Entre as ferramentas do Compliance está a Diligência de Terceiros (Due Diligence), o conjunto de pesquisas usadas para mapear os riscos de contratar um terceiro
por Beatriz Busti e Laura Veloso*
A urgência de incluir o ESG (Environmental, Social, Governance) na estratégia das empresas já é uma realidade e carrega como responsabilidade a construção de uma cultura empresarial baseada na promoção dos temas ambientais, sociais e de governança, promovendo, assim, a garantia de futuro do negócio.
A Governança, um dos pilares do ESG, objetiva estruturar políticas, estratégias e métricas que vão apoiar o desenvolvimento da empresa, como o Compliance, peça importante da garantia da integridade, transparência e atendimento das normas, além de embasar e fomentar as ações socioambientais que a empresa queira emplacar.
Entre as ferramentas do Compliance está a Diligência de Terceiros (Due Diligence), que é o conjunto de pesquisas usadas para mapear os riscos de contratar um terceiro e tomar uma decisão corporativa baseada em dados, assim como para monitorar as eventuais medidas mitigadoras ou os resultados localizados. Tal prática, além de um importante recurso para evitar riscos empresariais, é um reforço trazido pelo recém promulgado Decreto nº 11.129/2022, que regulamenta a Lei Anticorrupção (Lei nº 12.846/13).
Mídias ou processos sobre escândalos de corrupção, presença em listas de restrição por trabalho análogo à escravidão, envolvimento com desmatamento ilegal, multas ou processos ambientais são alguns dos exemplos de resultados que o terceiro pode apresentar numa pesquisa de Due Diligence, sendo crucial tal conhecimento para a tomada de decisão de uma contratação.
No que tange às práticas ambientais de parceiros, a Due Diligence para avaliar a diligência de terceiros mostrará a regularidade de licenças, sejam elas de operação ou ambientais, as boas práticas aplicáveis à sustentabilidade, bem como o atendimento às leis e normas relacionadas e se, em algum momento, houve autuação por órgãos como IBAMA, ANVISA ou reguladores locais.
Sobre as condutas sociais que o parceiro pratica com os seus colaboradores, a pesquisa revelará questões como os projetos de diversidade e inclusão, o desenvolvimento de laços com a comunidade e o cumprimento das normas trabalhistas, o que envolve a regularidade no recolhimento de encargos e do atendimento à CLT, especialmente quando se tratam de horas extras, assim como o pagamento adequado do pacote de benefícios.
Nas três esferas de gestão ESG – ambiental, social e governança, a empresa deverá elaborar a sua matriz de decisão a partir do que entende como relevante em se tratando dos apontamentos trazidos pela Due Diligence, utilizando de análise de documentação e entrevistas, sem esquecer de considerar as boas práticas alinhadas com suas políticas internas de redução de impacto e o nível de risco que está disposta a assumir.
Vale destacar que pontos de atenção encontrados não precisam gerar a automática exclusão do terceiro. Caso isso ocorra, é possível recomendar medidas que atenuem os riscos da contratação. Como manutenção da consciência sobre o risco total da companhia, é necessária a reavaliação periódica do terceiro, o que compreende a aplicação de auditorias e avaliações que contemplam tanto o atendimento às normas e leis, como o alinhamento às boas práticas e a maturidade da empresa em ESG.
Como uma forma de mitigar o risco, pode ser criado um plano de ação de aprimoramento do terceiro, contemplando a inclusão de cláusulas como anticorrupção, incisivas sobre as práticas trabalhistas e o atendimento às normas e lei ambientais, a aplicação de um código de conduta para fornecedores e, inclusive, a realização de treinamentos para os gestores do contrato.
É recomendável ainda que as verificações da Due Diligence para a diligência de terceiros constem em contrato para que seja possível solicitar ao fornecedor os mais diversos documentos e informações. Essa prática é uma das ferramentas de desenvolvimento de fornecedores, o que ajuda a elevar o nível dos serviços prestados no mercado. Quando as empresas se unem em prol do desenvolvimento ambiental, social e de governança, toda a sociedade ganha.
*Beatriz Busti é consultora pleno de Sustentabilidade e ESG e Laura Veloso é consultora pleno de Compliance. Ambas atuam na ICTS Protiviti, empresa especializada em soluções para compliance, investigação, gestão de riscos, proteção e privacidade de dados.
Relatos de assédio sexual e outras formas de violência no trabalho têm crescido exponencialmente no ambiente corporativo.
Relatos de assédio sexual e outras formas de violência no trabalho têm crescido exponencialmente no ambiente corporativo. Não são poucas as empresas que, independentemente de seu porte, enfrentam crises de reputação por não terem enfrentado o problema com a seriedade que ele merece.
O assunto vem sendo objeto do debate em todo o mundo. Em 2019, a Organização Internacional do Trabalho (OIT) aprovou a Convenção nº 190 (C190), o primeiro tratado internacional a dispor sobre a violência laboral. A C190, entre outras questões, estabeleceu medidas que buscam promover o direito de todas as pessoas a um mundo de trabalho livre de violência e assédio.
O Brasil, embora infelizmente ainda não tenha ratificado a C190, recentemente aprovou a Lei nº 14.457, publicada em 22 de setembro de 2022, que, entre outras questões, fixou medidas obrigatórias às empresas, com o intuito de prevenir e combater atos de assédio sexual e violência no trabalho.
Segundo o texto da nova lei, a partir de 21 de março de 2023, todas as empresas obrigadas a instituir a Comissão Interna de Prevenção de Acidentes (Cipa), ou seja, as que tenham mais de 20 empregados, terão que adotar medidas para prevenir e combater o assédio sexual e a violência no trabalho. Fixou-se também que a Cipa passará a se chamar Comissão Interna de Prevenção de Acidentes e de Assédio.
A primeira dessas ações é a inclusão de regras de conduta nas normas internas da empresa. Assim, além de se estabelecer políticas corporativas que detalhem todas as rotinas e procedimentos relacionados ao tema, também será recomendável incluir dispositivos específicos sobre assédio sexual e outras formas de violência no trabalho nos códigos de conduta ética, divulgando seu conteúdo a todo o corpo de empregados.
Outra novidade é a obrigatoriedade de procedimentos para o recebimento, o acompanhamento e a apuração de denúncias de assédio sexual e violência laboral, a preservação do anonimato a quem reportar tais atos, além da garantia de punição aos envolvidos.
As empresas terão, portanto, que oferecer canais de denúncias independentes, que permitam o anonimato e a confidencialidade. Uma prática consagrada pelo mercado é a utilização de canais externos, fornecidos por companhias especializadas, capazes de proporcionar atendimento qualificado, que garantam proteção ao relato e assegurem que não será praticada nenhuma forma de retaliação.
Além disso, também é importante ter uma estrutura de investigação adequada. A apuração do assédio sexual e da violência do trabalho muitas vezes é complexa diante da ausência de provas materiais, restando apenas a prova testemunhal. Não menos importante é a instituição de controles, com segregação de funções e mecanismos de reporte, que assegurem punição dos envolvidos, qualquer que seja a função por eles exercida.
Também se determinou que temas relacionados ao assédio sexual e à violência laboral sejam incluídos nas atividades da CIPA e que, no mínimo a cada 12 meses, sejam realizadas ações de capacitação e sensibilização. Trata-se de medida fundamental, pois o assédio sexual e a violência no trabalho concretizam-se por meio de comportamentos indevidos que causam constrangimento e dor às vítimas, razão pela qual é preciso esclarecer que conduta é ou não aceitável no trabalho e os limites a serem observados.
A nova lei deixou claro que essas medidas representam o mínimo que as empresas precisam fazer, sem prejuízo de outras ações que se demonstrarem necessárias para prevenir e combater o assédio sexual e a violência no trabalho.
Os danos psicológicos dessas condutas são, muitas vezes, irreversíveis, gerando efeitos que ultrapassam as barreiras da empresa, abalando o convívio familiar e social e deixando sequelas que podem durar por toda a vida. Não obstante a demora do país em ratificar a Convenção 190 da OIT, a nova legislação trouxe importante inovação, capaz de fomentar a construção de um ambiente laboral mais saudável e produtivo no País.
Agora, a “bola” está com o setor empresarial. Cabe a ele cumprir seu papel, adotando medidas efetivas que atendam ao que determinou a nova legislação e que sejam capazes de promover uma relação de trabalho fundada no respeito mútuo e na dignidade do ser humano.
*Mário Spinelli é professor da Escola de Administração de Empresa de São Paulo da FGV, doutor em Administração Pública e Governo e atual diretor executivo de Compliance Regulatório na Protiviti, empresa especializada em soluções para compliance, prevenção e combate aos assédios, investigação, gestão de riscos, proteção e privacidade de dados. Foi ouvidor-geral da Petrobras, controlador-geral do Município de São Paulo e controlador-geral de Minas Gerais.
Danos à reputação, resgates pesados e continuidade dos negócios são as principais preocupações com o ransomware. Mas o cerne da conversa é sobre a potencial perda de propriedade intelectual e informações de clientes e o espectro de negociações desagradáveis com criminosos e outras partes que podem ou não ser patrocinadas por atores de estados-nação. O mercado ainda não sabe o número e a abrangência desses ataques, pois poucas empresas vitimadas por eles têm interesse em compartilhar suas experiências. No entanto, as estimativas dos custos totais de ransomware nos Estados Unidos chegam a US$ 20 bilhões em 2021. Várias coisas são claras: poucas empresas estão totalmente protegidas e nenhuma empresa se sente segura contra ransomware. E todas as empresas, independentemente do tamanho ou localização, são vulneráveis.
Os agentes de ameaças de ransomware de hoje se concentram na interrupção. Seu modelo é penetrar, extrair, criptografar e exigir resgate rapidamente, por exemplo, tudo em questão de minutos. As vítimas que se recusam a pagar extorsão devem se preparar para divulgações públicas de dados extraídos. Ou seja, os jogadores desonestos acabam controlando a empresa.
Ransomware: ataques cada vez mais sofisticados
À medida que os ataques e os próprios invasores se tornam cada vez mais sofisticados e as consequências continuam a aumentar, as empresas devem aprender e responder na mesma moeda. Para se adaptar com confiança a esse cenário de ameaças em evolução, eles devem combinar resiliência operacional, inteligência de ameaças cibernéticas e segurança cibernética. Mas isso não é fácil. Há muitas partes móveis a serem consideradas ao construir um sistema de defesa cibernética robusto, coerente e dinâmico que responda ao cenário de ataque com foco e velocidade.
Dada a complexidade e a dinâmica das exposições de ransomware, o que os membros do conselho podem fazer para ajudar suas organizações a enfrentar o desafio de analisar riscos e proteger ativos críticos? Seguem quatro sugestões:
Preparar o diretor de segurança da informação (CISO) para o sucesso no combate ao ransomware
Como os CISOs desempenham um papel essencial para a segurança de alguns dos ativos mais importantes da empresa, o conselho precisa fazer sua parte. É papel importante esclarecer as expectativas, educando-se sobre as questões, permitindo tempo suficiente de agenda para discussão e prestando atenção quando recursos e orçamentos adicionais são solicitados. Ao transmitir suas preocupações, os diretores auxiliam o CISO a focar os preparativos, prioridades e métricas para a diretoria. Assim, se o conselho atribuir um tempo limitado na agenda para a discussão cibernética, o conselho ou o presidente do comitê deve permitir que o CISO entregue a mensagem em resposta às expectativas declaradas e faça perguntas que exijam uma resposta mais detalhada offline. Idealmente, o CISO deve ser um parceiro estratégico no nível do conselho, com interfaces necessárias entre reuniões com diretores interessados e apoio ativo do presidente do conselho e do CEO
Organize o conselho para uma supervisão eficaz da segurança cibernética anti ransomware
Quando ocorre um ataque de ransomware, o conselho inteiro geralmente está envolvido até que o problema seja resolvido e a integridade do sistema seja restaurada. A manutenção dessa integridade no futuro é o foco principal do conselho ou de um comitê designado do conselho. Embora o CISO seja responsável pela resposta operacional e a gestão da empresa seja responsável por sua eficácia, os diretores devem esperar obter a confiança dos briefings do CISO de que o plano de resposta daqui para frente e quaisquer fornecedores terceirizados contratados para ajudar em sua implementação reflitam as lições aprendidas com ataques anteriores e avaliações contínuas do cenário de ameaças.
Como a tecnologia é agora uma conversa estratégica, o conselho deve avaliar periodicamente se precisa de acesso a conhecimentos adicionais. Seja como membro ou consultor objetivo do conselho. As opções relevantes para estruturar as consultas do conselho dependem da gravidade do cenário de ameaças, do papel da tecnologia na execução da estratégia de negócios da empresa e da sensibilidade dos sistemas e dados que suportam o modelo de negócios.
Faça as perguntas certas — E não negligencie terceiros ao fazer as perguntas certas
Muitos conselhos procuram entender como os ataques de ransomware ocorreram em outros lugares e se os cibercriminosos podem explorar esses mesmos métodos em suas organizações. Por isso, os diretores não devem subestimar a importância de fazer as perguntas certas à gestão sobre consciência situacional, estratégia e operações, ameaças internas, resposta a incidentes e tópicos relacionados. Sobre ransomware, os diretores devem se concentrar na avaliação de comprometimentos e na resposta e preparação a incidentes. Mas, além disso, o foco deve estar em uma visão de ponta a ponta da empresa. Um ataque de ransomware a terceiros que lidam com sistemas críticos e dados confidenciais pode interromper a operação, assim como um ataque direto à empresa.
Apoie a conversa com um painel de métricas apropriadas
Métricas relevantes podem incluir o número de vulnerabilidades do sistema, o tempo necessário para implementar patches, o número de violações, o tempo de permanência do invasor (o tempo necessário para detectar uma violação), o tempo necessário para responder a uma violação, o tempo necessário para remediar as descobertas da auditoria, a porcentagem de violações perpetradas por terceiros e o número de violações de protocolos de segurança. Ou seja, o tempo de permanência do invasor é particularmente crítico para um ataque de ransomware. Quanto mais tempo os invasores permanecerem indetectados em uma rede, maior a probabilidade de encontrarem sistemas e recursos que possam utilizar para resgate. Por isso, relatórios e métricas do CISO devem fazer parte das comunicações do conselho e ser integrados ao painel de gerenciamento de riscos corporativos (ERM).
Os invasores de ransomware de hoje geralmente são bem financiados, possuem experiência em negócios e são altamente qualificados em métodos de hackers. Além disso, precisamos dizer que eles jogam duro. Embora o conselho não seja responsável pelos detalhes operacionais do dia-a-dia, suas responsabilidades de dever de cuidado no espaço cibernético são significativas. Isso por conta da sensibilidade dos dados e o valor para os acionistas da propriedade intelectual, reputação e imagem da marca da empresa.
No cenário atual de ameaças à segurança cibernética, com um volume cada vez maior de incidentes, é notável pensar que a gestão de vulnerabilidades proativa continua sendo um desafio para as empresas. As organizações estão adotando técnicas de gerenciamento de exposição a ameaças para gerenciar riscos de negócios decorrentes do desenvolvimento e aplicação de tecnologias como conectividade da Internet das Coisas (IoT), computação quântica e realidade aumentada. As práticas de gestão de vulnerabilidades representam o método mais comum para limitar proativamente a exposição a violações e explorações cibernéticas prejudiciais resultantes dessas adoções de tecnologia.
Um programa de gestão de vulnerabilidades bem projetado fornece transparência corporativa sobre vulnerabilidades, fraquezas e configurações incorretas conhecidas publicamente, que são priorizadas para correção com base no possível impacto nos negócios e na probabilidade de exploração bem-sucedida. Idealmente, a saída do programa é então repassada para a tecnologia operacional e equipes de segurança para aplicar patches de segurança a vulnerabilidades conhecidas, o que reduz diretamente o risco de segurança cibernética dos negócios.
As organizações muitas vezes lutam, no entanto, para integrar programas de gerenciamento de ameaças e vulnerabilidades às operações de segurança. Sem a integração adequada, há um risco significativamente maior de deixar vulnerabilidades críticas expostas a ataques cibernéticos, como roubo de dados ou ransomware.
A seguir estão alguns dos desafios comuns que impedem a integração adequada de programas de gestão de vulnerabilidades nas operações de segurança:
Falta de visibilidade total do ambiente na gestão de vulnerabilidades
Para que os programas de gerenciamento de vulnerabilidade reduzam efetivamente os riscos, as organizações devem ter visibilidade dos sistemas e aplicativos existentes em seu ambiente de tecnologia. Afinal, não é possível corrigir, remediar ou proteger algo que não é visível.
Falta de tecnologias de varredura apropriadas e configurações incorretas de varredura
Identificar vulnerabilidades críticas exploráveis em tempo hábil é crucial para preencher as lacunas de segurança de forma eficaz e reduzir a superfície de ataque desprotegida. Comportamentos e ações que criam lacunas de segurança e causam problemas de visibilidade incluem não implantar ferramentas de varredura apropriadas em toda a empresa, não validar a cobertura de varredura em relação a um inventário de ativos definido e muitas vezes centralizado regularmente e/ou configurações incorretas de varredura (como executar varreduras não autenticadas) — qualquer um deles pode resultar em relatórios de vulnerabilidade imprecisos.
Metas conflitantes entre as equipes de TI e de segurança
Metas conflitantes geralmente criam atritos entre as equipes de TI e de segurança, dificultando a adequada gestão de vulnerabilidades e patches.
O sucesso da TI geralmente é medido pelo tempo de atividade da tecnologia, que é impactado negativamente quando sistemas ou aplicativos exigem correção programada, o que requer janelas de manutenção de aplicativos para aplicar patches ou alterações. Consequentemente, as equipes de segurança responsáveis por proteger os sistemas das organizações e proteger os dados podem não receber o tempo e os recursos necessários para aplicar alterações ou patches para proteger tecnologias críticas para os negócios.
Muito para lidar
Redes grandes podem ter centenas de milhares – se não milhões – de vulnerabilidades. Muitas organizações lutam para visualizar, analisar e priorizar adequadamente as vulnerabilidades quando identificadas por ferramentas de gerenciamento de vulnerabilidades. Isso pode resultar na limitação do escopo e na prevenção de ações necessárias para abordar as correções de segurança mais críticas que permanecem sem correção enquanto as atualizações menos importantes são corrigidas.
Tempo de atraso entre as verificações da gestão de vulnerabilidades
Para a maioria das organizações, as verificações de vulnerabilidade são executadas fora do horário comercial principal, normalmente uma vez por semana. No entanto, há um atraso entre a identificação de uma vulnerabilidade positiva e a próxima verificação de vulnerabilidade que cria uma lacuna de visibilidade. No período de uma semana entre verificações regulares, a equipe de segurança não consegue verificar se um patch foi aplicado com sucesso. Portanto, deve presumir que o host continua vulnerável. Infelizmente, as vulnerabilidades críticas recém-descobertas geralmente são rapidamente armadas, e uma semana pode ser um tempo muito longo para que as lacunas de segurança permaneçam sem solução. Essa lacuna de visibilidade geralmente deixa as equipes de segurança incertas sobre a validade de seus controles de segurança.
Para superar esses desafios comuns e obter o máximo valor de um programa de gerenciamento de ameaças e vulnerabilidades, as organizações devem considerar como incorporar o gerenciamento de vulnerabilidades em sua estratégia geral de operações de segurança. Comece seguindo estas práticas recomendadas:
Manter um inventário de ativos.
Para qualquer organização avaliar e entender seus riscos, primeiro ela deve entender o cenário tecnológico atual. As empresas devem manter um inventário de ativos ou banco de dados de gerenciamento de configuração e compará-lo regularmente ao escopo do programa de gestão de vulnerabilidade. Quaisquer diferenças entre o inventário de ativos e o escopo de varredura devem ser resolvidas rapidamente para reduzir ou remover lacunas de visibilidade. Por exemplo, sistemas como hardware podem ser perdidos durante verificações baseadas em rede (em vez de baseadas em agente). Isso porque as verificações ocorrem fora do horário comercial e muitos laptops estão fora da rede nesse período. Isso é especialmente verdadeiro no ambiente de trabalho em casa (Home Office) que resultou na pandemia do COVID-19.
Aproveite a inteligência de ameaças para priorizar as correções.
As empresas devem pesquisar as ameaças e indicadores de comprometimento (IOCs) mais comuns em seu setor e correlacioná-los às vulnerabilidades correspondentes. As organizações devem começar concentrando-se nas vulnerabilidades que podem ser mais acessíveis a invasores externos. Normalmente, os sistemas voltados para o exterior e a zona desmilitarizada (DMZ) são os mais facilmente visados, enquanto os sistemas acessíveis apenas à rede interna podem exigir que um invasor ignore várias camadas de segurança primeiro.
As organizações podem então mapear vulnerabilidades conhecidas pelos frameworks de risco como MITRE ATT&CK e organizá-las em “cadeias” de ataque. Elas demonstram como os invasores podem aproveitar vários problemas de menor criticidade para obter acesso. Esses mapeamentos ajudam as empresas a determinar a verdadeira criticidade das vulnerabilidades. Além disso, a equipe de segurança pode usar threat hunting para determinar se vulnerabilidades críticas foram exploradas no ambiente antes de a vulnerabilidade ser identificada e corrigida.
Gestão de vulnerabilidades: aplique a automação.
Adotar a automação de segurança pode ajudar as organizações a minimizar a duração das tarefas demoradas entre a identificação de vulnerabilidades, priorização, comunicação e correção. A automação pode ajudar a permitir etapas imediatas de redução de risco, como colocar em quarentena sistemas identificados como imediatamente exploráveis da rede interna restante. Essas etapas podem fornecer às equipes de TI mais tempo para testar e implantar patches, reduzindo simultaneamente a possível exposição de vulnerabilidades exploráveis.
Como exemplo, considere o cenário em que os ataques de phishing que implantam ransomware são uma ameaça comum para o setor de uma organização. Nesse caso, a ameaça é um ransomware e as vulnerabilidades podem ser pontos fracos de configuração. Como, por exemplo, permitir documentos do Word habilitados para macro por meio de gateways de e-mail e um sistema não corrigido. Embora uma ferramenta de gerenciamento possa detectar a vulnerabilidade, ela pode se perder e ser ignorada na confusão dos relatórios. Com uma plataforma unificada de detecção de ameaças, uma vez que a vulnerabilidade seja detectada, uma resposta automática começará, evitando uma violação.
Complemente com simulações de violação e ataque.
As plataformas de gerenciamento de vulnerabilidades descobrem vulnerabilidades conhecidas e explorações potenciais. Por outro lado, os recursos de simulação de violação e ataque destacam pontos fracos de configuração, lacunas de detecção e prevenção e problemas de arquitetura. As organizações devem garantir que um plano eficaz de resposta e recuperação seja avaliado adequadamente por meio de exercícios práticos. Isso deve ser testado periodicamente e ajustado à medida que o cenário de ameaças, pessoas, sistemas e processos mudam. Ao combinar o gerenciamento de ameaças e a gestão de vulnerabilidades, as organizações podem aumentar sua confiança na segurança e diminuir seu risco geral.
Comunique as métricas de sucesso ao conselho.
Um programa de gerenciamento de vulnerabilidades bem projetado pode ajudar uma organização a visualizar como os riscos de segurança estão sendo tratados. Além disso, pode pintar uma imagem vívida do progresso ao longo do tempo. A apresentação de métricas de vulnerabilidade ao conselho e à liderança demonstrará melhoria contínua e ROI nos esforços de gerenciamento de vulnerabilidade. Ou, pelo contrário, destacará a necessidade de investimento adicional.
Integrando a plataforma de gerenciamento de vulnerabilidades a outra de detecção e resposta a ameaças, a organização pode acionar ações sem precisar de outra tecnologia. Essa abordagem integrada não apenas economiza tempo, mas também permite que a equipe tome outras ações de correção rapidamente, limitando a exposição da vulnerabilidade e reduzindo o risco.
Shinoy George, Diretor de Segurança e Privacidade da Protiviti INC.
A gestão de vulnerabilidade é uma disciplina com a qual muitas organizações lutam devido a um fator simples: complexidade. Hoje, os ambientes tecnológicos mudam a uma velocidade cada vez maior, enquanto confiam em sistemas legados para dar suporte aos principais processos de negócios.
Em resposta a esse desafio de complexidade, os profissionais de segurança cibernética continuam a criar novos processos de gestão de vulnerabilidade para gerenciar o problema. Isso inclui verificação de vulnerabilidades, bancos de dados de gerenciamento de configuração (CMDB), IDs comuns de vulnerabilidades e exposição (CVE), políticas, patch by dates e uma variedade infinita de relatórios. Em suma, os profissionais de segurança cibernética tornaram um problema complicado ainda mais complicado. Nós – ou seja, os profissionais de cibersegurança – temos feito tudo errado. É importante que CIOs e CISOs reconheçam essa verdade à medida que exploramos métodos que podem ser usados para simplificar a solução de gestão de vulnerabilidades e criar uma chance maior de sucesso em nossas organizações.
Gestão de vulnerabilidade: o ótimo é inimigo do bom
Quando se trata de solução de problemas na gestão de vulnerabilidades, existem várias abordagens. Como tecnólogos, muitas vezes não discutimos detalhes insignificantes em nossa abordagem para gerenciar vulnerabilidades, por mais que sejamos obcecados pela perfeição em nossa busca por respostas. Com muita frequência, essa busca pela perfeição leva à perda de tempo. Descobrimos que a abordagem mais eficiente durante a resolução de problemas é uma mentalidade de “evolução acima da perfeição”. Essa perspectiva é mais comumente alcançada começando com o que sabemos ser verdade em qualquer situação. Seja aproveitando armazenamentos de dados corporativos, fazendo suposições fundamentadas com base em vulnerabilidades de segurança cibernética conhecidas e suas características, ou mais simplesmente gerenciando a quantidade de ambiguidade de um determinado processo, a evolução sempre deve ser a prioridade.
Crie um processo efetivo de correção de vulnerabilidades
Um desafio comum entre a TI e os negócios que geralmente surge nos programas de gestão de vulnerabilidades é criar um processo de correção bem-sucedido que seja realista para todas as partes interessadas. Por isso, a implementação de um processo de correção de vulnerabilidades bem-sucedido começa com a compreensão de como a TI funciona e trabalha dentro de sua estrutura de recursos atuais. Quando o negócio continua a impor expectativas irreais, nada é realizado. Em vez disso, entender e desenvolver um processo para o estado atual do programa de gestão de vulnerabilidades e, posteriormente, prever as expectativas para um estado futuro geralmente é a melhor prática. Comunicar o risco em termos de entendimento do negócio e alinhar as expectativas do negócio ao modo como a TI funciona é a chave para definir parâmetros bem-sucedidos para cronogramas de correção de vulnerabilidades.
Identifique o verdadeiro problema
Os programas de gestão de vulnerabilidade geralmente adotam o mantra de “conserte e esqueça” sem examinar e explorar adequadamente a causa raiz do problema. Alguns podem se referir a isso como a abordagem “jogo da marretada”, que geralmente é adotada quando o objetivo de uma solução de gestão de vulnerabilidade é eliminar o acúmulo de patches ausentes. O problema com essa abordagem, se não for detectado no início, é que as vulnerabilidades conhecidas serão consistentemente remediadas (ou “corrigidas”) sem entender o contexto dos problemas sistemáticos, o que permite que a frequência desses problemas persista.
Nossa solução para essa abordagem é simples: as organizações devem dedicar recursos para realizar análises de causa raiz para seus problemas mais críticos. Essa análise pode ser conduzida de várias maneiras, mas geralmente começa simplesmente perguntando “por quê.” Até que o tempo adequado seja investido para conduzir a análise da causa raiz no nível do programa, a verdadeira causa dos tipos de vulnerabilidades críticas mais persistentes permanecerá desconhecida.
Permanecer consistente na comunicação dos resultados do programade gestão de vulnerabilidade
Como profissionais de segurança da informação, comunicar os resultados do programa de gestão de vulnerabilidades pode ser um processo estressante se feito sem o contexto e a direção apropriados. Por exemplo, comunicar os resultados aos responsáveis errados pode gerar confusão que resulta em processos de reporte menos eficientes. Felizmente, muitos desses problemas podem ser resolvidos com consistência e transparência. Assim, a comunicação dos resultados do programa de gestão de vulnerabilidades deve ser consistente para fornecer tendências e evolução ao longo do tempo. Os resultados do desempenho do programa também devem ser transparentes ao público-alvo para destacar as vitórias e deficiências do programa. Ou seja, a obtenção de feedback é importante para confirmar a compreensão de quando esses processos de reporte de gestão de vulnerabilidades estão sendo iniciados.
Adapte as métricas à gestão executiva
O fator mais importante ao determinar as métricas que serão usadas para diagnosticar a integridade de um programa de gestão de vulnerabilidade é a polarização. As métricas devem polarizar o público para fornecer conforto suficiente para permanecer sentado ou atenção suficiente para sair de suas cadeiras. Isso é mais comumente visto na prática, definindo limites para as métricas do programa que melhor respondem à pergunta “quão ruim é?”. Além disso, quando se trata de reportar à gerência executiva, as métricas precisam fazer sentido para o pessoal que não é de TI. A armadilha da complexidade também pode aparecer quando se trata de personalizar métricas.
Ao operar de forma eficaz, as métricas do programa devem destacar as áreas problemáticas maiores ou mais importantes dentro da organização. Por isso, as métricas devem ser usadas como a telemetria de um programa de gestão de vulnerabilidades. Assim, vincular as métricas do programa às metas organizacionais e também alterar as métricas quando as metas são alcançadas é extremamente importante. Os riscos continuarão a evoluir ao longo do tempo e nossas métricas devem se adaptar para permanecer alinhadas com essas mudanças. Além disso, as métricas de gestão de vulnerabilidades devem ser claras e diretas para ajudar a organização a entender sua postura de segurança atual.
E agora?
A pergunta que segue essa orientação simples e eficaz é muitas vezes: “e agora?”. A implementação das conclusões acima em um programa organizacional grande e complexo começa com a comunicação. Por isso, o primeiro passo é comunicar as partes interessadas sobre os desafios do programa e a abordagem para resolver conflitos e reduzir riscos. A mudança deve começar pequena, aproveitando os dados organizacionais e relatórios de gerenciamento de vulnerabilidade enriquecidos. Exemplos de curto prazo incluem o desenvolvimento e atualização de processos de gerenciamento que se alinham com a TI e combinam isso com o desenvolvimento de relatórios que respondem perguntas simples. Como profissionais de segurança, devemos sempre nos responsabilizar para que mudanças reais ocorram.
A Inteligência Artificial (IA), que vem nos ajudando nas mais variadas tarefas do dia a dia, também tem apoiado os processos que envolvem as investigações corporativas. Um exemplo disso são as plataformas forenses que contam com recursos de IA para facilitar as análises de documentos, expandindo o nível da investigação, uma vez que a tecnologia permite acelerar a análise das informações em um processo que seria consideravelmente mais moroso se conduzido apenas sob olhares humanos.
De acordo com George Socha, vice-presidente da Brand Awareness, 73% dos custos de revisão de documentos são provenientes da coleta e do processamento das informações e isso ocorre devido à alta complexidade dos dados e das diversas possibilidades de armazenamento. Desta forma, aproveitando-se dos recursos de IA durante o estágio inicial, ou seja, na avaliação do caso, é possível garantir uma grande economia de tempo e redução dos custos após o início das análises.
E como esse processo ocorre? Com o auxílio da Inteligência Artificial, ao invés de executar a tradicional lista de palavras-chave, as equipes de investigadores e de tecnologia priorizam a contextualização e o objetivo da investigação criando um modelo capaz de direcionar os resultados para documentos relevantes, independente de datas, consultas e filtros tradicionalmente aplicados, o que possibilita uma abordagem mais ampla, direcionada e eficiente para o processo investigativo.
Diante deste cenário, a utilização da Inteligência Artificial permite a rápida exploração e descoberta de conexões entre colaboradores, fornecedores, terceiros e agentes públicos que não estavam previamente mapeados no escopo inicial e que são, muitas vezes, até desconhecidos no planejamento da investigação. Além disso, permite que sejam identificados e agrupados, de forma rápida, todos os nomes, sobrenomes, apelidos, e-mails pessoais e corporativos utilizados pelo investigado ou por pessoas com as quais ele se relaciona.
Também é possível visualizar as trocas de mensagens por meio de uma rede de relacionamento disponível na própria plataforma de IA, facilitando a identificação das interações mais realizadas, bem como das interações anômalas ao dia a dia do pesquisado, o que possibilita que sejam identificadas condutas e comportamentos inadequados ou desencorajados pela empresa.
Além disso, é possível facilitar a identificação de temas sensíveis e de difícil apuração, como assédio moral e sexual, gestão por injúria e comportamento moral inadequado, entre outros. Isso acontece porque a Inteligência Artificial é capaz de identificar comunicações depreciativas ou sugestivas de animosidade em relação a um indivíduo ou grupo devido às características como raça, cor, nacionalidade, sexo, deficiência, religião ou orientação sexual. Os termos, as expressões e as combinações constantemente utilizados pelo investigado também são identificados, permitindo explorar novas possibilidades além das já planejadas no escopo principal.
Essas são apenas algumas das funcionalidades que podem ser exploradas por meio da utilização da Inteligência Artificial. Contudo, existem outras inúmeras aplicabilidades desse recurso tecnológico que podem ser empregadas para dar celeridade, eficácia e assertividade nas investigações corporativas.
Diante das fraudes cada vez mais elaboradas, não há como negar que as empresas precisam ficar atentas e sempre bem-informadas sobre as facilidades que a tecnologia pode fornecer no que tange a uma investigação interna ou anticorrupção, uma vez que todas as pessoas jurídicas públicas e privadas estão sujeitas a fraudes e condutas irregulares cometidas por colaboradores e públicos externos.
Como sabemos, fraudadores e transgressores também costumam utilizar a tecnologia a seu favor. Por isso, as organizações precisam se munir dos avanços tecnológicos para prevenir ou identificar essas ações e, para isso, a Inteligência Artificial pode ser uma enorme aliada.
Thaís Poggio e Leonardo Loures, consultores seniores da área de Forense e Investigação Empresarial da Protiviti.
A Operação Singular 2, deflagrada pela Polícia Federal (PF) na semana passada, tem entre seus principais alvos fraudadores focados em crimes financeiros, como roubo de dados e clonagem de cartão de crédito. Além de danos morais e financeiros às vítimas, estima-se que esse tipo de fraude – o cartão de crédito clonado – seja responsável por um prejuízo anual de R$ 125 milhões ao comércio e às instituições bancárias.
A clonagem de cartões de crédito não é um crime trivial, e envolve organizações com grande abrangência nacional e técnicas avançadas para o roubo de dados. Por conta disso, é necessário ter bastante atenção para manter os dados bancários seguros e evitar ter um cartão, seja ele físico ou virtual, clonado. Abaixo estão algumas recomendações do consultor de Inteligência de Ameaças da Protiviti, Juan Riquelme Marin Santos.
Sete dicas para evitar ter o cartão de crédito clonado
Use cartões virtuais: hoje, a maior parte dos bancos e operadoras de cartão de crédito permite que seus clientes gerem cartões virtuais temporários e permanentes para compras online. Este recurso garante maior segurança nas negociações, mesmo em sites grandes e conhecidos. O cartão virtual temporário pode ser sempre a melhor opção, já que esta função permite que o cartão se extinga pouco depois da realização da compra.
Evite utilizar cartões em pequenos estabelecimentos: algumas quadrilhas usam sistemas para roubar dados de cartões em máquinas de pagamento. Segundo o especialista, pequenos estabelecimentos e vendedores ambulantes são os mais propícios a carregar este tipo de sistema em suas maquininhas. Nestes locais, uma opção é pagar com o Pix.
Cubra o teclado para digitar a senha: essa dica não é nova, mas não deixa de ser bastante útil. É possível que quadrilhas instalem câmeras de forma estratégica em estabelecimentos, incluindo bancos e caixas 24 horas, para capturar a digitação de senhas. Portanto, é importante dificultar a visualização de suas senhas, incluindo em caixas eletrônicos para evitar ter o cartão de crédito clonado.
Não entregue o cartão para terceiros: é comum que o lojista peça o cartão em casos em que a transação não é aprovada de primeira. Essa prática pode permitir que os dados do cartão sejam capturados por uma câmera, permitindo o roubo de dados. Também é possível que a transação seja levada para uma máquina mais distante da visão do cliente, o que também pode permitir o roubo de dados bancários.
Não acredite em ligações do banco alegando fraudes: desde meados da semana passada, o banco Itaú tem veiculado uma propaganda alertando sobre o golpe do portador. Caso alguém entre em contato com você alegando ser funcionário do banco, não faça nada do que for pedido e, em hipótese alguma, entregue seu cartão para alguém que se apresente como portador do banco, mesmo que o cartão esteja picotado.
Saiba em quais momentos sua senha poderá ser exigida: sua senha só será exigida em caixas eletrônicos, em compras físicas, na maquininha de cartão, e para confirmar transações bancárias pelo aplicativo do seu banco, como uma transferência pelo Pix. Qualquer caso diferente disso, deve ser encarado com atenção, porque pode ser golpe.
Fique de olho na fatura: os bancos permitem que seus clientes acompanhem suas transações em tempo real. Essa dica não é sobre evitar uma clonagem, mas como descobrir de maneira mais rápida caso uma fraude seja realizada. Caso verifique qualquer compra estranha ou que não se lembre, entre em contato com o banco imediatamente e informe que não reconhece determinada compra, informando data, valor e local em que ela foi realizada
A prevenção de perdas é um assunto estratégico para o setor varejista, pois o tema impacta diretamente a rentabilidade e o capital de giro das empresas. Pesquisa recente divulgada pela ABRAPPE (Associação Brasileira de Prevenção de Perdas) aponta que o varejo brasileiro perdeu em 2020 aproximadamente R$ 23,26 Bilhões, ou 1,38% do faturamento. Se anteriormente havia espaço para grandes reduções de perdas de estoque por meio de altos investimentos, agora o cenário é mais complexo, com perdas mais enxutas, causas mais complexas e menos disposição para investimentos robustos.
Reduzir perdas atualmente significa alterar a atuação em todas as camadas de negócio da companhia, substituindo a cultura da literal venda a qualquer custo pela venda eficiente, com rentabilidade. Todas as áreas operacionais da empresa passaram a se comprometer com o índice de perdas, sendo mensuradas e cobradas por isto. Se antes a prevenção de perdas tinha autonomia para buscar tecnologias que ficavam apenas sob seu guarda-chuva de atuação, agora deve buscar parceiros internos para trazer soluções mais complexas ao negócio.
Um dos exemplos é o monitoramento da cadeia de refrigeração das operações. Atualmente grande parte dos sistemas de monitoramento são focados na casa de máquinas, objetivando garantir a correta pressurização dos condensadores e evitar danos sistêmicos. Porém, grande parte do problema de quebra identificada ocorre por perda de temperatura em equipamentos específicos, decorrente às vezes de questões operacionais como a obstrução da saída de ar por mal acondicionamento ou de um erro na configuração do degelo do equipamento.
Atualmente existe uma solução simples e barata com o uso de dispositivos de IOT (Internet das Coisas) que permite o monitoramento individual das temperaturas dos equipamentos e alerta imediato em casos de desvios, o que permite a tomada de decisão antes da quebra acontecer. A tecnologia também permite otimizar ciclos de degelo dos equipamentos e reduzir sensivelmente o gasto de energia na cadeia de frios das lojas, que responde por aproximadamente 60% dos custos totais nessa conta.
Ademais, automatiza o relatório de monitoramento de temperatura de equipamentos que deve ser feito pela operação por determinação da Anvisa. Logo, é uma solução que atende o time de manutenção, prevenção de perdas e segurança alimentar.
Outra tecnologia é o uso de big data e inteligência artificial para identificar comportamentos de perda e quebra na vasta quantidade de dados gerada pelos varejistas. Existe hoje plataforma dedicada à gestão das perdas que captura insights poderosos por meio da análise de grandes massas de dados e gerencia as atividades de redução de perdas por meio do envio automático de notificações e planos de ação para toda a cadeia envolvida no processo. A solução informa, por exemplo, itens que podem estar com excesso de pedido, sortimento inadequado, apostas promocionais e outros temas que estão fora da alçada da prevenção de perdas.
Esta tecnologia enobrece a função dos analistas de dados que atualmente gastam grande parte do tempo extraindo e tratando dados e pouquíssimo tempo analisando as informações e gerando conhecimentos para o ataque às perdas.
A digitalização de atividades de prevenção de perdas gera grandes resultados nas ações de redução de perdas estoque.
Para se ter uma ideia, há varejistas que executam mais de 30 processos de forma manual e em papel nas lojas, tais como abertura e fechamento de loja, controles na frente de caixa, reportes de incidente, controle de entrada e saída de veículos nas docas, dentre outros. Os processos são registrados em papel o que impede a análise dos dados gerados e dificulta a padronização. A digitalização dos processos de prevenção de perdas reduz custos de operação e dá muito mais visibilidade às atividades realizadas.
A pesquisa da ABRAPPE aponta que a prevenção de perdas ainda prioriza tecnologias tradicionais como câmeras de vigilância, alarmes, antenas e proteção de mercadorias. Porém, as soluções acima já começam a aparecer na lista dos recursos utilizados. É o momento das estruturas de prevenção de perdas se reinventarem e buscarem novas formas de atuação.
* Rodrigo Castro é diretor executivo da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados, e co-fundador da Profit Shield.
Recente pesquisa da ABRAPPE e ABRAS apontou que as perdas de estoque no varejo brasileiro representam 1,33% do faturamento bruto, o que representa aproximadamente R$ 23,26 bilhões a menos na rentabilidade das empresas. Este índice reflete os dados de perda de estoque, que podem ser divididos entre quebras operacionais e perda desconhecida. A rebaixa de preço e os descontos em caixa também devem ser considerados nessa discussão.
As quebras operacionais representam aproximadamente 30% do total das quebras, enquanto os outros 70% são as perdas desconhecidas, estratificadas em algumas causas hipotéticas, já que o resultado decorre de diferença de inventário, onde não se tem a precisão da causa. Porém, há um outro indicador importante que deve ser monitorado e tratado pelas estruturas de prevenção de perdas e que não aparece nas pesquisas. As rebaixas de preço e descontos em caixa.
Rebaixas de preço e descontos na frente de caixa são ferramentas utilizadas pelo varejista, em resumo, para gerar maior atração e demanda para itens por meio da redução dos preços. Existem uma série de motivos que podem disparar a rebaixa dos preços e, dentre elas, a alta quebra operacional de alguns produtos. Se um item apresenta alta quebra operacional, um dos motivos pode ser o descompasso entre a oferta e demanda. Ou seja, produto parado estraga, é jogado fora e, para evitar, aplica-se desconto no produto para forçar a venda.
Logo, em um ambiente pressionado por redução de perdas de estoque, pode ser que a rebaixa de preço seja excessivamente utilizada, transferindo a perda de margem do custo para a receita. Afinal, as perdas de estoque sensibilizam o custo da mercadoria vendida, enquanto a rebaixa de preço sensibiliza a receita. Porém, ambos impactam a margem final.
Em um projeto de prevenção de perdas para um grande varejista alimentar, a estratégia de atuação foi atacar a perda de forma estendida. Ou seja, avaliar as quebras operacionais e as perdas de margem. O resultado foi uma redução de 30% nas quebras operacionais e redução de aproximadamente R$ 8 Milhões em rebaixas de preços de perecíveis. Isto ocorreu porque o foco passou a ser a causa raiz das quebras operacionais, que eram geralmente os pedidos em excesso, os pedidos promocionais forçados e os itens inadequados para o sortimento das lojas.
Ao conectar as estruturas de prevenção de perdas, comercial e reabastecimento com indicadores que se conversavam, houve uma junção de forças para que o foco passasse a ser a rentabilidade da organização e não só a redução das perdas de estoque. O projeto de prevenção de perdas foi um dos maiores alavancadores de resultado desse varejista, que saiu do prejuízo ao lucro em um ano.
Logo, as perdas de estoque devem sempre ser avaliadas em um contexto amplo e de geração efetiva de valor para a organização, refletida principalmente em aumento da rentabilidade da empresa. A prevenção de perdas de estoque neste cenário, é uma poderosa aliada na transformação organizacional de empresas que buscam maior eficiência e valor, pois os resultados são rápidos e grande parte das ações dependem de esforços e ajustes internos da cadeia de abastecimento e venda.
* Rodrigo Castro é diretor executivo da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados, e co-fundador da Profit Shield.
