Tag: Gestão de Riscos

Publicado em por Deixe um comentário

COMO EMPRESAS E BANCOS ENFRENTAM A EVOLUÇÃO DO CIBERCRIME

A inovação no campo da segurança digital é um fator essencial para empresas, especialmente em tempos de crescimento de golpes sofisticados. A fraude com uso de reconhecimento facial e biometria — como o “golpe das flores” — evidencia que criminosos não dependem exclusivamente de tecnologias avançadas, mas sim da combinação de táticas de engenharia social e abordagens digitais e presenciais. Neste golpe, indivíduos são manipulados a fornecer fotos como “comprovantes de recebimento” de presentes, sem perceber que essas imagens serão usadas como prova de vida para, sem consentimento, solicitar financiamentos ou abrir créditos.

Esse exemplo alerta para a necessidade de aprimorar práticas de segurança além das medidas tecnológicas já estabelecidas. Em algumas situações, mesmo com mecanismos de validação e biometria, os bancos têm enfrentado desafios. A evolução, neste caso, está na análise contínua de dados e na conscientização dos clientes sobre abordagens suspeitas, como as ligações falsas em nome de centrais de atendimento. Para reforçar a proteção, bancos e empresas de tecnologia já implementam alertas em aplicativos e outras ferramentas para notificar sobre possíveis fraudes em tempo real.

No entanto, a segurança digital no Brasil ainda apresenta lacunas importantes. Embora a Lei Geral de Proteção de Dados (LGPD) esteja em vigor desde 2020, a adequação de pequenas e médias empresas permanece limitada. Muitos negócios de menor porte ainda precisam avançar em governança de dados, muitas vezes por conta de orçamentos restritos e pela priorização de outras áreas que trazem retornos diretos. A conscientização sobre segurança da informação, contudo, continua essencial, e não somente no nível da própria organização, mas também entre os fornecedores. Pequenas falhas de segurança em empresas terceirizadas podem colocar em risco empresas maiores, que buscam estratégias para proteger não só suas próprias operações, mas as dos parceiros e fornecedores.

O setor financeiro, devido ao seu alto valor para criminosos, tende a investir pesado em medidas de proteção, aplicando camadas de segurança em várias etapas de seus sistemas. Uma abordagem comum é a estratégia de “zero trust”, onde cada ação interna é tratada como suspeita até que seja verificada, empregando técnicas como a autenticação multifatorial e o monitoramento em tempo real de transações para detecção de anomalias. O uso de inteligência artificial e machine learning, aliado a biometria e sistemas de comportamento do usuário, é cada vez mais comum para identificar padrões incomuns e possíveis fraudes.

Para empresas que buscam melhorar suas práticas de segurança, é fundamental investir em tecnologia e capacitação interna e desenvolver uma cultura de segurança. Isso inclui o uso de dados de maneira responsável e estratégica para evitar vazamentos e abusos. O conceito de “confiança zero” ajuda a criar uma barreira sólida, dificultando tentativas de ataque. No setor financeiro, a segurança não é tratada como uma despesa, mas como um investimento crucial para a preservação da confiança dos clientes e para a reputação da instituição.

É preciso observar que o campo da segurança digital nunca é estático. As ameaças evoluem rapidamente, exigindo que a proteção também seja dinâmica e capaz de enfrentar novos desafios. Empresas devem continuar aprimorando sua capacidade de resposta e prevenção, garantindo uma segurança robusta não apenas em seu ambiente, mas também nos laços que mantêm com o ecossistema empresarial mais amplo.

Publicado em por Deixe um comentário

ÉTICA NA PROTEÇÃO DE DADOS: O PAPEL DO ENCARREGADO NA SEGURANÇA DA INFORMAÇÃO

Na era digital, onde os dados pessoais se tornaram uma moeda valiosa, emerge um papel fundamental: o Encarregado pelo Tratamento de Dados Pessoais. Esta figura, essencial para a proteção das nossas informações, atua como um verdadeiro guardião da privacidade, assegurando que os dados permaneçam seguros e longe de mãos erradas.

Para fortalecer ainda mais a importância desse papel, a Autoridade Nacional de Proteção de Dados (ANPD) organizou, em Brasília, na primeira quinta-feira de agosto, o 1º Encontro Nacional dos Encarregados. Este evento, que reuniu profissionais de diferentes setores, marcou a introdução da Resolução CD/ANPD n. 18, de 16 de julho de 2024, estabelecendo diretrizes claras para a atuação dos Encarregados pelo tratamento de dados pessoais. Trata-se de um verdadeiro manual de boas práticas que orienta esses profissionais em suas responsabilidades, como o registro de incidentes de segurança, a supervisão das operações de tratamento de dados e a elaboração de relatórios de impacto.

Um dos temas centrais debatidos durante o encontro foi a prevenção de conflitos de interesse, uma questão crítica para a função. O regulamento aprovado estabelece diretrizes para garantir que os Encarregados mantenham a ética e a integridade em suas atividades, evitando qualquer comprometimento de sua autonomia técnica. O desafio, portanto, é assegurar que esses profissionais possam desempenhar suas funções sem cair nas armadilhas dos conflitos de interesse.

Embora o regulamento permita que um Encarregado atue em mais de uma empresa, é crucial que ele consiga atender a todas com o mesmo nível de dedicação, sem comprometer a imparcialidade. A acumulação de funções, por outro lado, pode ser um obstáculo perigoso. Em uma área tão dinâmica e complexa como a proteção de dados, é vital que o Encarregado esteja constantemente atualizado com as mudanças legislativas e as melhores práticas do setor. Sobrecarregar este profissional com múltiplas responsabilidades pode resultar em falhas críticas, especialmente na gestão de incidentes, onde uma resposta rápida e eficiente é imprescindível.

Os conflitos de interesse, por sua vez, são armadilhas sutis, que podem surgir quando o Encarregado assume atividades estratégicas que envolvem decisões sobre o tratamento de dados. Aqui, a transparência é não apenas desejável, mas obrigatória. Qualquer sinal de conflito deve ser prontamente comunicado ao agente de tratamento, que, por sua vez, tem a responsabilidade de agir de maneira eficaz para resolver a situação ou, se necessário, substituir o Encarregado.

A prevenção de conflitos de interesse exige um delicado equilíbrio entre ética, atenção e, às vezes, uma dose de coragem. Com as diretrizes estabelecidas pela ANPD, tanto os Encarregados quanto os agentes de tratamento possuem um guia claro para navegar por esse cenário complexo. A chave para o sucesso está na transparência, na integridade e no compromisso de todas as partes envolvidas em manter os dados pessoais protegidos e em conformidade com a lei.

Publicado em por Deixe um comentário

A IMPORTÂNCIA DA PROTEÇÃO DE CREDENCIAIS EM INFRAESTRUTURAS DE NUVEM

Recentemente, foi identificado um aumento nos ataques cibernéticos direcionados a empresas que utilizam infraestrutura em nuvem. Criminosos têm explorado arquivos de configuração mal configurados, particularmente aqueles que armazenam variáveis de ambiente, para obter credenciais de acesso a serviços em nuvem. Esses arquivos, conhecidos como .ENV, são comumente usados para armazenar informações de configuração de software e, quando expostos, representam um risco significativo para as organizações.

A campanha, que começou no início deste ano, envolve a varredura em larga escala de servidores na internet, identificando empresas que inadvertidamente expuseram esses arquivos. Uma vez que os atacantes obtêm acesso, eles podem extrair dados e, em alguns casos, deletar os arquivos originais, exigindo posteriormente um resgate para a devolução dos dados.

Embora as negociações entre os invasores e as vítimas sejam realizadas de forma privada, dificultando a verificação de pagamentos, o impacto potencial dessas ações é considerável. Este tipo de ataque não é novo e segue um padrão observado anteriormente, onde cibercriminosos exploravam bancos de dados mal configurados para obter ganhos financeiros.

A principal conclusão desse cenário é a necessidade de uma configuração adequada e segura das infraestruturas em nuvem. Mesmo com a evolução das práticas de segurança, a exposição de credenciais legítimas ainda é um ponto vulnerável. Portanto, é fundamental que as empresas revisem suas configurações e implementem medidas para evitar a exposição de informações sensíveis, reforçando a segurança de seus sistemas e prevenindo acessos não autorizados.

Publicado em por Deixe um comentário

CRISES CIBERNÉTICAS E SEUS IMPACTOS EM EMPRESAS E SOCIEDADE

Nos últimos anos, diversos incidentes cibernéticos chamaram atenção, impactando empresas de variados setores. O apagão global desta sexta-feira (19), causado por uma falha de atualização de software da Microsoft e da CrowdStrike, já entrou para a história.

Considerando a gravidade e a dimensão desse evento, é possível perceber que ele vai além da simples indisponibilidade de serviços, afetando o setor de cibersegurança, empresas, investidores e até mesmo a percepção da sociedade em geral.

Para as empresas, esse apagão representou um grande desafio operacional e financeiro, com corporações entre as 500 maiores do mundo sendo surpreendidas. Mesmo após a identificação da origem do problema, as companhias enfrentaram danos financeiros e de imagem devido à interrupção de suas operações, ou pelas alternativas improvisadas, como a emissão manual de bilhetes de passagem aérea.

No Brasil, bancos e serviços financeiros também foram afetados, causando transtornos aos clientes e resultando em possíveis perdas financeiras significativas. Esse incidente serve como um alerta sobre a importância da gestão na cadeia de fornecimento e nos processos de mudança e atualização de software, destacando a necessidade de revisar a confiança total nos fornecedores.

A tendência é que os clientes se tornem mais exigentes com os fornecedores de segurança, pressionando pela comprovação da excelência de suas operações. Do ponto de vista da sociedade em geral, um apagão dessa magnitude impacta, inicialmente, a confiança e gera preocupações sobre a dependência crescente dos sistemas cibernéticos.

Outros Apagões Recentes

Apagão do Google (2024) Em março deste ano, o Gmail enfrentou instabilidades, com usuários relatando dificuldades para enviar e receber e-mails. A empresa atribuiu o problema a um aumento de tráfego durante a manhã. No mesmo dia, os aplicativos da Meta, Instagram e Facebook, também ficaram fora do ar devido a uma falha técnica.

Apagão no Facebook (2021) Em outubro de 2021, Facebook, WhatsApp e Instagram enfrentaram uma queda global de aproximadamente seis horas, causada por uma alteração na configuração dos servidores que coordenam o tráfego de rede entre seus data centers.

Apagão na AWS (2020) Em novembro de 2020, a Amazon Web Services (AWS) sofreu uma grande interrupção que afetou uma vasta gama de serviços online, desde aplicativos empresariais até plataformas de streaming. O problema foi causado por uma falha na infraestrutura de rede da AWS na região leste dos EUA.

Ataque NotPetya (2017) Em junho de 2017, um ransomware começou a se espalhar globalmente a partir da Ucrânia. Conhecido como NotPetya, o ataque cibernético foi um dos maiores da história, com empresas em vários países sofrendo danos significativos.

Ataques DDoS à Dyn (2016) Em outubro de 2016, o provedor de Sistemas de Nomes de Domínios (DNS), Dyn, sofreu um ataque de DDoS, afetando a disponibilidade de vários sites e serviços populares. O ataque ocorreu em três ondas ao longo do dia, causando interrupções prolongadas.

Causas dos Apagões Os apagões cibernéticos podem ocorrer por várias razões, como falhas de atualização de software, ataques de hackers, falhas de hardware e desastres naturais. Com a crescente interconexão da rede global, os riscos de vulnerabilidades e problemas tendem a aumentar, mesmo com os avanços em proteção cibernética.

Publicado em por Deixe um comentário

ESTRATÉGIAS PARA PROTEÇÃO E CONFORMIDADE EMPRESARIAL

Desde a implementação da Lei Geral de Proteção de Dados (LGPD) em 2020, o cenário empresarial brasileiro tem enfrentado desafios significativos no que se refere ao manejo de dados pessoais. A LGPD instituiu um conjunto rigoroso de diretrizes que regulamentam como informações pessoais — de clientes, funcionários, acionistas, parceiros e potenciais clientes — devem ser tratadas pelas organizações.

Este novo regime legal trouxe à tona a importância do “compliance de dados”. Essa prática envolve a adoção de políticas internas e mecanismos que asseguram a conformidade com as normativas estabelecidas pela LGPD. A principal meta do compliance de dados é não apenas evitar sanções legais, mas também proteger a organização de riscos financeiros, legais e reputacionais.

A gestão de riscos, uma atividade intrínseca a qualquer empresa, ganha uma nova dimensão com a LGPD, ao adicionar os riscos associados à proteção de dados ao espectro de preocupações corporativas. Neste contexto, os programas de compliance de dados se tornam fundamentais, servindo como ferramentas estratégicas para identificar, avaliar e controlar potenciais ameaças à segurança da informação.

Além de cumprir com as exigências legais, um programa eficaz de compliance de dados fortalece a cultura organizacional no que tange à privacidade, por meio de treinamentos regulares, políticas claras e auditorias sistemáticas. Essas ações são essenciais para construir e manter a confiança de todos os stakeholders envolvidos.

A LGPD prevê uma gama de sanções para infrações, que variam desde advertências até multas substanciais e proibições de atividades relacionadas ao tratamento de dados. No entanto, a lei também oferece a possibilidade de mitigação dessas penalidades, especialmente se a organização demonstrar uma postura proativa em relação à governança de privacidade e à adoção de boas práticas.

Essencialmente, a legislação incentiva as empresas a desenvolverem um programa de governança em privacidade robusto, que deve estar alinhado à escala e complexidade de suas operações. Esse programa não só ajuda na conformidade e na prevenção de infrações como também atenua possíveis sanções. Para ser considerado eficaz, esse programa deve incorporar uma série de elementos, como:

  • A implementação de políticas e procedimentos internos que garantam a proteção de dados pessoais.
  • A aplicabilidade dessas políticas a todos os dados sob controle da organização, adaptadas à sua estrutura e volume de operações.
  • A adoção de medidas de segurança baseadas em uma avaliação sistemática dos impactos e riscos à privacidade.
  • A existência de um plano de resposta a incidentes e de avaliações periódicas para garantir a atualização constante do programa.
  • A demonstração de uma relação transparente e de confiança com os titulares dos dados.

Além disso, o programa deve estar integrado à estrutura geral de governança da empresa, com mecanismos de supervisão internos e externos efetivos.

Portanto, mais do que uma exigência legal, o programa de compliance de dados representa uma estratégia fundamental para a gestão de riscos corporativos, assegurando que a organização não apenas esteja em conformidade com a lei, mas também que opere de maneira segura e transparente no que diz respeito ao tratamento de dados pessoais.

Publicado em por Deixe um comentário

FALHA DE SEGURANÇA EM HOSPITAL BRITÂNICO EXPÕE DADOS DA PRINCESA KATE MIDDLETON

O recente incidente no The London Clinic envolvendo a possível exposição de informações médicas privadas da Princesa Kate Middleton ressalta um desafio crítico no manejo de dados sensíveis. Relatos indicam que o hospital, onde a princesa foi recentemente tratada, teria demorado uma semana para informar as autoridades sobre uma suspeita de violação de dados. Isso está em desacordo com a legislação do Reino Unido, que exige a notificação de tais incidentes em até 72 horas após sua detecção.

O episódio destaca questões mais amplas sobre a segurança da informação e a privacidade do paciente em instituições médicas renomadas. Ainda que a investigação esteja em curso, já se sabe que três funcionários da clínica estão sendo investigados por supostamente acessar indevidamente o prontuário da princesa. Essas ações podem levar a sérias repercussões profissionais e disciplinares para os envolvidos.

A possível multa de até £18 milhões imposta ao hospital reitera a gravidade do descumprimento das normas de proteção de dados. Este caso serve como um lembrete potente para todas as instituições de saúde sobre a importância de aderir rigorosamente às leis de proteção de dados, não apenas para evitar penalidades financeiras, mas para manter a confiança do público e garantir a privacidade dos pacientes.

Publicado em por Deixe um comentário

ÍNDICE DA CISCO REVELA LACUNAS NA PRONTIDÃO CIBERNÉTICA EM 2024

A edição de 2024 do Índice de Prontidão de Segurança Cibernética da Cisco revelou que somente 3% das organizações globais atingiram um nível considerado “maduro” em termos de prontidão para lidar com ameaças cibernéticas atuais. Este resultado mostra uma diminuição significativa em relação ao ano anterior, em que 15% das empresas alcançaram essa classificação, indicando uma necessidade crescente de fortalecer as defesas contra ataques digitais.

O índice é resultado de uma pesquisa com mais de 8.000 líderes de negócios e segurança em 30 mercados diferentes e analisa a prontidão cibernética das empresas através de cinco pilares principais: Inteligência de Identidade, Resiliência de Rede, Confiabilidade de Máquinas, Reforço de Nuvem e Fortalecimento de IA. Esses pilares são fundamentais para navegar no cenário de segurança cibernética, cada vez mais complexo devido à evolução constante das ameaças e à expansão da hiperconectividade.

Um dos aspectos do estudo é a confiança que 80% das empresas demonstram em sua capacidade de prevenir ataques cibernéticos com a infraestrutura atual, apesar da baixa porcentagem de organizações que atingem um nível de maturidade em prontidão. Esse contraste sugere uma desconexão entre a percepção de segurança e a realidade operacional, destacando uma potencial área de melhoria para muitas organizações.

Entre os desafios identificados, o relatório aponta para a complexidade trazida por soluções pontuais de segurança, o uso de dispositivos não seguros e não gerenciados, e a persistente escassez de talentos especializados em segurança cibernética. Esses fatores dificultam a capacidade das organizações de detectar, responder e se recuperar de incidentes de segurança de forma eficiente.

Além disso, o estudo revela que muitas organizações esperam interrupções nos negócios devido a incidentes de segurança nos próximos dois anos, com custos significativos já experimentados por mais da metade dos entrevistados devido a incidentes no último ano.

Há uma tendência de aumento nos investimentos em segurança, com muitas empresas planejando atualizar significativamente sua infraestrutura de TI e expandir seus orçamentos de segurança. Isso inclui um foco em atualizar soluções existentes, implantar novas tecnologias e investir em inteligência artificial, visando uma abordagem mais integrada e eficaz na prevenção de ameaças cibernéticas.

Apesar dos desafios atuais, há um reconhecimento da importância em fortalecer as defesas cibernéticas e uma disposição para investir em melhorias. Para as empresas, o caminho a seguir inclui não apenas investimentos em tecnologia, mas também uma avaliação contínua de suas estratégias de segurança, buscando sempre adaptar-se e responder ao ambiente de ameaças em constante evolução.

Publicado em por Deixe um comentário

A ASCENSÃO DA GESTÃO DE RISCOS E COMPLIANCE NO MUNDO TECNOLÓGICO

A Quarta Revolução Industrial tem sido um catalisador de mudanças substanciais em diversos setores da sociedade, e o âmbito jurídico não é exceção. Essa nova era trouxe consigo desafios e oportunidades inéditas para os recém-formados em Direito e para os profissionais já estabelecidos. Entre as transformações mais significativas está a emergência de profissões que buscam harmonizar o direito com as inovações tecnológicas, destacando-se a área de gestão de riscos e compliance como uma das mais promissoras.

No coração dessa ascensão, encontra-se a necessidade de as empresas se adequarem às exigências legais, éticas e regulamentares que o avanço tecnológico impõe. Compliance, ou conformidade, refere-se à aderência a todas as leis e normas aplicáveis, enquanto a gestão de riscos se concentra na identificação, avaliação e mitigação dos riscos operacionais aos quais uma organização está exposta. Ambos os aspectos são cruciais para assegurar operações legais e reduzir potenciais riscos financeiros ou de imagem para as empresas.

Os profissionais dedicados a essa área enfrentam desafios consideráveis, desde a complexidade e constante evolução das normativas até a necessidade de implementar medidas proativas para prevenir violações de dados e fraudes. Este cenário demanda não só um profundo conhecimento jurídico, mas também uma compreensão sólida das ferramentas tecnológicas que podem ser utilizadas para fortalecer as estratégias de compliance e gestão de riscos.

Apesar de seu papel crucial no cenário empresarial moderno, a gestão de riscos e compliance ainda busca um reconhecimento mais amplo dentro da esfera jurídica. Esse reconhecimento parcial pode ser atribuído à novidade dessa abordagem e à falta de familiaridade de alguns profissionais do direito com as potencialidades da tecnologia. Contudo, conforme as organizações continuam a compreender a importância dessa integração para a sustentabilidade e o sucesso dos negócios, espera-se que essa percepção mude, promovendo uma maior aceitação e incorporação dessas práticas no direito.

A tendência indica que a demanda por especialistas em gestão de riscos e compliance só aumentará, com a tecnologia desempenhando um papel central. Essa realidade abre um campo vasto e emocionante para os profissionais jurídicos. Ao dominar os princípios dessa área e alavancar as inovações tecnológicas à disposição, os juristas poderão navegar com mais eficiência os desafios contemporâneos, assegurando assim um horizonte repleto de oportunidades profissionais.

A adesão a uma estratégia eficaz de gestão de riscos não beneficia apenas a conformidade legal e regulatória das empresas, mas também promove a prevenção de incidentes, melhora a imagem corporativa e fortalece a confiança dos stakeholders. A integração bem-sucedida de compliance e gestão de riscos é uma pedra angular para o crescimento sustentável e a inovação no atual panorama empresarial.

Publicado em por Deixe um comentário

AUDITORIA REVELA FALHAS NA SEGURANÇA CIBERNÉTICA DE ENTIDADES GOVERNAMENTAIS

Na recente sessão plenária realizada na última quarta-feira, uma auditoria detalhada foi apresentada pelo Tribunal de Contas, destacando vulnerabilidades críticas em sistemas de informação de diversas organizações governamentais federais. Esta análise focou na segurança de serviços essenciais como hospedagem web, sistemas de correio eletrônico e a resolução de nomes de domínio, evidenciando a possibilidade de exploração dessas falhas por agentes mal-intencionados.

O estudo revelou lacunas significativas nas configurações de segurança, indicando que as práticas correntes falham em atender aos padrões recomendados de proteção para infraestruturas digitais. Surpreendentemente, a maturidade em segurança da informação, em sua maioria, situa-se em patamares baixos a intermediários, sinalizando uma urgente necessidade de aprimoramento.

A metodologia aplicada nesta auditoria permitiu um exame abrangente de milhares de domínios, descobrindo que a prevalência de configurações inadequadas expõe não apenas as instituições, mas também seus usuários, a riscos significativos de ataques cibernéticos. Esses ataques têm o potencial de comprometer a confidencialidade e a integridade dos serviços digitais fornecidos ao público, afetando a continuidade e a eficácia das operações governamentais.

Identificaram-se sete riscos principais, entre eles a manipulação de tráfego de rede e o comprometimento de contas de usuários, que podem levar ao roubo, vazamento e perda de dados sensíveis, além da possível interrupção dos sistemas de entidades públicas. A análise apontou que uma grande proporção dos domínios avaliados apresenta alto risco para ataques, o que ressalta a crítica necessidade de ações corretivas.

Entre os fatores que contribuem para esse cenário estão a insuficiência de recursos, falta de pessoal qualificado e a ineficácia na aplicação de normativas de segurança. Além disso, a ausência de envolvimento direto da alta gestão nas estratégias de segurança foi identificada como uma barreira significativa para a implementação efetiva de controles robustos.

Este levantamento, conduzido com o objetivo de abranger a totalidade dos domínios governamentais, resultou na criação de um inventário preciso da situação da segurança cibernética nas várias esferas da administração pública. Tal esforço reflete a importância de adotar uma abordagem mais rigorosa e integrada para a gestão de riscos em segurança da informação, alinhada às melhores práticas internacionais.

O diagnóstico oferece uma visão clara dos desafios enfrentados e sublinha a necessidade urgente de medidas proativas para fortalecer a postura de segurança das instituições públicas. Para auxiliar neste processo, foram elaboradas recomendações específicas e um “Mapa de Riscos e Controles”, visando facilitar a compreensão dos controles de segurança necessários, os riscos associados à sua não implementação e os benefícios esperados com sua adoção.

A iniciativa de fiscalização tomada por este órgão visa essencialmente incentivar uma transformação positiva na maneira como os riscos de segurança da informação são percebidos e geridos no âmbito do governo, contribuindo para a construção de um ambiente digital mais seguro para todos os cidadãos.

Publicado em por Deixe um comentário

COMO O ESG ESTÁ REDEFININDO O SUCESSO CORPORATIVO

A adoção dos critérios ESG (Ambiental, Social e Governança) tem se tornado um imperativo para as empresas contemporâneas, marcando uma nova era na gestão empresarial. Segundo estudos recentes da PwC, espera-se que até 2026, os investimentos corporativos em ESG cresçam em média 12,9% anualmente, alcançando um montante global de US$ 33,9 trilhões.

No Brasil, essa tendência também é notável, com 86% das empresas de maior faturamento já comprometidas com esses princípios. O ESG deixou de ser apenas um conjunto de métricas para avaliação de desempenho e se tornou um guia estratégico para negócios que visam a sustentabilidade a longo prazo.

Uma pesquisa da Confederação Nacional das Indústrias (CNI) destaca os principais motivos para a incorporação do ESG no cerne das operações empresariais, incluindo o fortalecimento das relações com partes interessadas (44%), a gestão sustentável de recursos naturais (39%), aprimoramento na gestão de riscos (36%), aumento da competitividade (33%) e conformidade legal (28%).

A interação entre ESG e tecnologia tem sido fundamental nesse processo. A capacidade de coletar e analisar dados ambientais por meio de tecnologias como IoT (Internet das Coisas) e big data tem permitido às empresas não apenas monitorar, mas aprimorar seu impacto ambiental. Essas tecnologias possibilitam uma gestão mais eficiente de recursos, a redução de desperdícios e a mitigação de impactos negativos no meio ambiente.

No aspecto social, a tecnologia tem papel crucial na promoção da inclusão e diversidade. Plataformas digitais oferecem novas oportunidades de emprego a grupos historicamente marginalizados e as redes sociais amplificam vozes que antes eram pouco ouvidas. É essencial, porém, que o desenvolvimento e a aplicação dessas tecnologias sejam feitos de maneira ética e inclusiva.

Em termos de governança, ferramentas como o blockchain proporcionam uma transparência sem precedentes, oferecendo registros imutáveis que aumentam a confiança e diminuem as chances de corrupção. Paralelamente, a inteligência artificial pode automatizar processos de conformidade e identificar fraudes, assegurando que as empresas mantenham elevados padrões éticos e legais.

Embora o caminho para a implementação efetiva dos princípios ESG possa parecer complexo, exigindo uma fusão entre tecnologia, mudança cultural e políticas internas, as empresas devem se dedicar à colaboração e transparência. Envolvendo todas as partes interessadas na definição de objetivos e estratégias ESG, as organizações abrem portas para um futuro corporativo mais sustentável e responsável.

Estamos, portanto, diante de uma oportunidade única de liderar uma transformação em direção a práticas de negócios mais sustentáveis, justas e inclusivas, promovendo não apenas o crescimento econômico, mas também contribuindo significativamente para a construção de um futuro melhor para todos.

Publicado em por Deixe um comentário

A IMPORTÂNCIA DO CONTROLE DE TERCEIROS NA PROTEÇÃO DE DADOS CORPORATIVOS

O relatório Global Cybersecurity Outlook 2024, divulgado pelo World Economic Forum em janeiro, indicou que 41% das organizações afetadas por incidentes de segurança no último ano atribuíram a causa a terceiros. Um estudo paralelo da Security Scorecard, “Close encounters of the third (and fourth) party kind”, publicado também em janeiro de 2023, encontrou que 98% das organizações mantêm relações com ao menos um terceiro que sofreu uma violação de segurança nos últimos dois anos. Ademais, revelou que para cada fornecedor direto, as empresas têm, em média, 60 a 90 conexões indiretas.

Esses dados sublinham a importância de uma gestão de riscos cibernéticos mais robusta e consciente, especialmente em relação a terceiros e parceiros de negócios. No âmbito da Lei Geral de Proteção de Dados (LGPD) no Brasil, essa preocupação se acentua, pois os fornecedores que manuseiam dados pessoais em nome das empresas são igualmente responsáveis pela segurança e pelo tratamento adequado dessas informações. Falhas nesse processo podem levar a sanções legais e a consequências negativas para a reputação das empresas envolvidas.

Considerando o cenário brasileiro, um relatório da Trend Micro de 2023 posicionou o Brasil como o segundo país com maior número de ataques cibernéticos, destacando a relevância deste desafio. Foram registradas 85,6 bilhões de ameaças bloqueadas somente no primeiro semestre, o que evidencia a vulnerabilidade das organizações nacionais a ataques que podem paralisar suas operações, como os de ransomware.

É importante que as organizações desenvolvam e implementem estratégias de cibersegurança que incluam uma avaliação rigorosa dos riscos associados a terceiros. Isso envolve não apenas a adoção de práticas de segurança informatizadas adequadas, mas também a garantia de que os parceiros e fornecedores adotem medidas similares para proteger os dados pessoais tratados em nome das empresas contratantes.

A segurança dos dados e a proteção contra riscos cibernéticos exigem uma abordagem integrada e estratégica, que vá além do cumprimento de requisitos legais e envolva todas as partes da cadeia de suprimentos digital. A prevenção de riscos e a adoção de controles de segurança eficazes são essenciais para a sustentabilidade e a resiliência organizacional em um ambiente digital cada vez mais complexo e regulado.

Publicado em por Deixe um comentário

AMPLIANDO A SEGURANÇA CIBERNÉTICA ATRAVÉS DA GESTÃO DE FORNECEDORES

No panorama atual da segurança cibernética, relatórios como o Global Cybersecurity Outlook 2024, divulgado pelo World Economic Forum, e estudos complementares, como o da Security Scorecard, trazem à tona dados importantes sobre a incidência de incidentes de segurança envolvendo terceiros. Esses documentos revelam que uma proporção significativa de organizações enfrenta desafios relacionados à segurança devido a vulnerabilidades presentes em sua cadeia de fornecedores e parceiros.

A relação entre empresas e seus fornecedores no contexto da Lei Geral de Proteção de Dados (LGPD) destaca a importância de uma gestão de riscos eficaz. Fornecedores, como agentes de tratamento de dados, compartilham a responsabilidade legal sobre a segurança e o tratamento adequado dos dados pessoais. Incidentes de segurança não apenas levantam questões de conformidade legal, mas também podem resultar em sanções e impactos operacionais significativos para as empresas envolvidas.

Diante dessa realidade, é essencial para as organizações implementarem processos robustos de avaliação e gestão de seus fornecedores. Esse processo começa com a identificação e avaliação dos riscos associados à cadeia de fornecimento, seguido de uma análise detalhada (due diligence) da capacidade dos fornecedores em aderir às práticas de segurança da informação e proteção de dados. Estabelecer contratos claros que definam responsabilidades e obrigações é um passo crítico, assim como o monitoramento contínuo do desempenho dos fornecedores em relação à segurança dos dados.

No Brasil, a preocupação com a segurança cibernética é particularmente relevante, considerando-se o alto volume de ameaças cibernéticas identificadas. Essa realidade sublinha a necessidade de uma abordagem proativa e diligente para a gestão da segurança da informação, tanto internamente quanto na relação com terceiros.

Para as empresas, adotar uma estratégia eficaz de gestão de fornecedores não é apenas uma questão de conformidade legal, mas também uma medida prudente para mitigar riscos e proteger a continuidade do negócio. Isso envolve a implementação de práticas de segurança da informação, a realização de auditorias regulares e a promoção de uma cultura de proteção de dados em toda a cadeia de suprimentos.

A segurança cibernética no contexto das relações entre empresas e fornecedores requer uma abordagem equilibrada e informada. Através da adoção de práticas de gestão de riscos eficazes e do estabelecimento de parcerias sólidas baseadas na confiança e na transparência, as organizações podem fortalecer sua postura de segurança e garantir a proteção dos dados pessoais dos quais são responsáveis.