSECOPS
Isso parte de uma metodologia DevSecOps. O que é isso? Bom, primeiro, é preciso entender que o famoso DevOps, normalmente restrito às equipes de desenvolvimento e operações, precisa também passar pela segurança se a empresa quiser extrair ao máximo a agilidade e capacidade de rápida resposta proporcionada por esta abordagem.

No conceito DevSecOps, as ações em favor da segurança da informação trabalham integradas a todo o ciclo de vida das aplicações da empresa. Em outras palavras, você não desenvolve toda uma solução para só lá no final pensar se ela é segura ou abre brechas para que seu negócio fique vulnerável a invasões.

COLABORAÇÃO E INTEGRAÇÃO
Ao invés disso, esta metodologia traz uma estrutura colaborativa, em que a segurança atua ao longo do projeto. Os especialistas desta área, sejam eles internos ou terceirizados, farão um trabalho integrado ao desenvolvimento, e isso será bom para todos: para os desenvolvedores, que terão um norte para criar com menos potencial de erros em relação à privacidade de dados e conformidade, para a estratégia de crescimento da empresa, que terá alicerce em soluções/sistemas/apps mais confiáveis, e para o cliente final, que receberá produtos e serviços mais seguros.

TODOS DE OLHO NA ESCALABILIDADE
Não se trata de intromissão dos especialistas em segurança no trabalho dos desenvolvedores, nem, muito menos, de engessamento do processo de programação ou da escalabilidade do negócio: se trata, sim, de uma estratégia de compartilhamento de responsabilidade ao longo de todo o processo, embasada na integração entre profissionais de diferentes especialidades, mas focados em dois objetivos comuns, que são a qualidade e o crescimento.

Pensar a segurança das aplicações, da infraestrutura e dos dados de ponta a ponta, esta é a essência do DevSecOps. Assegurar que a privacidade dos dados e a conformidade com regras, leis e normas do nicho de atuação da empresa sejam garantidas, esta é a missão do trabalho de segurança da informação e compliance.

POSSIBILIDADES
É possível ter uma empresa escalável sem isso? Sim, é.

É possível que esta empresa escalável, em algum momento, se exponha a riscos que acarretem os problemas já citados, pondo em jogo a continuidade dos negócios? Sim, é.

É possível que, tendo em conta as considerações acima, análises e ações de segurança da informação e conformidade engessem a escalabilidade de uma estratégia de negócio? Não, não é.

FAÇA AS ESCOLHAS CERTAS
Selecione os profissionais corretos para atende-lo em relação a todos estes pontos. Se precisar de ajuda para isso, as dicas do post “5 passos para você escolher um fornecedor de soluções de LGPD” estão aqui para isso (embora o post seja focado em LGPD, as recomendações do que buscar em um parceiro de segurança e compliance são válidas para qualquer projeto envolvendo tais áreas). Outro conteúdo indicado para te auxiliar na decisão sobre quem irá cuidar desta estratégia em sua startup, mostrando as vantagens que pode obter ao apostar na terceirização, é este aqui “8 Benefícios De Contar Com Um Virtual CISO”.

Escolha também as soluções e serviços mais adequados para cumprir o objetivo de garantir segurança e compliance sem comprometer a estratégia, funcionalidade, produtividade, competitividade e escalabilidade do negócio. E falando em serviços, o modelo remoto é uma ótima opção para startups, saiba mais sobre isso no post “Mitos dos serviços remotos: não caia neles”.

NOVO MINDSET

E, principalmente, tenha em mente que a integração entre segurança, conformidade e desenvolvimento demanda, sim, uma mudança de chave na mentalidade empresarial, mas traz ganhos que certamente todos vão comemorar, ao final.

 

Se você gostou desta abordagem e quer conhecer uma solução para aplica-a com sucesso aí na sua startup, sem comprometer o orçamento, fique ligado aqui no blog, pois trataremos disso na próxima semana.

8 benefícios de contar com um Virtual CISO

Um profissional familiarizado tanto com as melhores práticas em segurança da informação e conformidade, quanto com os processos específicos de cada empresa nesta linha. Porém, sem os custos de contratação interna de todas estas capacidades, podendo fazer a gestão destas demandas e ser consultado remotamente sempre que necessário.

Em resumo, esta é a definição de um Virtual CISO. Você também pode ler mais a respeito no post “Virtual CISO: o que é e por que você precisa de um”. Mas, indo um pouco mais além, podemos entender que o cargo de Chief Informacion Security Officer (CISO) na versão Virtual compreende não apenas um profissional, e sim um time completo e multidisciplinar capaz de suprir de ponta a ponta as necessidades de privacidade de dados e compliance de uma companhia, seja ela do porte que for: de startups a multinacionais, todas podem se beneficiar deste modelo.

Por isso, nosso foco hoje é exatamente detalhar os benefícios deste tipo de contratação. Vamos a eles:

#1. Orçamento

Já falamos disso em outros posts, como “Quais os custos de uma estrutura de segurança e como reduzi-los?” e “Gestão de cibersegurança é caro para startups? Experimente o custo de não gerir”, mas a tecla orçamento é sempre uma das mais batidas em todo planejamento empresarial. Especialmente nesta época, o último quarter do ano, em que a estratégia do próximo exercício costuma estar em pleno andamento.

Se sua startup, pequena, média ou grande empresa está vivendo este momento, faça as contas incluindo a projeção de economia entre 30% e 40% que um serviço de Virtual CISO pode trazer ao seu budget (segundo dados apurados pela Strong Security) em relação à contratação interna deste profissional.

#2. Experiência

Um Virtual CISO agrega ao seu negócio toda a vivência nos principais temas de segurança da informação, entregando gestão de qualidade, expertise elevada e governança completa.

#3. Entrega de valor imediata

Como já vem com toda a experiência que citamos acima, o Virtual CISO já chega pronto para agregar à sua estratégia o foco diário e contínuo que é recomendado para garantir o pleno funcionamento de todas as funções de seu nicho de atuação. Não será necessário investir em treinamento ou adequação, reduzindo o tempo entre a contratação e a efetiva prestação dos serviços.

#4. Foco no core business

Contando com um Virtual CISO, você terceiriza a gestão de segurança da informação, conformidade, privacidade de dados, liberando suas equipes internas da preocupação com estes temas. Assim, seus profissionais internos de TI e outras áreas poderão se concentrar nas demandas exatas do seu negócio, deixando as funções de infosec para o terceirizado com toda a tranquilidade.

#5. Mais por menos

Já mencionamos economia, mas é inevitável repetir tal ganho neste tópico: um CISO como serviço trará muito mais resultados em menos tempo do que um funcionário em período integral. Isto porque, no formato as a service, você contará possivelmente com todos os skills de um CISO prestados por mais de um profissional, em uma oferta multidisciplinar que resultará em competência, abrangência, agilidade e flexibilidade.

#6. Melhor seleção e relação com fornecedores

CISOs virtuais trazem a experiência das empresas/consultorias que prestam o serviço no relacionamento com fornecedores do mercado, sejam eles fabricantes de soluções, profissionais de serviços complementares, especialistas em todas as áreas que venham a ser necessárias ao longo do caminho. Isto poupa você de longos processos de análise, triagem, avaliação para chegar às escolhas mais assertivas.

#7. Flexibilidade contratual

Um CISO interno é um funcionário, e isso determina regras e custos de acordo com a legislação trabalhista em vigor. No modelo virtual, você pode negociar com o fornecedor o melhor atendimento à cada demanda, de forma estratégica e ágil, sem precisar se preocupar com hora extra, férias e outros encargos do gênero

#8. Independência de processos

O Virtual CISO é hábil no gerenciamento de uma gama de funções e ações – da construção de uma estratégia de segurança e conformidade à ativação de ações de resposta a violações e incidentes, passando por análises e capacitações periódicas. Tudo isso de forma independente de outras funções operacionais, já que ele tem foco naquilo que você o contratou para executar.

Como você pode ver, os benefícios agregados à contratação de um Virtual CISO são vários. Com essa lista detalhada, tenho certeza de que ficará mais fácil para você tomar a decisão que melhor se adeque ao seu orçamento e plano de negócios para o 4T2019 e/ou para 2020.

Na próxima semana, você saberá, aqui no blog, sobre como o Virtual Officer, o Virtual CISO do IT2S Group, pode auxiliar sua startup na adequação à LGPD. Fique ligado!

5 passos para você escolher um fornecedor de soluções de LGPD

Encontrar fornecedores de soluções para segurança da informação é fácil: difícil mesmo é saber identificar quais têm as qualificações necessárias para atender a sua demanda – ainda mais em tempo de preparação para LGPD e guerra diária ao cibercrime. No post de hoje, reunimos dicas para te ajudar nesta escolha.

Já falamos no post “Passo a passo para garantir conformidade com a LGPD”, sobre o quanto contar com um fornecedor terceirizado pode ajudar no processo de adequação das empresas à LGPD.

Claro que um dos segredos do sucesso desta parceria é a qualidade do terceirizado, e, por isso, trazemos hoje um passo a passo sobre o que levar em conta na hora de selecionar o parceiro ideal. Vamos lá:


#Primeiro passo – Confiança

A idoneidade de uma empresa é seu principal cartão de visita. Antes de escolher seu fornecedor para adequação à nova Lei Geral de Proteção de Dados, pesquise bastante sobre ele. Vale entrar no site, verificar opiniões de seus atuais clientes, conversar com outros empresários que possam conhecer este player e, é claro, jogar no Google – que, muitas vezes, consegue trazer até mesmo dados sobre eventuais processos nos quais a empresa ou seus sócios estejam envolvidos.

Fazer uma busca em sites como o Reclame Aqui e visitar fóruns online e redes sociais para se informar sobre o fornecedor também é bem válido.

Hoje em dia, a informação circula de forma ampla e não é difícil detectar boas e más notícias sobre qualquer assunto, pessoa ou empresa.

#Segundo passo – Entendimento

Definir a melhor solução de segurança para a sua empresa significa detectar, conhecer e entender quais são os pontos a serem trabalhados para proteger o seu ambiente de TI.

Um bom parceiro de cibersegurança tem este entendimento e o utilizará para fazer o assessment de segurança mais adequado, sugerindo os procedimentos, ferramentas e serviços mais adequados para cada necessidade (incluindo tudo o que tange à adequações da LGPD).

#Terceiro passo – Conhecimento

Verifique se o parceiro em potencial para sua empresa tem o mix esperado de habilidades e experiência para entregar as soluções propostas. Isso se chama multidisciplinaridade.

O terceirizado ideal deve dispor de uma equipe multidisciplinar com especializações complementares para garantir o atendimento de suas demandas de segurança da informação, conformidade, privacidade de dados, LGPD e todos os assuntos afins de ponta a ponta.

Este é um ponto que, muitas vezes, as empresas deixam passar na hora de escolher o fornecedor. Não caia nessa! Multidisciplinaridade, soma de capacidades complementares, especialização comprovada dos profissionais que prestarão os serviços, tudo isso é essencial para garantir a segurança de seus dados, sistemas, redes, usuários, clientes – enfim, do seu negócio como um todo.

#Quarto passo – Soluções

Depois de conferir as qualificações técnicas e estratégicas do seu futuro parceiro de cibersegurança, também é muito importante saber quais são as soluções com que ele trabalha para entregar o que promete.

Pode ser redundante, mas é fundamental: os parceiros do parceiro fazem grande diferença. Isto quer dizer que a carteira de fabricantes com que o terceirizado atua ajuda – e muito – a definir a qualidade de sua entrega final. Bons produtos + bons serviços + bons profissionais = chave do sucesso.

Por isso, além de receber as informações do fornecedor sobre as soluções de seu portfólio, faça também suas pesquisas sobre cada marca e produto. Verifique recomendações, avaliações, reclamações. Converse com outros empresários que já as utilizam, meça prós e contras. Tudo é importante no caminho da melhor tomada de decisão.

#Quinto passo – Processo, não um produto

Manter uma organização protegida contra ciberataques, ou contra violações que possam trazer prejuízos a ela e a seus clientes no âmbito de regulamentações como a LGPD, é algo contínuo. Ou seja, não se resolve com a simples aquisição de uma solução de cibersegurança.

Onde o terceirizado entra nisso? Na gestão de tudo, incluindo o auxílio na recomendação das soluções mais assertivas para cada caso, definição dos serviços necessários a cada etapa (diagnóstico, implantação, suporte, monitoramento, definição de ações e contrataques etc).

E há uma fase, em meio a todo este processo, que é de suma importância: a atualização. Um bom fornecedor de segurança da informação conhecerá seu ambiente e o manterá constantemente monitorado, fazendo as indicações e procedimentos corretos em relação a atualizações necessárias nos sistemas utilizados.

Se o cibercrime não para de evoluir, sua base de cibersecurity e conformidade também não pode parar.

 

O ideal, em tudo isso, é pensar o seu parceiro de segurança da informação como um colaborador direto, um pilar a mais na sua estratégia de negócio. O terceirizado de cibersegurança NÃO É um fornecedor de software, nem de serviços, nem de suporte, nem de gestão: é a soma de tudo isso.

E agora que você já conhece os principais pontos para escolher um fornecedor terceiro para sua estratégia de LGPD, que tal entender um pouco mais sobre um dos momentos mais críticos para qualquer ambiente de segurança: a implementação? Pois este será o tema de nosso post na próxima semana. Fique ligado!

O be-a-bá da segurança da informação para startups

Se você tem uma startup e ainda não começou a pensar em cibersegurança, pare aí mesmo: você está fazendo isso errado. Confira nossas dicas para cuidar de seus dados, sistemas e redes desde o início e garantir mais tranquilidade para crescer.

Ano a ano, o número de startups aumenta, tanto nacional, quanto globalmente. E ao mesmo tempo em que crescem e se profissionalizam, estas empresas também se expõem a riscos cibernéticos, aos quais é possível amenizar, mas não sem uma correta gestão de segurança da informação.

Por que estamos tocando neste ponto? Porque é muito comum que, ao longo de sua trajetória de crescimento, as startups concentrem seus esforços na própria marca, produtos, serviços, pessoas, adiando o investimento em cibersegurança. E isto pode ser  um erro que colocará todo o empreendimento em perigo. Já falamos disso mais detalhadamente em outro post do blog, “Os 5 Principais Erros de Startups em Segurança da Informação”.

Hoje, o foco é trazer dicas para que, desde o início das operações, as startups pensem e façam cybersecurity da maneira certa. Confira:

#Conheça sua estrutura e seus gargalos.

O marco inicial de todo projeto de segurança, privacidade de dados e conformidade, seja para uma empresa pequena, seja para uma multinacional, deve ser o diagnóstico de tudo o que precisa ser protegido, bem como das vulnerabilidades/riscos já presentes no negócio e das soluções mais adequadas a serem aplicadas.

 

#Antecipe-se aos riscos

Uma vez feito o mapeamento de que falamos acima, será possível também partir para uma antecipação de possíveis exposições indevidas das informações confidenciais da companhia, ou de brechas abertas para ciberataques de outra natureza.

#Mensure os possíveis impactos aos negócios

Se você prestou atenção às dicas 1 e 2, terá embasamento para calcular qual seria o custo (operacional, de imagem ou financeiro) de um vazamento de dados ou parada de serviços. E acredite: o resultado sempre será assustador.

#Parta para a ação

Depois de um planejamento bem feito, é hora da implantação efetiva de soluções e processos de segurança da informação. Uma vez definidos os pontos de atenção, gargalos, riscos atuais e futuros, bem como impactos negativos a serem evitados, certamente as soluções mais indicadas já estarão no planejamento, e será a hora de colocá-las para trabalhar.

#Além das soluções, pense também em processos de segurança

Alguns dos que não podem faltar são a atenção à autenticação (sempre com fator duplo, por favor), a criação de senhas fortes (está aliado à autenticação, mas vale reforçar, já que muitas empresas deixam seus próprios colaboradores criarem suas passwords e acabam pagando um preço alto pelo famoso “1234”), o gerenciamento de acessos (nem todo sistema, arquivo ou base de dados tem que estar aberto para todo mundo), o backup (desde o comecinho, saiba que tudo o que você tem armazenado digitalmente pode desaparecer por conta de um ciberataque ou de outros incidentes, e isso seria péssimo a qualquer ponto da trajetória de negócios).

#Foque nas políticas de segurança

Há outros processos a se pensar, claro, mas todos eles fazem parte do que se costuma concentrar em uma política de segurança da informação, e, por isso, nossa sexta dica é que você se  aprofunde neste tema lendo um post que construímos especificamente sobre este assunto – “5 Dicas para ter uma Cultura de Segurança da Informação na sua empresa”.

#Dê total atenção a atualizações e correções.

O Wannacry, ransomware que assolou empresas do mundo inteiro em 2017, se aproveitou de uma vulnerabilidade do Windows. Quer exemplo melhor de que precisa deixar tudo em dia? Mantenha olho vivo nas soluções e SEMPRE aceite atualizar e/ou corrigir o que for necessário na hora em que for indicado pelo fabricante ou pelo integrador.

#Tenha cuidado com o BYOD!

Nada mais startup do que colaboradores super antenados, usando seus dispositivos favoritos tanto em casa, quanto no ambiente de trabalho. Só que isso pode abrir brechas não mapeadas, nem monitoradas, de segurança da informação. Inclua este parque na sua gestão de cibersecurity, ou bloqueie o uso de dispositivos pessoais para fins corporativos, a escolha é sua.

#Engaje seus times de negócio

Envolva toda sua equipe, tanto interna quanto terceirizada, em seus processos de segurança e privacidade de dados. Isso é fundamental para assegurar o bom funcionamento de sua estratégia e a proteção efetiva do seu negócio.

#Não hesite em pedir ajuda

Ninguém é especialista em tudo, então, a menos que o negócio da sua startup seja segurança da informação, o ideal será você escolher no mercado um fornecedor capaz de realizar todos os itens que apontamos nesta lista, entre outros, com a qualificação que suas demandas exigem e seu empreendimento merece. Até porque um terceiro especializado reunirá todas as capacidades complementares que toda companhia precisa, mas dificilmente tem orçamento para contratar internamente. E se você não sabe como selecionar o melhor parceiro, confere nosso post com dicas sobre o que considerar nesta hora

Espero que tenhamos ajudado sua startup a pensar a segurança da informação da melhor forma para garantir tranquilidade, conformidade e credibilidade. Não se esqueça: um ambiente protegido é importante não apenas para a startup, mas também e principalmente para seus clientes e investidores.

Aliás, no post da próxima semana falaremos sobre como transformar ações de segurança da informação em recursos para atrair investimentos e crescimento. Fique ligado!

Security News #06 – As Principais Notícias em Segurança da Informação

Toda semana, reunimos, aqui no site do IT2S Group, as principais notícias dos últimos dias sobre o universo da segurança da informação. Confira, atualize-se e previna-se!

#Selo de Qualidade

A Associação Brasileira de Fintechs (ABFintechs) em parceria com a empresa de tecnologia IT2S Group acaba de lançar um selo de qualidade voltado à segurança de dados. Segundo o diretor executivo do IT2S, Leonardo Goldim, “o objetivo é dar transparência ao mercado na identificação de empresas que estejam preocupadas com a segurança da informação de seus clientes”. (Leia na íntegra)

#Ciberataques podem ser tão letais quanto explosões atômicas

De acordo com um especialista em cibersegurança e guerra cibernética da Universidade do Estado de Dakota do Norte, nos EUA, o número de mortos em uma ofensiva de hackers de grandes proporções seria comparável ao de um ataque nuclear.  (Leia na íntegra)

#Ação de provedores dificulta identificação de criminosos cibernéticos

A demora de alguns provedores de conexão à internet em atualizar seus sistemas de identificação de usuários da rede mundial de computadores tem dificultado o trabalho de policiais encarregados de investigar crimes cibernéticos. A afirmação é do coordenador do Laboratório de Inteligência Cibernética do Ministério da Justiça e Segurança Pública, Alessandro Barreto. (Leia na íntegra)

#Google é multado em US$ 170 milhões por violar privacidade de crianças no YouTube

O Google concordou em pagar uma multa de US $ 170 milhões e fazer alterações para proteger a privacidade das crianças no YouTube, já que os órgãos reguladores disseram que o site de vídeo coletou informações pessoais de maneira consciente e ilegal de crianças e usou-as para lucrar, direcionando-as com anúncios, informou o jornal New York Times. (Leia na íntegra)

#Avast encontra aplicativos de lanterna na Google Play, solicitando até 77 permissões

A Avast descobriu que os aplicativos de lanterna para Android solicitam em média 25 permissões. Usando apklab.io, sua plataforma de inteligência de ameaças para dispositivos móveis, ela analisou as permissões solicitadas por 937 aplicativos de lanterna que estiveram ao menos uma vez na Google Play Store ou ainda estão disponíveis na loja. Destes, 408 solicitaram 10 permissões ou menos, 267 solicitaram entre 11 e 49 permissões, e 262 aplicativos solicitaram entre 50 e 77 permissões. (Leia na íntegra)

#40% das empresas latino-americanas sofreram uma infecção por malware no ano passado

O ESET Security Report (ESR) um relatório anual realizado pela ESET que oferece uma visão geral do estado de segurança nas empresas latino-americanas foi apresentado esta semana. O documento reuniu a opinião de mais de 3000 executivos, técnicos e gerentes de mais de 10 tipos de indústrias da região. (Leia na íntegra)

IT2S Group em parceria com ABFintechs lança Selo de segurança

Leonardo Goldim, diretor Executivo do IT2S Group, com Mathias Fischer, diretor de Regulação da ABFintechs

Leonardo Goldim, diretor Executivo do IT2S Group, com Mathias Fischer, diretor de Regulação da ABFintechs

O IT2S Group anuncia, em parceria com a ABFintechs, o Selo de Segurança, que busca trazer mais transparência sobre as ações de proteção de dados para startups do setor.

A novidade, que foi lançada durante o Fintopics 2019, um evento voltado para o mercado de fintechs, tem o objetivo de fomentar as boas práticas de segurança da informação e proteção de dados pessoais, no âmbito da LGPD.

O Selo possui três níveis. No inicial, a startup se compromete a atender todas as indicações do Guia disponível para download no website https://fintechsegura.com.br, que contém todas as diretrizes de segurança a serem seguidas e a lista das empresas que se comprometerem com a questão.

No segundo nível do Selo, que será lançado em breve, a ideia é ter profissionais de seguranças capacitados para realizar uma auditoria na fintech e saber se realmente apresenta todos os controles. Além disso, as diretrizes do Guia devem ser expandidas para avaliar empresas com negócios e processos mais maduros.

O terceiro nível é voltado para startups que já possuem certificação no mercado e desta forma, podem atestar o cumprimento de boas práticas de segurança.

“A ABFintechs iniciou o trabalho com eventos e fóruns de discussões sobre o tema e agora, parte para uma estruturação desta informação e de recomendação de boas práticas. O novo Selo é muito importante para reduzir o atrito de conversão e mostrar para a população que as fintechs são empresas sérias que estão preocupadas não só com a segurança dos dados, mas também com toda a parte regulatória e legal, do mercado financeiro”, explica Mathias Fischer, diretor de regulação da Associação Brasileira de Fintechs.

“Decidimos aproveitar a experiência do IT2S Group e fazer isso de uma forma mais formal e estruturada, aplicando a bagagem e expertise que a empresa tem neste tema para auxiliar na criação do Selo”, completa Mathias.

O setor de fintechs passa por um crescimento acelerado, de acordo com um estudo da ABFintehcs em parceria com a PwC Brasil (PricewaterhouseCoopers), em 2011, 28 startups financeiras haviam sido criadas, enquanto no ano passado, o número foi de 219.

“A ideia do Selo surgiu há um ano, com base em uma experiência similar que tive na Cloud Security Alliance (CSA), que utiliza este mesmo formato de certificação e da qual sou membro. Então, a parceria com a ABFintehcs começou a ser formatada. Na primeira versão do manual, a ideia é que os controles e requisitos de segurança possam ser aplicados a todas as startups, independente do nível de maturidade do negócio. Hoje, grande parte dos problemas de segurança ocorrem por falha no desenvolvimento, atividade fundamental em startups”, esclarece Leonardo Goldim, diretor executivo do IT2S Group.

“O Selo vem em linha com uma necessidade de mercado, de uma série de clientes que procuram o setor com uma demanda externa de empresas maiores, como bancos e investidores, que cobram esta adequação”, indica Leonardo.

Os investimentos em startups, ao contrário do que ocorre no mercado tradicional, continuam aquecidos. Segundo a Associação Brasileira de Startups, apenas este ano, foram mais de 150 investimentos de venture capital.

Quer ficar por dentro das novidades, conteúdos e notícias do IT2S Group? Continue acompanhando nossas postagens aqui no blog?

10 dicas para criar uma cultura eficiente de segurança da informação

Se sua empresa ainda não tem um guia de melhores práticas em cibersegurança, ou tem e não consegue fazer o time segui-lo, ficando sempre à mercê das falhas humanas, este post é para você.

Você sabia que erros humanos são responsáveis por 33% dos incidentes de segurança da informação registrados em todo 2018 na América Latina? O dado é do relatório “O estado da cibersegurança industrial” e traz à tona uma preocupação que deve ser constante nas empresas de todos os portes e segmentos: as pessoas.

Quando se fala em cibersecurity, privacidade de dados, conformidade, LGPD e afins, o primeiro item a vir à mente TEM que ser o fator humano. Afinal, de nada adiantará dispor de ótimas tecnologias e de profissionais super qualificados cuidando das redes, sistemas, dados, se todos os colaboradores não conhecerem as políticas e estratégias de segurança da empresa.

Como criar, então, esta cultura de segurança? Criamos uma série de dicas para te auxiliar. Confira:

 

1. NÃO EXISTE FÓRMULA MÁGICA OU MÉTODO IDEAL

Não espere uma receita pronta, pois o que é aplicável para muitas companhias, pode não ser para outras. Tudo requer personalização. Então, a primeira dica é não copiar. Se a empresa X aplica determinadas práticas, não tem problema você conhecê-las para se inspirar, mas isso não significa que deverá simplesmente trazê-las para o seu negócio. Primeiro, conheça sua exata realidade e, a partir dela, desenhe sua própria política.

2. TENHA O CONTROLE DOS ACESSOS

Inicie sua política de melhores práticas em infosec definindo os níveis de acesso. Que colaboradores de quais áreas podem acessar quais recursos de quais soluções? Quem realmente precisa conhecer ou trabalhar com as informações X, Y e Z? Lembre-se: nem todo mundo pode – nem deve – acessar todos os dados ou sistemas de sua organização. Para cada cargo, forneça acesso somente ao que for essencial para realização do trabalho.

3. INFORME SOBRE SUAS POLÍTICAS DE ACESSO

Depois de definir as políticas de acesso, deixe todos saberem de suas exatas permissões e proibições, bem como os porquês de cada uma. Isso servirá para duas coisas: evitar o “tititi” que pode gerar dúvidas ou até mesmo “fake news” dentro do ambiente corporativo e minimizar o risco de que colaboradores não autorizados tentem driblar as regras para acessar o que não podem. Se eles sabem que há um plano estruturado e que os acessos são monitorados, a chance de que tentem burlar é muito menor.

4. REGRAS DE ACESSO NÃO SÂO APENAS PARA OS CANAIS INTERNOS

Lembre de incluir na sua política de segurança regras não apenas para os canais internos da companhia, mas também para os externos, como as redes sociais, por exemplo. Já imaginou um funcionário seu se portando como manda o figurino dentro do ambiente de negócios, mas expondo seus dados no Facebook, LinkedIn, Whatsapp, Instagram e afins? Deixe, desde o princípio, muito claro que as melhores práticas de cibersegurança valem para todas as plataformas.

5. REGRAS SÃO FEITAS PARA SEREM CUMPRIDAS

Pegando o gancho da dica acima, é importante também que você esclareça seus colaboradores sobre as punições cabíveis para quem infringir as regras. Todos têm de estar cientes das regras que devem seguir e de como eles ou a empresa toda podem sofrer penalizações caso as burlem.

6. SEJA COERENTE

Não crie regras impossíveis de serem compreendidas pelo time todo, ou seja: a linguagem precisa ser compreensível por todos os níveis hierárquicos. Na mesma linha, as punições também precisam ser cabíveis: não crie penalizações faraônicas, pois estas poderão gerar mais pânico do que respeito às regras. E gente em pânico tende a cometer erros.

7. MANTENHA UM DIÁLOGO ABERTO

Mesmo que a política de segurança da informação tenha sido criada em conjunto com seus colaboradores ou terceirizados das áreas de TI e cibersecurity (como deve ser), não se esqueça de manter um diálogo aberto com eles sobre isso. É comum que os TIs não vejam o negócio ou as tecnologias do ponto de vista dos usuários, e isso pode criar distância entre estes dois públicos, gerando eventuais interferências na cultura de segurança. Mantenha todos sempre na mesma página, isso será melhor para o funcionamento de sua estratégia.

8. SENSIBILIZE

Mais do que informar o time sobre as políticas de segurança, é importante engajá-lo ao propósito. Pessoas que entendem o motivo de cada regra e da política geral de segurança da informação ficam mais propensas a segui-las.

9. INCENTIVE E RECONHEÇA

Usuários que sigam à risca as boas práticas devem ser valorizados, a fim de que permaneçam motivados e deem exemplo aos demais.

10. FAÇA TESTES PERIÓDICOS

Podem ser avaliações por escrito, conversas ou testes práticos de uso de aplicações e dados. O importante é manter o olho sobre toda a organização e ter certeza de que as políticas de segurança da informação se tornaram, de fato, uma cultura da empresa.

Vale acrescentar que quanto mais as melhores práticas forem informadas, repetidas, reforçadas junto às equipes, melhor. A repetição é o caminho da excelência, neste sentido. É com isso que você alcançará usuários não apenas engajados às suas políticas de privacidade de dados, mas também naturalmente interessados em segurança da informação.

E depois de focarmos o tema “pessoas”, que tal algumas dicas para te ajudar na escolha das soluções de segurança mais adequadas a seu negócio? É o que você encontrará no post da próxima semana, aqui no blog. Fique atento.

Quais os custos de uma estrutura de segurança e como reduzi-los?

Cuidar internamente da proteção de dados e da conformidade, cobrindo todas as áreas necessárias, pode demandar altos investimentos. Mas isso pode ser evitado, e neste post você descobre como

Se você já se perguntou quanto custa montar uma estrutura interna de gestão de segurança da informação, certamente já chegou a uma resposta bem comum: muito!

Realmente, os investimentos demandados podem ser bem altos. Mas calma, o post de hoje está aqui para esclarecer o que pode gerar alguns dos principais gastos nesta estrutura e como é possível reduzi-los sem perder de vista a cibersegurança e a conformidade.

PRIMEIRO CUSTO A SER ENTENDIDO: CONTRATAÇÃO DE PESSOAL

Quando se pensa em uma equipe de segurança da informação, é preciso ter em mente que será necessário contar com um time multidisciplinar – afinal, por mais especializado e experiente que seja, um único profissional não poderá dar conta de todas as fases do processo sozinho.

Por conta disso, é preciso pensar no custo de contratação multiplicado pelo número de funcionários necessários para a plataforma de infosec que a empresa desejar estabelecer.

E como se compõe este custo? Falando apenas em encargos que entram na folha de pagamento, temos: 13º salário, férias (1/3 constitucional), horas extras, transporte, contribuição previdenciária, ajustes salariais de acordo com atualização anual, entre outros.

Pode ser, ainda, que você pense em conceder benefícios à equipe, como plano de saúde e seguro de vida. Isso poderá ser um fator importante na atração de bons profissionais, mas também aumentará seus custos.

MELHORIA CONTÍNUA

Como as ameaças virtuais, os cibercriminosos e as leis do setor não param de se atualizar, sua equipe também não poderá ficar para trás. Assim, será necessário contabilizar custos de especialização do time. Cursos, treinamentos, capacitações, certificações… Uma rotina que é extremamente saudável e necessária, mas que também pode ser bem cara.

E SE NÃO DER CERTO?

Há, ainda, os gastos em caso de demissão, que variam de acordo com o tempo em que o trabalhador ficou na empresa, além de aviso prévio, que gera mais 1/12 de férias e 1/12 do 13º (como se fosse mais um mês de salário normal), 13º proporcional, 1/3 constitucional de férias relativo ao período proporcional, salário relativo aos dias trabalhados e multa sobre o fundo de garantia.

QUANTO MAIS ALTO O CARGO, MAIOR O INVESTIMENTO

É bom lembrar que o custo de cada colaborador – tanto nos encargos de folha, quanto em planejamento de promoções e até mesmo em caso de demissões – varia de acordo com seu salário. Logo, quanto mais ele ganhe, mais custará à empresa.

Ou seja, se um colaborador custa x, um gestor (como um CISO, por exemplo) poderá custar 2x, 3x, 4x e por aí vai.

Se só de ler até aqui você já está assustado, pensando se o caixa dará conta da estrutura de segurança da informação, saiba que os gastos não acabaram.

Pois é. Infelizmente, tem mais valores envolvidos neste processo – por exemplo, os que se referem a licenciamento de software. Vamos a eles.

LICENÇAS

O uso de qualquer software pode trazer custos. Se isso envolver licenciamento, o investimento será ainda maior. Por quê? Porque, além de a licença de um sistema depender de fatores como a tabela do fabricante e o modelo de contrato, também é fundamental saber que, quanto mais pessoas forem utilizar a solução, mais licenças precisarão ser compradas.

E não estamos falando de sistemas de segurança da informação, especificamente, mas de aplicações de produtividade.

Sendo assim, sempre que você contrata mais pessoas para trabalhar internamente (por exemplo, formando uma equipe interna de segurança da informação), você tem que levar em conta que tais colaboradores também precisarão de licenças para trabalhar com as aplicações de produtividade. Mais pessoas, mais licenças, mais custo.

COMO ECONOMIZAR?

Se todos estes valores já o fizeram pensar duas vezes sobre montar uma estrutura interna de segurança da informação, saiba que você tem toda razão para estar assim.

Isto porque é perfeitamente possível minimizar gastos apostando na contratação de um fornecedor terceirizado, que atenda a todas as pontas da gestão de segurança da informação e conformidade: do diagnóstico de seu cenário e demandas à definição das soluções necessárias, culminando no emprego destas ferramentas e dos profissionais corretos para gerir todo o parque.

BENEFÍCIOS

Uma consultoria terceirizada especializada terá uma equipe multidisciplinar aplicada à gestão de segurança da informação da empresa, ajudando a criar um ambiente adequado de diagnóstico de riscos, aplicação de soluções adequadas, contando com gerenciamento constante das estruturas, dados e sistemas das empresas em relação aos perigos do cibercrime.

Sem contar que o terceiro também estará apto a prestar suporte sempre que alguma parte da estrutura de segurança necessitar.

E tudo isso contemplado em um framework que é pago em valor compactado e diluído em pagamentos mensais, no formato serviço.

VIRTUAL OFFICER

Um exemplo deste tipo de oferta é o Virtual Officer, solução do IT2S Group que atua como um time completo para atuar em conformidade, privacidade e segurança, agregado em uma oferta desenvolvida para organizações que precisam iniciar ou melhorar suas iniciativas em segurança da informação, mas, ao mesmo tempo, têm de manter o orçamento enxuto.

COMO CONTRATAR?

O formato de contratação do Virtual Officer é elaborado de acordo com a necessidade e budget de cada empresa. O pagamento é definido a um custo mensal compatível com a realidade do negócio, sempre incluindo os recursos completos para uma gestão especializada de segurança da informação.

Se você gostou do tema e quer entender mais sobre como a soma de conhecimentos de uma equipe multidisciplinar de profissionais é importante para garantir segurança da informação e conformidade de ponta a ponta, acompanhe o post da próxima sexta-feira aqui no blog.

 Ficou com dúvidas sobre o assunto tratado neste post? Tem interesse em outros temas de que ainda não tratamos? Deixe seu comentário para podermos te auxiliar!

Security News #05 – As Principais Notícias em Segurança da Informação

Toda semana, reunimos, aqui no site do IT2S Group, as principais notícias dos últimos dias sobre o universo da segurança da informação. Confira, atualize-se e previna-se!


#Interrupção em servidores AWS mostra que dados em nuvem nem sempre estão seguros

Falha de energia em datacenter da Amazon nos EUA danificou instâncias de hardware e levou à perda de dados armazenados no serviço Amazon Elastic Block Store. (Ler na íntegra)

 

#Mais de 70% das empresas vão terceirizar adequação à LGPD

Uma pesquisa realizada pela Serasa Experian indica que 85% das empresas ainda não se sentem prontas para atender às novas regras da Lei Geral de Proteção de Dados (13.709/18). E isso com o prazo correndo para a vigência das novas normas, em agosto de 2020. (Ler na íntegra)

 

#Salários para especialistas em cibersegurança estão em alta

A ameaça de violações digitais – e as multas, processos judiciais e possíveis renúncias de executivos – tornou a busca por especialistas de segurança mais difícil e cara para as empresas. (Ler na íntegra)

 

#Emoções sinalizadas no conteúdo revelam riscos humanos à cibersegurança

Cibercriminosos podem explorar falhas e vulnerabilidades através dos afetos e a subjetividade dos usuários, assim como os sinais de insatisfação ou negligência que possam gerar problemas, analisando a linguagem de emoções e expressões em mensagens. (Ler na íntegra)

 

#Hackers usam phishing avançado para atacar usuários de Android

Crmininosos utilizam o provisionamento sem fio para implantar configurações específicas da operadora em novos dispositivos, interceptando todo o tráfego de e-mail de e para telefones Android, usando mensagens SMS falsas. (Ler na íntegra)

 

#Pesquisa mostra aumento da “insegurança cibernética”

Um estudo da PwC mostra que, no Brasil, líderes das organizações que utilizam a automação ou a robótica estão mais preocupadas com as consequências potencialmente significativas dos ataques cibernéticos. (Ler na íntegra)

 

#VMware adquire empresa de cibersegurança por US$ 2,1 bi

A multinacional de virtualização vai adquirir a Carbon Black, fornecedora de proteção de endpoints nativos na nuvem, intensificando seu foco em segurança de dados em nuvem. (Ler na íntegra)

Passo a passo para garantir conformidade com a LGPD

Análise, diagnóstico, rotinas e tecnologias necessários para atender às exigências da nova lei e evitar penalizações. Tudo isso, você confere neste post.

Em um ano (na verdade, um pouco menos do que isso), a LGPD estará em vigor. Sua empresa já está preparada para as exigências da nova lei?

Caso não, fique sabendo que você não é uma exceção: na verdade, cerca de 85% dos negócios brasileiros ainda não se adequaram à legislação. Só que isso é bem preocupante, já que, para quem não estiver em conformidade, as penalizações da lei poderão ser BEM severas.

Para facilitar sua vida, hoje trazemos um passo a passo para entrar em conformidade com a LGPD. Confira:

1. Entenda se sua empresa estará enquadrada às exigências da LGPD

Para descobrir isso, basta se perguntar: coletamos dados de clientes? Fazemos esta coleta por meio de site, aplicativos e outras frentes usadas para vender nossos produtos ou serviços? Ou terceirizamos esta coleta com algum parceiro? Fazemos análise de perfil de clientes para enviar conteúdos a eles? Usamos dados de colaboradores para fazer pagamentos e outros procedimentos trabalhistas?

Se a resposta tiver sido “sim” para ao menos um dos questionamentos acima, então seu negócio está dentro da nova regulamentação e precisa correr para atender às exigências – afinal, quem for pego infringindo a LGPD poderá sofrer multas de até 2% do faturamento anual, com limite de R$ 50 milhões por penalidade.

2. Faça uma revisão dos procedimentos relacionados a dados

Tudo o que envolver informação deverá ser avaliado sob o ponto de vista da lei, e isso requer um olhar profissional. Portanto, se sua empresa não tiver gestores de segurança capacitados para isso, vale buscar terceirizados que possam garantir a análise correta.

3. Revise documentos

Sim, revise todos os documentos de sua empresa: contratos, fichas, cadastros, planejamentos, tudo o que envolver dados de clientes e parceiros. Nada pode ficar de fora, e a análise precisa ser criteriosa para saber que informações estão contidas e de que forma precisam ser protegidas.

4. Defina processos de gestão de dados

A partir das avaliações listadas acima, será hora de definir os processos de tratamento e gestão de dados necessários para adequação à legislação, bem como as tecnologias a serem adotadas ou atualizadas para proteção das informações, além dos mecanismos de controle e auditoria a serem seguidos para manter a conformidade sempre em dia. Tudo isso faz parte do processo de “assessment”, e novamente a questão será: ou você tem uma equipe interna capacitada para fazer isso, ou busca no mercado um fornecedor especializado para atender a tais demandas.

5. Conte com apoio jurídico

Especialistas em leis de privacidade de dados serão essenciais em todo o processo de análise de eventuais riscos e inconformidades.

6. Comunique sua estratégia

Depois que o diagnóstico dos processos, dados e estruturas atuais estiver concluído, as ferramentas e procedimentos a serem implantados já estiverem definidos e o estudo jurídico já estiver pronto, será o momento de levar a estratégia de segurança e conformidade a todas as pessoas envolvidas no negócio. Em outras palavras, o passo a ser dado aqui é criar uma cultura de proteção de dados e compliance em toda a empresa. Vale investir em conscientização, compartilhamento de conteúdos instrutivos, treinamentos. Só não vale centralizar tudo na gestão e não buscar o engajamento dos colaboradores: isso pode ser um tiro no pé e comprometer toda a estratégia, expondo a empresa a riscos.

7. Monitore, monitore e monitore

Não adianta fazer toda a preparação se depois você não mantiver olho vivo em cima da estrutura revisada e montada. Gestão é a palavra-chave para a conformidade permanente.

8. Busque soluções abrangentes

Procure por tecnologias e ferramentas que possam cuidar de ponta a ponta de toda essa lista de afazeres – da análise ao assessment, da implementação à gestão ao monitoramento.

9. Olhe para dentro de casa

Antes de colocar a mão no bolso para adotar grandes soluções, pergunte-se: vale a pena investir em recursos para tudo isso internamente? Se a resposta for não, busque um parceiro que concentre tudo isso em uma oferta única, desenhada em um formato e valor cabível ao seu orçamento.

10. Preste atenção: este processo todo não é feito do dia para a noite

Então, os passos precisam começar a ser dados o quanto antes. Não perca tempo, sua empresa, seus dados, seus clientes e sua saúde legal e financeira agradecem.

Falamos, neste post, diversas vezes na opção de contar com um fornecedor terceirizado para auxiliar na adequação à LGPD. Mas o que é preciso levar em conta na hora de escolher este parceiro? É o que você poderá conferir em nosso post da próxima quarta-feira. Acompanhe!

Ficou com dúvidas sobre o assunto tratado neste post? Tem interesse em outros temas de que ainda não tratamos? Deixe seu comentário para podermos te auxiliar!

× Como posso te ajudar?