Imagine a seguinte situação: chegou o momento do pagamento do bônus sobre os resultados. Centenas de funcionários estão ansiosos para saber quando e quanto irão receber. De repente, todos recebem um e-mail com remetente da empresa e a seguinte mensagem: “Seu PLR já foi calculado. Acesse o link abaixo da intranet para saber o valor.” Um dos colaboradores acha aquilo estranho e reporta o caso para a TI. Tarde demais! Dezenas de pessoas já clicaram e passaram as suas senhas para o hacker, que conseguiu a chave da porta de entrada para os sistemas e dados da empresa.

Cenários como esse comprovam que o ser humano é a última barreira de segurança da informação. Ele pode ser a maior fortaleza ou a maior fragilidade da organização. Ou seja, mesmo que uma empresa invista pesadamente em tecnologias, os seres humanos ainda podem causar fragilidades nos sistemas de informação. Isso ocorre porque as pessoas são propensas a erros, como clicar em links maliciosos, digitar senhas inseguras e fornecer informações pessoais a terceiros não autorizados.

Essa afirmação não é só palavras ao vento. Há números que lastreiam isso. De acordo com o Fórum Econômico Mundial, 95% dos incidentes de segurança cibernética ocorrem devido a erro humano. O consentimento de pessoas em passar dados sigilosos que permitem os criminosos avançarem nas barreiras de cibersegurança acontece porque elas sequer sabem que estão fazendo algo errado. E, do outro lado da ponta, temos a engenharia social, que é uma técnica utilizada por hackers para enganar as pessoas a revelar informações confidenciais ou tomar ações que possam comprometer a segurança da informação. Os hackers podem usar uma variedade de técnicas de engenharia social, incluindo:

• Phishing: neste caso, os hackers enviam e-mails falsos que parecem ser de fontes confiáveis, como os bancos ou as empresas de tecnologia. Esses e-mails geralmente solicitam que as pessoas cliquem em links maliciosos ou forneçam informações pessoais, como senhas ou números de cartão de crédito.
• Vishing: aqui, os criminosos realizam chamadas telefônicas falsas que parecem ser de fontes confiáveis. Mais uma vez, solicitam informações pessoais, como senhas ou números de cartão de crédito.
• Pretexting: nessa modalidade, os hackers se passam por alguém que tem autoridade ou conhecimento com o objetivo de ter acesso a informações confidenciais ou tomar ações que possam comprometer a segurança.
• Tailgating: a técnica acontece quando os hackers seguem alguém para dentro de um prédio ou local seguro.
• Dumpster diving: os criminosos vasculham latas de lixo em busca de informações confidenciais, como senhas ou números de cartão de crédito. E contra este tipo de ataque, não há nenhuma barreira tecnológica melhor do que capacitar o próprio ser humano para bloquear as tentativas.

Se tiver que elencar um desses ataques como prioritários na condução de ações de proteção das empresas, seria o de phishing. Isso porque os criminosos estão usando técnicas cada vez mais avançadas para enganar os funcionários, incluindo o uso de logotipos e nomes de empresas conhecidas, bem como a criação de e-mails que parecem ser urgentes ou importantes. Em muitos casos, o hacker coleta informações de eventos importantes da organização e, a partir disso, monta os e-mails.

Mas, a boa notícia é que o mercado já dispõe de algumas soluções para ajudar as empresas a testar o comportamento humano em situações de engenharia social, contemplando ferramentas de disparo de testes de phishing, monitoramento e sinalização de e-mails suspeitos, além da capacitação de colaboradores para que não caiam nessas ciladas. Com esses tipos de tecnologia é possível:

• Criar um programa de conscientização em segurança personalizado para a organização. Esses cursos podem ensinar aos funcionários como identificar e evitar e-mails de phishing, além de responder a ataques.
• Eliminar os treinamentos antigos “Next-Next-Finish”. Essas plataformas apresentam treinamentos modernos em segurança, ajudando a manter os usuários atentos aos riscos atuais.
• Permitir aos usuários denunciar e-mails de phishing a partir da implementação do “Phish Alert Button” no seu cliente de e-mail. Desta maneira, a equipe de resposta a incidentes poderá identificar e responder mais rapidamente às ameaças em e-mail.

Independente da solução aplicada, avaliar, conscientizar e monitorar o ambiente de trabalho é a melhor solução para fazer o upgrade de segurança da informação aos colaboradores da organização.

*Matheus Jacyntho é diretor de Cibersegurança e Rodrigo de Castro Schiavinato é diretor-executivo de parcerias e inovação e sócio, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

O WAF (Web Application Firewall) é uma camada de segurança importante para as empresas que possuem aplicações web, como sites, plataformas de e-commerce, sistemas de gerenciamento de conteúdo (CMS), entre outros. É uma espécie de “muro” virtual que fica entre os usuários da internet e o site da empresa, ajudando a proteger os aplicativos web ao filtrar e monitorar o tráfego entre o aplicativo web e a internet. O WAF protege as aplicações contra ameaças cibernéticas que visam explorar vulnerabilidades nas aplicações web para obter informações sensíveis ou derrubar o site.

As ameaças cibernéticas são cada vez mais frequentes e sofisticadas, e podem causar prejuízos financeiros, perda de dados e até mesmo danos à imagem da empresa. Muitos pensam que os ataques hackers são realizados especificamente por pessoas por trás de computadores. Não é bem assim: os hackers utilizam ferramentas de automação para vasculhar em altíssima velocidade e 24 horas por dia sites que sejam vulneráveis a ataques, independentemente de seu porte. É como se um ladrão pudesse testar a abertura de todas as portas das casas de um quarteirão em segundos. Pior do que isso – todas as portas das casas e apartamentos de uma cidade inteira em questão de minutos. Por isso, é fundamental que as empresas tenham uma solução de segurança cibernética que inclua um WAF para proteger suas aplicações web.

O que é WAF e para que ele serve?

O WAF é configurado para interceptar o tráfego de entrada e saída entre o cliente e o servidor da aplicação web. No tráfego de entrada, o WAF verifica se há atividades suspeitas, identificando padrões maliciosos de tráfego que indicam tentativas de invasão, como injeção de SQL, cross-site scripting (XSS), tentativas de força bruta, entre outros. Já no tráfego de saída, o WAF trabalha identificando se há tentativas de extrair informações do servidor, como dados sensíveis dos usuários. Nesses casos, o WAF pode bloquear ou permitir com restrições a saída de dados, protegendo as informações da empresa. Além disso, o WAF pode ser configurado para bloquear tráfego de países ou regiões específicas, ajudando a reduzir o número de ataques que chegam às aplicações.

Um dos ataques mais comuns que o WAF protege é o DDoS (ataque de negação de serviço). Esses ataques são executados por meio do envio de tráfego excessivo para a aplicação web, o que faz com que o servidor fique sobrecarregado e não consiga processar as solicitações legítimas. Imagine que uma estrada é um site da internet e os carros são os usuários que acessam o site. Quando há um engarrafamento, muitos carros congestionam a estrada, tornando o trânsito lento ou até parando completamente. O resultado é que o site fica fora do ar, causando prejuízos financeiros e danos à imagem da empresa.

Dados mostram que os ataques DDoS estão cada vez mais comuns e mais sofisticados. Para se ter uma ideia da magnitude desse tipo de ataque, em 2020, a Cloudflare atingiu o recorde de mitigação de ataques DDoS em sua rede global, bloqueando 17,2 milhões de requisições por segundo. Isso reforça a necessidade de que as empresas tenham um WAF em suas soluções de segurança cibernética para se proteger contra ameaças cibernéticas.

Como escolher um Web Application Firewall?

Escolher um WAF pode ser uma tarefa desafiadora, mas existem alguns critérios que podem ajudar na sua análise:

• Funcionalidades: avalie as funcionalidades oferecidas pelo WAF, como prevenção de ataques de injeção de SQL, proteção contra ataques DDoS, mitigação de bots maliciosos e outros recursos que atendam às necessidades da sua organização;
• Integração: verifique se o WAF se integra facilmente com as tecnologias e sistemas já existentes na sua organização;
• Escalabilidade: certifique-se de que o WAF é escalável e capaz de atender às necessidades de crescimento da sua organização;
• Usabilidade: avalie a facilidade de uso do WAF, verificando se a interface de gerenciamento é intuitiva e se os recursos de automação ajudam a simplificar o gerenciamento de segurança;
• Suporte técnico: verifique se o fornecedor do WAF oferece um bom suporte técnico, incluindo suporte em horário comercial ou 24/7, documentação completa e recursos de treinamento.

Além desses critérios, é importante considerar a reputação do fornecedor de WAF no mercado, avaliando suas referências e avaliações de clientes. O Web Application Firewall (WAF) da Cloudflare é reconhecido por sua qualidade e inovação, sendo avaliado positivamente por empresas de pesquisa como a Gartner e a Forrester. Em 2021, a Gartner reconheceu a Cloudflare como um Líder em seu Quadrante Mágico para Serviços de Proteção de Aplicativos Web. A Forrester também destacou a Cloudflare como uma forte opção para as empresas que procuram proteger seus aplicativos da web em seu relatório Forrester Wave: Serviços de Proteção de Aplicativos Web. Essas avaliações destacam a capacidade da Cloudflare de fornecer soluções WAF de alta qualidade e sua reputação como líder em segurança cibernética.

Em resumo, o WAF é uma camada de segurança importante para proteger as aplicações web das empresas contra ameaças cibernéticas. Com a crescente sofisticação dos ataques, é fundamental que a sua empresa invista em soluções de segurança cibernética que incluam um WAF para garantir a segurança dos seus dados, a disponibilidade de seus serviços online e, consequentemente, preservar a reputação e imagem perante os seus clientes online.

OT (Operational Technology) refere-se aos sistemas e equipamentos usados para controlar, monitorar e gerenciar processos industriais. Sistemas OT são encontrados em fábricas, indústrias, hospitais, centros logísticos, fazendas e outras infraestruturas críticas. Geralmente, estes incluem controladores lógicos programáveis, sistemas de controle de supervisão e aquisição de dados e outros tipos de equipamentos, usados para automatizar e gerenciar processos industriais.

No contexto da segurança cibernética, os sistemas de OT são particularmente preocupantes. Isso porque muitas vezes estão conectados à internet, o que os torna vulneráveis a ataques cibernéticos . Hackers podem tentar comprometer os sistemas OT para interromper ou manipular processos industriais, o que pode ter sérias consequências. Além disso, danos físicos, perdas financeiras e até mesmo perda de vidas estão entre os riscos de um potencial ataque cibernético.

A importância da implementação de medidas de segurança de OT (Tecnologia Operacional) nas organizações não pode ser minimizada. Estes sistemas desempenham um papel vital na operação de muitas organizações, por isso sua interrupção ou comprometimento pode ter sérias consequências.

Assim, é essencial que as organizações implementem medidas robustas de segurança de OT para proteger esses sistemas contra ameaças cibernéticas. Isso inclui medidas como firewalls, detecção de intrusão e sistemas de prevenção, controles de acesso seguro e monitoramento e manutenção de segurança contínuos. Implementando essas medidas, as organizações podem prevenir ou mitigar os riscos de ataques a seus sistemas. Ou seja, podem ajudar a garantir a operação contínua e a confiabilidade da operação.

Diferença entre segurança de OT e segurança de TI

Segurança de OT e segurança de TI são dois tipos distintos de segurança cibernética, projetados para proteger diferentes tipos de sistemas e equipamentos. Ou seja, a principal diferença elas é justamente o tipo de sistemas e equipamentos que eles são projetados para proteger. A segurança de OT se concentra na proteção específica de sistemas e equipamentos industriais. Já a segurança de TI se concentra na proteção de sistemas e equipamentos de tecnologia da informação.

Embora ambos sejam importantes, os riscos e as consequências de um ataque cibernético em sistemas de OT podem ser mais graves. Isso porque esses sistemas costumam ser críticos para a operação das organizações e podem ter sérias consequências se forem interrompidos ou comprometidos.

Etapas para implementar a Segurança de OT

Entre as várias etapas que as organizações podem seguir para implementar medidas de segurança de OT, destacamos aqui as 5 principais:

1. Avalie os riscos: a primeira etapa na implementação da segurança de OT é avaliar os riscos para seus sistemas OT. Isso inclui identificar as possíveis ameaças e vulnerabilidades que podem afetar seus sistemas, além de mapear as possíveis consequências de um ataque cibernético .
2. Desenvolva um plano de segurança: depois de identificar os riscos para seus sistemas de OT, a equipe responsável deve desenvolver um plano de segurança que descreva as medidas que serão tomadas para proteger esses sistemas.
3. Implemente medidas de segurança: a próxima etapa é implementar, de fato, as medidas de segurança descritas em seu plano de segurança, colocando em prática os planos de ação e a tecnologia necessária.
4. Teste e avalie: é importante testar e avaliar regularmente suas medidas de segurança de OT para garantir que sejam eficazes e atualizadas. Isso pode incluir, por exemplo, a realização de testes de penetração regulares e avaliações de vulnerabilidade.
5. Treine e eduque os funcionários: finalmente, é essencial educar seus funcionários sobre a segurança de OT e o papel que eles desempenham na proteção de seus sistemas. Isso pode incluir treinamento sobre como identificar e relatar possíveis ameaças, bem como a importância de seguir protocolos e procedimentos de segurança.

Perguntas-chave para entender se você tem segurança de OT

Algumas perguntas que você pode fazer para entender se uma organização implementou medidas de segurança de OT:

• Quais sistemas e equipamentos a organização usa para controlar, monitorar e gerenciar processos industriais?
• Como esses sistemas estão conectados à internet ou outras redes? Quais os pontos vulneráveis?
• A organização possui uma política ou plano de segurança cibernética para proteger seus sistemas de OT?
• Quais medidas a organização implementou para proteger seus sistemas de OT?
• A organização mantém seus sistemas e software de OT atualizados com os últimos patches e atualizações de segurança?
• Existe um processo para responder a ameaças cibernéticas e incidentes envolvendo seus sistemas de OT? Ele está atualizado?
• A organização tem um processo para testar e avaliar regularmente suas medidas de segurança de OT para garantir que sejam eficazes e atualizadas?
• Como a organização treina seus funcionários sobre segurança de OT e o papel que eles desempenham na proteção desses sistemas?

Ao fazer essas perguntas, você pode entender melhor as medidas que a organização implementou para proteger seus sistemas de OT. Além disso, também será possível perceber o nível de foco que ela coloca na segurança de OT.

Terceirização da segurança de OT em sua organização

É possível para as organizações terceirizar algumas ou todas as suas necessidades de segurança de OT. A terceirização da segurança de OT pode, por exemplo, fornecer às organizações acesso a conhecimentos e recursos especializados que talvez não tenham internamente. Com isso, a empresa libera recursos e tempo para que suas equipes se concentrem em suas principais operações de negócios.

No geral, a terceirização da segurança de OT pode fornecer às organizações muitas vantagens. Alguns exemplos são o acesso a conhecimentos e recursos especializados, economia de custos, postura de segurança aprimorada e conformidade regulamentar.

Vantagens de terceirizar a segurança dos sistemas OT

1. Acesso a conhecimentos especializados: a terceirização da segurança de OT pode fornecer às organizações acesso a conhecimentos e recursos especializado. Isso pode ser particularmente útil para organizações que não possuem uma equipe de segurança cibernética dedicada ou que não tenham as habilidades e conhecimentos necessários para proteger com eficácia seus sistemas de OT.
2. Economia de custos: terceirizar a segurança de OT pode ser mais econômico do que construir e manter uma equipe de segurança interna. Com isso, pequenas e médias empresas que não têm orçamento para contratar e treinar uma equipe podem, ainda assim, ter acesso à estrutura de segurança OT.
3. Postura de segurança aprimorada: trabalhar com um provedor de segurança de OT experiente e respeitável pode ajudar as organizações a melhorar sua postura de segurança e, com isso, reduzir o risco de um ataque cibernético. Isso pode ser particularmente importante para organizações que dependem de sistemas de OT para operações e processos críticos.
4. Conformidade regulamentar: muitas organizações podem estar sujeitas a requisitos regulamentares relacionados à segurança de OT, como por exemplo os relacionados à proteção de infraestrutura crítica. A terceirização da segurança de OT pode ajudar as organizações a garantir que estejam em conformidade com esses requisitos e evitar possíveis multas e penalidades.

A Protiviti Brasil presta serviços gerenciados de segurança de OT nas organizações por meio do seu time de cibersegurança. Com isso, as organizações têm acesso a conhecimento e expertise global da empresa, com escritórios espalhados mundialmente.

Softwares de segurança de OT

Um software de segurança de OT desempenha um papel vital em ajudar as organizações a proteger seus sistemas de OT contra ameaças cibernéticas. Um software de segurança de OT pode ajudar, por exemplo, a:

1. Proteger-se contra ameaças cibernéticas: o software de segurança de OT pode ajudar a proteger contra uma ampla gama de ameaças cibernéticas, incluindo malware, ransomware e outros tipos de ataques que podem interromper ou comprometer sistemas críticos.
2. Monitorar a atividade da rede: o software de segurança de OT pode monitorar a atividade da rede em tempo real e alertar as organizações sobre qualquer atividade suspeita ou maliciosa.
3. Automatizar os processos de segurança: o software de segurança de OT pode automatizar muitos processos de segurança, como gerenciamento de patches e atualizações de segurança, o que pode ajudar as organizações a economizar tempo e recursos. Isso pode ser particularmente útil para organizações com redes OT grandes e complexas.
4. Melhorar a conformidade: o software de segurança de OT pode ajudar as organizações a cumprir os regulamentos e padrões do setor, como os relacionados à proteção de infraestrutura crítica.
5. Aumentar a visibilidade: o software de segurança de OT pode fornecer às organizações visibilidade de seus sistemas e redes OT, permitindo identificar vulnerabilidades.

No geral, o software de segurança de OT pode desempenhar um papel vital para proteger sistemas de OT, por exemplo, contra ameaças cibernéticas. Dessa forma, é possível garantir a confiabilidade e a segurança contínuas de sistemas e infraestrutura críticos.

A Protiviti usa o software Claroty, líder de mercado em segurança de OT e utilizado mundialmente por milhares de organizações. Os produtos e serviços da Claroty são projetados para proteger redes e sistemas industriais contra ameaças cibernéticas. As ameaças mapeadas incluem malware, ransomware e outros tipos de ataques que possam interromper ou comprometer a infraestrutura crítica.

Apesar da crise econômica dos últimos anos o e-commerce no Brasil segue em alta, conquistando fatia de mercado do comércio tradicional. Porém, à medida que este canal aumenta participação no mercado, cresce também a atratividade para ações ilícitas, como fraudes no e-commerce.

Segundo o Serasa Experian, as fraudes são a maior causa de fechamento de lojas virtuais no Brasil. Quando se fala em fraudes no e-commerce, o ambiente virtual é o tema comum, com assuntos recorrentes que tratam desde a invasão das lojas virtuais para roubo de dados, ataques para indisponibilidade do site, sequestro de banco de dados e fraudes nos meios de pagamento, com foco no cartão de crédito. A gestão de vulnerabilidades no ambiente de TI é importante, mas não é a única porta de saída para grandes perdas no comércio eletrônico. O fluxo comercial, desde o cadastro do consumidor final até o pós venda, pode conter fragilidades relevantes e que devem ser levadas em consideração.

Para identificar e conter processos fraudulentos, o monitoramento integrado de transações é uma ótima ferramenta. Este mecanismo avalia atividades do cliente durante todo o fluxo de compra, comparando-o com comportamentos estatísticamente normais para avaliar se a atividade realizada é suspeita. Além disso, pode-se criar listas restritivas com base em históricos comprovados de fraude, para identificar novos casos.

Vamos avaliar um caso de fraude em potencial. Um cliente antigo realiza uma alteração cadastral de endereço, email e telefone. Posteriormente, realiza uma compra relevante e paga via cartão de crédito. Um monitoramento de transações no meio de pagamento pode falhar na checagem deste pedido, mas um monitoramento integrado do cadastro e da compra, pode detectar um padrão suspeito e bloquear o envio do pedido.

Em projetos para canais de e-commerce, a Protiviti identificou um caso onde 1 cliente realizou 33 devoluções de compra no período de um ano. Os produtos eram jogos de videogame. Porém, houve casos de clientes que chegaram a mobiliar a própria casa, se aproveitando de fragilidades no processo de devolução de mobiliário, que normalmente não coleta o item enviado por conta de limitações logísticas. Com um monitoramento integrado de transações, tanto os novos pedidos como as solicitações de devolução poderiam ser bloqueadas para uma avaliação mais detalhada.

Os principais processos a serem integrados no monitoramento de transações são o cadastro, pedido de compra e o pós venda, contemplando o insucesso de entrega, solicitação de troca e devolução do item. O sistema pode utilizar-se de modelos estatísticos pré definidos ou aplicar tecnologias como inteligência artificial e big data. O monitoramento pode ser online ou por pacote de dados. Independente do grau de tecnologia e periodicidade, esta solução é de fundamental relevância para o comércio eletrônico.

* Rodrigo Castro é diretor executivo da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.

Nos últimos anos, as empresas passaram por um processo de digitalização intenso dos canais de contato direto com o cliente, principalmente no comércio eletrônico e nos bancos. Muitas startups surgiram com soluções para problemas dos consumidores, o que facilitou muito as nossas vidas. E para facilitar a nossa vida, muitas dessas plataformas digitais buscam a melhor experiência do usuário, o que significa ir direto ao ponto, sem rodeios. Porém, na esteira dos clientes, também há os fraudadores que se aproveitam dessa simplicidade para perpetrar golpes e lesar as pessoas. Controlar os processos digitais pode afetar essa experiência?

Apesar de serem a vasta minoria, os criminosos causam grandes estragos quando encontram brechas.

E para evitar isto, algumas empresas criam etapas de segurança em seus processos digitais que podem diminuir a qualidade da experiência do usuário nas plataformas. Resta então a pergunta: será que estes controles realmente pioram a experiência do usuário?

Para começar este texto, quero citar 3 exemplos da vida real. O primeiro são os bancos de varejo. Quem ainda é cliente de agências físicas sabe que o processo de acessar as agências não é fácil.

O torniquete de entrada, o vigilante armado, as restrições de saque em grandes volumes são fricções que dificultam a experiência do cliente. Outro exemplo são as companhias aéreas. Pegar um vôo talvez seja um dos processos com maior fricção e com a pior experiência de usuário que existe. O processo de embarque é desgastante, com filas imensas e todo o processo de colocar a bagagem na esteira, retirar o laptop da mala, tirar vestimentas com metal e depois ter que colocar tudo de novo, para depois chegar no portão de embarque e aguardar longas filas novamente para mostrar o documento e embarcar.

Esses processos existem por conta de imposições regulatórias ou por riscos materializados nestas empresas em algum momento. É fato que alguns deles poderiam ser repensados, mas existem pelo propósito de evitar eventos severos aos clientes e às empresas que já passaram por inúmeras situações. De certa forma, estes controles também trazem conforto para o usuário que pode ter uma maior sensação de segurança e tranquilidade.

No caso das plataformas digitais, isto não é diferente. A experiência do usuário deve ser priorizada, mas não em detrimento da sua segurança e a da empresa. Logo, é importante que a fricção exista para evitar a materialização de danos por fraudes nos processos digitais. Mas, por serem relativamente novas, estas empresas passaram por poucos eventos de risco e, por isso, ainda não se protegeram adequadamente.

Aqui vão mais 2 exemplos ilustrativos, mas reais. Numa plataforma que permite o usuário ter uma carteira digital para pagamentos e recebimentos, a vinculação de um cartão de crédito é feita apenas pelo cadastro do número do cartão, código de segurança e data de vencimento. Todas essas informações estão disponíveis na via física do cartão de crédito de qualquer pessoa. Ou seja, basta ao fraudador ter acesso a um cartão de crédito qualquer, que ele pode cadastrá-lo e usá-lo.

Para inibir esse risco, bastaria solicitar uma ou duas informações adicionais que não estivessem no cartão, como o CPF do titular e o CEP de cobrança. No outro exemplo, uma plataforma de banco digital permite concluir uma transação qualquer sem solicitar a digitação de senha ao final do processo. Ou seja, se um celular é roubado desbloqueado e o fraudador consegue acesso ao aplicativo do banco, pode executar inúmeras transações sem qualquer problema.

Estes exemplos mostram como ainda os canais digitais estão expostos a riscos relativamente simples de serem mitigados, pela falsa dicotomia entre segurança e usabilidade. O usuário quer uma plataforma fácil e intuitiva, mas também quer ter segurança e tranquilidade ao lidar com o seu dinheiro e suas compras. Ser fraudado é um processo desgastante e que gera grande insatisfação. Por isso, é tempo das plataformas digitais repensarem seus mecanismos de gestão de riscos, entendendo que eles jogam a favor do usuário e não o contrário.

* Rodrigo Castro é diretor executivo da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.