Nos últimos anos, o papel do CFO deixou de ser apenas o de um guardião dos números para se tornar um agente estratégico da transformação analítica nas empresas. Hoje, ele precisa responder a pressões contraditórias: entregar resultados imediatos sem comprometer investimentos de longo prazo, reduzir riscos enquanto busca inovação, e tomar decisões cada vez mais rápidas diante de uma avalanche de dados complexos.
Segundo estudo da McKinsey, os principais obstáculos à digitalização das finanças incluem o alto custo de adoção tecnológica, escassez de talentos, barreiras culturais e dependência excessiva de tecnologias legadas como planilhas. O problema não está em reconhecer o valor da transformação, mas em como implementá-la com segurança, escala e agilidade.
Uma solução que resolve rapidamente estes obstáculos é o Alteryx. Ele democratiza o acesso aos dados para os usuários finais em uma aplicação muito simples e fácil de usar e com total controle das atividades realizadas nela. Sua implantação é simples e rápida. Trouxemos abaixo como superar estes 5 grandes obstáculos por meio do uso do Alteryx na sua organização.
1. Custo de adoção tecnológica
Soluções tradicionais de análise de dados exigem grandes investimentos em infraestrutura, integrações e equipes de TI. A curva de aprendizado para adoção da tecnologia pode ser longa e restrita a times técnicos. A solução é dar às áreas de negócio o poder de acessar e transformar os dados, com uma ferramenta low/no code e que possa ser gerenciada pela área de TI, como o Alteryx. Neste cenário, a adoção do Alteryx empodera os usuários finais a automatizar suas necessidades com dados, levando semanas para realizar processos que levariam meses em um modelo centralizado
2. Escassez de talentos analíticos
A maioria das equipes financeiras não conta com cientistas de dados. Ainda assim, precisam lidar com volumes crescentes de informação. Se a empresa tem um time de ciência de dados, desde análises simples a temas mais complexos, tudo deve passar por tickets que devem ser resolvidos centralizadamente por este time. É necessário então habilitar as áreas de negócio a resolver seus problemas de forma autônoma. O Alteryx capacita analistas e profissionais de finanças a construir fluxos analíticos complexos com uma interface intuitiva e sem necessidade de programação.
3. Barreiras culturais à inovação
Muitos profissionais ainda associam automação à perda de controle ou de relevância do seu papel. É comum as estruturas de TI olharem torto para soluções comandadas por usuários de negócio. Porém, para entregar seus resultados, os usuários encontram seus caminhos, inclusive dentro das aplicações existentes ou com o que se chama de Shadow IT (aplicações instaladas indevidamente pelos usuários). Com o Alteryx, os usuários têm a licença local na máquina, mas os fluxos e automações são gerenciados em um servidor, com total controle da área de TI. É possível auditar os fluxos criados, versionamentos, ativações e inativações das automações, e muito mais.
4. Desconhecimento do potencial da tecnologia
Há uma lacuna entre o que os CFOs desejam e o que acreditam ser tecnicamente possível, levando à inércia na tomada de decisão. Isto ocorre por 2 principais motivos: seja pelo desconhecimento do CFO sobre as novas tecnologias ou por resistência à adoção de novas soluções. No primeiro caso, muitos CFOs não têm disponibilidade de tempo ou incentivo para se manterem atualizados sobre o que há no mercado. Sendo assim, delegam a inovação para TI. Porém, se o modelo mental de TI não voltado para o negócio, pode então haver uma barreira na implantação de novas tecnologias. Já no segundo caso, o cenário é pior. Um CFO resistente a adotar novas tecnologias aprisiona sua organização na improdutividade e burocracia. O Alteryx poderia ajudar as organizações e os CFOs a se tornarem líderes da transformação digital, por meio de uma solução simples e replicável em todo o negócio.
5. Dependência de tecnologias legadas
Planilhas ainda dominam o cenário financeiro, mesmo sendo suscetíveis a erros, pouco escaláveis e difíceis de auditar. E neste caso, muitas empresas passam a se tornar altamente dependentes de delas, com infinitas fórmulas, tabelas dinâmicas, automações por VBA que são hospedadas localmente nas máquinas. O Alteryx substitui as planilhas por fluxos automatizados, auditáveis e documentados — com rastreabilidade completa e auditoria.
Mais do que uma solução tecnológica, o Alteryx viabiliza um novo modelo operacional para as áreas financeiras. Com ele, o CFO ganha agilidade, visibilidade e governança, enquanto prepara sua equipe para atuar de forma mais estratégica, colaborativa e orientada a dados.
Afinal, em um cenário cada vez mais dinâmico e competitivo, o diferencial não será quem tem mais dados — mas quem os transforma em decisões com mais velocidade e precisão.
Em um cenário digital cada vez mais complexo, a segurança da informação deixou de ser apenas uma questão técnica para se tornar uma prioridade estratégica. Embora investimentos em tecnologia sejam essenciais, eles não são suficientes para mitigar os riscos associados ao fator humano. Estudos indicam que 95% das violações de dados ocorre devido a erros humanos, como o clique em links maliciosos.
Segurança da informação: além da tecnologia, uma questão de cultura
Tradicionalmente, a segurança da informação era tratada como uma responsabilidade exclusiva da área de TI. No entanto, a realidade atual exige uma abordagem mais abrangente, onde todos os colaboradores compreendam seu papel na proteção dos dados corporativos.
A cultura organizacional desempenha um papel crucial nesse contexto. Quando a segurança da informação é incorporada aos valores e práticas diárias da empresa, os colaboradores tornam-se aliados na identificação e prevenção de ameaças.
Educação contínua: a chave para fortalecer a defesa humana
Implementar programas de treinamento e conscientização é essencial para desenvolver uma cultura de segurança eficaz. Plataformas como a KnowBe4 têm demonstrado resultados significativos nesse aspecto.
Um estudo da KnowBe4 abrangendo mais de 55.000 organizações revelou que, após 90 dias de treinamento e testes simulados de phishing, a suscetibilidade dos colaboradores a ataques caiu de 37,9% para 14,1%. Após um ano, esse índice reduziu-se ainda mais, atingindo apenas 4,7% .
Esses números destacam a eficácia de programas contínuos de conscientização na mitigação de riscos associados ao comportamento humano.
Uma abordagem diferenciada na construção da cultura de segurança
Diferentemente de plataformas tradicionais de treinamento, que muitas vezes oferecem conteúdos genéricos e esporádicos, a KnowBe4 adota uma abordagem integrada e contínua. Além de fornecer treinamentos personalizados e atualizados, a plataforma realiza simulações de ataques de phishing, permitindo que os colaboradores pratiquem a identificação de ameaças em um ambiente controlado.
Um dos diferenciais da KnowBe4 é o Risk Score, uma métrica que avalia a propensão de cada colaborador a cair em ataques de phishing. Esse indicador é calculado com base em diversos fatores, como resultados de testes simulados e interações com e-mails suspeitos, permitindo que as organizações identifiquem áreas de risco e direcionem treinamentos específicos .
Construindo uma cultura de segurança sólida
A segurança da informação vai além da implementação de ferramentas tecnológicas; ela requer o engajamento de toda a organização na adoção de práticas seguras. Investir em educação e conscientização é fundamental para transformar os colaboradores em uma linha de defesa eficaz contra ameaças cibernéticas.
Ao fomentar uma cultura de segurança, as empresas não apenas protegem seus ativos, mas também fortalecem a confiança de clientes e parceiros.
A próxima violação de dados pode começar com um clique, mas com uma cultura organizacional sólida, esse clique pode ser o início de uma resposta proativa e eficaz.
Em Jurassic Park, o Dr. Ian Malcolm, interpretado por Jeff Goldblum, solta uma das frases mais icônicas do cinema: “life finds a way”, “a vida encontra um meio”, em Português. A fala surge após a descoberta de que os dinossauros – programados para serem estéreis – estavam, de alguma forma, se reproduzindo. Ou seja: mesmo com todas as precauções, a vida deu um jeito.
Nas organizações, o mesmo acontece. Por mais que a TI estabeleça controles, políticas e padrões, os usuários sempre encontram um jeito de fazer o que precisam. Especialmente quando o objetivo é claro: entregar resultado. E quando as ferramentas oficiais não acompanham o ritmo, surgem os famosos “atalhos”: planilhas, scripts soltos, bases paralelas e acessos não controlados.
O desafio: controle sem sufocar a agilidade
A área de TI vive o dilema entre manter a governança e dar suporte às demandas crescentes das áreas de negócio. E quando tudo depende da TI – desde consultas simples até automações completas – o resultado costuma ser um só: fila de tickets, gargalo, retrabalho e frustração dos dois lados.
É nesse cenário que o Alteryx oferece uma alternativa poderosa e equilibrada.
Alteryx: descentralização com controle
O Alteryx entrega exatamente o que a empresa precisa: autonomia para o usuário final, com uma plataforma amigável, visual e acessível – sem abrir mão da governança exigida pela TI.
Como o Alteryx resolve esse impasse:
Delegação com segurança: usuários criam e executam seus próprios fluxos de dados, análises e automações sem depender da TI para cada tarefa.
Interface intuitiva: nada de código. O Alteryx usa uma abordagem visual que democratiza o acesso à análise de dados. Mas se for preciso, é possível utilizar códigos na solução
Menos tickets para a TI: ao empoderar o usuário, a TI reduz significativamente a demanda por tarefas operacionais e libera tempo para projetos mais estratégicos.
Alteryx Server como pilar de governança:
Centraliza e versiona todos os workflows;
Permite agendamentos automáticos com logs completos;
Controla permissões por usuário ou grupo;
Garante rastreabilidade e conformidade com políticas corporativas.
Um modelo moderno de colaboração
A TI não perde o controle — ganha parceiros. Com o Alteryx, as áreas de negócio deixam de improvisar e passam a usar uma plataforma suportada, auditável e escalável, sob a supervisão da área técnica. O resultado é um ambiente de dados mais saudável, seguro e produtivo.
Se em Jurassic Park “a vida encontrou um jeito”, no mundo corporativo os usuários também encontram. A diferença é que agora, com o Alteryx, a TI pode mostrar o caminho certo – e garantir que todos cheguem lá com segurança.
Nos últimos anos, a pressão sobre as áreas de TI aumentou consideravelmente. De um lado, a demanda por segurança, compliance e governança de dados. Do outro, a crescente urgência das áreas de negócio por autonomia e agilidade analítica. É nesse cenário que o Alteryx surge como um aliado estratégico – e não como uma ameaça.
Ainda há resistência por parte de algumas equipes de tecnologia em relação à adoção de plataformas como o Alteryx. Parte disso vem de mitos, desinformação ou, simplesmente, da falta de clareza sobre o papel que o time de TI pode e deve exercer nesse novo modelo de trabalho com dados.
Este artigo apresenta cinco razões pelas quais a área de TI deve não apenas aprovar, mas liderar a adoção do Alteryx nas organizações.
1. Complementa soluções como Databricks e Anaplan
É comum que a TI questione a necessidade do Alteryx quando a empresa já conta com plataformas como Databricks ou Anaplan. No entanto, é preciso entender que essas soluções têm finalidades diferentes.
Databricks é ideal para ambientes de engenharia de dados em larga escala. Anaplan foca em planejamento conectado e modelagem de cenários. Já o Alteryx atua como uma camada intermediária que permite que usuários de negócio acessem, transformem e analisem dados de forma autônoma — sempre com governança e integração com o ecossistema já existente.
Em vez de competir, o Alteryx amplia o valor dessas plataformas ao acelerar entregas e democratizar o acesso aos dados com segurança.
2. Libera cientistas de dados para tarefas estratégicas
A escassez de cientistas de dados no mercado é um fato. E mesmo quando se tem um time robusto, o uso inadequado dos recursos humanos pode ser um gargalo.
Ao apoiar o uso da plataforma, a TI ajuda a liberar os cientistas de dados para atuar em projetos realmente estratégicos, como modelagem preditiva avançada, otimização de processos e inovação baseada em IA.
3. Oferece flexibilidade com suporte a Python e R
Outro ponto importante é que o Alteryx não é uma plataforma “sem profundidade técnica”. Muito pelo contrário.
Além de sua interface intuitiva para usuários de negócio, o Alteryx permite que usuários mais avançados — incluindo profissionais da própria TI — incorporem scripts em Python, R e SQL. Isso significa que modelos preditivos, algoritmos personalizados e integrações complexas podem ser utilizados dentro da plataforma de forma estruturada e reutilizável.
A TI mantém o controle técnico e ainda oferece às áreas de negócio uma experiência acessível, robusta e alinhada com boas práticas.
4. Garante governança com controle e auditoria
Talvez a maior preocupação legítima da TI ao liberar ferramentas para o negócio seja a perda de controle e governança. No entanto, o Alteryx foi desenvolvido exatamente com isso em mente.
Com recursos como versionamento de workflows, permissões granulares, logs de execução, integração com Active Directory e monitoramento centralizado via Alteryx Server, a plataforma garante visibilidade total sobre os fluxos e usuários.
Na prática, o Alteryx ajuda a TI a substituir processos manuais e informais por fluxos auditáveis, padronizados e escaláveis — elevando o nível de controle sobre os dados e as análises.
5. Retorno rápido sobre o investimento
Em vez de olhar apenas para o custo de licenciamento, o ideal é analisar o valor gerado. O Alteryx entrega retorno em múltiplas frentes: produtividade, automação, redução de retrabalho, menor dependência de TI para tarefas simples, entre outras.
Para se ter uma ideia, uma empresa do setor financeiro implementou a Alteryx em uma estratégia de transformação digital em seus processos financeiros, gerando um impacto de mais de US$10 milhões.
Para a TI, isso representa menos solicitações operacionais, mais tempo para iniciativas estratégicas e um parceiro que ajuda a acelerar a entrega de valor com segurança.
TI como protagonista da transformação
O papel da TI está evoluindo: de guardiã dos sistemas para habilitadora da inovação. Apoiar o uso do Alteryx é, portanto, uma decisão estratégica. Não se trata de abrir mão do controle, mas de construir um modelo mais eficiente, colaborativo e sustentável para toda a organização.
Não é sobre tirar o poder da TI. É sobre dar superpoderes para as áreas de negócio — com governança, performance e parceria.
O Alteryx tem se consolidado como uma das principais plataformas de automação analítica do mercado, viabilizando desde análises simples até arquiteturas analíticas complexas e integradas. No entanto, o impacto da solução está diretamente relacionado à forma como ela é adotada e escalada dentro das organizações.
Mais do que uma questão técnica, trata-se de uma decisão estratégica: empresas que conseguem amadurecer o uso do Alteryx colhem ganhos relevantes em produtividade, confiabilidade dos dados e escalabilidade da inteligência analítica.
A seguir, vamos explorar os três principais grupos de uso do Alteryx dentro das empresas — da automação pontual à automação corporativa — e os desafios e oportunidades associados a cada estágio.
1. Automação ad hoc: produtividade pontual, riscos estruturais
Neste primeiro grupo, o uso do Alteryx está concentrado em indivíduos ou pequenos times, que utilizam o Alteryx Designer para resolver problemas específicos de análise de dados, normalmente com foco em agilidade individual e ganho de produtividade em tarefas operacionais.
Características:
Uso localizado e isolado por profissionais analíticos
Tipicamente entre 1 a 5 licenças de Alteryx Designer
Sem uso do Alteryx Server
Foco em resolução rápida de demandas pontuais e criação de relatórios básicos
Riscos:
A empresa não captura os ganhos em escala que a plataforma pode oferecer
Dependência excessiva de especialistas: turnover pode significar a perda total do processo
Falta de governança e visibilidade do uso, o que pode caracterizar shadow IT
Processos não documentados nem orquestrados, gerando risco de ruptura operacional
Oportunidade:
Mesmo com essas limitações, é um ponto de partida importante. Quando há resultados positivos, é o momento ideal para sensibilizar a liderança sobre o potencial de escalar o uso com segurança e estratégia.
2. Automação end to end: o ponto de virada
Neste segundo estágio, o Alteryx já está presente em times com maturidade analítica, que utilizam a plataforma para criar pipelines de dados mais robustos, relatórios complexos e automações que impactam processos críticos do negócio.
Características:
Entre 6 a 10 licenças de Alteryx Designer
Uso do Alteryx Server para orquestração e agendamento
A solução passa a ser reconhecida como estratégica por algumas áreas
Equipes começam a padronizar práticas, compartilhar workflows e reduzir retrabalho
Riscos:
Pode haver limitação por uso departamental: a solução evolui, mas ainda está isolada
Sem envolvimento da TI, a governança e escalabilidade podem se tornar um entrave
Falta de estratégia de expansão pode fazer a empresa estagnar ou até regredir
Oportunidade:
Esse estágio representa um turning point: ou a organização estrutura a expansão da plataforma, ou corre o risco de não capturar todo o seu potencial. Com o apoio da TI e a criação de modelos de governança, é possível dar o próximo passo com segurança.
3. Enterprise automation: inteligência analítica em escala
O estágio mais avançado é o da automação empresarial. Aqui, o Alteryx é parte central da estratégia de dados da empresa, sendo utilizado de forma transversal por diferentes departamentos, com apoio direto da TI e governança estabelecida.
Características:
Mais de 11 Alteryx Designers, uso do Alteryx Server, Intelligence Suite e ambientes sandbox
Implementação de Centros de Excelência Analítica ou Operacional (CoE)
TI atua como parceira estratégica, oferecendo governança e infraestrutura
Workflows integrados a sistemas corporativos, ERPs, CRMs e data lakes
Uso de modelos preditivos e automação inteligente em escala
Benefícios:
A empresa atinge um novo patamar de eficiência e confiabilidade analítica
Redução significativa de custos com retrabalho, erros e silos de dados
Agilidade na tomada de decisão baseada em dados confiáveis e atualizados
Governança e segurança integradas, com visibilidade total da operação
Oportunidade:
Organizações nesse estágio se posicionam como data-driven de verdade. O Alteryx deixa de ser uma ferramenta e se torna um habilitador estratégico da transformação digital, com impacto direto em resultados de negócio.
Onde sua organização está — e onde pode ela pode chegar?
Identificar o estágio atual de uso do Alteryx é o primeiro passo para definir um plano de evolução. Independentemente do ponto de partida, o importante é entender que o valor da plataforma cresce à medida que ela é estruturada e integrada à estratégia da organização.
Investir em expansão com governança, engajamento da TI e visão de longo prazo é o que separa o uso pontual da automação analítica como vantagem competitiva real.
Se a sua empresa está pronta para dar esse salto, o caminho começa com uma conversa estruturada — e com a TI como protagonista dessa evolução.
Imagine a seguinte situação: chegou o momento do pagamento do bônus sobre os resultados. Centenas de funcionários estão ansiosos para saber quando e quanto irão receber. De repente, todos recebem um e-mail com remetente da empresa e a seguinte mensagem: “Seu PLR já foi calculado. Acesse o link abaixo da intranet para saber o valor.” Um dos colaboradores acha aquilo estranho e reporta o caso para a TI. Tarde demais! Dezenas de pessoas já clicaram e passaram as suas senhas para o hacker, que conseguiu a chave da porta de entrada para os sistemas e dados da empresa.
Cenários como esse comprovam que o ser humano é a última barreira de segurança da informação. Ele pode ser a maior fortaleza ou a maior fragilidade da organização. Ou seja, mesmo que uma empresa invista pesadamente em tecnologias, os seres humanos ainda podem causar fragilidades nos sistemas de informação. Isso ocorre porque as pessoas são propensas a erros, como clicar em links maliciosos, digitar senhas inseguras e fornecer informações pessoais a terceiros não autorizados.
Essa afirmação não é só palavras ao vento. Há números que lastreiam isso. De acordo com o Fórum Econômico Mundial, 95% dos incidentes de segurança cibernética ocorrem devido a erro humano. O consentimento de pessoas em passar dados sigilosos que permitem os criminosos avançarem nas barreiras de cibersegurança acontece porque elas sequer sabem que estão fazendo algo errado. E, do outro lado da ponta, temos a engenharia social, que é uma técnica utilizada por hackers para enganar as pessoas a revelar informações confidenciais ou tomar ações que possam comprometer a segurança da informação. Os hackers podem usar uma variedade de técnicas de engenharia social, incluindo:
Phishing: neste caso, os hackers enviam e-mails falsos que parecem ser de fontes confiáveis, como os bancos ou as empresas de tecnologia. Esses e-mails geralmente solicitam que as pessoas cliquem em links maliciosos ou forneçam informações pessoais, como senhas ou números de cartão de crédito.
Vishing: aqui, os criminosos realizam chamadas telefônicas falsas que parecem ser de fontes confiáveis. Mais uma vez, solicitam informações pessoais, como senhas ou números de cartão de crédito.
Pretexting: nessa modalidade, os hackers se passam por alguém que tem autoridade ou conhecimento com o objetivo de ter acesso a informações confidenciais ou tomar ações que possam comprometer a segurança.
Tailgating: a técnica acontece quando os hackers seguem alguém para dentro de um prédio ou local seguro.
Dumpster diving: os criminosos vasculham latas de lixo em busca de informações confidenciais, como senhas ou números de cartão de crédito. E contra este tipo de ataque, não há nenhuma barreira tecnológica melhor do que capacitar o próprio ser humano para bloquear as tentativas.
Se tiver que elencar um desses ataques como prioritários na condução de ações de proteção das empresas, seria o de phishing. Isso porque os criminosos estão usando técnicas cada vez mais avançadas para enganar os funcionários, incluindo o uso de logotipos e nomes de empresas conhecidas, bem como a criação de e-mails que parecem ser urgentes ou importantes. Em muitos casos, o hacker coleta informações de eventos importantes da organização e, a partir disso, monta os e-mails.
Mas, a boa notícia é que o mercado já dispõe de algumas soluções para ajudar as empresas a testar o comportamento humano em situações de engenharia social, contemplando ferramentas de disparo de testes de phishing, monitoramento e sinalização de e-mails suspeitos, além da capacitação de colaboradores para que não caiam nessas ciladas. Com esses tipos de tecnologia é possível:
Criar um programa de conscientização em segurança personalizado para a organização. Esses cursos podem ensinar aos funcionários como identificar e evitar e-mails de phishing, além de responder a ataques.
Eliminar os treinamentos antigos “Next-Next-Finish”. Essas plataformas apresentam treinamentos modernos em segurança, ajudando a manter os usuários atentos aos riscos atuais.
Permitir aos usuários denunciar e-mails de phishing a partir da implementação do “Phish Alert Button” no seu cliente de e-mail. Desta maneira, a equipe de resposta a incidentes poderá identificar e responder mais rapidamente às ameaças em e-mail.
Independente da solução aplicada, avaliar, conscientizar e monitorar o ambiente de trabalho é a melhor solução para fazer o upgrade de segurança da informação aos colaboradores da organização.
*Matheus Jacyntho é diretor de Cibersegurança e Rodrigo de Castro Schiavinato é diretor-executivo de parcerias e inovação e sócio, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
O WAF (Web Application Firewall) é uma camada de segurança importante para as empresas que possuem aplicações web, como sites, plataformas de e-commerce, sistemas de gerenciamento de conteúdo (CMS), entre outros. É uma espécie de “muro” virtual que fica entre os usuários da internet e o site da empresa, ajudando a proteger os aplicativos web ao filtrar e monitorar o tráfego entre o aplicativo web e a internet. O WAF protege as aplicações contra ameaças cibernéticas que visam explorar vulnerabilidades nas aplicações web para obter informações sensíveis ou derrubar o site.
As ameaças cibernéticas são cada vez mais frequentes e sofisticadas, e podem causar prejuízos financeiros, perda de dados e até mesmo danos à imagem da empresa. Muitos pensam que os ataques hackers são realizados especificamente por pessoas por trás de computadores. Não é bem assim: os hackers utilizam ferramentas de automação para vasculhar em altíssima velocidade e 24 horas por dia sites que sejam vulneráveis a ataques, independentemente de seu porte. É como se um ladrão pudesse testar a abertura de todas as portas das casas de um quarteirão em segundos. Pior do que isso – todas as portas das casas e apartamentos de uma cidade inteira em questão de minutos. Por isso, é fundamental que as empresas tenham uma solução de segurança cibernética que inclua um WAF para proteger suas aplicações web.
O que é WAF e para que ele serve?
O WAF é configurado para interceptar o tráfego de entrada e saída entre o cliente e o servidor da aplicação web. No tráfego de entrada, o WAF verifica se há atividades suspeitas, identificando padrões maliciosos de tráfego que indicam tentativas de invasão, como injeção de SQL, cross-site scripting (XSS), tentativas de força bruta, entre outros. Já no tráfego de saída, o WAF trabalha identificando se há tentativas de extrair informações do servidor, como dados sensíveis dos usuários. Nesses casos, o WAF pode bloquear ou permitir com restrições a saída de dados, protegendo as informações da empresa. Além disso, o WAF pode ser configurado para bloquear tráfego de países ou regiões específicas, ajudando a reduzir o número de ataques que chegam às aplicações.
Um dos ataques mais comuns que o WAF protege é o DDoS (ataque de negação de serviço). Esses ataques são executados por meio do envio de tráfego excessivo para a aplicação web, o que faz com que o servidor fique sobrecarregado e não consiga processar as solicitações legítimas. Imagine que uma estrada é um site da internet e os carros são os usuários que acessam o site. Quando há um engarrafamento, muitos carros congestionam a estrada, tornando o trânsito lento ou até parando completamente. O resultado é que o site fica fora do ar, causando prejuízos financeiros e danos à imagem da empresa.
Dados mostram que os ataques DDoS estão cada vez mais comuns e mais sofisticados. Para se ter uma ideia da magnitude desse tipo de ataque, em 2020, a Cloudflare atingiu o recorde de mitigação de ataques DDoS em sua rede global, bloqueando 17,2 milhões de requisições por segundo. Isso reforça a necessidade de que as empresas tenham um WAF em suas soluções de segurança cibernética para se proteger contra ameaças cibernéticas.
Como escolher um Web Application Firewall?
Escolher um WAF pode ser uma tarefa desafiadora, mas existem alguns critérios que podem ajudar na sua análise:
Funcionalidades: avalie as funcionalidades oferecidas pelo WAF, como prevenção de ataques de injeção de SQL, proteção contra ataques DDoS, mitigação de bots maliciosos e outros recursos que atendam às necessidades da sua organização;
Integração: verifique se o WAF se integra facilmente com as tecnologias e sistemas já existentes na sua organização;
Escalabilidade: certifique-se de que o WAF é escalável e capaz de atender às necessidades de crescimento da sua organização;
Usabilidade: avalie a facilidade de uso do WAF, verificando se a interface de gerenciamento é intuitiva e se os recursos de automação ajudam a simplificar o gerenciamento de segurança;
Suporte técnico: verifique se o fornecedor do WAF oferece um bom suporte técnico, incluindo suporte em horário comercial ou 24/7, documentação completa e recursos de treinamento.
Além desses critérios, é importante considerar a reputação do fornecedor de WAF no mercado, avaliando suas referências e avaliações de clientes. O Web Application Firewall (WAF) da Cloudflare é reconhecido por sua qualidade e inovação, sendo avaliado positivamente por empresas de pesquisa como a Gartner e a Forrester. Em 2021, a Gartner reconheceu a Cloudflare como um Líder em seu Quadrante Mágico para Serviços de Proteção de Aplicativos Web. A Forrester também destacou a Cloudflare como uma forte opção para as empresas que procuram proteger seus aplicativos da web em seu relatório Forrester Wave: Serviços de Proteção de Aplicativos Web. Essas avaliações destacam a capacidade da Cloudflare de fornecer soluções WAF de alta qualidade e sua reputação como líder em segurança cibernética.
Em resumo, o WAF é uma camada de segurança importante para proteger as aplicações web das empresas contra ameaças cibernéticas. Com a crescente sofisticação dos ataques, é fundamental que a sua empresa invista em soluções de segurança cibernética que incluam um WAF para garantir a segurança dos seus dados, a disponibilidade de seus serviços online e, consequentemente, preservar a reputação e imagem perante os seus clientes online.
Apesar da crise econômica dos últimos anos o e-commerce no Brasil segue em alta, conquistando fatia de mercado do comércio tradicional. Porém, à medida que este canal aumenta participação no mercado, cresce também a atratividade para ações ilícitas, como fraudes no e-commerce.
Segundo o Serasa Experian, as fraudes são a maior causa de fechamento de lojas virtuais no Brasil. Quando se fala em fraudes no e-commerce, o ambiente virtual é o tema comum, com assuntos recorrentes que tratam desde a invasão das lojas virtuais para roubo de dados, ataques para indisponibilidade do site, sequestro de banco de dados e fraudes nos meios de pagamento, com foco no cartão de crédito. A gestão de vulnerabilidades no ambiente de TI é importante, mas não é a única porta de saída para grandes perdas no comércio eletrônico. O fluxo comercial, desde o cadastro do consumidor final até o pós venda, pode conter fragilidades relevantes e que devem ser levadas em consideração.
Para identificar e conter processos fraudulentos, o monitoramento integrado de transações é uma ótima ferramenta. Este mecanismo avalia atividades do cliente durante todo o fluxo de compra, comparando-o com comportamentos estatísticamente normais para avaliar se a atividade realizada é suspeita. Além disso, pode-se criar listas restritivas com base em históricos comprovados de fraude, para identificar novos casos.
Vamos avaliar um caso de fraude em potencial. Um cliente antigo realiza uma alteração cadastral de endereço, email e telefone. Posteriormente, realiza uma compra relevante e paga via cartão de crédito. Um monitoramento de transações no meio de pagamento pode falhar na checagem deste pedido, mas um monitoramento integrado do cadastro e da compra, pode detectar um padrão suspeito e bloquear o envio do pedido.
Em projetos para canais de e-commerce, a Protiviti identificou um caso onde 1 cliente realizou 33 devoluções de compra no período de um ano. Os produtos eram jogos de videogame. Porém, houve casos de clientes que chegaram a mobiliar a própria casa, se aproveitando de fragilidades no processo de devolução de mobiliário, que normalmente não coleta o item enviado por conta de limitações logísticas. Com um monitoramento integrado de transações, tanto os novos pedidos como as solicitações de devolução poderiam ser bloqueadas para uma avaliação mais detalhada.
Os principais processos a serem integrados no monitoramento de transações são o cadastro, pedido de compra e o pós venda, contemplando o insucesso de entrega, solicitação de troca e devolução do item. O sistema pode utilizar-se de modelos estatísticos pré definidos ou aplicar tecnologias como inteligência artificial e big data. O monitoramento pode ser online ou por pacote de dados. Independente do grau de tecnologia e periodicidade, esta solução é de fundamental relevância para o comércio eletrônico.
* Rodrigo Castro é diretor executivo da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.
Nos últimos anos, as empresas passaram por um processo de digitalização intenso dos canais de contato direto com o cliente, principalmente no comércio eletrônico e nos bancos. Muitas startups surgiram com soluções para problemas dos consumidores, o que facilitou muito as nossas vidas. E para facilitar a nossa vida, muitas dessas plataformas digitais buscam a melhor experiência do usuário, o que significa ir direto ao ponto, sem rodeios. Porém, na esteira dos clientes, também há os fraudadores que se aproveitam dessa simplicidade para perpetrar golpes e lesar as pessoas. Controlar os processos digitais pode afetar essa experiência?
Apesar de serem a vasta minoria, os criminosos causam grandes estragos quando encontram brechas.
E para evitar isto, algumas empresas criam etapas de segurança em seus processos digitais que podem diminuir a qualidade da experiência do usuário nas plataformas. Resta então a pergunta: será que estes controles realmente pioram a experiência do usuário?
Para começar este texto, quero citar 3 exemplos da vida real. O primeiro são os bancos de varejo. Quem ainda é cliente de agências físicas sabe que o processo de acessar as agências não é fácil.
O torniquete de entrada, o vigilante armado, as restrições de saque em grandes volumes são fricções que dificultam a experiência do cliente. Outro exemplo são as companhias aéreas. Pegar um vôo talvez seja um dos processos com maior fricção e com a pior experiência de usuário que existe. O processo de embarque é desgastante, com filas imensas e todo o processo de colocar a bagagem na esteira, retirar o laptop da mala, tirar vestimentas com metal e depois ter que colocar tudo de novo, para depois chegar no portão de embarque e aguardar longas filas novamente para mostrar o documento e embarcar.
Esses processos existem por conta de imposições regulatórias ou por riscos materializados nestas empresas em algum momento. É fato que alguns deles poderiam ser repensados, mas existem pelo propósito de evitar eventos severos aos clientes e às empresas que já passaram por inúmeras situações. De certa forma, estes controles também trazem conforto para o usuário que pode ter uma maior sensação de segurança e tranquilidade.
No caso das plataformas digitais, isto não é diferente. A experiência do usuário deve ser priorizada, mas não em detrimento da sua segurança e a da empresa. Logo, é importante que a fricção exista para evitar a materialização de danos por fraudes nos processos digitais. Mas, por serem relativamente novas, estas empresas passaram por poucos eventos de risco e, por isso, ainda não se protegeram adequadamente.
Aqui vão mais 2 exemplos ilustrativos, mas reais. Numa plataforma que permite o usuário ter uma carteira digital para pagamentos e recebimentos, a vinculação de um cartão de crédito é feita apenas pelo cadastro do número do cartão, código de segurança e data de vencimento. Todas essas informações estão disponíveis na via física do cartão de crédito de qualquer pessoa. Ou seja, basta ao fraudador ter acesso a um cartão de crédito qualquer, que ele pode cadastrá-lo e usá-lo.
Para inibir esse risco, bastaria solicitar uma ou duas informações adicionais que não estivessem no cartão, como o CPF do titular e o CEP de cobrança. No outro exemplo, uma plataforma de banco digital permite concluir uma transação qualquer sem solicitar a digitação de senha ao final do processo. Ou seja, se um celular é roubado desbloqueado e o fraudador consegue acesso ao aplicativo do banco, pode executar inúmeras transações sem qualquer problema.
Estes exemplos mostram como ainda os canais digitais estão expostos a riscos relativamente simples de serem mitigados, pela falsa dicotomia entre segurança e usabilidade. O usuário quer uma plataforma fácil e intuitiva, mas também quer ter segurança e tranquilidade ao lidar com o seu dinheiro e suas compras. Ser fraudado é um processo desgastante e que gera grande insatisfação. Por isso, é tempo das plataformas digitais repensarem seus mecanismos de gestão de riscos, entendendo que eles jogam a favor do usuário e não o contrário.
* Rodrigo Castro é diretor executivo da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.
