risk management

Gartner: líderes de segurança e gestão de riscos devem equilibrar problemas, confiança e oportunidade para ter sucesso

Por

O  Gartner, Inc., líder mundial em pesquisa e aconselhamento para empresas, alerta que, no ambiente atual de incertezas, os líderes de segurança e gestão de risco devem se concentrar em equilibrar risco, confiança e oportunidade em suas tomadas de decisão para ajudar a manter a capacidade de suas organizações de atuar como um participante confiável na economia digital.

“Ao longo da primeira metade de 2020, definir o apetite pelo risco se tornou um desafio ainda maior para os líderes de segurança”, diz Jeffrey Wheatman, Vice-Presidente de Pesquisa do Gartner. “A capacidade de comunicar os impactos reais da mudança e do caos ou, em outras palavras, de atingir o nível certo de equilíbrio, é fundamental para trabalhar com as partes interessadas de negócios na definição e gestão do apetite de risco organizacional e capitalização de oportunidades”.

Neste contexto, os analistas do Gartner avaliam que é importante que os líderes dos processos de segurança e gestão de risco consigam atuar de forma equilibrada, balanceando os riscos, a confiança e as oportunidades presentes em suas tomadas de decisão.

Riscos – “Durante a pandemia de COVID-19, a segurança foi essencial. Ao longo da fase de resposta inicial, por exemplo, as equipes de segurança e risco identificaram riscos novos e ainda mais impactantes, atribuíram recursos e mudaram os investimentos para atender às iniciativas de negócios das organizações”, explica Wheatman. “Agora que as organizações fizeram seus investimentos iniciais em tecnologia, no entanto, os diretores de segurança da informação (Chief Information Security Officers – CISOs) e os líderes de gestão de risco têm a oportunidade de fortalecer suas companhias, à medida que avançam nas fases de recuperação e renovação. Para as equipes de segurança, a fase de recuperação é uma oportunidade de detectar e mitigar novos riscos que podem surgir como resultado da resposta inicial”.

De acordo com o analista, a pandemia também reforçou a necessidade crítica de programas de segurança ágeis o suficiente para reagir a choques externos – sejam eles menores ou maiores. Conforme as empresas avancem às fases de recuperação e renovação, elas devem reprojetar seus programas para atingir a agilidade necessária em suas operações.

Oportunidades – Uma pesquisa recente do Gartner descobriu que 90% dos CISOs acreditam que os negócios digitais gerarão novos tipos e níveis de risco. No entanto, 70% dos entrevistados disseram que o investimento em gestão de risco não está acompanhando esses novos níveis mais elevados de ameaças. Essas descobertas combinadas oferecem uma grande oportunidade para os líderes do setor se anteciparem às demandas.

“Os executivos de negócios continuam se concentrando na segurança como uma iniciativa estratégica. As organizações estão explorando como a tecnologia pode ajudá-las a transformar seus modelos operacionais. Isso significa que os profissionais de segurança e gestão de risco têm um papel fundamental a desempenhar, ajudando suas organizações durante essa transformação, evitando riscos desnecessários”, diz Wheatman. “Os CISOs têm uma capacidade única de fornecer aos líderes de negócios as percepções e ferramentas para ajudá-los a equilibrar o risco com a oportunidade potencial de transformação digital”.

Confiança – A adoção acelerada de recursos de transformação digital significa que a interação cada vez maior entre sistemas e clientes reforçará rapidamente a necessidade de as empresas estabelecerem equipes digitais dedicadas à gestão da confiança e da segurança em suas organizações. Essas equipes têm a tarefa de avaliar e gerenciar os riscos resultantes do número cada vez maior de pontos de contato e da necessidade de abordar uma visão estratégica de ameaças ao cliente e redução de danos.

Equilíbrio – Encontrar o equilíbrio certo entre a necessidade de os negócios aproveitarem novas oportunidades para obter vantagem competitiva e a exigência de se desenvolver políticas de segurança adequadas, que mitiguem os riscos em toda a operação, deve ser uma área de foco principal para os líderes de segurança e risco até 2021.

“Assim que o caos da recuperação começar a se estabelecer, as empresas viverão o novo normal. Nesta fase, o futuro começa a se tornar mais planejável”, afirma Wheatman. “Esta fase de renovação oferece aos líderes de segurança e risco uma grande oportunidade de apoiar os objetivos de negócios de suas organizações, ao mesmo tempo em que permite uma postura mais proativa na para a identificação e gerenciamento de riscos, o que fornece resiliência para as empresas seguirem em frente”.

Resolução do BACEN equipara risco cibernético a risco operacional

Por

Por Marta Schuh, Líder de Cyber da Marsh Brasil

Este ano, o risco cibernético aparece no ranking do Relatório de Riscos Globais 2020 como uma das principais ameaças aos negócios. Não por menos, neste relatório produzido pelo World Economic Forum em parceria com a Marsh & McLennan, a Zurich e as universidades de Oxford, Singapura e Pensilvânia, o ataque cibernético está entre os riscos que mais aumentará neste ano. Por isso, a ameaça de ataques de hackers aos sistemas das empresas é uma preocupação global.

Todos os países modernizaram os seus arcabouços regulatórios criando mecanismos legais para punir crimes cibernéticos. Também foram criadas regras para as organizações públicas e privadas que têm em suas bases um robusto volume de dados e informações dos cidadãos e consumidores. Foi aí, que seguindo o que ocorreu na União Europeia em 2018, com a entrada em vigor do GDPR (General Data Protection Regulation), o Brasil criou a Lei Geral de Proteção de Dados (LGPD) – em vigor a partir de agosto deste ano.

Neste contexto de proteger os dados dos consumidores, surge também agora a Resolução do Banco Central (BACEN). A Circular BACEN Nº3.979 de 30.01.2020, dispõe sobre a constituição e a atualização da base de dados de risco operacional e a remessa ao Banco Central do Brasil de informações relativas a eventos de risco operacional. Em linhas gerais, a resolução equipara o risco cibernético ao risco operacional.

A Circular Nº 3.979 consolida os esforços do Banco Central de garantir que o sistema financeiro nacional se mantenha sólido e estável e proteja os consumidores. Em 2018, o BACEN já havia criado a Resolução 4.658, com o objetivo de mitigar os riscos cibernéticos e proteger as instituições financeiras. Uma preocupação pertinente. De acordo com a pesquisa da Febraban (Federação Brasileira de Bancos), as transações financeiras via aplicativos em dispositivos móveis, representou 35% do total de transações realizadas em 2017, 8% a mais que no ano de 2016.

O aumento contínuo de ataques cibernéticos, como ransomware, violações de dados e ataques de negação de serviço distribuídos são altamente direcionados a instituições financeiras. Embora raramente catastróficos, esses eventos criam custos diretos e indiretos para os bancos e essa realidade impõe às instituições financeiras a necessidade de mitigação de riscos, seja fazendo a transferência dos mesmos para apólice de seguros ou implantando robustos programas de gerenciamento de risco.

O seguro cibernético deve ser visto como um mecanismo de mitigação de prejuízos em potencial e de resposta a incidentes que constituem as novas normas regulatórias, uma vez que o seguro não apenas indeniza os custos relacionados a incidentes, mas também possui o amparo de um time de gestão de crises.

Brasil Risk Summit reúne lideranças, reguladores e autoridades para discutir o combate a crimes financeiros, lavagem de dinheiro e financiamento ao terrorismo

Por

O Banco Central do Brasil (BACEN), publicou em janeiro deste ano o Edital de Consulta Pública 70/2019, com o objetivo de aperfeiçoar a regulamentação de prevenção à lavagem de dinheiro e financiamento do terrorismo (PLD/FT) para as instituições reguladas pelo órgão. A medida prevê que o Brasil reforce as estruturas normativas de controle sobre lavagem ou ocultação de bens, direitos e valores, além de financiamento do terrorismo.

Em meio a esta discussão, o Brasil Risk Summit 2019 reúne as maiores lideranças, executivos, autoridades, reguladores e profissionais da área de Compliance e Risco para abordar os principais desafios do setor, as novas regulamentações locais e globais e o impacto da Lei Geral de Proteção da Dados (LGPD) sobre a base de dados destinada ao combate ao crime financeiro, um dos principais desafios atuais para os profissionais que atuam na área.

No dia 06 de novembro, acontece em São Paulo a terceira edição de um dos principais eventos sobre risco financeiro do mundo, que acontece em Nova York, Londres e Dubai. Promovido pela Refinitiv, o Brasil Risk Summit 2019 contará com autoridades, como o Ministro da Advocacia Geral da União, André Mendonça, que abordará a evolução das regras dos acordos de leniência. Já Tom Fox, uma das maiores referências mundiais em compliance, irá falar sobre os principais erros das empresas com seus programas de combate à corrupção e sobre o DOJ (Departamento de Justiça dos Estados Unidos) e Revisão da Avaliação dos Programas de Compliance.

Os crimes financeiros também são destaque do evento. Neste cenário, a Refinitiv, uma das maiores provedoras de dados de mercados financeiros e de infraestrutura do mundo, realizou a pesquisa “A inovação e a luta contra o crime financeiro”, em que entrevistou 3.138 companhias dos cinco continentes — incluindo Brasil- e levantou números relevantes que reforçam a importância do trabalho no setor e como a tecnologia está ajudando na prevenção e na luta contra os crimes financeiros. Exemplo disso são os 72% dos entrevistados que admitem estar cientes dos crimes financeiros nas suas operações globais nos últimos 12 meses, com destaque para fraudes, lavagem de dinheiro, suborno e corrupção, evasão fiscal, roubo, crime cibernético e financiamento ao terrorismo, este último sendo citado por 42% dos entrevistados.

“Hoje, um dos principais desafios para coibir os crimes financeiros é a falta de regulamentação, mas estamos diante de mudanças, muitos países já estão fechando o cerco para coibir os crimes financeiros. Neste cenário, a entrada em vigor da Lei Geral de Proteção de Dados, em agosto de 2020, pode impactar a luta contra os crimes financeiros e é um dos principais assuntos a serem discutidos no Brasil Risk Summit 2019”, diz Rodrigo Lopes, Diretor para soluções de risco na América Latina da Refinitiv.

O Brasil Risk Summit 2019 acontece no dia 06 de novembro, no Sheraton WTC, em São Paulo/SP, das 08h às 18h.

Programação completa do Brasil Risk Summit 2019:

08:00 — Welcome Coffee
08:30 — Abertura: Apresentação da Refinitiv e de suas soluções inovadoras para o mercado de Compliance e Risco com Rodrigo Lopes, Diretor Latam de Risk Management Solutions na Refinitiv.

09:00 — Acordos de Leniência: O que há de mais relevante a discutir
André Luiz de Almeida Mendonça — Ministro da AGU
João Carlos Figueiredo Cardoso — SCC -Secretaria de Combate à Corrupção — CGU
José Leonelio de Souza — Moderador

09:45 — Coffee Break

10:05 — Do we have a radical transformation in Compliance?
Tom Fox – Global Compliance Advisor
Isabel Franco — Moderadora

11:00 — Crimes Financeiros, Lavagem de Dinheiro, Tráfico Humano, Trabalho Escravo
Roberto C. Troncon Filho – Interpol Brasil – Polícia Federal
Christopher Snyder – Head of Financial Crime Threat Mitigation for Latin America — HSBC

11:55 — A nova regulamentação sobre Lavagem de Dinheiro e Financiamento do Terrorismo
Adalberto Felinto da Cruz Júnior – Secretário Executivo — Bacen
Ricardo Liao – Presidente da UIF (Unidade de Inteligência Financeira, antigo COAF)
Alexandre Pinheiro – Superintendente Geral da CVM
Rodrigo Lopes — Moderador

12:55 — Almoço

13:55 — Lei Geral de Proteção de Dados (13.853/19)
Marcel Leonardi – Advogado especialista em proteção de dados – Pinheiro Neto Advogados
Adam J. Rivera – Senior Counsel & Privacy Officer, Refinitiv
Miriam Wimmer – Ministério da Ciência e Tecnologia
Felipe Dal Belo — Moderador

14:45 — Compliance viável que traz valor e sustentabilidade para a instituição
Rogéria Gieremek – Head Compliance – Grupo Latam Airlines
Gilson Libório – Assessor Especial do Ministro da AGU
Ana Paula Candeloro – Diretora de Compliance RB Capital
Gonzalo Gómez de Liaño – Ministério Admin. Públicas — Espanha

15:45 — Coffee Break

16:00 — Ciência de dados e tecnologia para prevenção de crimes financeiros na era digital
Sandro Sinhorigno – Sup. Governança de PLD – Itaú
Anamaria Pimenta – Head de Compliance da XP Investimentos
José Gomes Fernandes – Diretor Seg. Corp. — Bradesco
Fabiana Marquezini – Mercado Livre
Celso Poltronieri — Moderador

17:00 — Relação entre ética e compliance
Luiz Felipe Pondé – Escritor, professor e filósofo
Angelo Calori — Moderador

18:00 — Encerramento
Adrian Owen Managing Director Latin America Refiniitiv

18:10 — Coquetel

Mais informações: http://www.refinitiv.com/pt/events/brasil-risk-summit-2019

Conferência Gartner Segurança & Gestão de Risco 2019 destaca novos desafios de cibersegurança no mundo digital

Por

Qual é o papel dos líderes de TI e Negócios diante dos novos desafios de cibersegurança? Essa e muitas outras perguntas serão respondidas durante a Conferência Gartner Segurança e Gestão de Risco 2019, que acontece nos dias 13 e 14 de agosto, em São Paulo. No evento, analistas do Gartner, Inc., líder mundial em pesquisa e aconselhamento para empresas, apresentarão insights e novidades sobre a área de segurança e como os executivos de tecnologia e business podem se preparar para o futuro de suas operações.

“Hoje, os riscos cibernéticos são um dos três maiores inibidores do progresso das iniciativas de negócios digitais em todo o mundo. Esse cenário exige que os líderes de TI e negócios descubram e desenvolvam novas habilidades para atender as exigências de cibersegurança e resiliência dentro das organizações. São esses pontos que abordaremos nestes dois dias de atividade em São Paulo”, explica Augusto Barros, Chairman da Conferência e Vice-Presidente de Pesquisas do Gartner.

Dividida em quatro vertentes de conteúdo (Liderança e Estratégia; Tendências e Competências; Gestão de Risco e Resiliência; e Arquitetura e Operações), a Conferência discutirá as principais tendências e demandas da área de segurança, privacidade e gestão de riscos. Durante a programação, o público terá acesso às apresentações de analistas do Gartner, workshops, casos de sucesso e oportunidades para troca de experiências.

Com expectativa de reunir mais de 700 especialistas, o evento apresentará em dezenas de painéis o cenário de segurança digital e indicará como os líderes podem avançar em suas estratégias de proteção em uma era marcada pela expansão de soluções Cloud, escassez de profissionais qualificados e grandes desafios de compliance. “Ao todo serão apresentadas mais de 30 novas pesquisas e análises exclusivas sobre os mais importantes e relevantes assuntos”, diz Barros.

De acordo com pesquisas do Gartner, 95% dos líderes de dados acreditam que as ameaças de cibersegurança vão aumentar e impactar o dia a dia de diferentes partes e processos de uma organização. “Estamos em um momento que é preciso estabelecer novos padrões de liderança e comunicação para mudar o mindset organizacional no que diz respeito à proteção das informações e a inovação”, explica Barros, ressaltando que o objetivo da Conferência é apresentar insights e dados que estimulem o aprimoramento dos gestores de diferentes áreas em relação à segurança.

Um dos destaques do evento deste ano é a realização do CISO Circle, criado exclusivamente para Chief Information Security Officers (CISOs), Chief Risk Officers (CROs) e executivos com poder de decisão nas áreas de segurança e risco dentro das organizações. A meta é proporcionar uma experiência diferenciada por meio de sessões únicas e relevantes ao permitir acesso a conteúdos relevantes para os negócios.

Durante a Conferência, os participantes que desejarem recomendações específicas para os desafios de suas empresas poderão agendar reuniões particulares com analistas do Gartner. Nesses encontros, os executivos participantes receberão dicas sobre como preparar seus negócios para incorporar assertivamente tecnologias como Internet das Coisas (IoT), Inteligência Artificial, Aprendizado de Máquina e Analytics. Entre os temas discutidos estão Blockchain e cibersegurança.

Até o dia 12 de julho, o Gartner oferece desconto de R$ 550,00. Interessados em participar do evento devem contatar o Gartner pelo e-mail conferencias.brasil@gartner.com, pelos telefones (11) 5632-3109 e 0800 774 1440, ou pelo site http://www.gartner.com/pt-br/conferences/la/security-risk-management-brazil.

Global Risk Meeting 2018: Inteligência Artificial e Emocional

Por

No dia 12 de setembro, acontecerá mais uma edição do Global Risk Meeting – evento que a cada ano rediscute os riscos de negócios sob diferentes perspectivas. Desta vez, com o tema “Riscos de Negócios: Inteligência Artificial e Emocional”, reunirá profissionais renomados para debater a polêmica relação entre homem e máquina, ou, mais especificamente, entre o comportamento humano dentro dos negócios e sua conexão com a presença crescente da Inteligência Artificial em processos estratégicos e operacionais. Com realização da DARYUS, o evento acontecerá no inovaBra Habitat, espaço disruptivo e de coinovação do Bradesco, com início previsto para às 08h00. A Neuroleader e Especialista em Análise Comportamental Rossana Carella é quem conduzirá a apresentação do evento.

Abrindo as apresentações, o jornalista Carlos Aros (Joven Pan) ministrará a palestra “Fake News e robôs influenciando as pessoas nas redes sociais e mídias” – assunto de grande destaque na atualidade, que tem movimentado internautas e os próprios veículos de comunicação na busca por maior transparência nas notícias divulgadas massivamente todos os dias. Ainda no que diz respeito à “manipulação” da opinião pública, Pedro Bezerra (IBM) apresentará a palestra “Blindagem Cognitiva com Inteligência Artificial”, tema polêmico que promete despertar muita discussão entre os participantes. Já no painel “Otimização da Operação de Segurança com Serviços de IA”, mediado por Claudio Dodt (Grupo Edson Queiroz), os especialistas Eduardo Alves (IBM) e Walmir Freitas (Accenture) apresentarão uma visão positiva sobre o uso da Inteligência Artificial nos negócios, enquanto possível aliada das estratégias de segurança.

A relação Homem vs Tecnologia pode ser encarada como colaborativa ou competitiva no ambiente organizacional. Para discutir esse paradoxo, Hélio Cordeiro (Grupo DARYUS) mediará o painel “Tecnologia vs Humanidade: o confronto entre homem e máquina”, que trará ao palco os especialistas Abraão Dias (Netconn), Dr. Santiago Schunk (SCSA Advogados) e Cristiano Breder (Wipro). Em seguida, Matheus Garcia (Foundera) e Herlon Oliveira (Agrus Data) apresentarão o talk show “O valor dos dados na Nova Economia – Preditividade e Inteligência de Negócios”.

Após uma breve pausa para o coffe break, Jeferson D’Addario (Grupo DARYUS) debaterá “Análise Comportamental 4.0: riscos vs oportunidades”. Em continuidade à abordagem humanizada dos negócios, o Sociólogo especialista em Comportamento do Consumidor Fábio Mariano Borges apresentará palestra “De Blade Runner a Westworld: o humanismo da Inteligência Artificial”. O encerramento fica a cargo de Thiago Bordini (NS Prevention), um dos maiores especialistas em Inteligência Cibernética do Brasil, com a palestra “Aprendendo desde cedo a lidar com os riscos” – um depoimento que promete trazer muitas reflexões ao público presente.

13º Global Risk Meeting – Riscos de Negócio: Inteligência Artificial e Emocional

12 de setembro de 2018 às 08:00

Local: inovaBra habitat – Av. Angélica, 2.529 | Bela Vista – São Paulo/SP

Realização: DARYUS Consultoria e Treinamento

Patrocínio: DARYUS StartLab | NS Prevention | SCSA Advogados | Netconn | John Richard

Parceiros Institucionais: DRI International | HSI Institute | Exin | Alphagraphics | Maxpress | Neurobusiness Society

Apoio: inovaBra habitat

Site: http://globalriskmeeting.com.br/2018/

Nasdaq BWise reúne executivos para discutir as tendências da Governança, Risco e Compliance (GRC)

Por

Riscos financeiros, reputacionais e operacionais são alguns dos desafios que os executivos precisam gerir com precisão e tempestividade nas empresas, em especial os riscos de conformidade em que há grande necessidade de cumprimento de uma série de normas e regulamentações. Neste cenário, o modelo de atuação das iniciativas de Governança, Risco e Compliance tem se tornado cada vez mais central na busca por maior segurança sobre o atingimento dos objetivos organizacionais.

Para discutir os novas tendências do setor, a Nasdaq BWise – líder mundial em tecnologia para GRC – promove no dia 10 de abril o Summit “GRC Estratégico: Uma visão além da conformidade”, que contará com a presença de Howard Zev, Vice-presidente da companhia para as Américas.

Durante o evento, Howard dará sua visão sobre o futuro do GRC. Além dele, também estarão presentes líderes de diversos setores, incluindo B3, Porto Seguro, BNP Paribas Cardif, Banco Votorantim e M. Dias Branco, que terão seus casos de sucesso compartilhados.

“Atualmente, para que haja efetividade na gestão de Governança, Risco e Compliance é imprescindível contar com uma tecnologia inteligente para auxiliar as áreas de negócio na identificação dos riscos relevantes das organizações. Por isso, buscando evolução neste tema, queremos discutir sobre os desafios, trocar experiências e refletir sobre as inovações em Risk Analytics, Machine Learning e Inteligência Artificial”, diz Claudinei Elias, Managing Director da Nasdaq BWise no Brasil.

O Summit abordará temas de relevância para o mercado, tais como: casos de sucesso, modelos estruturais e as inovações do GRC Cognitivo, o uso de Data Analytics, sistemas regulatórios, compliance, cibersecurity, além de um painel especial com executivos globais para discutir inovações no setor.

Summit Nasdaq BWise

Data: 10/04/2018

Local: Casa Traffô – Rua Gomes de Carvalho, 560, São Paulo

Horário: 09h às 18h

Empresas que traçam planos de crescimento devem se preparar para gerenciar riscos

Por


Uma pesquisa realizada pela Câmara Americana de Comércio (Amcham-Curitiba) com 114 executivos do Paraná revela que 62% das empresas deve aumentar o nível de investimento em 2018. Num momento em que uma organização pretende crescer, calcular as implicações de novas medidas (novas áreas de atuação, outros ambientes regulatórios e outras) é importante para o sucesso.

Para isso existem ferramentas específicas, como o COSO ERM, um dos sistemas de gerenciamento de riscos mais aplicados no mundo, e que será o tema na palestra promovida pela Amcham – Curitiba, no dia 30 de janeiro. A metodologia permite que as empresas de todos os portes percebam riscos e tomem atitudes antecipadas para se preparar para o que possa acontecer.

“As atualizações implementadas no COSO ERM deste ano avançam em relação à versão de 2004 e tornam o Gerenciamento de Riscos Corporativos (ERM) mais efetivo ao integrá-lo com estratégia e performance das organizações”, comenta Jerri Ribeiro, sócio da PwC Brasil e líder e especialista em riscos, que dará a palestra.

Avanços

Entre as mudanças do COSO ERM em 2017 estão nova estrutura de conteúdo, se dividindo em cinco componentes e vinte princípios alinhados ao ciclo de vida dos negócios; alinhamento com a definição estratégica e as atividades do dia a dia nas empresas; exploração do gerenciamento de riscos em todos os níveis da organização; maior ênfase na cultura; introdução do novo conceito de “curvas de risco”; discussões sobre temas como apetite a riscos e portfólio, além de uma reflexão do papel evolutivo da tecnologia.

“Práticas do compliance asseguram a conformidade dos negócios, seguindo uma série de regras que comprovadamente ajudam na solidez e no desenvolvimento de um negócio de sucesso”, finaliza Ribeiro.

Palestra “Novo COSO ERM Framework: Integrado com Estratégia e Performance”

Data: 30 de janeiro de 2018

Horário: 8h30 às 10h30

Local: Amcham Curitiba – Rua João Marchesini, 139 – Prado Velho – Curitiba PR

Informações: eventos.curitiba@amchambrasil.com.br ou (41) 2104-9350

Gartner anuncia Conferência Segurança & Gestão de Riscos 2017

Por

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, anuncia a Conferência Segurança e Gestão de Risco 2017. Com as ameaças cibernéticas se desenvolvendo em ritmo acelerado e nos mais diversos cenários, o evento, que acontece nos dias 8 e 9 de agosto (Terça e Quarta-feira) no Sheraton São Paulo WTC Hotel, em São Paulo (SP), reúne os maiores especialistas em Segurança da Informação (SI) do mundo para apresentar as principais tendências do setor e, principalmente, preparar os executivos para tomadas de decisões críticas para os negócios.

“Produtividade, agilidade, eficiência, lucro e satisfação do cliente são alguns dos resultados positivos que os negócios digitais podem produzir. No entanto, as atividades desse modelo também expõem as organizações a novas ameaças e riscos. O volume e a velocidade com que essas iniciativas são tomadas apresentam aos profissionais de segurança e risco desafios sem precedentes”, explica Claudio Neiva, Vice-Presidente de Pesquisas do Gartner e Chairman da Conferência.

Pesquisas do Gartner apontam que violações de dados são o tipo predominante de incidentes de cibersegurança, seguidas por malware, ransomware, ataques de negação de serviço e invasão a sistemas automotivos.

Para explorar o verdadeiro potencial dos negócios digitais, os líderes de segurança e risco devem promover um programa que estabeleça a empresa, seus sistemas e funcionários como participantes confiáveis na economia digital. As organizações precisam usar uma arquitetura de segurança adaptável que aproveite a inteligência e sistemas avançados para permitir o controle da segurança. Construir negócios digitais flexíveis, versáteis e dinâmicos possibilita que os líderes de segurança e risco antecipem e eliminem ameaças virtuais cada vez mais perigosas.

“A agenda da Conferência deste ano foi elaborada para preparar os CISOs (Chief Information Security Officers) para liderar na realidade em constante mudança da Segurança da Informação, abordando assuntos como as ameaças mais recentes, as novas arquiteturas flexíveis, estratégias de governança, o papel dos líderes de SI, entre outros. É uma oportunidade única para compartilhar experiências e reinventar abordagens de segurança e risco para a era digital, com base nas recomendações práticas e pesquisas independentes, imparciais e confiáveis do Gartner”, completa Neiva.

A Conferência Gartner Segurança & Gestão de Riscos 2017 promoverá workshops, reuniões, apresentações, sessões e mesas-redondas que orientarão as empresas e seus líderes sobre os mais importantes temas do setor, seguindo três vertentes: “CISO e Programa de Risco e Compliance”, “Programa de Segurança e TechInsights” e “Gestão de Identidade e Segurança de Dados”.
Os participantes podem fazer download do aplicativo do Gartner Events, disponível na PlayStore e AppStore, em seus smartphones para personalizar suas agendas e não perder as novidades de interesse, como atualizações sobre quadrantes mágicos, workshops interativos, pesquisas em tempo real e sessões de respostas interativas ao final das palestras. Além disso, as empresas que participam com grupos de funcionários poderão agendar reuniões com analistas do Gartner para propiciar discussões de negócios e receber assessoramento para iniciativas e projetos estratégicos.

Até 5 de julho, a Conferência está com desconto especial de R$ 500,00. Para se inscrever, envie e-mail para brasil.inscricoes@gartner.com ou telefone para (11) 5632-3109. Para mais informações, acesse o site do evento: gartner.com/br/security.

Conferência Gartner Segurança & Gestão de Riscos 2017

Data: 8 e 9 de agosto de 2017 (Terça e Quarta-feira)
Local: Sheraton São Paulo WTC Hotel
Endereço: Av. das Nações Unidas, nº 12.559

Gestão de riscos no varejo eletrônico: muito além da proteção do ambiente virtual – Por Rodrigo Castro

Por

Quando se fala em fraudes no e-commerce, que é a maior causa de fechamento de lojas que atuam nessa modalidade de venda, o ambiente virtual é o tema comum, com destaque à invasão das lojas de comércio eletrônico para roubo de dados, ataques para indisponibilidade do site, sequestro de banco de dados e fraudes nos meios de pagamento – com foco no cartão de crédito.

Porém, para a proteção das operações de comércio virtual, é importante estar atento aos processos que vão além do ambiente de TI. Otimização e controles nos procedimentos de troca, proteção física dos estoques e gerenciamento dos riscos de transporte são fatores fundamentais para minimizar perdas no e-commerce.

A gestão de vulnerabilidades no ambiente de TI é, sem dúvidas, importante. Contudo, eventos recentes divulgados na mídia, como prejuízos da ordem de mais de R$ 500 milhões em resultados de empresas sólidas, tiveram uma parcela relevante atrelada a movimentações físicas das mercadorias. Em outras palavras, fragilidades do mundo real podem causar danos severos nos custos de operação do comércio eletrônico, mas em muitos casos não estão entre os riscos prioritários na agenda dos executivos.

Este tipo de prejuízo pode ter sido ocasionado por falha na logística reversa (ou devolução de mercadorias), processo secundário na operação de vendas de lojas físicas, mas quesito extremamente relevante para o comércio eletrônico. Relevante, porém negligenciado na operação logística da maioria dos e-commerces.

De acordo com um estudo, publicado pela empresa americana Shorr, especializada em embalagens, 30% das mercadorias compradas online são devolvidas pelos clientes. O índice de devolução apenas expõe o risco potencial de perdas da empresa, vez que, estando os processos da logística reversa bem controlados, as perdas se restringem aos custos de coleta. Caso contrário, as perdas se estendem ao item comercializado.

Além da logística reversa, a falta de mecanismos de proteção patrimonial dos estoques pode expor o comércio eletrônico a fraudes e perdas. Nas lojas virtuais que comercializam produtos de alto valor agregado e alta atratividade, a preocupação com a segurança patrimonial dos centros de distribuição deve ser foco prioritário.

Um caso emblemático ocorreu em 2015 com um grande varejista nacional, cujo centro de distribuição, localizado no interior de São Paulo e que concentrava grande parte das entregas do comércio eletrônico, foi invadido por uma quadrilha especializada em roubo de cargas. A quadrilha entrou no depósito fortemente armada, subtraindo aparelhos celulares e outros equipamentos eletrônicos. Embora os valores relativos aos produtos roubados não tenham sido divulgados ou confirmados pela Polícia, estima-se que ultrapassou a casa das dezenas de milhões de Reais. O episódio mostrou que o volume de estoques nos centros de distribuição pode ser altamente atrativo para roubos.

Como medida para elevar a proteção patrimonial, é preciso realizar um diagnóstico dos círculos de segurança da operação logística. Perímetro, controle de acesso de pedestres e veículos, distribuição de equipe de vigilância, treinamento da equipe de segurança, interface com órgãos de segurança, sistema de monitoramento e vigilância e confinamento de itens de alto valor agregado são aspectos a serem considerados na análise e no reforço da proteção dos ativos.

Se a elevação da proteção patrimonial é importante para o comércio eletrônico, o gerenciamento de riscos de transporte é item relevante para grande parte das lojas virtuais. Neste caso, a abordagem deve ser muito mais profunda e sistêmica, partindo-se de um mapeamento da mancha criminal, estabelecimento de parcerias com órgãos públicos de segurança e rastreamento dos grandes receptadores. É importante também a elaboração de um Plano de Gerenciamento de Riscos (PGR) com equipes de pronta resposta, dentre outras ações. Com uma abordagem sistêmica para prevenção ao roubo de carga, é possível reduzir as perdas em até 70%.

Por último, mas não menos importante, o controle dos processos de separação, expedição e entrega da mercadoria deve estar no escopo de ações para redução de fraudes e desvios de mercadoria no comércio eletrônico. Em projetos de diagnóstico de riscos na operação logística, é possível constatar brechas simples que expõem o negócio a riscos relevantes. Processos logísticos bem controlados devem trabalhar com índices de erro abaixo de 0,1% em relação ao total expedido.

O comércio eletrônico salta aos olhos dos executivos por ser um canal eficiente para conquista de mercado e aumento das receitas, com baixos custos de imobilização de ativos e de operação. Entretanto, se os riscos de fraude não forem gerenciados, os desvios de mercadorias podem minar silenciosamente os resultados da empresa.

Rodrigo Castro, líder da Prática de Prevenção de Perdas da Protiviti, consultoria especializada em auditoria interna, serviços em gestão de riscos e compliance.

Concil lança marketplace de soluções financeiras para PMEs

Por

Reunir em uma única plataforma, serviços inteligentes para gestão e redução de riscos de perdas financeiras, para pequenas e médias empresas. Esse é o objetivo do MarketPlace, criado pela Concil, unindo ferramentas oferecidas ao mercado pelos parceiros Nexxto, Lupeon, ViaW, entre outras, além dos próprios serviços que a Concil entrega ao segmento de Conciliação Contábil e Financeira.

Por meio da iniciativa da Concil, empresa pioneira e especializada em conciliação contábil, de cartão de crédito e débito, o novo marketplace oferece soluções que podem ser adquiridas em conjunto, com descontos, ou de forma independente, proporcionando total customização para as necessidades de cada cliente, tendo como principal objetivo melhorar a gestão financeira das empresas e trazer oportunidade de redução de custos.

Com lançamento previsto para a segunda quinzena de agosto, o marketplace tem como objetivo proporcionar opções que ajudem o departamento financeiro e a empresa a eliminar e recuperar os prejuízos financeiros, problemas que impactam diretamente os negócios de PMEs.

“Acompanhamos de perto todas as dores e desafios dos pequenos e médios empresários, principalmente no varejo. Por isso, além dos serviços de conciliação que já ofereceremos, decidimos usar nossa especialização em conciliação para reunir em uma única plataforma as melhores soluções de conciliação fiscal, telecom, ativos fixos, conciliação de fretes, entre outras ferramentas que auxiliam na redução de perdas financeiras, além do controle contábil e financeiro”, explica Leonardo Campelo, CEO da Concil.

“Em suma, nosso objetivo é oferecer uma gama de serviços de conciliação cada vez mais completa aos nossos clientes, por meio de serviços próprios ou de grandes parceiros testados por nós, com foco na redução de custos, de riscos de perdas e até mesmo na recuperação financeira, aumentando a margem de lucro das empresas”, afirma Campelo.

Atualmente, a Concil atende clientes que vão de grande porte, como TAM, Multiplus e Dafiti, até menor porte, como pequenas farmácias e padarias. O atendimento eficaz no momento da conciliação financeira é reconhecido por mais de 3 mil clientes, gerando 70 milhões em transações conciliadas por mês, chegando a R$ 31 milhões recuperados, considerando toda a base da empresa.

Tendências que transformarão a gestão de riscos das Instituições Financeiras – Por Carlos Eduardo Vasques de Souza

Por

Diante de um cenário de competitividade acirrada, turbulências econômicas e mudanças constantes, as instituições financeiras devem ficar atentas à sua capacidade de antecipação e resposta a eventos que possam interromper suas atividades. O objetivo é reduzir os prejuízos à organização e aos públicos com quem se relaciona (acionistas, clientes e colaboradores). Sendo assim, o ideal é sempre mapear as possíveis adversidades, que podem ser eventos externos, alterações regulatórias, problemas com a tecnologia, pessoal, desastres naturais, entre outros.

É importante ter em mente que, por mais imprevisível que pareça qualquer situação que ponha em risco a funcionalidade de um banco, há diversas formas de evitá-los. O primeiro passo é identificar esses possíveis eventos. A precaução auxilia a companhia a evitar perda de equipe, ativos, reputação, indisponibilidade de fornecedores, rompimento de infraestrutura, além de mitigar os riscos de pressões governamentais desnecessárias.

Para que uma organização sobreviva, conquiste valor no mercado e aumente seu marketshare, é necessário que os bancos invistam cada vez mais em transformação digital associada a um programa de gestão de riscos eficiente. Para isso, os bancos estão investimento cada vez mais em tecnologia. Foram 13% dos investimentos feitos em tecnologia da informação no ano passado, atrás apenas do governo, cuja participação foi de 14%, de um total de US$ 51 bilhões registrados em 2015, de acordo com levantamento da consultoria Gartner.

Destaco seis tendências estruturais que irão transformar a gestão de riscos no setor bancário nos próximos anos. São elas:

1- Requerimentos regulatórios cada vez mais exigentes

A tolerância dos governos para falências de bancos diminuiu desde a crise financeira global de 2008, e o apetite por intervenções que utilizam o dinheiro dos contribuintes para salvar bancos foi reduzido. Desta forma, as autoridades estão monitorando com maior vigor comportamentos suspeitos. Há, ainda, mais rigidez no cumprimento local e global de normas. Neste contexto, a busca é por “bons bancos” e não “boa prática bancária dentro de suas fronteiras”.

2-Alteração nas expectativas dos clientes

Mudanças nas expectativas dos clientes são esperadas e irão causar alterações radicais no perfil do setor bancário. O uso da tecnologia de maneira generalizada será a norma para os clientes na interação com seu banco. A atual geração de jovens da era digital será o maior contribuinte das receitas para os bancos aos 40 anos de idade. Os atuais clientes, mais conservadores de tecnologia, também irão migrar para os bancos digitais.

3-Tecnologia e gestão analítica aceleram a gestão do risco

A tecnologia irá permitir, ainda, novas técnicas de gestão de risco, muitas vezes associadas a análises avançadas. A proliferação de novas tecnologias fornece processamento e armazenamento mais rápido e econômico, o que permite melhor apoio na tomada de risco e na integração de processos. Atualmente, já experimentamos os efeitos de tecnologias cujas implicações são importantes para a gestão de risco, como o big data e a inteligência artificial.

4- Ataques cibernéticos

A prevenção contra ataques cibernéticos já é prioridade estratégica para a maioria dos bancos. Isso acontece porque a ameaça concentra-se, principalmente, nas operações e nos dados confidenciais de clientes. Na próxima década, a preocupação com cybersecurity irá aumentar ainda mais. Os bancos irão requerer maior mobilização de recursos, competência interna para gerir este tipo de risco, além de colaboração de governo e mercado de maneira unificada.

5- Melhores decisões de risco por meio da eliminação de preconceitos

Mesmo quando as pessoas tentam abordar um problema de forma racional, suas decisões são, muitas vezes, abaixo do ideal, devido a vários preconceitos conscientes e inconscientes. Calcular os impactos financeiros em processos de negócios em cenários de crises será um caminho vital para elaboração de estratégias de gestão de riscos mais eficientes.

6-Necessidade constante na redução de custos

O sistema bancário tem sofrido com lento, porém constante declínio da margem na maioria das categorias de produtos e geografias. Desta forma, os bancos têm adotado técnicas avançadas de eficiência operacional para compensar esses declínios. Futuramente, os bancos terão de repensar seus custos operacionais para viabilizar entrega de mais valor a um custo menor. A simplificação, padronização e digitalização deverão ser as únicas avenidas viáveis para economias substanciais de custos.

Carlos Eduardo Vasques de Souza é head de Risk&Compliance da Atos América do Sul.

Detectar, conter e investigar: regras de proteção em TI – Por Guilherme Bezerra

Por

S2Publicom_strip_57649_0_full

A Tecnologia da Informação é um dos setores que mais tem recebido investimentos no Brasil, em meio ao cenário desafiador em termos econômicos que o país enfrenta. O segmento mostra-se fundamental não apenas por fornecer recursos básicos para que as empresas operem, mas também ferramentas estratégicas para a captação e gestão de negócios.

Ao mesmo tempo em que a TI se torna cada vez mais peça essencial nas empresas, a preocupação com a segurança dos dados cresce e tem virado a principal dor de cabeça para os administradores das redes. Para os invasores, crackers, hackers e ameaças em geral, não há nenhum tipo de crise que esteja impactando no desenvolvimento de novas ameaças e ataques direcionados a empresas, independentemente do segmento de mercado em que atua o seu porte. O mundo entende que o coração das empresas está em suas informações e, por isso, hackers estão cada vez mais empenhados em invadir sistemas para obter informações sigilosas que possam fornecer algum tipo de vantagem para eles.

As ameaças estão além de “simples” malwares, usualmente passíveis de detecção por parte de um antivírus. Elas estão evoluindo e, atualmente, é essencial que as empresas atualizem seus métodos e tecnologias de detecção e resposta a incidentes. E, sobretudo, é preciso pensar e agir de forma rápida e certeira. Três estratégias surgem como essenciais para equipes de TI no trabalho incessante contra ciberataques.

Detecção: primeiramente é preciso contar com tecnologias que trabalhem pró-ativamente na detecção de ameaças. Firewalls tradicionais, por exemplo, não têm capacidade de inspecionar pacotes criptografados (https) e hoje existem diversas ameaças e técnicas de ataque que são baseadas neste protocolo. Por isso, é necessária a atenção para a implementação de sistemas integrados, como IPS/IDS, firewalls inteligentes para realização da inspeção de todo tráfego de rede e soluções como SIEM, que são focadas na coleta de logs de equipamentos/aplicações com foco na correlação de informações para identificação rápida de incidentes capazes de permanecer meses camuflados dentro do ambiente.

Contenção: uma vez que um incidente é detectado, o mesmo precisa ser classificado e, a partir disso, serem tomadas ações rápidas para conter possíveis disseminações, interceptações e vazamentos. É de extrema importância que, além de tecnologias, existam também processos estabelecidos para que as ações de contenção sejam tomadas.

Investigação/Erradicação: um dos principais erros das empresas é parar na fase de contenção de um incidente e não investir tempo na investigação. O fato impede que a empresa saiba qual a origem da possível exploração e entenda todos impactos e riscos sobre negócios e infraestrutura. Deve ser essencial que os incidentes sejam investigados e mapeados, para que seja possível estimar quais serão os esforços necessários para erradicação de um novo incidente desta classe, seja por meio de redefinições de regras em soluções, educação de usuários, novas políticas de segurança ou até mesmo possíveis investimentos em novas soluções de segurança da informação.

Os avanços da Tecnologia da Informação são uma realidade, sendo já consenso que a segurança dos dados é uma das principais preocupações das empresas. A invasão a uma rede e o vazamento de informações podem causar prejuízos incalculáveis. A indústria de TI tem desenvolvido ferramentas de prevenção. Entretanto, o papel das empresas nesse processo é essencial, sobretudo ao adotar soluções eficazes, levar em conta as três importantes estratégias do processo da segurança da informação e preparar os usuários para que não se tornem fontes possíveis de abertura das portas virtuais das empresas.

Guilherme Bezerra, Especialista de Soluções da Brasoftware

Gartner indica tendências de Blockchain para executivos de TI e de segurança

Por

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, alerta as empresas brasileiras para o surgimento de novos termos e de tendências na área de TI que afetam diretamente líderes de tecnologia (CIOs-Chief Information Officers) e de segurança da informação (CISOs – Chief Information Security Officers). Os analistas do Gartner apresentarão na Conferência Gartner Segurança e Gestão de Riscos, que acontece em São Paulo nos dias 2 e 3 de agosto, que os questionamentos dos clientes do Gartner sobre Blockchain e tópicos relacionados ao tema quadriplicaram desde 2015.

“As consultas transcendem a área financeira. Estamos indicando para clientes de diversas indústrias a importância de analisar a contagiante ‘febre de Blockchain’ que atingiu o setor”, diz Ray Valdes, Vice-Presidente e Fellow do Gartner. Segundo ele, é importante que os líderes de TI e de segurança entendam as possibilidades e limitações do Blockchain, as tecnologias associadas de registro distribuído e os cenários de negócios futuros para suas indústrias, em uma economia cada vez mais programável.

As indicações do Gartner sobre as tendências nessa área são:

Blockchain 101

A explicação de Blockchain pode ser iniciada com Bitcoin, já que ela é a primeira implementação de tecnologia de registro distribuído. Como moeda digital, o Bitcoin compensa a falta de uma moeda física ao rastrear o histórico de cada transação e registrar os dados cada vez que uma moeda é transferida de uma pessoa para outra. Cada transação de Bitcoin torna disponível o histórico completo daquele Bitcoin, em uma cadeia de blocos, chamada de Blockchain (uma forma de registro distribuído). Para que as entradas no Blockchain sejam confiáveis e seguras, o Bitcoin depende de poder computacional significativo e partes interessadas ou “exploradores” para validarem e confirmarem as transações, usando um processo estruturado para adicionar registros de transações ao Blockchain em troca de recompensa monetária.

“Essa estrutura de incentivo é inerente ao Blockchain de Bitcoin e não se pode usá-la sem levar em consideração o papel desempenhado pelo código de criptomoeda de Bitcoin”, diz o analista do Gartner. Essa fórmula, no entanto, possui suas limitações.

Promessa e riscos do Blockchain

O segredo do Blockchain reside no uso inovador de tecnologias existentes para autorizar que partes não confiáveis realizem transações, independente de uma autoridade central. “Em sua forma atual, o Blockchain sofre limitações significativas em escalabilidade, governança e flexibilidade”, diz David Furlonger, Vice-Presidente e Fellow do Gartner. Como os CIOs exploram os casos de uso para Blockchain e registros distribuídos, é importante entender as seguintes limitações:

Escalabilidade: No Blockchain, o sistema requer poder computacional significativo (consequentemente, eletricidade) para verificar e confirmar cada bloco de transações. Devido ao desenho desse processo, um máximo de sete transações por segundo podem ocorrer e cada bloco requer 10 minutos para confirmação, no mínimo.

Falta de resistência para centralização: Já que a necessidade de poder computacional para verificar as transações aumentou, a atividade de prova de trabalho tem sido principalmente consolidada em quatro organizações principais, todas estabelecidas na China. Isso altera o conceito de Blockchain como um sistema descentralizado. “Duas dessas quatro organizações poderiam teoricamente pactuar e, juntas, constituiriam uma maioria dos recursos computacionais necessários para exploração, conseguindo, assim, controlar a atualização do registro distribuído”, alerta Valdes.

Confidencialidade e Transparência: Todas as transações são públicas, possuindo seus prós e contras em termos de acesso à informação transacional, mas não necessariamente à identificação dos participantes para a rede.

Governança: O responsável pelo software de fonte aberta Bitcoin é desconhecido e, portanto, sua autoria está aberta a questionamento. Então, não há uma estrutura clara para tomada de decisão e o Blockchain de Bitcoin é altamente dependente de agendas individuais.

Novas tendências

A essência dos registros distribuídos é que eles possuem o potencial para permitir que qualquer forma de valor seja alterada entre partes não confiáveis em um formato criptografado, sem a necessidade de intermediação de uma autoridade centralizada. A capacidade de conduzir transações de qualquer tamanho, com qualquer forma, sugere um futuro no qual os dispositivos e aplicativos de Internet das Coisas (IoT) possam ser dinamicamente monetizados. Isto promoverá o crescimento da economia programável.

Devido à natureza do registro distribuído, é compreensível que as empresas líderes de serviços financeiros vejam o conceito como uma ameaça em termos de desintermediação e como uma oportunidade para reiterar o controle do ecossistema ou para mudar radicalmente a estrutura de custo de suas operações.

A indústria de seguro também pode se beneficiar desse conceito ao verificar bens e prevenir fraudes. Por exemplo, a Everledger rastreia milhares de diamantes anotando 40 pontos de dados únicos de cada pedra no registro distribuído. Qualquer transação subsequente do diamante pode ser rastreada até a transação anterior.

O importante para os CIOs, de acordo com o analista Furlonger, é olhar além desses casos iniciais de uso e pensar nos valores de troca possibilitados pela economia programável. Por exemplo, títulos fundiários podem ser verificados, dando aos proprietários de terras em países em desenvolvimento um registro incontestável de posse, evitando corrupção e roubo. Registros educacionais imutáveis promoverão mobilidade global de talentos. Além disso, carros autônomos poderão negociar e pagar por espaços de estacionamento, por sistemas de compartilhamento de viagens e, até mesmo, por mudança de via quando for preciso economizar tempo.
Recomendações para CIOs

É aconselhável que os CIOs entendam o estado atual da arte de fazer provas de conceito e implementem mobilizações táticas que os ajudem a resolver problemas específicos. “O objetivo está tanto nas lições aprendidas quanto no valor entregue aos negócios, especialmente porque as tecnologias favoráveis são imaturas e infundadas”, diz Valdes.

Na sequência, enquanto agem taticamente, é aconselhável que as organizações pensem estratégica e conceitualmente sobre modelos de negócios de longo prazo viabilizados pela próxima geração de plataformas de registro distribuído. “Qualquer coisa desenvolvida hoje, especialmente recursos construídos sobre o Blockchain original terão uma vida útil de no máximo 24 meses”, diz Furlonger.

Conferência Gartner Segurança e Gestão de Riscos 2016
Data: 2 e 3 de agosto de 2016 (Terça e Quarta-feira)
Site: Gartner.com/br/security.

Gartner identifica as 10 principais tecnologias em Segurança da Informação em 2016

Por

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, anuncia as 10 principais tecnologias para Segurança da Informação e suas implicações nas empresas em 2016 durante a Conferência Gartner Segurança e Gestão de Riscos, que acontece nos dias 2 e 3 de agosto no Sheraton São Paulo WTC Hotel (SP).

“As equipes de Segurança da Informação e de Infraestrutura devem se adaptar aos requisitos de negócios digitais emergentes e, ao mesmo tempo, estarem preparadas para lidar com um ambiente cada vez mais hostil. Os líderes de Segurança e de Gestão de Riscos precisam aprender a trabalhar com as últimas tendências tecnológicas se quiserem definir, alcançar e manter programas eficazes que ofereçam, de forma simultânea, oportunidades de negócios digitais com a gestão de riscos”, afirma Neil MacDonald, Vice-Presidente, Analista Emérito e Fellow Emeritus do Gartner.

As 10 principais tecnologias para a Segurança da Informação são:

Agentes de Segurança de Acesso à Nuvem – Os Agentes de Segurança do Acesso à Nuvem (do inglês, Cloud Access Security Brokers – CASBs) ajudam os profissionais de Segurança da Informação a fazerem um controle crítico do uso seguro, em conformidade com os serviços em Nuvem de seus diversos provedores. Muitos Software como Serviço (do inglês, Software as a Service – SaaS) têm visibilidade e opções de controle limitadas. No entanto, a adoção de SaaS está se tornando comum em empresas, o que agrava a sensação de frustração das equipes de segurança que desejam ter visibilidade e controle das aplicações e do ambiente de TI como um todo. As soluções CASB preenchem muitos dos espaços em branco dos serviços individuais armazenados em Nuvem e permitem que os CISOs (Chief Information Security Officers) realizem suas tarefas simultaneamente, incluindo a gestão de fornecedores de Infraestrutura como Serviço (do inglês, Infrastructure as a Service – IaaS) e de Plataformas como Serviço (do inglês, Platform as a Service – PaaS). Dessa forma, o CASB está de acordo com requisitos fundamentais para os CISOs estabelecerem políticas, monitorarem comportamentos e gerenciarem riscos de todos os serviços Cloud das empresas.

Detecção e Resposta de Endpoints (EDR) – O mercado de soluções de Detecção e Resposta de Endpoints (do inglês, Endpoint Detection and Response – EDR) está crescendo rapidamente para suprir as necessidades de proteção mais eficazes, detectando e reagindo mais agilmente diante de falhas. As ferramentas de EDR registram diversos eventos de rede e Endpoints e armazenam essas informações localmente ou em uma base de dados centralizada. Como Analytics de Comportamento, as técnicas de aprendizagem por máquina e as bases de dados de conhecidos indicadores de comprometimento (IOC, na sigla em inglês) são usadas para buscar continuamente informações para identificação de falhas (incluindo ameaças internas) e para responder rapidamente a esses ataques.

Abordagens sem assinatura para prevenção de Endpoints – As abordagens para a prevenção de malwares baseadas apenas em assinaturas são ineficazes contra ataques avançados e específicos. Diversas técnicas que melhoram essas abordagens tradicionais têm surgido, incluindo a proteção de memória e a prevenção contra exploit, que impedem a entrada das formas mais comuns de ameaças nos sistemas, e a prevenção automatizada contra malwares baseados em aprendizado, que utiliza modelos matemáticos como assinaturas para a identificação e bloqueio de ameaças.

Analytics de comportamento de usuários e da empresa – O Analytics de comportamento de usuários e da empresa (do inglês, User and Entity Behavioural Analytics – UEBA) permite a realização de uma análise de segurança mais ampla, muito parecida com as Informações de Segurança e Administração de Eventos (do inglês, Security Information and Event Management – SIEM) que possibilitam um amplo monitoramento da segurança. As UEBAs fornecem Analytics centrados no usuário e capazes de analisar seu comportamento e outros fatores como endpoints, redes e aplicativos. A correlação das análises de vários fatores torna os resultados mais precisos e a detecção de ameaças mais eficaz.

Microssegmentação e visibilidade do fluxo – Quando os ataques conseguem acessar os sistemas corporativos, eles podem se mover livremente pelas laterais (“leste/oeste”) para outros sistemas, antes mesmo de serem efetivamente detectados. Para resolver esse problema, há um requisito novo para a “microssegmentação” (segmentação mais granular) do tráfego (“leste/oeste”) nas redes corporativas. Além disso, muitas soluções também fornecem visibilidade e monitoramento dos fluxos de comunicação. As ferramentas de visualização permitem que os administradores de operações e segurança compreendam padrões de fluxos, estabeleçam políticas de segmentação e monitorem eventuais divergências. Diversos fornecedores de tecnologia oferecem criptografia opcional do tráfego da rede (geralmente, túneis IPsec point-to-point) entre cargas de trabalho para a proteção de dados em movimento e oferecem isolamento criptografado entre cargas de trabalho.

Testes de segurança para DevOps (DevSecOps) – A segurança precisa se tornar parte integrante dos fluxos de trabalho das empresas (DevOps — DevSecOps), alinhando o time de desenvolvimento com a equipe de operações, em relação a processos, ferramentas e responsabilidades. Os modelos operacionais DevSecOps estão surgindo e usam certificados, modelos e padrões para conduzir a configuração implícita da infraestrutura de segurança, incluindo políticas como os testes de aplicativos durante o desenvolvimento ou a conectividade da rede. Além disso, diversas soluções realizam avaliações automáticas para encontrar os pontos fracos durante o processo de desenvolvimento, antes mesmo de o sistema ser liberado para produção. A segurança, sendo conduzida por modelos, padrões ou por um conjunto de ferramentas, terá o conceito e o resultado desejados, com uma configuração automatizada, transparente e em conformidade com a infraestrutura de segurança desejada pela empresa e baseada em políticas que refletem as cargas de trabalho atuais.

Soluções de orquestração do Centro Operacional de Segurança baseado em inteligência – O Centro Operacional de Segurança (do inglês, Security Operations Centre – SOC) baseado em inteligência vai além do monitoramento focado em eventos e de tecnologias preventivas. Um SOC desse tipo deve ser usado para informar cada aspecto das operações de segurança. Para cumprir os desafios do novo paradigma de detecção e resposta, um SOC baseado em inteligência também precisa ir além das defesas tradicionais, com uma arquitetura adaptada e com uso de componentes que sejam relacionados ao contexto. Para apoiar as mudanças requeridas nos programas de Segurança da Informação, o SOC tradicional deve se desenvolver para se tornar um modelo baseado em inteligência, com a automação e a orquestração dos processos, posicionando-se como um facilitador fundamental.

Navegador Remoto – A maioria dos ataques começa direcionando um malware entregue via e-mail ou pelo acesso a endereços (URLs) ou a sites de risco para os usuários finais. Uma nova abordagem relacionada a esse risco é o acesso remoto ao navegador por meio de um “servidor de navegação” (geralmente em Linux) que funciona localmente ou em Nuvem. Ao isolar a função de navegação do resto do Endpoint e da rede da empresa, o malware fica fora do PC do usuário final e a empresa reduz significativamente sua área de ataque ao deslocar o risco para as divisões do servidor que podem ser facilmente reinicializadas a cada sessão de navegação, ou a cada abertura de uma nova página.

Tecnologia Deception – As tecnologias Deception são definidas pelo uso de artifícios ou truques destinados a impedir ou eliminar processos cognitivos do invasor, interromper suas ferramentas de automação, atrasar suas atividades ou evitar o progresso da falha. As capacidades de fraude criam, por exemplo, vulnerabilidades, sistemas, compartilhamentos e cookies enganosos que, quando acionados, começam a invasão, já que um usuário legítimo não deveria ver ou tentar acessá-los. As tecnologias Deception estão surgindo para redes, aplicativos, Endpoints e dados com os melhores sistemas combinando diversas técnicas. O Gartner prevê que, até 2018, 10% das empresas usarão ferramentas e táticas com tecnologia Deception contra invasores.

Serviços universais de segurança – A área de TI e os departamentos de Segurança das empresas estão sendo acionados para estender suas capacidades de proteção para a tecnologia operacional e para Internet das Coisas. Dessa forma, novos modelos devem surgir para entregar e administrar a confiabilidade em escala. Os serviços de segurança devem ser projetados para elevar e apoiar as necessidades de bilhões de aparelhos. As companhias que procuram uma confiabilidade distribuída em larga escala devem focar no que inclua a entrega de segurança, a integridade dos dados, a confidencialidade e a identidade e autenticação do aparelho. Algumas abordagens de ponta usam a confiabilidade distribuída e arquiteturas de cadeia de bloqueio para administrarem a integridade dos dados em larga escala.

Conferência Gartner Segurança e Gestão de Riscos 2016
Data: 2 e 3 de agosto de 2016 (Terça e Quarta-feira)
Site: Gartner.com/br/security.

Profissionalização do cibercrime provoca disrupções em empresas digitais

Por

Novo relatório da BT e da KPMG adverte sobre as ameaças emergentes que têm origem em empresas cibercriminosas altamente organizadas, visando o lucro

Apenas um quinto dos executivos de TI das grandes empresas multinacionais afirmam que suas organizações estão realmente preparadas para combater a ameaça do cibercrime. A grande maioria das empresas se sente limitada por regulamentações, disponibilidade de recursos e a dependência de terceiros quando se trata de reagir a esses ataques, segundo nova pesquisa da BT e da KPMG.

O estudo – “Taking the Offensive – Working Together to disrupt digital crime” – identificou que, embora 94% dos responsáveis pelas decisões em TI estejam cientes de que empresários criminosos chantageiam e subornam funcionários para ter acesso a suas organizações, cerca de metade deles (47%) admite que suas empresas não implementaram qualquer estratégia para impedir essas ações.

O estudo também verificou que 97% dos entrevistados já foram alvo de ataques cibernéticos, que, segundo metade deles, vêm se intensificando nos últimos dois anos. Além disso, 91% dos entrevistados acreditam que enfrentam obstáculos em suas defesas contra os ataques digitais: muitos deles citam entraves regulatórios, e 44% se mostram preocupados com a dependência de terceiros para ações de resposta que são de sua responsabilidade.

Mark Hughes, CEO da área de Security da BT, destaca que “estamos agora em uma corrida armamentista contra gangues de criminosos profissionais e contra estados que possuem recursos avançados. No século 21, os cibercriminosos são empresários cruéis e eficientes, atuando em um mercado negro altamente sofisticado e em rápida evolução.

“A contínua escalada do cibercrime exige uma nova abordagem em relação ao risco digital – e isso significa, em primeiro lugar, colocar-se na pele dos atacantes. Não basta as empresas se defenderem dos ataques. É preciso também interromper as atividades das organizações criminosas que lançam esses ataques. As empresas precisam contar com leis aplicadas contra os criminosos, e também com a competência de parceiros especializados em segurança cibernética”.

Paul Taylor, que está à frente da área de segurança cibernética da KPMG no Reino Unido, ressalta que “é tempo de pensar o risco cibernético sob outro ângulo, retirando o foco exclusivamente dos hackers, e reconhecendo que nossas organizações estão sendo alvo de empresários criminosos e impiedosos, que têm planos de negócio e utilizam amplos recursos com intenção de fraudar, extorquir e roubar a propriedade intelectual do que lutamos para conquistar.

“Falar de forma genérica sobre o risco digital não vai apresentar soluções. É necessário pensar em possíveis cenários de ataque à sua empresa e considerar como a segurança cibernética, controle de fraude e resiliência podem ser combinados para lidar com essas ameaças de modo eficiente. Dessa forma, a segurança cibernética se torna uma estratégia corporativa importante para os negócios no mundo digital”.

O estudo da BT/KPMG indica que os Chief Digital Risk Officers (CDROs) agora estão sendo chamados a assumir um papel estratégico, somando experiência no mundo digital e competência gerencial de alto nível. Entre os entrevistados, 26% disseram já contar com um profissional nessa função, o que sugere que a área de segurança e as responsabilidades inerentes a ela estão sendo reavaliadas.

A pesquisa também sinaliza a necessidade de ajuste dos orçamentos, e 60% dos entrevistados indicaram que, nas suas empresas, a segurança cibernética faz parte do orçamento de TI. Metade deles (50%) acredita que deveria haver um orçamento específico para segurança. Um dos maiores desafios identificados pelo relatório é o volume de financiamento e investimentos em P&D que os criminosos conseguem reunir para minar as defesas das empresas alvo.

Participaram do estudo “Taking the Offensive – Working together to disrupt digital crime” profissionais responsáveis pela área de segurança de conhecidas organizações globais. A pesquisa relata exemplos de diversas formas de ataques criminosos identificados por essas organizações, incluindo diferentes tipos de malware e ataques de phishing. Também descreve os principais modelos de negócio dos criminosos e o mercado negro que permeia suas atividades – sejam sofisticados ataques ao sistema financeiro; ataques a empresas ou indivíduos com alta renda, ou até mesmo ataques que já se tornaram commodities, afetando a todos nós.

As conclusões da pesquisa apontam para a necessidade de uma nova mentalidade, considerando a segurança não mais apenas como um exercício de defesa. A segurança, na verdade, é ponto crucial para a inovação digital e, em última instância, para a lucratividade das empresas.

A BT e a KPMG estão agora em contato com grandes organizações em todo o mundo para promover um debate sobre as conclusões da pesquisa e colaborar nas mudanças que devem ser realizadas. Veja a íntegra do relatório.

Nota:
As conclusões e recomendações do relatório “Taking the Offensive – Disrupting Cyber Crime” são baseadas em entrevistas realizadas em parceria com a Vason Bourne, com diretores responsáveis pela TI, resiliência e operações de negócio das maiores empresas nos Estados Unidos, Reino Unido, Singapura, Índia e Austrália. Para fazer o download do relatório, visite: http://www.bt.com/taking-the-offensive

Gartner alerta para áreas de Segurança em Nuvem que as empresas devem focar

Por

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, alerta as empresas para a segurança de aplicações armazenadas em ambientes Cloud (em Nuvem). Enquanto muitos profissionais de tecnologia ainda estão desenhando suas estratégias de Cloud, hesitando em adotar ou definindo seus fornecedores, os funcionários das organizações já estão amplamente utilizando centenas de aplicações Cloud, em especial Software como Serviço (do inglês, Software as a Service – SaaS). Esse tema será amplamente debatido na Conferência Gartner Segurança e Gestão de Riscos, que acontece nos dias 2 e 3 de agosto no Sheraton São Paulo WTC Hotel (SP).

Segundo o Gartner, a computação em Nuvem cria muitos desafios para todas as empresas. Geralmente, nenhuma política corporativa de Cloud ou projeto de segurança é abrangente o suficiente. Do ponto de vista da Segurança e da Gestão de Riscos, a ambiguidade é especialmente difícil de lidar. Um dos principais dilemas com relação à introdução de políticas de computação em Nuvem é que ninguém consegue realmente definir o que ela é. “Enquanto os CISOs (do inglês, Chief Information Security Officers) veem a Nuvem como um estilo de computação, outras partes da empresa enxergam apenas como ‘coisas acessadas pela Internet’”, afirma Jay Heiser, Vice-Presidente de Pesquisa do Gartner.

Independentemente de como os grupos definem a computação em Nuvem, os analistas do Gartner indicam que é essencial ter uma estratégia bem definida, assim como políticas para o seu uso. As empresas devem focar em três áreas principais de segurança na Nuvem: multilocação, virtualização e software como serviço.

A multilocação proporciona flexibilidade limitada nos serviços para empresas dividem espaço com outros clientes. Com os dados fora do controle físico da companhia, a segurança acaba se tornando um problema. De fato, 38% das organizações que não planejam utilizar a Nuvem Pública apontaram a segurança e a privacidade como os principais motivos de risco. No entanto, as empresas podem estar usando a segurança e a privacidade como “desculpa”, tanto pelo medo de abdicar do controle sobre os dados quanto pela grande mudança no status quo do modo como estão acostumadas a trabalhar. “Não há correlação entre falha de segurança e o grau de multilocação. Às vezes, tornar-se híbrida pode ser a melhor forma para que algumas empresas ganhem confiança no modelo de Nuvem Pública”, explica Heiser.

A virtualização requer uma gestão de vulnerabilidade e processos de comparação distintos para o ambiente de Nuvem. As empresas podem usar ferramentas diferentes para gerenciar máquinas virtuais, uma vez que sua natureza complexa, dinâmica e distribuída não permite a indicação física de segurança como as “luzes piscantes” dos modelos tradicionais.

Os aplicativos de SaaS (Software como Serviço) oferecem um nível cada vez maior de segurança, com inúmeras funcionalidades de controle. No entanto, as aplicações de SaaS estão, no geral, sob o comando dos usuários finais, oferecendo uma transparência mínima e sem possibilidades de personalização para as demandas das empresas. Para aumentar a complexidade, muitas empresas chegam a ter 1.000 aplicativos SaaS em uso.

Priorize suas escolhas de SaaS

Os profissionais de segurança (CISOs) precisam definir suas prioridades e definir o tempo e os melhores recursos para lidar com o contexto de risco no uso de SaaS. Dessa forma, é necessário dividir os aplicativos de SaaS (Software como Serviço) em três níveis:

Nível 1: Realisticamente, cerca de 80% do mercado está centrado em 100 serviços de Cloud. Os principais fornecedores têm opções comprovadas, mas as organizações precisam se debruçar sobre o tema e verificar se realmente elas estão fora de risco para usar as soluções de forma segura.

Nível 2: Estas empresas, tipicamente grandes marcas que estão experimentando Cloud Services, não tinham oferecido antes como ofertas principais por mais de cinco anos. Geralmente com uma estratégia vertical de oferta de aplicativos, eles bloquearam avaialçies de terceiros. É neles que os CISOs devem focar suas avaliações e seus recursos.

Nível 3: Os milhares de aplicativos de computação em Nuvem classificados como nível 3 são praticamente irrelevantes, segundo Heiser. Não se pode assumir que um pequeno provedor de serviço em Nuvem (CSP) seja seguro ou financeiramente estável. Apesar de ser um risco aceitável, estes aplicativos devem ser utilizados com cuidado.

Conferência Gartner Segurança e Gestão de Riscos 2016
Data: 2 e 3 de agosto de 2016 (Terça e Quarta-feira)
Local: Sheraton São Paulo WTC Hotel – Av. das Nações Unidas, nº 12.559
Site: Gartner.com/br/security.