O be-a-bá da segurança da informação para startups

Se você tem uma startup e ainda não começou a pensar em cibersegurança, pare aí mesmo: você está fazendo isso errado. Confira nossas dicas para cuidar de seus dados, sistemas e redes desde o início e garantir mais tranquilidade para crescer.

Ano a ano, o número de startups aumenta, tanto nacional, quanto globalmente. E ao mesmo tempo em que crescem e se profissionalizam, estas empresas também se expõem a riscos cibernéticos, aos quais é possível amenizar, mas não sem uma correta gestão de segurança da informação.

Por que estamos tocando neste ponto? Porque é muito comum que, ao longo de sua trajetória de crescimento, as startups concentrem seus esforços na própria marca, produtos, serviços, pessoas, adiando o investimento em cibersegurança. E isto pode ser  um erro que colocará todo o empreendimento em perigo. Já falamos disso mais detalhadamente em outro post do blog, “Os 5 Principais Erros de Startups em Segurança da Informação”.

Hoje, o foco é trazer dicas para que, desde o início das operações, as startups pensem e façam cybersecurity da maneira certa. Confira:

#Conheça sua estrutura e seus gargalos.

O marco inicial de todo projeto de segurança, privacidade de dados e conformidade, seja para uma empresa pequena, seja para uma multinacional, deve ser o diagnóstico de tudo o que precisa ser protegido, bem como das vulnerabilidades/riscos já presentes no negócio e das soluções mais adequadas a serem aplicadas.

 

#Antecipe-se aos riscos

Uma vez feito o mapeamento de que falamos acima, será possível também partir para uma antecipação de possíveis exposições indevidas das informações confidenciais da companhia, ou de brechas abertas para ciberataques de outra natureza.

#Mensure os possíveis impactos aos negócios

Se você prestou atenção às dicas 1 e 2, terá embasamento para calcular qual seria o custo (operacional, de imagem ou financeiro) de um vazamento de dados ou parada de serviços. E acredite: o resultado sempre será assustador.

#Parta para a ação

Depois de um planejamento bem feito, é hora da implantação efetiva de soluções e processos de segurança da informação. Uma vez definidos os pontos de atenção, gargalos, riscos atuais e futuros, bem como impactos negativos a serem evitados, certamente as soluções mais indicadas já estarão no planejamento, e será a hora de colocá-las para trabalhar.

#Além das soluções, pense também em processos de segurança

Alguns dos que não podem faltar são a atenção à autenticação (sempre com fator duplo, por favor), a criação de senhas fortes (está aliado à autenticação, mas vale reforçar, já que muitas empresas deixam seus próprios colaboradores criarem suas passwords e acabam pagando um preço alto pelo famoso “1234”), o gerenciamento de acessos (nem todo sistema, arquivo ou base de dados tem que estar aberto para todo mundo), o backup (desde o comecinho, saiba que tudo o que você tem armazenado digitalmente pode desaparecer por conta de um ciberataque ou de outros incidentes, e isso seria péssimo a qualquer ponto da trajetória de negócios).

#Foque nas políticas de segurança

Há outros processos a se pensar, claro, mas todos eles fazem parte do que se costuma concentrar em uma política de segurança da informação, e, por isso, nossa sexta dica é que você se  aprofunde neste tema lendo um post que construímos especificamente sobre este assunto – “5 Dicas para ter uma Cultura de Segurança da Informação na sua empresa”.

#Dê total atenção a atualizações e correções.

O Wannacry, ransomware que assolou empresas do mundo inteiro em 2017, se aproveitou de uma vulnerabilidade do Windows. Quer exemplo melhor de que precisa deixar tudo em dia? Mantenha olho vivo nas soluções e SEMPRE aceite atualizar e/ou corrigir o que for necessário na hora em que for indicado pelo fabricante ou pelo integrador.

#Tenha cuidado com o BYOD!

Nada mais startup do que colaboradores super antenados, usando seus dispositivos favoritos tanto em casa, quanto no ambiente de trabalho. Só que isso pode abrir brechas não mapeadas, nem monitoradas, de segurança da informação. Inclua este parque na sua gestão de cibersecurity, ou bloqueie o uso de dispositivos pessoais para fins corporativos, a escolha é sua.

#Engaje seus times de negócio

Envolva toda sua equipe, tanto interna quanto terceirizada, em seus processos de segurança e privacidade de dados. Isso é fundamental para assegurar o bom funcionamento de sua estratégia e a proteção efetiva do seu negócio.

#Não hesite em pedir ajuda

Ninguém é especialista em tudo, então, a menos que o negócio da sua startup seja segurança da informação, o ideal será você escolher no mercado um fornecedor capaz de realizar todos os itens que apontamos nesta lista, entre outros, com a qualificação que suas demandas exigem e seu empreendimento merece. Até porque um terceiro especializado reunirá todas as capacidades complementares que toda companhia precisa, mas dificilmente tem orçamento para contratar internamente. E se você não sabe como selecionar o melhor parceiro, confere nosso post com dicas sobre o que considerar nesta hora

Espero que tenhamos ajudado sua startup a pensar a segurança da informação da melhor forma para garantir tranquilidade, conformidade e credibilidade. Não se esqueça: um ambiente protegido é importante não apenas para a startup, mas também e principalmente para seus clientes e investidores.

Aliás, no post da próxima semana falaremos sobre como transformar ações de segurança da informação em recursos para atrair investimentos e crescimento. Fique ligado!

Security News #06 – As Principais Notícias em Segurança da Informação

Toda semana, reunimos, aqui no site do IT2S Group, as principais notícias dos últimos dias sobre o universo da segurança da informação. Confira, atualize-se e previna-se!

#Selo de Qualidade

A Associação Brasileira de Fintechs (ABFintechs) em parceria com a empresa de tecnologia IT2S Group acaba de lançar um selo de qualidade voltado à segurança de dados. Segundo o diretor executivo do IT2S, Leonardo Goldim, “o objetivo é dar transparência ao mercado na identificação de empresas que estejam preocupadas com a segurança da informação de seus clientes”. (Leia na íntegra)

#Ciberataques podem ser tão letais quanto explosões atômicas

De acordo com um especialista em cibersegurança e guerra cibernética da Universidade do Estado de Dakota do Norte, nos EUA, o número de mortos em uma ofensiva de hackers de grandes proporções seria comparável ao de um ataque nuclear.  (Leia na íntegra)

#Ação de provedores dificulta identificação de criminosos cibernéticos

A demora de alguns provedores de conexão à internet em atualizar seus sistemas de identificação de usuários da rede mundial de computadores tem dificultado o trabalho de policiais encarregados de investigar crimes cibernéticos. A afirmação é do coordenador do Laboratório de Inteligência Cibernética do Ministério da Justiça e Segurança Pública, Alessandro Barreto. (Leia na íntegra)

#Google é multado em US$ 170 milhões por violar privacidade de crianças no YouTube

O Google concordou em pagar uma multa de US $ 170 milhões e fazer alterações para proteger a privacidade das crianças no YouTube, já que os órgãos reguladores disseram que o site de vídeo coletou informações pessoais de maneira consciente e ilegal de crianças e usou-as para lucrar, direcionando-as com anúncios, informou o jornal New York Times. (Leia na íntegra)

#Avast encontra aplicativos de lanterna na Google Play, solicitando até 77 permissões

A Avast descobriu que os aplicativos de lanterna para Android solicitam em média 25 permissões. Usando apklab.io, sua plataforma de inteligência de ameaças para dispositivos móveis, ela analisou as permissões solicitadas por 937 aplicativos de lanterna que estiveram ao menos uma vez na Google Play Store ou ainda estão disponíveis na loja. Destes, 408 solicitaram 10 permissões ou menos, 267 solicitaram entre 11 e 49 permissões, e 262 aplicativos solicitaram entre 50 e 77 permissões. (Leia na íntegra)

#40% das empresas latino-americanas sofreram uma infecção por malware no ano passado

O ESET Security Report (ESR) um relatório anual realizado pela ESET que oferece uma visão geral do estado de segurança nas empresas latino-americanas foi apresentado esta semana. O documento reuniu a opinião de mais de 3000 executivos, técnicos e gerentes de mais de 10 tipos de indústrias da região. (Leia na íntegra)

IT2S Group em parceria com ABFintechs lança Selo de segurança

Leonardo Goldim, diretor Executivo do IT2S Group, com Mathias Fischer, diretor de Regulação da ABFintechs

Leonardo Goldim, diretor Executivo do IT2S Group, com Mathias Fischer, diretor de Regulação da ABFintechs

O IT2S Group anuncia, em parceria com a ABFintechs, o Selo de Segurança, que busca trazer mais transparência sobre as ações de proteção de dados para startups do setor.

A novidade, que foi lançada durante o Fintopics 2019, um evento voltado para o mercado de fintechs, tem o objetivo de fomentar as boas práticas de segurança da informação e proteção de dados pessoais, no âmbito da LGPD.

O Selo possui três níveis. No inicial, a startup se compromete a atender todas as indicações do Guia disponível para download no website https://fintechsegura.com.br, que contém todas as diretrizes de segurança a serem seguidas e a lista das empresas que se comprometerem com a questão.

No segundo nível do Selo, que será lançado em breve, a ideia é ter profissionais de seguranças capacitados para realizar uma auditoria na fintech e saber se realmente apresenta todos os controles. Além disso, as diretrizes do Guia devem ser expandidas para avaliar empresas com negócios e processos mais maduros.

O terceiro nível é voltado para startups que já possuem certificação no mercado e desta forma, podem atestar o cumprimento de boas práticas de segurança.

“A ABFintechs iniciou o trabalho com eventos e fóruns de discussões sobre o tema e agora, parte para uma estruturação desta informação e de recomendação de boas práticas. O novo Selo é muito importante para reduzir o atrito de conversão e mostrar para a população que as fintechs são empresas sérias que estão preocupadas não só com a segurança dos dados, mas também com toda a parte regulatória e legal, do mercado financeiro”, explica Mathias Fischer, diretor de regulação da Associação Brasileira de Fintechs.

“Decidimos aproveitar a experiência do IT2S Group e fazer isso de uma forma mais formal e estruturada, aplicando a bagagem e expertise que a empresa tem neste tema para auxiliar na criação do Selo”, completa Mathias.

O setor de fintechs passa por um crescimento acelerado, de acordo com um estudo da ABFintehcs em parceria com a PwC Brasil (PricewaterhouseCoopers), em 2011, 28 startups financeiras haviam sido criadas, enquanto no ano passado, o número foi de 219.

“A ideia do Selo surgiu há um ano, com base em uma experiência similar que tive na Cloud Security Alliance (CSA), que utiliza este mesmo formato de certificação e da qual sou membro. Então, a parceria com a ABFintehcs começou a ser formatada. Na primeira versão do manual, a ideia é que os controles e requisitos de segurança possam ser aplicados a todas as startups, independente do nível de maturidade do negócio. Hoje, grande parte dos problemas de segurança ocorrem por falha no desenvolvimento, atividade fundamental em startups”, esclarece Leonardo Goldim, diretor executivo do IT2S Group.

“O Selo vem em linha com uma necessidade de mercado, de uma série de clientes que procuram o setor com uma demanda externa de empresas maiores, como bancos e investidores, que cobram esta adequação”, indica Leonardo.

Os investimentos em startups, ao contrário do que ocorre no mercado tradicional, continuam aquecidos. Segundo a Associação Brasileira de Startups, apenas este ano, foram mais de 150 investimentos de venture capital.

Quer ficar por dentro das novidades, conteúdos e notícias do IT2S Group? Continue acompanhando nossas postagens aqui no blog?

10 dicas para criar uma cultura eficiente de segurança da informação

Se sua empresa ainda não tem um guia de melhores práticas em cibersegurança, ou tem e não consegue fazer o time segui-lo, ficando sempre à mercê das falhas humanas, este post é para você.

Você sabia que erros humanos são responsáveis por 33% dos incidentes de segurança da informação registrados em todo 2018 na América Latina? O dado é do relatório “O estado da cibersegurança industrial” e traz à tona uma preocupação que deve ser constante nas empresas de todos os portes e segmentos: as pessoas.

Quando se fala em cibersecurity, privacidade de dados, conformidade, LGPD e afins, o primeiro item a vir à mente TEM que ser o fator humano. Afinal, de nada adiantará dispor de ótimas tecnologias e de profissionais super qualificados cuidando das redes, sistemas, dados, se todos os colaboradores não conhecerem as políticas e estratégias de segurança da empresa.

Como criar, então, esta cultura de segurança? Criamos uma série de dicas para te auxiliar. Confira:

 

1. NÃO EXISTE FÓRMULA MÁGICA OU MÉTODO IDEAL

Não espere uma receita pronta, pois o que é aplicável para muitas companhias, pode não ser para outras. Tudo requer personalização. Então, a primeira dica é não copiar. Se a empresa X aplica determinadas práticas, não tem problema você conhecê-las para se inspirar, mas isso não significa que deverá simplesmente trazê-las para o seu negócio. Primeiro, conheça sua exata realidade e, a partir dela, desenhe sua própria política.

2. TENHA O CONTROLE DOS ACESSOS

Inicie sua política de melhores práticas em infosec definindo os níveis de acesso. Que colaboradores de quais áreas podem acessar quais recursos de quais soluções? Quem realmente precisa conhecer ou trabalhar com as informações X, Y e Z? Lembre-se: nem todo mundo pode – nem deve – acessar todos os dados ou sistemas de sua organização. Para cada cargo, forneça acesso somente ao que for essencial para realização do trabalho.

3. INFORME SOBRE SUAS POLÍTICAS DE ACESSO

Depois de definir as políticas de acesso, deixe todos saberem de suas exatas permissões e proibições, bem como os porquês de cada uma. Isso servirá para duas coisas: evitar o “tititi” que pode gerar dúvidas ou até mesmo “fake news” dentro do ambiente corporativo e minimizar o risco de que colaboradores não autorizados tentem driblar as regras para acessar o que não podem. Se eles sabem que há um plano estruturado e que os acessos são monitorados, a chance de que tentem burlar é muito menor.

4. REGRAS DE ACESSO NÃO SÂO APENAS PARA OS CANAIS INTERNOS

Lembre de incluir na sua política de segurança regras não apenas para os canais internos da companhia, mas também para os externos, como as redes sociais, por exemplo. Já imaginou um funcionário seu se portando como manda o figurino dentro do ambiente de negócios, mas expondo seus dados no Facebook, LinkedIn, Whatsapp, Instagram e afins? Deixe, desde o princípio, muito claro que as melhores práticas de cibersegurança valem para todas as plataformas.

5. REGRAS SÃO FEITAS PARA SEREM CUMPRIDAS

Pegando o gancho da dica acima, é importante também que você esclareça seus colaboradores sobre as punições cabíveis para quem infringir as regras. Todos têm de estar cientes das regras que devem seguir e de como eles ou a empresa toda podem sofrer penalizações caso as burlem.

6. SEJA COERENTE

Não crie regras impossíveis de serem compreendidas pelo time todo, ou seja: a linguagem precisa ser compreensível por todos os níveis hierárquicos. Na mesma linha, as punições também precisam ser cabíveis: não crie penalizações faraônicas, pois estas poderão gerar mais pânico do que respeito às regras. E gente em pânico tende a cometer erros.

7. MANTENHA UM DIÁLOGO ABERTO

Mesmo que a política de segurança da informação tenha sido criada em conjunto com seus colaboradores ou terceirizados das áreas de TI e cibersecurity (como deve ser), não se esqueça de manter um diálogo aberto com eles sobre isso. É comum que os TIs não vejam o negócio ou as tecnologias do ponto de vista dos usuários, e isso pode criar distância entre estes dois públicos, gerando eventuais interferências na cultura de segurança. Mantenha todos sempre na mesma página, isso será melhor para o funcionamento de sua estratégia.

8. SENSIBILIZE

Mais do que informar o time sobre as políticas de segurança, é importante engajá-lo ao propósito. Pessoas que entendem o motivo de cada regra e da política geral de segurança da informação ficam mais propensas a segui-las.

9. INCENTIVE E RECONHEÇA

Usuários que sigam à risca as boas práticas devem ser valorizados, a fim de que permaneçam motivados e deem exemplo aos demais.

10. FAÇA TESTES PERIÓDICOS

Podem ser avaliações por escrito, conversas ou testes práticos de uso de aplicações e dados. O importante é manter o olho sobre toda a organização e ter certeza de que as políticas de segurança da informação se tornaram, de fato, uma cultura da empresa.

Vale acrescentar que quanto mais as melhores práticas forem informadas, repetidas, reforçadas junto às equipes, melhor. A repetição é o caminho da excelência, neste sentido. É com isso que você alcançará usuários não apenas engajados às suas políticas de privacidade de dados, mas também naturalmente interessados em segurança da informação.

E depois de focarmos o tema “pessoas”, que tal algumas dicas para te ajudar na escolha das soluções de segurança mais adequadas a seu negócio? É o que você encontrará no post da próxima semana, aqui no blog. Fique atento.

Quais os custos de uma estrutura de segurança e como reduzi-los?

Cuidar internamente da proteção de dados e da conformidade, cobrindo todas as áreas necessárias, pode demandar altos investimentos. Mas isso pode ser evitado, e neste post você descobre como

Se você já se perguntou quanto custa montar uma estrutura interna de gestão de segurança da informação, certamente já chegou a uma resposta bem comum: muito!

Realmente, os investimentos demandados podem ser bem altos. Mas calma, o post de hoje está aqui para esclarecer o que pode gerar alguns dos principais gastos nesta estrutura e como é possível reduzi-los sem perder de vista a cibersegurança e a conformidade.

PRIMEIRO CUSTO A SER ENTENDIDO: CONTRATAÇÃO DE PESSOAL

Quando se pensa em uma equipe de segurança da informação, é preciso ter em mente que será necessário contar com um time multidisciplinar – afinal, por mais especializado e experiente que seja, um único profissional não poderá dar conta de todas as fases do processo sozinho.

Por conta disso, é preciso pensar no custo de contratação multiplicado pelo número de funcionários necessários para a plataforma de infosec que a empresa desejar estabelecer.

E como se compõe este custo? Falando apenas em encargos que entram na folha de pagamento, temos: 13º salário, férias (1/3 constitucional), horas extras, transporte, contribuição previdenciária, ajustes salariais de acordo com atualização anual, entre outros.

Pode ser, ainda, que você pense em conceder benefícios à equipe, como plano de saúde e seguro de vida. Isso poderá ser um fator importante na atração de bons profissionais, mas também aumentará seus custos.

MELHORIA CONTÍNUA

Como as ameaças virtuais, os cibercriminosos e as leis do setor não param de se atualizar, sua equipe também não poderá ficar para trás. Assim, será necessário contabilizar custos de especialização do time. Cursos, treinamentos, capacitações, certificações… Uma rotina que é extremamente saudável e necessária, mas que também pode ser bem cara.

E SE NÃO DER CERTO?

Há, ainda, os gastos em caso de demissão, que variam de acordo com o tempo em que o trabalhador ficou na empresa, além de aviso prévio, que gera mais 1/12 de férias e 1/12 do 13º (como se fosse mais um mês de salário normal), 13º proporcional, 1/3 constitucional de férias relativo ao período proporcional, salário relativo aos dias trabalhados e multa sobre o fundo de garantia.

QUANTO MAIS ALTO O CARGO, MAIOR O INVESTIMENTO

É bom lembrar que o custo de cada colaborador – tanto nos encargos de folha, quanto em planejamento de promoções e até mesmo em caso de demissões – varia de acordo com seu salário. Logo, quanto mais ele ganhe, mais custará à empresa.

Ou seja, se um colaborador custa x, um gestor (como um CISO, por exemplo) poderá custar 2x, 3x, 4x e por aí vai.

Se só de ler até aqui você já está assustado, pensando se o caixa dará conta da estrutura de segurança da informação, saiba que os gastos não acabaram.

Pois é. Infelizmente, tem mais valores envolvidos neste processo – por exemplo, os que se referem a licenciamento de software. Vamos a eles.

LICENÇAS

O uso de qualquer software pode trazer custos. Se isso envolver licenciamento, o investimento será ainda maior. Por quê? Porque, além de a licença de um sistema depender de fatores como a tabela do fabricante e o modelo de contrato, também é fundamental saber que, quanto mais pessoas forem utilizar a solução, mais licenças precisarão ser compradas.

E não estamos falando de sistemas de segurança da informação, especificamente, mas de aplicações de produtividade.

Sendo assim, sempre que você contrata mais pessoas para trabalhar internamente (por exemplo, formando uma equipe interna de segurança da informação), você tem que levar em conta que tais colaboradores também precisarão de licenças para trabalhar com as aplicações de produtividade. Mais pessoas, mais licenças, mais custo.

COMO ECONOMIZAR?

Se todos estes valores já o fizeram pensar duas vezes sobre montar uma estrutura interna de segurança da informação, saiba que você tem toda razão para estar assim.

Isto porque é perfeitamente possível minimizar gastos apostando na contratação de um fornecedor terceirizado, que atenda a todas as pontas da gestão de segurança da informação e conformidade: do diagnóstico de seu cenário e demandas à definição das soluções necessárias, culminando no emprego destas ferramentas e dos profissionais corretos para gerir todo o parque.

BENEFÍCIOS

Uma consultoria terceirizada especializada terá uma equipe multidisciplinar aplicada à gestão de segurança da informação da empresa, ajudando a criar um ambiente adequado de diagnóstico de riscos, aplicação de soluções adequadas, contando com gerenciamento constante das estruturas, dados e sistemas das empresas em relação aos perigos do cibercrime.

Sem contar que o terceiro também estará apto a prestar suporte sempre que alguma parte da estrutura de segurança necessitar.

E tudo isso contemplado em um framework que é pago em valor compactado e diluído em pagamentos mensais, no formato serviço.

VIRTUAL OFFICER

Um exemplo deste tipo de oferta é o Virtual Officer, solução do IT2S Group que atua como um time completo para atuar em conformidade, privacidade e segurança, agregado em uma oferta desenvolvida para organizações que precisam iniciar ou melhorar suas iniciativas em segurança da informação, mas, ao mesmo tempo, têm de manter o orçamento enxuto.

COMO CONTRATAR?

O formato de contratação do Virtual Officer é elaborado de acordo com a necessidade e budget de cada empresa. O pagamento é definido a um custo mensal compatível com a realidade do negócio, sempre incluindo os recursos completos para uma gestão especializada de segurança da informação.

Se você gostou do tema e quer entender mais sobre como a soma de conhecimentos de uma equipe multidisciplinar de profissionais é importante para garantir segurança da informação e conformidade de ponta a ponta, acompanhe o post da próxima sexta-feira aqui no blog.

 Ficou com dúvidas sobre o assunto tratado neste post? Tem interesse em outros temas de que ainda não tratamos? Deixe seu comentário para podermos te auxiliar!

Security News #05 – As Principais Notícias em Segurança da Informação

Toda semana, reunimos, aqui no site do IT2S Group, as principais notícias dos últimos dias sobre o universo da segurança da informação. Confira, atualize-se e previna-se!


#Interrupção em servidores AWS mostra que dados em nuvem nem sempre estão seguros

Falha de energia em datacenter da Amazon nos EUA danificou instâncias de hardware e levou à perda de dados armazenados no serviço Amazon Elastic Block Store. (Ler na íntegra)

 

#Mais de 70% das empresas vão terceirizar adequação à LGPD

Uma pesquisa realizada pela Serasa Experian indica que 85% das empresas ainda não se sentem prontas para atender às novas regras da Lei Geral de Proteção de Dados (13.709/18). E isso com o prazo correndo para a vigência das novas normas, em agosto de 2020. (Ler na íntegra)

 

#Salários para especialistas em cibersegurança estão em alta

A ameaça de violações digitais – e as multas, processos judiciais e possíveis renúncias de executivos – tornou a busca por especialistas de segurança mais difícil e cara para as empresas. (Ler na íntegra)

 

#Emoções sinalizadas no conteúdo revelam riscos humanos à cibersegurança

Cibercriminosos podem explorar falhas e vulnerabilidades através dos afetos e a subjetividade dos usuários, assim como os sinais de insatisfação ou negligência que possam gerar problemas, analisando a linguagem de emoções e expressões em mensagens. (Ler na íntegra)

 

#Hackers usam phishing avançado para atacar usuários de Android

Crmininosos utilizam o provisionamento sem fio para implantar configurações específicas da operadora em novos dispositivos, interceptando todo o tráfego de e-mail de e para telefones Android, usando mensagens SMS falsas. (Ler na íntegra)

 

#Pesquisa mostra aumento da “insegurança cibernética”

Um estudo da PwC mostra que, no Brasil, líderes das organizações que utilizam a automação ou a robótica estão mais preocupadas com as consequências potencialmente significativas dos ataques cibernéticos. (Ler na íntegra)

 

#VMware adquire empresa de cibersegurança por US$ 2,1 bi

A multinacional de virtualização vai adquirir a Carbon Black, fornecedora de proteção de endpoints nativos na nuvem, intensificando seu foco em segurança de dados em nuvem. (Ler na íntegra)

Passo a passo para garantir conformidade com a LGPD

Análise, diagnóstico, rotinas e tecnologias necessários para atender às exigências da nova lei e evitar penalizações. Tudo isso, você confere neste post.

Em um ano (na verdade, um pouco menos do que isso), a LGPD estará em vigor. Sua empresa já está preparada para as exigências da nova lei?

Caso não, fique sabendo que você não é uma exceção: na verdade, cerca de 85% dos negócios brasileiros ainda não se adequaram à legislação. Só que isso é bem preocupante, já que, para quem não estiver em conformidade, as penalizações da lei poderão ser BEM severas.

Para facilitar sua vida, hoje trazemos um passo a passo para entrar em conformidade com a LGPD. Confira:

1. Entenda se sua empresa estará enquadrada às exigências da LGPD

Para descobrir isso, basta se perguntar: coletamos dados de clientes? Fazemos esta coleta por meio de site, aplicativos e outras frentes usadas para vender nossos produtos ou serviços? Ou terceirizamos esta coleta com algum parceiro? Fazemos análise de perfil de clientes para enviar conteúdos a eles? Usamos dados de colaboradores para fazer pagamentos e outros procedimentos trabalhistas?

Se a resposta tiver sido “sim” para ao menos um dos questionamentos acima, então seu negócio está dentro da nova regulamentação e precisa correr para atender às exigências – afinal, quem for pego infringindo a LGPD poderá sofrer multas de até 2% do faturamento anual, com limite de R$ 50 milhões por penalidade.

2. Faça uma revisão dos procedimentos relacionados a dados

Tudo o que envolver informação deverá ser avaliado sob o ponto de vista da lei, e isso requer um olhar profissional. Portanto, se sua empresa não tiver gestores de segurança capacitados para isso, vale buscar terceirizados que possam garantir a análise correta.

3. Revise documentos

Sim, revise todos os documentos de sua empresa: contratos, fichas, cadastros, planejamentos, tudo o que envolver dados de clientes e parceiros. Nada pode ficar de fora, e a análise precisa ser criteriosa para saber que informações estão contidas e de que forma precisam ser protegidas.

4. Defina processos de gestão de dados

A partir das avaliações listadas acima, será hora de definir os processos de tratamento e gestão de dados necessários para adequação à legislação, bem como as tecnologias a serem adotadas ou atualizadas para proteção das informações, além dos mecanismos de controle e auditoria a serem seguidos para manter a conformidade sempre em dia. Tudo isso faz parte do processo de “assessment”, e novamente a questão será: ou você tem uma equipe interna capacitada para fazer isso, ou busca no mercado um fornecedor especializado para atender a tais demandas.

5. Conte com apoio jurídico

Especialistas em leis de privacidade de dados serão essenciais em todo o processo de análise de eventuais riscos e inconformidades.

6. Comunique sua estratégia

Depois que o diagnóstico dos processos, dados e estruturas atuais estiver concluído, as ferramentas e procedimentos a serem implantados já estiverem definidos e o estudo jurídico já estiver pronto, será o momento de levar a estratégia de segurança e conformidade a todas as pessoas envolvidas no negócio. Em outras palavras, o passo a ser dado aqui é criar uma cultura de proteção de dados e compliance em toda a empresa. Vale investir em conscientização, compartilhamento de conteúdos instrutivos, treinamentos. Só não vale centralizar tudo na gestão e não buscar o engajamento dos colaboradores: isso pode ser um tiro no pé e comprometer toda a estratégia, expondo a empresa a riscos.

7. Monitore, monitore e monitore

Não adianta fazer toda a preparação se depois você não mantiver olho vivo em cima da estrutura revisada e montada. Gestão é a palavra-chave para a conformidade permanente.

8. Busque soluções abrangentes

Procure por tecnologias e ferramentas que possam cuidar de ponta a ponta de toda essa lista de afazeres – da análise ao assessment, da implementação à gestão ao monitoramento.

9. Olhe para dentro de casa

Antes de colocar a mão no bolso para adotar grandes soluções, pergunte-se: vale a pena investir em recursos para tudo isso internamente? Se a resposta for não, busque um parceiro que concentre tudo isso em uma oferta única, desenhada em um formato e valor cabível ao seu orçamento.

10. Preste atenção: este processo todo não é feito do dia para a noite

Então, os passos precisam começar a ser dados o quanto antes. Não perca tempo, sua empresa, seus dados, seus clientes e sua saúde legal e financeira agradecem.

Falamos, neste post, diversas vezes na opção de contar com um fornecedor terceirizado para auxiliar na adequação à LGPD. Mas o que é preciso levar em conta na hora de escolher este parceiro? É o que você poderá conferir em nosso post da próxima quarta-feira. Acompanhe!

Ficou com dúvidas sobre o assunto tratado neste post? Tem interesse em outros temas de que ainda não tratamos? Deixe seu comentário para podermos te auxiliar!

5 passos para proteger sua startup do cibercrime

Pensar todas as pontas do negócio de uma startup dá muito trabalho. Mas não é por isso que a segurança da informação tem que ficar fora do foco: ao contrário, é preciso pensar nisso desde o início. Listamos aqui 5 passos essenciais para se precaver contra a ação de cibercriminosos.

1º passo: Não subestime seu poder de atração

Muitas startups acreditam não serem atrativas para os hackers, pelo fato de serem pequenas ou iniciantes. Não caia nessa! Nós já pincelamos este assunto aqui no blog, mas não custa reforçar: exatamente por saberem que as startups pensam desta forma, e, por isso, não se protegem, os cibercriminosos tendem a atacá-las. Além disso, existe o risco dos ataques em grande escala, que são lançados para todos os lados e acabam atingindo quem? Isso mesmo, as empresas que tiverem menos atenção à segurança.

O correto é entender que, desde sua fundação, todo negócio pode estar na mira do cibercrime. Buscar proteção desde o início é a maneira mais tranquila de buscar crescimento longe de preocupações.

2º passo: Proteja seus recursos em nuvem

Grande parte das startups utilizam nuvens públicas, como AWS ou Google Cloud, para ofertar seus serviços. Até aí, tudo bem. O problema é que muitas delas não se preocupam em conhecer as configurações de segurança específicas de cada cloud, ou, ainda, não dão bola para detalhes que podem parecer triviais, como as senhas, e acabam utilizando passwords fracas. Cuidado! Estas atitudes podem deixar as companhias vulneráveis ao cibercrime. O melhor é evitá-las.

3º passo: Cuide do armazenamento

Ao armazenar dados e documentos, é preciso utilizar senhas fortes, containers em nuvem adequados e outras medidas de segurança da informação estudadas caso a caso. Já imaginou as informações de seus clientes ou os códigos de seus aplicativos vazarem por puro descuido? Não se exponha a este risco! Documentos guardados digitalmente, sejam da própria empresa ou de terceiros, precisam ser bem protegidos.

4º passo: Esteja preparado para ataques DDoS 

Primeiro, entenda que ataques DDoS são uma forma de cibercrime que deixa indisponíveis as operações da empresa infectada. Ou seja, têm capacidade para, literalmente, tirar sua startup do ar.

Há cerca de dois anos, a startup de criptomoedas Coinkite foi atacada por esta modalidade diversas vezes seguidas. Resultado: não houve outro remédio, senão fechar as portas. Tempos depois, os proprietários informaram que haviam sofrido ataques desde o lançamento de seus serviços, e que não conseguiram recuperar o prejuízo causado pelas invasões. Ou seja, faltou prevenção, e isso resultou em um dano irreparável. Um pecado que sua startup não pode cometer.

5º passo: Faça uma economia inteligente

Ao invés de cortar investimentos em cibersegurança para poupar o orçamento, prefira investir em soluções que se adequem ao budget de forma inteligente. Busque, no mercado, fornecedores que entendam o universo startup e tenham produtos, serviços e profissionais preparados para atender à realidade das mesmas, abrangendo todos os pontos: dados, redes, sistemas, gestão, políticas, pessoas. Se isso tudo puder ser ofertado em pacotes desenhados de acordo com o caixa e as necessidades exatas de cada empresa, melhor ainda. Em se tratando de segurança da informação, personalização e facilitação na adesão, uso e pagamento são itens fundamentais.

Espero que os passos que acabamos de recomendar sejam úteis para colocar sua startup no caminho da cibersegurança. Mas é claro que o assunto não se esgota aqui: há outros pontos importantíssimos a se falar sobre este tema, e um deles é a cultura, a forma de engajar os colaboradores a trabalhar de forma segura para a empresa e seus clientes. Falaremos sobre isso no post da próxima segunda-feira aqui no blog. Fique ligado!

Ficou com dúvidas sobre o assunto tratado neste post? Tem interesse em outros temas de que ainda não tratamos? Deixe seu comentário para podermos te auxiliar! 

Security News #04 – As Principais Notícias em Segurança da Informação

Toda semana, reunimos, aqui no site do IT2S Group, as principais notícias dos últimos dias sobre o universo da segurança da informação. Confira, atualize-se e previna-se!

 

#Lei de Proteção de dados traz desafios a empresas, cidadãos e governo

LGPD entra em vigor em agosto de 2020, mas muitas empresas e órgãos públicos ainda não estão preparados para atender às novas normas.  (Ler na íntegra)

#Falso convite de aniversário do Nubank no WhatsApp atinge mais de 25 mil

Golpe que circula no WhatsApp e já foi compartilhado por mais de 25 mil brasileiros, segundo o DFNDR Lab, diz que usuário pode ter um cartão de crédito com aprovação imediata, sem consulta ao SPC/Serasa e com limite de até R$ 12 mil. (Ler na íntegra)

 

#Identificado spyware no Google Play

Especialistas detectaram um malware entre os aplicativos disponibilizados pelo Goolge. Desenvolvido a partir da ferramenta espiã de código aberto AhMyth, o app malicioso é chamado de Radio Balouch, ou RB Music. (Ler na íntegra)

#Cibercrime está mais maduro e equipado

Relatório global mostra que os criminosos cibernéticos estão amadurecendo seus modelos de negócios, com distribuição de operações geográficas e proliferação de grupos APT patrocinados por estados-nação. (Ler na íntegra)

 

#Erro humano responde por 33% dos incidentes de cibersegurança na indústria

Ações não intencionais de funcionários comprometem redes de tecnologia e sistemas de controle industrial das organizações, diz Kaspersky. (Ler na íntegra)

 

#Brecha na segurança do Bluetooth pode expor dados e arquivos

Pesquisadores da Universidade de Oxford, do Centro de Segurança da Informação CISPA Helmholtz e da Universidade de Tecnologia e Design de Cingapura descobriram uma falha de segurança nos protocolos de autenticação do Bluetooth que pode enfraquecer a criptografia das informações trocadas entre dispositivos pareados. (Ler na íntegra)

 

# Reconhecimento facial pode trazer risco à privacidade

Após prefeitura de Vitória-ES anunciar que vai instalar tecnologia de reconhecimento facial nas câmeras da cidade em até 90 dias, com foco em combater a criminalidade, analistas abrem discussão sobre proteção e captação de dados. (Ler na íntegra)

 

#Segurança das crianças x Redes Sociais

Pesquisadores da Universidade do Tennessee e da Universidade de Akron estudam como compartilhamentos feitos por pais nas redes sociais pode afetar a segurança de seus filhos. (Ler na íntegra)

 

#Ciberataque secreto dos EUA minou capacidade do Irã de ameaçar petroleiros

País atacado ainda tenta recuperar informações destruídas no ataque de 20/06 e reiniciar alguns dos sistemas de computadores. (Ler na íntegra)

 

#CCT destaca estratégias para a segurança de dados no ambiente virtual

A segurança nacional de dados estratégicos e a proteção do país contra crimes cibernéticos foram discutidas em audiência pública da Comissão de Ciência e Tecnologia (CCT) do governo federal esta semana. Meta é melhorar as estratégias brasileiras para segurança do ambiente virtual. (Ler na íntegra)

Como garantir credibilidade em tempos de ameaças cibernéticas?

Gestão profissional de segurança da informação que cabe no orçamento é possível, sim. E é também fundamental para assegurar reputação e confiança do mercado.

 

Quando se fala em valor de mercado, o que vem à sua cabeça? Ações, produtos, porte da empresa e afins? Pois saiba que tudo isso é, sim, muito importante, mas há também outro item que é fundamental para garantir a competitividade de uma companhia: credibilidade.

MELHOR MANTER DO QUE CORRER ATRÁS
Uma organização que tenha sua imagem arranhada terá, sem dúvida, muita dificuldade, muito trabalho e muuuuito gasto para recuperar a confiança dos consumidores. E nem sempre conseguirá alcançar esta recuperação, ou seja: reputação manchada pode significar o fim de uma marca.

Se você ainda tem dúvidas, vamos a alguns dados que comprovam o que estou falando: – Ao realizar compras online, 41% das pessoas pesquisam sobre a reputação das empresas (fonte: CDL)

– Também ao buscar produtos ou serviços na Internet, a confiabilidade das marcas é o fator decisivo para 43% dos consumidores (fonte: CDL)

– Para companhias afetadas por vazamento de dados ou outros problemas envolvendo segurança da informação, a perda de credibilidade é o maior prejuízo enfrentado em 40% dos casos (fonte: Aberje)

CONFIANÇA NÃO TEM PREÇO
Percebe como a credibilidade é importante? Na verdade, é a parte mais difícil de recuperar após um incidente de segurança cibernética – claro que prejuízos financeiros são complicadíssimos, mas, se o dinheiro for reposto, o problema estará resolvido. Já sobre reputação, não se pode dizer o mesmo, afinal, confiança não é algo que se possa comprar.

TEM SOLUÇÃO!
Mas chega de falar do problema: vamos falar da solução.

Para fugir das ocorrências cibernéticas que podem levar a perdas das mais diversas, causando danos que podem até serem irreversíveis para as empresas, o remédio é uma boa gestão de segurança da informação.

E esta gestão precisa envolver todos os aspectos: tecnologia, conhecimento, profissionais e gestores capacitados, monitoramento constante, planejamento para prevenção contra ameaças e também para contra-ataque no caso de invasões.

PARA TODOS OS TAMANHOS
Ufa, parece trabalhoso, não? E é! Mas existem soluções no mercado que facilitam a adesão de companhias de todos os portes – de startups a grandes organizações – a esta gestão especializada de cibersegurança.

VIRTUAL OFFICER
Caso do Virtual Officer, framework que reúne todas as capacidades de um diretor de segurança da informação (Chief Information Security Officer – CISO), bem como de uma equipe multidisciplinar de especialistas certificados e focados em todas as áreas relativas à privacidade e segurança de dados, mais os sistemas de ponta necessários para garantir cibersecurity.

Isso resulta em uma estrutura capaz de promover o monitoramento saudável, identificar gaps a tempo de solucioná-los, reagir a incidentes de forma a minimizar eventuais prejuízos e gerir tudo isso de forma profissional, prática e cabível no orçamento, já que os projetos são desenhados caso a caso e pagos via mensalidade, como um serviço.

SEGURANÇA 360º
Outsourcing de cibersegurança de ponta a ponta, incluindo monitoramento de redes e operações, definição de políticas de acesso e proteção de dados, aplicação de ações de precaução e de contra-ataque, enfim: gestão para garantir privacidade e conformidade, com todos os benefícios e sem o custo de contratações internas (tanto de pessoal, quanto de licenças de software e outros itens relacionados).

Aliás, você sabia que estes custos podem tirar MUITO de seu poder de investimento? Se quiser saber quanto podem somar, a que se referem e como retirá-los de suas preocupações, não perca o post da próxima sexta-feira aqui no blog. Até!

 

Ficou com dúvidas sobre o assunto tratado neste post? Tem interesse em outros temas de que ainda não tratamos? Deixe seu comentário para podermos te auxiliar!

× Como posso te ajudar?