Virtual Officer: a chave para as startups aderirem à LGPD

Ao mesmo tempo em que cria um ambiente de maior segurança e privacidade no uso de dados, a nova Lei Geral de Proteção de Dados (LGPD), que vigorará no Brasil a partir de fevereiro de 2020, também pode soar como um desafio para as startups, ainda mais em um cenário em que poucos exemplos desta mudança são vistos – confira nosso artigo “85% das empresas ainda não estão prontas para a LGPD. O que fazer?”.

Isto porque a nova legislação demanda adaptações em modelos, práticas, sistemas e usos que, se não cumpridas, poderão render multas bem salgadas. Isto vale para todos, de micro a grandes empresários. Ninguém estará livre das sanções da LGPD, mas também não há motivo para pânico: ainda que sua empresa seja pequena ou iniciante, existe solução para adequá-la às novas exigências sem acabar com seu orçamento.

Estamos falando do Virtual Officer, solução que oferece a startups um combinado de sistema mais serviços para gerir a segurança da informação, de forma a atender a normas e regulamentações legais, além de proteger dados das startups e de seus clientes, parceiros e demais envolvidos em suas operações. Tudo de maneira prática, objetiva, especializada e economicamente viável.

COMO FUNCIONA O VIRTUAL OFFICER?

O próprio nome já entrega: o Virtual Officer funciona como um diretor virtual de conformidade, privacidade e segurança. Nós, do IT2S Group, o desenvolvemos para quem precisa iniciar ou melhorar a gestão de segurança da informação, mas, ao mesmo tempo, não dispõe de um orçamento gigantesco para isso. Falamos um pouco disso em nosso texto “3 Simples passos para iniciar a adequação à LGPD”.

Com um investimento mensal, pago como serviço e em valores que cabem no caixa das startups, o Virtual Officer oferece os serviços 360º em privacidade, compliance e segurança que só uma equipe multidisciplinar de especialistas com média de 10 anos de mercado, alicerçados por tecnologias de ponta, podem oferecer.

Desta forma, as startups podem obter todos os benefícios de uma gestão altamente especializada de segurança da informação, com a redução de custos e de burocracia trazida pela dispensa da contratação de profissionais experientes e da compra de tecnologias instaladas in house.

POR QUE MINHA STARTUP PRECISA DO VIRTUAL OFFICER?

A resposta é simples: ela precisa porque a LGPD está aí e será obrigatório atender a ela a partir do próximo ano. E, mesmo que não estivesse, segurança da informação, conformidade e privacidade de dados são uma exigência permanente do mercado.

Startups, muitas vezes, pecam por não dar a estes temas a importância que realmente merecem, e muito disso parte do erro comum que é achar que, por ser iniciante ou pequeno, seu negócio não tem dados relevantes para proteger.

 

LGPD: obstáculo ou oportunidade para sua startup?

Se você ainda está entre os 85% das empresas que não se adequaram à LGPD, cuidado: por mais que pareça um obstáculo, buscar a conformidade com a nova lei e garantir a segurança dos dados é fundamental para te dar respaldo no mercado

Os impactos da nova Lei Geral de Proteção de Dados (LGPD), que entra em vigor em menos de um ano, não se restringirão às grandes empresas: pequenas e startups também precisarão adaptar o tratamento que dão às informações aos rigores da legislação. Caso contrário, o prejuízo pode ser significativo – como você pode conferir no post “Por que as empresas continuam perdendo milhões em incidentes de segurança”.

Todo negócio que envolva a coleta e tratamento digital de dados dos clientes, para qualquer finalidade (marketing, cadastro interno, vendas etc), estará sujeito às obrigatoriedades da LGPD. Mas, se por um lado isso soa como uma verdadeira pedra no sapato, por outro pode ser uma oportunidade de galgar diferencial no mercado.

Para te ajudar a fazer esta comparação, trazemos hoje uma análise sobre alguns pontos. Lembre-se: tudo tem dois lados, e um deles sempre é a seu favor.

 

#Obstáculo – custo para a conformidade

Quem está abrindo/gerindo uma startup sabe muito bem dos custos envolvidos. E o budget, normalmente enxuto, precisa ser otimizado desde o marco zero. Como startups são empresas essencialmente digitais, a conta da conformidade com a LGPD também entra neste cálculo, e é aí que questões relacionadas à adequação, nos âmbitos estratégico, tecnológico e legal, podem pesar no orçamento. Mas até mesmo nesse ponto dá para fazer do limão, uma limonada, lançando mão de recursos que ajudam a diminuir os gastos neste processo, como mostramos no post “Quais os custos de uma estrutura de segurança e como reduzi-los”.

#Oportunidade – uso otimizado dos dados

Estabelecer uma política de proteção e conformidade dos dados com a LGPD significa conhecer e definir os usos que sua empresa terá com estas informações. Isso também representa uma possibilidade positiva para as startups. Com um maior controle, elas poderão organizar e estabelecer políticas de tratamento dos dados que terão impacto no seu negócio.

Além disso, quanto mais em conformidade com a legislação estiverem, mais as startups serão atrativas para clientes e investidores. Entenda um pouco mais sobre isso no post “Como Garantir Credibilidade Em Tempos De Ameaças Cibernéticas”.

#Obstáculo – Desvios para a inovação

A maioria das startups nasce de uma ideia, com um foco especial na inovação. Pensar em regulações e necessidades para ficar em conformidade com a lei pode parecer um desvio deste foco (afinal, em seu projeto inicial, nem passava pela sua cabeça os aspectos “quadrados” que costumam aparecer quando se fala em âmbito jurídico-legislativo).

Por isso mesmo, muitos CEOs de startups avaliam a preocupação com a LGPD como algo que vai contra a essência da criação de uma empresa digital. Para eles, estas são criadas de forma mais espontânea, e os ajustes necessários são feitos à medida que o negócio avança. Ajustes dentre os quais entram a segurança da informação e a conformidade, quando o assunto é a nova lei. E, se não estavam habituados a pensar nisso desde o início da operação, agora são obrigados a fazê-lo (para o bem do negócio).

Só que isso não precisa ser um bicho de sete cabeças. Se surge como um obstáculo, há formas de contorná-lo, e algumas delas, que permitem trazer adequação sem perder a inovação, nem engessar a escalabilidade, podem ser conferidas no post ”Saiba Por Que A Segurança Da Informação NÃO Engessa A Escalabilidade”.

#Oportunidade – mais segurança e mais confiança

Partindo do mesmo pressuposto da inovação, tudo o que foi colocado como obstáculo no tópico acima pode ser visto como oportunidade. Como¿ Ora, conceitos como design focado em privacidade, perfis de usuários e portabilidade de dados abrem um leque de possibilidade para criar soluções inovadoras e pensar na personalização e construção de confiança junto ao cliente.

As startups que prestarem atenção a esta tendência, e saírem na frente para usar isso como um elemento de valor em suas soluções, terão não apenas conformidade com a lei, mas também um diferencial competitivo

 

Obstáculos ou oportunidades, uma coisa é certa: todos estes pontos são importantes e devem ser levados em consideração por quem tem ou está pensando em criar uma startup, já que se adequar à LGPD não será opcional.

Se o impacto disso para o negócio será positivo ou negativo, cabe aos gestores decidir. E há formas de orientar essa decisão da melhor maneira: com o apoio de um parceiro com know-how em LGPD, conformidade, segurança da informação, obstáculos poderão ser facilmente transpostos – e, na maioria dos casos, transformados em oportunidades ou diferenciais.

E caso sua startup já tenha decidido iniciar a estratégia de adequação à nova lei, mas ainda não tenha escolhido a solução e o fornecedor por motivos como budget, dúvidas em relação a expertise dos terceiros, incertezas sobre serviços remotos, fica aqui a dica: semana que vem trataremos exatamente disso aqui no blog. Acompanhe.

Saiba por que a segurança da informação NÃO engessa a escalabilidade

Existe muita dúvida e resistência em relação à segurança da informação e conformidade quando se fala em startups, especialmente no que tange à área de desenvolvimento. Mas a realidade é outra: uma abordagem DevSecOps, conduzida pelos profissionais certos e com base nas soluções corretas, traz vantagens à estratégia de expansão. Confira

 

Segurança da informação é um diferencial, além de uma obrigação frente a seus clientes, e não um empecilho para a escalabilidade de seu negócio.

Por que estou dizendo isso? Porque, quando propomos projetos da linha de segurança e conformidade, é muito comum encontrarmos resistência, especialmente no que se refere à área de desenvolvimento de sistemas.

Vamos tomar como exemplo startups que oferecem ao mercado soluções baseadas em sistemas, aplicativos e afins. Se, na análise de segurança, forem detectadas potenciais brechas nos códigos de programação, é bem provável que os desenvolvedores enxerguem as soluções propostas para conter/resolver tais problemas como um obstáculo, que poderá atrasar ou mitigar sua capacidade de crescimento em escala.

Mas precisamos deixar muito claro que esta visão é errônea. Quando você pensa em segurança, está pensado em um benefício, tanto para seu negócio, quanto para os públicos envolvidos (colaboradores, parceiros, clientes), e não em um entrave.

NADA DE ENGESSAMENTO, NEM DE RISCOS
É claro que se algo engessar a estratégia ou a operação de sua startup, ela perderá a capacidade de escalabilidade. Só que a segurança não faz isso. Ao contrário, o que ela faz é ajudar a manter a empresa longe de riscos que poderiam trazer problemas sérios, como vazamentos de dados, ciberataques causadores de paradas de serviço e outros que poderiam incorrer em perdas financeiras, de credibilidade, danos à reputação e penalizações legais – estes sim, fatores passíveis de engessar a expansão de qualquer empreendimento.

SEGURANÇA ESPECIALIZADA, NEGÓCIO SAUDÁVEL
Assim, confiar a análise de suas redes, sistemas e processos relacionados à informação nas mãos de especialistas em segurança e conformidade é uma decisão 100% focada na saúde do negócio.

DEVSECOPS
Isso parte de uma metodologia DevSecOps. O que é isso? Bom, primeiro, é preciso entender que o famoso DevOps, normalmente restrito às equipes de desenvolvimento e operações, precisa também passar pela segurança se a empresa quiser extrair ao máximo a agilidade e capacidade de rápida resposta proporcionada por esta abordagem.

No conceito DevSecOps, as ações em favor da segurança da informação trabalham integradas a todo o ciclo de vida das aplicações da empresa. Em outras palavras, você não desenvolve toda uma solução para só lá no final pensar se ela é segura ou abre brechas para que seu negócio fique vulnerável a invasões.

COLABORAÇÃO E INTEGRAÇÃO
Ao invés disso, esta metodologia traz uma estrutura colaborativa, em que a segurança atua ao longo do projeto. Os especialistas desta área, sejam eles internos ou terceirizados, farão um trabalho integrado ao desenvolvimento, e isso será bom para todos: para os desenvolvedores, que terão um norte para criar com menos potencial de erros em relação à privacidade de dados e conformidade, para a estratégia de crescimento da empresa, que terá alicerce em soluções/sistemas/apps mais confiáveis, e para o cliente final, que receberá produtos e serviços mais seguros.

TODOS DE OLHO NA ESCALABILIDADE
Não se trata de intromissão dos especialistas em segurança no trabalho dos desenvolvedores, nem, muito menos, de engessamento do processo de programação ou da escalabilidade do negócio: se trata, sim, de uma estratégia de compartilhamento de responsabilidade ao longo de todo o processo, embasada na integração entre profissionais de diferentes especialidades, mas focados em dois objetivos comuns, que são a qualidade e o crescimento.

Pensar a segurança das aplicações, da infraestrutura e dos dados de ponta a ponta, esta é a essência do DevSecOps. Assegurar que a privacidade dos dados e a conformidade com regras, leis e normas do nicho de atuação da empresa sejam garantidas, esta é a missão do trabalho de segurança da informação e compliance.

POSSIBILIDADES
É possível ter uma empresa escalável sem isso? Sim, é.

É possível que esta empresa escalável, em algum momento, se exponha a riscos que acarretem os problemas já citados, pondo em jogo a continuidade dos negócios? Sim, é.

É possível que, tendo em conta as considerações acima, análises e ações de segurança da informação e conformidade engessem a escalabilidade de uma estratégia de negócio? Não, não é.

FAÇA AS ESCOLHAS CERTAS
Selecione os profissionais corretos para atende-lo em relação a todos estes pontos. Se precisar de ajuda para isso, as dicas do post “5 passos para você escolher um fornecedor de soluções de LGPD” estão aqui para isso (embora o post seja focado em LGPD, as recomendações do que buscar em um parceiro de segurança e compliance são válidas para qualquer projeto envolvendo tais áreas). Outro conteúdo indicado para te auxiliar na decisão sobre quem irá cuidar desta estratégia em sua startup, mostrando as vantagens que pode obter ao apostar na terceirização, é este aqui “8 Benefícios De Contar Com Um Virtual CISO”.

Escolha também as soluções e serviços mais adequados para cumprir o objetivo de garantir segurança e compliance sem comprometer a estratégia, funcionalidade, produtividade, competitividade e escalabilidade do negócio. E falando em serviços, o modelo remoto é uma ótima opção para startups, saiba mais sobre isso no post “Mitos dos serviços remotos: não caia neles”.

NOVO MINDSET

E, principalmente, tenha em mente que a integração entre segurança, conformidade e desenvolvimento demanda, sim, uma mudança de chave na mentalidade empresarial, mas traz ganhos que certamente todos vão comemorar, ao final.

 

Se você gostou desta abordagem e quer conhecer uma solução para aplica-a com sucesso aí na sua startup, sem comprometer o orçamento, fique ligado aqui no blog, pois trataremos disso na próxima semana.

8 benefícios de contar com um Virtual CISO

Um profissional familiarizado tanto com as melhores práticas em segurança da informação e conformidade, quanto com os processos específicos de cada empresa nesta linha. Porém, sem os custos de contratação interna de todas estas capacidades, podendo fazer a gestão destas demandas e ser consultado remotamente sempre que necessário.

Em resumo, esta é a definição de um Virtual CISO. Você também pode ler mais a respeito no post “Virtual CISO: o que é e por que você precisa de um”. Mas, indo um pouco mais além, podemos entender que o cargo de Chief Informacion Security Officer (CISO) na versão Virtual compreende não apenas um profissional, e sim um time completo e multidisciplinar capaz de suprir de ponta a ponta as necessidades de privacidade de dados e compliance de uma companhia, seja ela do porte que for: de startups a multinacionais, todas podem se beneficiar deste modelo.

Por isso, nosso foco hoje é exatamente detalhar os benefícios deste tipo de contratação. Vamos a eles:

#1. Orçamento

Já falamos disso em outros posts, como “Quais os custos de uma estrutura de segurança e como reduzi-los?” e “Gestão de cibersegurança é caro para startups? Experimente o custo de não gerir”, mas a tecla orçamento é sempre uma das mais batidas em todo planejamento empresarial. Especialmente nesta época, o último quarter do ano, em que a estratégia do próximo exercício costuma estar em pleno andamento.

Se sua startup, pequena, média ou grande empresa está vivendo este momento, faça as contas incluindo a projeção de economia entre 30% e 40% que um serviço de Virtual CISO pode trazer ao seu budget (segundo dados apurados pela Strong Security) em relação à contratação interna deste profissional.

#2. Experiência

Um Virtual CISO agrega ao seu negócio toda a vivência nos principais temas de segurança da informação, entregando gestão de qualidade, expertise elevada e governança completa.

#3. Entrega de valor imediata

Como já vem com toda a experiência que citamos acima, o Virtual CISO já chega pronto para agregar à sua estratégia o foco diário e contínuo que é recomendado para garantir o pleno funcionamento de todas as funções de seu nicho de atuação. Não será necessário investir em treinamento ou adequação, reduzindo o tempo entre a contratação e a efetiva prestação dos serviços.

#4. Foco no core business

Contando com um Virtual CISO, você terceiriza a gestão de segurança da informação, conformidade, privacidade de dados, liberando suas equipes internas da preocupação com estes temas. Assim, seus profissionais internos de TI e outras áreas poderão se concentrar nas demandas exatas do seu negócio, deixando as funções de infosec para o terceirizado com toda a tranquilidade.

#5. Mais por menos

Já mencionamos economia, mas é inevitável repetir tal ganho neste tópico: um CISO como serviço trará muito mais resultados em menos tempo do que um funcionário em período integral. Isto porque, no formato as a service, você contará possivelmente com todos os skills de um CISO prestados por mais de um profissional, em uma oferta multidisciplinar que resultará em competência, abrangência, agilidade e flexibilidade.

#6. Melhor seleção e relação com fornecedores

CISOs virtuais trazem a experiência das empresas/consultorias que prestam o serviço no relacionamento com fornecedores do mercado, sejam eles fabricantes de soluções, profissionais de serviços complementares, especialistas em todas as áreas que venham a ser necessárias ao longo do caminho. Isto poupa você de longos processos de análise, triagem, avaliação para chegar às escolhas mais assertivas.

#7. Flexibilidade contratual

Um CISO interno é um funcionário, e isso determina regras e custos de acordo com a legislação trabalhista em vigor. No modelo virtual, você pode negociar com o fornecedor o melhor atendimento à cada demanda, de forma estratégica e ágil, sem precisar se preocupar com hora extra, férias e outros encargos do gênero

#8. Independência de processos

O Virtual CISO é hábil no gerenciamento de uma gama de funções e ações – da construção de uma estratégia de segurança e conformidade à ativação de ações de resposta a violações e incidentes, passando por análises e capacitações periódicas. Tudo isso de forma independente de outras funções operacionais, já que ele tem foco naquilo que você o contratou para executar.

Como você pode ver, os benefícios agregados à contratação de um Virtual CISO são vários. Com essa lista detalhada, tenho certeza de que ficará mais fácil para você tomar a decisão que melhor se adeque ao seu orçamento e plano de negócios para o 4T2019 e/ou para 2020.

Na próxima semana, você saberá, aqui no blog, sobre como o Virtual Officer, o Virtual CISO do IT2S Group, pode auxiliar sua startup na adequação à LGPD. Fique ligado!

5 passos para você escolher um fornecedor de soluções de LGPD

Encontrar fornecedores de soluções para segurança da informação é fácil: difícil mesmo é saber identificar quais têm as qualificações necessárias para atender a sua demanda – ainda mais em tempo de preparação para LGPD e guerra diária ao cibercrime. No post de hoje, reunimos dicas para te ajudar nesta escolha.

Já falamos no post “Passo a passo para garantir conformidade com a LGPD”, sobre o quanto contar com um fornecedor terceirizado pode ajudar no processo de adequação das empresas à LGPD.

Claro que um dos segredos do sucesso desta parceria é a qualidade do terceirizado, e, por isso, trazemos hoje um passo a passo sobre o que levar em conta na hora de selecionar o parceiro ideal. Vamos lá:


#Primeiro passo – Confiança

A idoneidade de uma empresa é seu principal cartão de visita. Antes de escolher seu fornecedor para adequação à nova Lei Geral de Proteção de Dados, pesquise bastante sobre ele. Vale entrar no site, verificar opiniões de seus atuais clientes, conversar com outros empresários que possam conhecer este player e, é claro, jogar no Google – que, muitas vezes, consegue trazer até mesmo dados sobre eventuais processos nos quais a empresa ou seus sócios estejam envolvidos.

Fazer uma busca em sites como o Reclame Aqui e visitar fóruns online e redes sociais para se informar sobre o fornecedor também é bem válido.

Hoje em dia, a informação circula de forma ampla e não é difícil detectar boas e más notícias sobre qualquer assunto, pessoa ou empresa.

#Segundo passo – Entendimento

Definir a melhor solução de segurança para a sua empresa significa detectar, conhecer e entender quais são os pontos a serem trabalhados para proteger o seu ambiente de TI.

Um bom parceiro de cibersegurança tem este entendimento e o utilizará para fazer o assessment de segurança mais adequado, sugerindo os procedimentos, ferramentas e serviços mais adequados para cada necessidade (incluindo tudo o que tange à adequações da LGPD).

#Terceiro passo – Conhecimento

Verifique se o parceiro em potencial para sua empresa tem o mix esperado de habilidades e experiência para entregar as soluções propostas. Isso se chama multidisciplinaridade.

O terceirizado ideal deve dispor de uma equipe multidisciplinar com especializações complementares para garantir o atendimento de suas demandas de segurança da informação, conformidade, privacidade de dados, LGPD e todos os assuntos afins de ponta a ponta.

Este é um ponto que, muitas vezes, as empresas deixam passar na hora de escolher o fornecedor. Não caia nessa! Multidisciplinaridade, soma de capacidades complementares, especialização comprovada dos profissionais que prestarão os serviços, tudo isso é essencial para garantir a segurança de seus dados, sistemas, redes, usuários, clientes – enfim, do seu negócio como um todo.

#Quarto passo – Soluções

Depois de conferir as qualificações técnicas e estratégicas do seu futuro parceiro de cibersegurança, também é muito importante saber quais são as soluções com que ele trabalha para entregar o que promete.

Pode ser redundante, mas é fundamental: os parceiros do parceiro fazem grande diferença. Isto quer dizer que a carteira de fabricantes com que o terceirizado atua ajuda – e muito – a definir a qualidade de sua entrega final. Bons produtos + bons serviços + bons profissionais = chave do sucesso.

Por isso, além de receber as informações do fornecedor sobre as soluções de seu portfólio, faça também suas pesquisas sobre cada marca e produto. Verifique recomendações, avaliações, reclamações. Converse com outros empresários que já as utilizam, meça prós e contras. Tudo é importante no caminho da melhor tomada de decisão.

#Quinto passo – Processo, não um produto

Manter uma organização protegida contra ciberataques, ou contra violações que possam trazer prejuízos a ela e a seus clientes no âmbito de regulamentações como a LGPD, é algo contínuo. Ou seja, não se resolve com a simples aquisição de uma solução de cibersegurança.

Onde o terceirizado entra nisso? Na gestão de tudo, incluindo o auxílio na recomendação das soluções mais assertivas para cada caso, definição dos serviços necessários a cada etapa (diagnóstico, implantação, suporte, monitoramento, definição de ações e contrataques etc).

E há uma fase, em meio a todo este processo, que é de suma importância: a atualização. Um bom fornecedor de segurança da informação conhecerá seu ambiente e o manterá constantemente monitorado, fazendo as indicações e procedimentos corretos em relação a atualizações necessárias nos sistemas utilizados.

Se o cibercrime não para de evoluir, sua base de cibersecurity e conformidade também não pode parar.

 

O ideal, em tudo isso, é pensar o seu parceiro de segurança da informação como um colaborador direto, um pilar a mais na sua estratégia de negócio. O terceirizado de cibersegurança NÃO É um fornecedor de software, nem de serviços, nem de suporte, nem de gestão: é a soma de tudo isso.

E agora que você já conhece os principais pontos para escolher um fornecedor terceiro para sua estratégia de LGPD, que tal entender um pouco mais sobre um dos momentos mais críticos para qualquer ambiente de segurança: a implementação? Pois este será o tema de nosso post na próxima semana. Fique ligado!

O be-a-bá da segurança da informação para startups

Se você tem uma startup e ainda não começou a pensar em cibersegurança, pare aí mesmo: você está fazendo isso errado. Confira nossas dicas para cuidar de seus dados, sistemas e redes desde o início e garantir mais tranquilidade para crescer.

Ano a ano, o número de startups aumenta, tanto nacional, quanto globalmente. E ao mesmo tempo em que crescem e se profissionalizam, estas empresas também se expõem a riscos cibernéticos, aos quais é possível amenizar, mas não sem uma correta gestão de segurança da informação.

Por que estamos tocando neste ponto? Porque é muito comum que, ao longo de sua trajetória de crescimento, as startups concentrem seus esforços na própria marca, produtos, serviços, pessoas, adiando o investimento em cibersegurança. E isto pode ser  um erro que colocará todo o empreendimento em perigo. Já falamos disso mais detalhadamente em outro post do blog, “Os 5 Principais Erros de Startups em Segurança da Informação”.

Hoje, o foco é trazer dicas para que, desde o início das operações, as startups pensem e façam cybersecurity da maneira certa. Confira:

#Conheça sua estrutura e seus gargalos.

O marco inicial de todo projeto de segurança, privacidade de dados e conformidade, seja para uma empresa pequena, seja para uma multinacional, deve ser o diagnóstico de tudo o que precisa ser protegido, bem como das vulnerabilidades/riscos já presentes no negócio e das soluções mais adequadas a serem aplicadas.

 

#Antecipe-se aos riscos

Uma vez feito o mapeamento de que falamos acima, será possível também partir para uma antecipação de possíveis exposições indevidas das informações confidenciais da companhia, ou de brechas abertas para ciberataques de outra natureza.

#Mensure os possíveis impactos aos negócios

Se você prestou atenção às dicas 1 e 2, terá embasamento para calcular qual seria o custo (operacional, de imagem ou financeiro) de um vazamento de dados ou parada de serviços. E acredite: o resultado sempre será assustador.

#Parta para a ação

Depois de um planejamento bem feito, é hora da implantação efetiva de soluções e processos de segurança da informação. Uma vez definidos os pontos de atenção, gargalos, riscos atuais e futuros, bem como impactos negativos a serem evitados, certamente as soluções mais indicadas já estarão no planejamento, e será a hora de colocá-las para trabalhar.

#Além das soluções, pense também em processos de segurança

Alguns dos que não podem faltar são a atenção à autenticação (sempre com fator duplo, por favor), a criação de senhas fortes (está aliado à autenticação, mas vale reforçar, já que muitas empresas deixam seus próprios colaboradores criarem suas passwords e acabam pagando um preço alto pelo famoso “1234”), o gerenciamento de acessos (nem todo sistema, arquivo ou base de dados tem que estar aberto para todo mundo), o backup (desde o comecinho, saiba que tudo o que você tem armazenado digitalmente pode desaparecer por conta de um ciberataque ou de outros incidentes, e isso seria péssimo a qualquer ponto da trajetória de negócios).

#Foque nas políticas de segurança

Há outros processos a se pensar, claro, mas todos eles fazem parte do que se costuma concentrar em uma política de segurança da informação, e, por isso, nossa sexta dica é que você se  aprofunde neste tema lendo um post que construímos especificamente sobre este assunto – “5 Dicas para ter uma Cultura de Segurança da Informação na sua empresa”.

#Dê total atenção a atualizações e correções.

O Wannacry, ransomware que assolou empresas do mundo inteiro em 2017, se aproveitou de uma vulnerabilidade do Windows. Quer exemplo melhor de que precisa deixar tudo em dia? Mantenha olho vivo nas soluções e SEMPRE aceite atualizar e/ou corrigir o que for necessário na hora em que for indicado pelo fabricante ou pelo integrador.

#Tenha cuidado com o BYOD!

Nada mais startup do que colaboradores super antenados, usando seus dispositivos favoritos tanto em casa, quanto no ambiente de trabalho. Só que isso pode abrir brechas não mapeadas, nem monitoradas, de segurança da informação. Inclua este parque na sua gestão de cibersecurity, ou bloqueie o uso de dispositivos pessoais para fins corporativos, a escolha é sua.

#Engaje seus times de negócio

Envolva toda sua equipe, tanto interna quanto terceirizada, em seus processos de segurança e privacidade de dados. Isso é fundamental para assegurar o bom funcionamento de sua estratégia e a proteção efetiva do seu negócio.

#Não hesite em pedir ajuda

Ninguém é especialista em tudo, então, a menos que o negócio da sua startup seja segurança da informação, o ideal será você escolher no mercado um fornecedor capaz de realizar todos os itens que apontamos nesta lista, entre outros, com a qualificação que suas demandas exigem e seu empreendimento merece. Até porque um terceiro especializado reunirá todas as capacidades complementares que toda companhia precisa, mas dificilmente tem orçamento para contratar internamente. E se você não sabe como selecionar o melhor parceiro, confere nosso post com dicas sobre o que considerar nesta hora

Espero que tenhamos ajudado sua startup a pensar a segurança da informação da melhor forma para garantir tranquilidade, conformidade e credibilidade. Não se esqueça: um ambiente protegido é importante não apenas para a startup, mas também e principalmente para seus clientes e investidores.

Aliás, no post da próxima semana falaremos sobre como transformar ações de segurança da informação em recursos para atrair investimentos e crescimento. Fique ligado!

Security News #06 – As Principais Notícias em Segurança da Informação

Toda semana, reunimos, aqui no site do IT2S Group, as principais notícias dos últimos dias sobre o universo da segurança da informação. Confira, atualize-se e previna-se!

#Selo de Qualidade

A Associação Brasileira de Fintechs (ABFintechs) em parceria com a empresa de tecnologia IT2S Group acaba de lançar um selo de qualidade voltado à segurança de dados. Segundo o diretor executivo do IT2S, Leonardo Goldim, “o objetivo é dar transparência ao mercado na identificação de empresas que estejam preocupadas com a segurança da informação de seus clientes”. (Leia na íntegra)

#Ciberataques podem ser tão letais quanto explosões atômicas

De acordo com um especialista em cibersegurança e guerra cibernética da Universidade do Estado de Dakota do Norte, nos EUA, o número de mortos em uma ofensiva de hackers de grandes proporções seria comparável ao de um ataque nuclear.  (Leia na íntegra)

#Ação de provedores dificulta identificação de criminosos cibernéticos

A demora de alguns provedores de conexão à internet em atualizar seus sistemas de identificação de usuários da rede mundial de computadores tem dificultado o trabalho de policiais encarregados de investigar crimes cibernéticos. A afirmação é do coordenador do Laboratório de Inteligência Cibernética do Ministério da Justiça e Segurança Pública, Alessandro Barreto. (Leia na íntegra)

#Google é multado em US$ 170 milhões por violar privacidade de crianças no YouTube

O Google concordou em pagar uma multa de US $ 170 milhões e fazer alterações para proteger a privacidade das crianças no YouTube, já que os órgãos reguladores disseram que o site de vídeo coletou informações pessoais de maneira consciente e ilegal de crianças e usou-as para lucrar, direcionando-as com anúncios, informou o jornal New York Times. (Leia na íntegra)

#Avast encontra aplicativos de lanterna na Google Play, solicitando até 77 permissões

A Avast descobriu que os aplicativos de lanterna para Android solicitam em média 25 permissões. Usando apklab.io, sua plataforma de inteligência de ameaças para dispositivos móveis, ela analisou as permissões solicitadas por 937 aplicativos de lanterna que estiveram ao menos uma vez na Google Play Store ou ainda estão disponíveis na loja. Destes, 408 solicitaram 10 permissões ou menos, 267 solicitaram entre 11 e 49 permissões, e 262 aplicativos solicitaram entre 50 e 77 permissões. (Leia na íntegra)

#40% das empresas latino-americanas sofreram uma infecção por malware no ano passado

O ESET Security Report (ESR) um relatório anual realizado pela ESET que oferece uma visão geral do estado de segurança nas empresas latino-americanas foi apresentado esta semana. O documento reuniu a opinião de mais de 3000 executivos, técnicos e gerentes de mais de 10 tipos de indústrias da região. (Leia na íntegra)

IT2S Group em parceria com ABFintechs lança Selo de segurança

Leonardo Goldim, diretor Executivo do IT2S Group, com Mathias Fischer, diretor de Regulação da ABFintechs

Leonardo Goldim, diretor Executivo do IT2S Group, com Mathias Fischer, diretor de Regulação da ABFintechs

O IT2S Group anuncia, em parceria com a ABFintechs, o Selo de Segurança, que busca trazer mais transparência sobre as ações de proteção de dados para startups do setor.

A novidade, que foi lançada durante o Fintopics 2019, um evento voltado para o mercado de fintechs, tem o objetivo de fomentar as boas práticas de segurança da informação e proteção de dados pessoais, no âmbito da LGPD.

O Selo possui três níveis. No inicial, a startup se compromete a atender todas as indicações do Guia disponível para download no website https://fintechsegura.com.br, que contém todas as diretrizes de segurança a serem seguidas e a lista das empresas que se comprometerem com a questão.

No segundo nível do Selo, que será lançado em breve, a ideia é ter profissionais de seguranças capacitados para realizar uma auditoria na fintech e saber se realmente apresenta todos os controles. Além disso, as diretrizes do Guia devem ser expandidas para avaliar empresas com negócios e processos mais maduros.

O terceiro nível é voltado para startups que já possuem certificação no mercado e desta forma, podem atestar o cumprimento de boas práticas de segurança.

“A ABFintechs iniciou o trabalho com eventos e fóruns de discussões sobre o tema e agora, parte para uma estruturação desta informação e de recomendação de boas práticas. O novo Selo é muito importante para reduzir o atrito de conversão e mostrar para a população que as fintechs são empresas sérias que estão preocupadas não só com a segurança dos dados, mas também com toda a parte regulatória e legal, do mercado financeiro”, explica Mathias Fischer, diretor de regulação da Associação Brasileira de Fintechs.

“Decidimos aproveitar a experiência do IT2S Group e fazer isso de uma forma mais formal e estruturada, aplicando a bagagem e expertise que a empresa tem neste tema para auxiliar na criação do Selo”, completa Mathias.

O setor de fintechs passa por um crescimento acelerado, de acordo com um estudo da ABFintehcs em parceria com a PwC Brasil (PricewaterhouseCoopers), em 2011, 28 startups financeiras haviam sido criadas, enquanto no ano passado, o número foi de 219.

“A ideia do Selo surgiu há um ano, com base em uma experiência similar que tive na Cloud Security Alliance (CSA), que utiliza este mesmo formato de certificação e da qual sou membro. Então, a parceria com a ABFintehcs começou a ser formatada. Na primeira versão do manual, a ideia é que os controles e requisitos de segurança possam ser aplicados a todas as startups, independente do nível de maturidade do negócio. Hoje, grande parte dos problemas de segurança ocorrem por falha no desenvolvimento, atividade fundamental em startups”, esclarece Leonardo Goldim, diretor executivo do IT2S Group.

“O Selo vem em linha com uma necessidade de mercado, de uma série de clientes que procuram o setor com uma demanda externa de empresas maiores, como bancos e investidores, que cobram esta adequação”, indica Leonardo.

Os investimentos em startups, ao contrário do que ocorre no mercado tradicional, continuam aquecidos. Segundo a Associação Brasileira de Startups, apenas este ano, foram mais de 150 investimentos de venture capital.

Quer ficar por dentro das novidades, conteúdos e notícias do IT2S Group? Continue acompanhando nossas postagens aqui no blog?

10 dicas para criar uma cultura eficiente de segurança da informação

Se sua empresa ainda não tem um guia de melhores práticas em cibersegurança, ou tem e não consegue fazer o time segui-lo, ficando sempre à mercê das falhas humanas, este post é para você.

Você sabia que erros humanos são responsáveis por 33% dos incidentes de segurança da informação registrados em todo 2018 na América Latina? O dado é do relatório “O estado da cibersegurança industrial” e traz à tona uma preocupação que deve ser constante nas empresas de todos os portes e segmentos: as pessoas.

Quando se fala em cibersecurity, privacidade de dados, conformidade, LGPD e afins, o primeiro item a vir à mente TEM que ser o fator humano. Afinal, de nada adiantará dispor de ótimas tecnologias e de profissionais super qualificados cuidando das redes, sistemas, dados, se todos os colaboradores não conhecerem as políticas e estratégias de segurança da empresa.

Como criar, então, esta cultura de segurança? Criamos uma série de dicas para te auxiliar. Confira:

 

1. NÃO EXISTE FÓRMULA MÁGICA OU MÉTODO IDEAL

Não espere uma receita pronta, pois o que é aplicável para muitas companhias, pode não ser para outras. Tudo requer personalização. Então, a primeira dica é não copiar. Se a empresa X aplica determinadas práticas, não tem problema você conhecê-las para se inspirar, mas isso não significa que deverá simplesmente trazê-las para o seu negócio. Primeiro, conheça sua exata realidade e, a partir dela, desenhe sua própria política.

2. TENHA O CONTROLE DOS ACESSOS

Inicie sua política de melhores práticas em infosec definindo os níveis de acesso. Que colaboradores de quais áreas podem acessar quais recursos de quais soluções? Quem realmente precisa conhecer ou trabalhar com as informações X, Y e Z? Lembre-se: nem todo mundo pode – nem deve – acessar todos os dados ou sistemas de sua organização. Para cada cargo, forneça acesso somente ao que for essencial para realização do trabalho.

3. INFORME SOBRE SUAS POLÍTICAS DE ACESSO

Depois de definir as políticas de acesso, deixe todos saberem de suas exatas permissões e proibições, bem como os porquês de cada uma. Isso servirá para duas coisas: evitar o “tititi” que pode gerar dúvidas ou até mesmo “fake news” dentro do ambiente corporativo e minimizar o risco de que colaboradores não autorizados tentem driblar as regras para acessar o que não podem. Se eles sabem que há um plano estruturado e que os acessos são monitorados, a chance de que tentem burlar é muito menor.

4. REGRAS DE ACESSO NÃO SÂO APENAS PARA OS CANAIS INTERNOS

Lembre de incluir na sua política de segurança regras não apenas para os canais internos da companhia, mas também para os externos, como as redes sociais, por exemplo. Já imaginou um funcionário seu se portando como manda o figurino dentro do ambiente de negócios, mas expondo seus dados no Facebook, LinkedIn, Whatsapp, Instagram e afins? Deixe, desde o princípio, muito claro que as melhores práticas de cibersegurança valem para todas as plataformas.

5. REGRAS SÃO FEITAS PARA SEREM CUMPRIDAS

Pegando o gancho da dica acima, é importante também que você esclareça seus colaboradores sobre as punições cabíveis para quem infringir as regras. Todos têm de estar cientes das regras que devem seguir e de como eles ou a empresa toda podem sofrer penalizações caso as burlem.

6. SEJA COERENTE

Não crie regras impossíveis de serem compreendidas pelo time todo, ou seja: a linguagem precisa ser compreensível por todos os níveis hierárquicos. Na mesma linha, as punições também precisam ser cabíveis: não crie penalizações faraônicas, pois estas poderão gerar mais pânico do que respeito às regras. E gente em pânico tende a cometer erros.

7. MANTENHA UM DIÁLOGO ABERTO

Mesmo que a política de segurança da informação tenha sido criada em conjunto com seus colaboradores ou terceirizados das áreas de TI e cibersecurity (como deve ser), não se esqueça de manter um diálogo aberto com eles sobre isso. É comum que os TIs não vejam o negócio ou as tecnologias do ponto de vista dos usuários, e isso pode criar distância entre estes dois públicos, gerando eventuais interferências na cultura de segurança. Mantenha todos sempre na mesma página, isso será melhor para o funcionamento de sua estratégia.

8. SENSIBILIZE

Mais do que informar o time sobre as políticas de segurança, é importante engajá-lo ao propósito. Pessoas que entendem o motivo de cada regra e da política geral de segurança da informação ficam mais propensas a segui-las.

9. INCENTIVE E RECONHEÇA

Usuários que sigam à risca as boas práticas devem ser valorizados, a fim de que permaneçam motivados e deem exemplo aos demais.

10. FAÇA TESTES PERIÓDICOS

Podem ser avaliações por escrito, conversas ou testes práticos de uso de aplicações e dados. O importante é manter o olho sobre toda a organização e ter certeza de que as políticas de segurança da informação se tornaram, de fato, uma cultura da empresa.

Vale acrescentar que quanto mais as melhores práticas forem informadas, repetidas, reforçadas junto às equipes, melhor. A repetição é o caminho da excelência, neste sentido. É com isso que você alcançará usuários não apenas engajados às suas políticas de privacidade de dados, mas também naturalmente interessados em segurança da informação.

E depois de focarmos o tema “pessoas”, que tal algumas dicas para te ajudar na escolha das soluções de segurança mais adequadas a seu negócio? É o que você encontrará no post da próxima semana, aqui no blog. Fique atento.

Quais os custos de uma estrutura de segurança e como reduzi-los?

Cuidar internamente da proteção de dados e da conformidade, cobrindo todas as áreas necessárias, pode demandar altos investimentos. Mas isso pode ser evitado, e neste post você descobre como

Se você já se perguntou quanto custa montar uma estrutura interna de gestão de segurança da informação, certamente já chegou a uma resposta bem comum: muito!

Realmente, os investimentos demandados podem ser bem altos. Mas calma, o post de hoje está aqui para esclarecer o que pode gerar alguns dos principais gastos nesta estrutura e como é possível reduzi-los sem perder de vista a cibersegurança e a conformidade.

PRIMEIRO CUSTO A SER ENTENDIDO: CONTRATAÇÃO DE PESSOAL

Quando se pensa em uma equipe de segurança da informação, é preciso ter em mente que será necessário contar com um time multidisciplinar – afinal, por mais especializado e experiente que seja, um único profissional não poderá dar conta de todas as fases do processo sozinho.

Por conta disso, é preciso pensar no custo de contratação multiplicado pelo número de funcionários necessários para a plataforma de infosec que a empresa desejar estabelecer.

E como se compõe este custo? Falando apenas em encargos que entram na folha de pagamento, temos: 13º salário, férias (1/3 constitucional), horas extras, transporte, contribuição previdenciária, ajustes salariais de acordo com atualização anual, entre outros.

Pode ser, ainda, que você pense em conceder benefícios à equipe, como plano de saúde e seguro de vida. Isso poderá ser um fator importante na atração de bons profissionais, mas também aumentará seus custos.

MELHORIA CONTÍNUA

Como as ameaças virtuais, os cibercriminosos e as leis do setor não param de se atualizar, sua equipe também não poderá ficar para trás. Assim, será necessário contabilizar custos de especialização do time. Cursos, treinamentos, capacitações, certificações… Uma rotina que é extremamente saudável e necessária, mas que também pode ser bem cara.

E SE NÃO DER CERTO?

Há, ainda, os gastos em caso de demissão, que variam de acordo com o tempo em que o trabalhador ficou na empresa, além de aviso prévio, que gera mais 1/12 de férias e 1/12 do 13º (como se fosse mais um mês de salário normal), 13º proporcional, 1/3 constitucional de férias relativo ao período proporcional, salário relativo aos dias trabalhados e multa sobre o fundo de garantia.

QUANTO MAIS ALTO O CARGO, MAIOR O INVESTIMENTO

É bom lembrar que o custo de cada colaborador – tanto nos encargos de folha, quanto em planejamento de promoções e até mesmo em caso de demissões – varia de acordo com seu salário. Logo, quanto mais ele ganhe, mais custará à empresa.

Ou seja, se um colaborador custa x, um gestor (como um CISO, por exemplo) poderá custar 2x, 3x, 4x e por aí vai.

Se só de ler até aqui você já está assustado, pensando se o caixa dará conta da estrutura de segurança da informação, saiba que os gastos não acabaram.

Pois é. Infelizmente, tem mais valores envolvidos neste processo – por exemplo, os que se referem a licenciamento de software. Vamos a eles.

LICENÇAS

O uso de qualquer software pode trazer custos. Se isso envolver licenciamento, o investimento será ainda maior. Por quê? Porque, além de a licença de um sistema depender de fatores como a tabela do fabricante e o modelo de contrato, também é fundamental saber que, quanto mais pessoas forem utilizar a solução, mais licenças precisarão ser compradas.

E não estamos falando de sistemas de segurança da informação, especificamente, mas de aplicações de produtividade.

Sendo assim, sempre que você contrata mais pessoas para trabalhar internamente (por exemplo, formando uma equipe interna de segurança da informação), você tem que levar em conta que tais colaboradores também precisarão de licenças para trabalhar com as aplicações de produtividade. Mais pessoas, mais licenças, mais custo.

COMO ECONOMIZAR?

Se todos estes valores já o fizeram pensar duas vezes sobre montar uma estrutura interna de segurança da informação, saiba que você tem toda razão para estar assim.

Isto porque é perfeitamente possível minimizar gastos apostando na contratação de um fornecedor terceirizado, que atenda a todas as pontas da gestão de segurança da informação e conformidade: do diagnóstico de seu cenário e demandas à definição das soluções necessárias, culminando no emprego destas ferramentas e dos profissionais corretos para gerir todo o parque.

BENEFÍCIOS

Uma consultoria terceirizada especializada terá uma equipe multidisciplinar aplicada à gestão de segurança da informação da empresa, ajudando a criar um ambiente adequado de diagnóstico de riscos, aplicação de soluções adequadas, contando com gerenciamento constante das estruturas, dados e sistemas das empresas em relação aos perigos do cibercrime.

Sem contar que o terceiro também estará apto a prestar suporte sempre que alguma parte da estrutura de segurança necessitar.

E tudo isso contemplado em um framework que é pago em valor compactado e diluído em pagamentos mensais, no formato serviço.

VIRTUAL OFFICER

Um exemplo deste tipo de oferta é o Virtual Officer, solução do IT2S Group que atua como um time completo para atuar em conformidade, privacidade e segurança, agregado em uma oferta desenvolvida para organizações que precisam iniciar ou melhorar suas iniciativas em segurança da informação, mas, ao mesmo tempo, têm de manter o orçamento enxuto.

COMO CONTRATAR?

O formato de contratação do Virtual Officer é elaborado de acordo com a necessidade e budget de cada empresa. O pagamento é definido a um custo mensal compatível com a realidade do negócio, sempre incluindo os recursos completos para uma gestão especializada de segurança da informação.

Se você gostou do tema e quer entender mais sobre como a soma de conhecimentos de uma equipe multidisciplinar de profissionais é importante para garantir segurança da informação e conformidade de ponta a ponta, acompanhe o post da próxima sexta-feira aqui no blog.

 Ficou com dúvidas sobre o assunto tratado neste post? Tem interesse em outros temas de que ainda não tratamos? Deixe seu comentário para podermos te auxiliar!

× Como posso te ajudar?