Home / Artigo / GRC International e DRIDAY Latin America: chegou a hora de se preparar para o amanhã

GRC International e DRIDAY Latin America: chegou a hora de se preparar para o amanhã

Palestras de alto impacto e dinâmicas disruptivas resultaram em momentos de imersão para os participantes

Em sua 8ª e 7ª edições, o GRC International e o DRIDAY Latin America, eventos que se tornaram tradição para os executivos cujo propósito é inovar em conformidade com as regulamentações e demandas emergentes do mercado, superaram as expectativas.

Quer saber o que foi abordado no maior evento focado em Governança, Risco, Conformidade, Continuidade de Negócios e Segurança da Informação da América Latina? Confira o overview abaixo!

05/06 – Quarta-feira

A primeira palestra – Crise: Violação de Dados – teve como foco o assunto do momento: a Lei Geral de Proteção de Dados (LGPD) e foi ministrada pelo expert Hélio Cordeiro, Chief Digital Officer do Grupo DARYUS. O início foi dedicado à contextualização do tema a partir de escândalos protagonizadas por grandes empresas. O intuito foi apresentar o que era comum a todas elas: o vazamento de dados, intimamente relacionado à Lei Geral de Proteção de Dados (LGPD), que foi baseada na General Data Protection Regulation (GDPR).

Cordeiro levantou um questionamento aos participantes: “Quem já leu na íntegra a LGDP ou a GDPR?”. Diante das poucas mãos levantadas, ele explicou de forma didática o que é a LGPD. “Primeiramente, é importante riscar as letras L e G para compreender o que significa o P e o D, ou seja, Proteção de Dados, dados pessoais”, enfatizou o executivo, que continuou nessa toada, listando os termos englobados por essa legislação, tais como: dado anonimizado, titular, encarregado, entre outros.

Hélio Cordeiro também explicou a diferença entre vazamento de dados e violação de dados, pontuando: “Ao ocorrer um vazamento de dados, a empresa tem a responsabilidade de prestar contas, principalmente aos clientes”.

Após discorrer sobre os conceitos basilares e suas implicações no ambiente corporativo, o executivo se transformou em moderador do Painel – LGPD: Governança de Dados, contribuindo para a discussão entre grandes nomes do mercado: Alex Amorim (Evangelista Cyber Security da Security Report), Luiz Felipe Ferreira (Data Protection Product Owner do Itaú Unibanco) e Octavio Cazonato (Chief Information Officer da Transmontano Saúde), ambos já inseridos no cenário que tem a LGPD como temática da trama principal.

Angústias, práticas e objetivos foram citados pelos convidados, gerando identificação por parte do público presente. Para Luiz Felipe Ferreira o maior propósito está no oceano azul que, em suas palavras, é proteger os dados dos clientes e funcionários do banco, o que foi de encontro com a preocupação de Octavio Cazonato: “O hospital envolve uma cadeia de stakeholders, por isso pedimos mais tempo para organizar nossos fornecedores, trazê-los para dentro de casa”  e concluiu: “A cultura organizacional não muda de um dia para o outro”.

Ao entrar em cena, Alex Amorim pendeu para o lado do usuário, balanceando o debate: “As empresas estão cada vez mais captando dados dos clientes sem limites e a LGDP tem o objetivo de pedir explicações quanto ao uso destes”, comentou. Além disso, o especialista trouxe dados que corroboraram o questionamento inicial de Hélio Cordeiro mas, desta vez, junto à população: segundo pesquisa da Serasa Experian, 75% dos brasileiros não conhecem a LGDP.

Mas em um ponto as vozes foram uníssonas: “É preciso ter um comitê multidisciplinar para se adaptar à LGPD”.

Especialistas em governança de dados discutindo sobre a profissão e seus desafios no cenário que tem como protagonista a LGPD
Alex Amorim (Evangelista Cyber Security da Security Report), Luiz Felipe Ferreira (Data Protection Product Owner do Itaú Unibanco) e Octavio Cazonato (Chief Information Officer da Transmontano Saúde) discutindo sobre a Governança de Dados no contexto da LGPD

O painel também convidou o público a refletir sobre, por exemplo, os principais desafios enfrentados pelas empresas para se adequar à LGPD. O resultado entre os 150 presentes:

  • 71% votaram em Cultura Interna
  • 34% votaram em Tecnologia da Informação
  • 30% votaram em Saber como funciona na prática
  • 14% votaram em Formação Profissional
  • 11% votaram em Jurídico
  • 11% Budget/orçamento

Na palestra Protegendo Dados na prática, Claudio Dodt, Evangelista em Cloud e Cibersegurança, percorreu etapas pertinentes para as empresas alcançarem uma posição confortável em relação à LGPD, com foco nos seguintes temas: “Comece deixando claro o básico”, “Construa conscientização em todos os níveis”, “Conheça os dados que você processa”, “Atualize sua política de privacidade, “Defina como facilitar os direitos dos titulares”, “Defina como tratar violações de dados” e “Escolha bem o seu encarregado pelo tratamento de dados pessoais”.

Especialista em Cloud e Cibersegurança Claudio Dodt ministrando a palestra: Protegendo Dados na Prática.
Claudio Dodt, Evangelista em Cloud e Cibersegurança, palestrando sobre as melhores práticas para proteger efetivamente os dados

No último tópico, Dodt comparou o Data Protection Officer (DPO) a um super-herói e, posteriormente, levantou a questão: “Mas quem quer ser o DPO?”. Ele também pontuou dois fundamentos para o profissional da área: “É essencial que seja especializado e possua autonomia técnica”.

Saiba mais sobre a profissão e como se tornar um DPO qualificado, clicando aqui.

Outra analogia utilizada foi: a violação de dados como um ser vivo, possuindo ciclo de vida. “É necessidade de primeira ordem, não só se prevenir contra a violação de dados, como também traçar um planejamento para responder a tais situações de forma rápida e coerente de modo que os funcionários também se mobilizem e colaborem ativamente segundo suas funções definidas nesses casos”, explicou o especialista.

No Talk Show – Tratamento Ético de Dados, como garantir o Compliance, Marcos Assi, CEO da Massi Consultoria, e Roberta Volpato, Coordenadora da Comissão Nacional de Estudos sobre Governança e Riscos, deram continuidade à discussão sobre a Lei Geral de Proteção de Dados, mas com outro enfoque: o compliance.

A conversa partiu do fato de Volpato atuar na capital de Santa Catarina, Florianópolis, também conhecida como Vale do Silício brasileira – esse título advém da porcentagem de startups nacionais centralizadas no local, que é de 20%. Também foi acentuada a prestação de serviços das startups para empresas já consolidadas, embora seja nítida a falta de consciência das mesmas em termos de responsabilidade sobre os dados que utilizam, principalmente quando estes não fazem parte de seu core business – embora todas as empresas coletem dados, alguns segmentos não têm esse insumo como parte principal do serviço, assim como acontece nas áreas de educação e saúde, em que a peça-chave é atender o cliente.

“Até o compartilhamento de dados com autoridades é delegado para área de Tecnologia da Informação”, enfatizou Volpato e complementou: “As instituições não entendem que o Sistema de Informação deveria estar dentro do escopo de compliance”.

A gravidade do cenário foi ampliada com a fala sequencial de Assi: “São mais de 400 startups financeiras, ou seja, fintechs que visitam seus fornecedores, têm parceria com organizações de renome e lidam com um rico fluxo de dados, no entanto são fragilizadas pela má gestão de dados. Por exemplo: o whatsapp não é um meio formal de compartilhamento de informações”, cravou.

As falas de Volpato e Assi caminharam lado a lado em todo trajeto do talk show, que foi marcado pela negligência das empresas quanto ao tratamento de dados e, consequentemente, pela não certificação de muitas delas na ISO 27001.  E os colaboradores da sua empresa, são certificado na ISSO 27001, eles entendem a importância de seguir a políticas de segurança da informação? Veja como obter esse certificado de extrema relevância a partir de consultoria ou treinamento.

Ambos também reforçaram que o compliance não se limita à luta contra corrupção e atua de uma forma global para garantir a qualidade dos processos e, assim, dar uma maior segurança à reputação corporativa interna e mercadológica.

Para atingir o patamar considerado ideal, há algumas práticas a serem aderidas pelas corporações: contextualização da empresa em relação ao uso de dados, ciência sobre requisitos e compromissos e formação de um comitê multidisciplinar para criar um Sistema de Gestão de Conformidade, segundo a Coordenadora da Comissão Nacional de Estudos sobre Governança e Riscos.

Mas a crítica não foi direcionada apenas às empresas. “Os usuários precisam tratar melhor suas informações e, principalmente, protegê-las a partir de um maior discernimento sobre os canais e empresas idôneos para, então, transmiti-las”, comentou Assi.

A conclusão foi de que tanto usuários quanto corporações precisam valorizar os dados e aprender a como tratá-los – inclusive, por meio do compliance.

Para iniciar a palestra sobre CYBER: A nova era dos trabalhos investigativos, Thiago Bordini, Diretor de Inteligência Cibernética do Grupo New Space, forneceu um panorama geral com dados da Internet Organised Crime Threat Assessment (IOCTA), produzido pela Europol para informar sobre ameaças e tendências atuais e futuras de crimes cibernéticos, a exemplo de fraudes com cartões de crédito não presenciais, engenharia social como ferramenta predominante para cibercrimes, Cryptojacking como nova tendência de cibercrime, entre outras.

Mas o dado mais assustador veio em seguida. Thiago Bordini fez a seguinte pergunta aos participantes: “Quantos casos de cribercrimes vocês acham que são investigados e julgados com sucesso nos Estados Unidos?”. Algumas respostas que surgiram foram: 10 e 5%. “Vocês estão sendo otimistas”, disse Bordini em tom de brincadeira. A resposta foi rasteira: 0,05%.

Tendo como base os cibercrimes, o especialista adentrou em uma seara alternativa, mas ainda assim pertinente à LGPD: se por um lado a lei protege os dados pessoais, por outro, ela pode prejudicar as investigações forenses digitais a partir do momento em que as pessoas poderão solicitar a exclusão dos seus dados, já que estes são de extrema importância para detectar os rastros e evidências de um crime digital. Quer se tornar um perito forense digital? Clique aqui.

Bordini aproveitou o momento para falar sobre o potencial de um criminoso: “Em menos de 24 horas, ele pode conseguir realizar até três fraudes diferentes e isso acontece em grande parte porque conhece muito bem o core business da empresa”, explanou. “Nesse contexto, pensar como o próprio atacante é um mecanismo de defesa e de resposta”, concluiu.

Outra palestra realizada durante o GRC International e o DRI Day Latin America teve como tema: Continuidade dos Negócios Adaptativa e foi ministrada por Alexandre Guindani, Founder da GCNBRASIL.

A premissa da Continuidade de Negócios Adaptativa é abolir duas práticas: Business Impact Analysis (BIA) e Análise de Riscos (AR), ao menos da forma como elas são feitas atualmente. Assim como o conceito que apresentou, a imagem de Guindani também é alternativa – um detalhe o destoa de todo corpo de executivos: o brinco na orelha direita.

“A ideia não é deixar de fazer o BIA nem o AR, mas sim estar em conformidade, enquanto otimizamos nosso tempo e descartamos barreiras burocráticas, sendo que especialistas devem tomar a frente da segunda”, salientou Guindani.

Ainda em Continuidade de Negócios, o evento inovou ao incluir um painel exclusivo para mulheres cujo tema foi: O Sexto Sentido na Continuidade de Negócios.  A moderadora que estimulou o bate-papo entre as convidadas foi Karol Cordero, Latin America Marketing Director do DRI International.

O painel teve como participantes grandes nomes do mercado: Camila Ishikawa, Leader of WBCM Latin America, Andrea Rodes, LATAM Business Resilience e Manager VP da JG Morgan, e Patrícia Teixeira, CEO da WePlanBefore. As falas enriqueceram a discussão já semeada sobre Continuidade de Negócios.

Segundo Rodes, uma das características essenciais para atuar nessa frente é ter discernimento para classificar o que é ou não grave. Ela também reforçou o caráter estratégico da área.

Para Ishikawa, o sexto sentido é mais do que uma intuição; ele é resultado do conjunto de experiências da profissional, de modo que, ao tomar uma decisão diferente do que está previsto no plano de contingenciamento, ela se baseia no repertório de vivências e na confiança que tem em si mesma.

A CEO da WePlanBefore corrobou a fala de sua colega: “É preciso confiança, inclusive para se perguntar se há alguma probabilidade de dar problema”, disse. Além disso, Teixeira comentou sobre a relevância da comunicação dentro da Gestão de Continuidade de Negócios: “O objetivo é informar, educar e conscientizar”, elencou. Sua fala veio seguida de uma forte conclusão: marcas vendem confiança, portanto sua reputação precisa ser preservada.  Entenda como uma consultoria em Continuidade de Negócios pode colaborar ativamente para fortalecer sua credibilidade e mitigar danos à imagem da sua empresa, clicando aqui.

CEO da We Plan Before Patrícia Teixeira participando do painel - O Sexto Sentido na Continuidade de Negócios
“O objetivo da comunicação dentro da continuidade de negócios é informar, educar e conscientizar”, destacou Patrícia Teixeira, CEO da WePlanBefore, durante Painel – O Sexto Sentido na Continuidade de Negócios.

Se até esse momento, o público havia sido impactado diversas vezes, a palestra O Ponto Cego na Gestão de Riscos, ministrada pelo CEO do Grupo DARYUS Jeferson D’Addario, conseguiu captar a atenção de todos do começo ao fim a partir de uma apresentação multimídia permeada por conceitos já muito fortes e pouco trabalhados dentro da Gestão de Riscos, como por exemplo geração iGen – referente aos jovens que já nasceram super conectados.

“O ponto cego está na cabeça do CEO. É preciso que se autodestruam, valorizem as soft skills, como a , para então se adaptarem a esse novo e complexo cenário”, afirmou D’Addario. Afinal, hoje, ter boas ideias não basta. É necessário saber projetá-las e persuadir o interlocutor. Mas como?

Com boa dicção, tom de voz correto, expressões faciais coerentes com o que está dizendo – por exemplo: você está sugerindo uma inovação extraordinária, mas não demonstra entusiasmo e não contagia o ouvinte – e percepção sensorial para saber o momento certo para perguntar, afirmar ou silenciar. Para ter acesso a essas práticas, inscreva-se no curso de Neuro-Expressão, que combina técnicas de teatro e de coaching. Clique aqui!

Além disso, o executivo ressaltou a velocidade de evolução da tecnologia e sua influência sobre as empresas, usando como analogia: “A tecnologia é o novo álcool”. Nesse caso, surge a reflexão: então, é preciso usá-la com moderação, criatividade e em prol da comunidade.

O conteúdo rico teve como propósito tocar o âmago de cada participante para que todos se perguntassem sobre seu modo de conduzir o trabalho: será que é mais do mesmo ou está levando em consideração o que está acontecendo no entorno? Até porque “se não somos os clientes pagando, somos o produto vendido”, ou seja, almejamos por inovação e, principalmente, por segurança.

Como grande exemplo do contrário de ponto cego, o evento compartilhou com o público o Case: BCP na prática – como a AGV superou a greve dos caminhoneiros. O especialista da vez foi Kleber Fernandes, Diretor de Qualidade e Gestão Técnica da AGV, que se destacou pela história de superação emblemática compartilhada em detalhes.

A AGV Logística esteve no olho do furacão em 2018, contexto no qual era preciso se locomover por todo Brasil com altas demandas de entregas e não havia combustível disponível devido à greve dos caminhoneiros, conhecida também como crise do diesel. A companhia conseguiu, em parceria com o Grupo DARYUS, permanecer firme em meio à turbulência, mesmo com certas restrições. Clique aqui e saiba como a DARYUS Consultoria contribui para garantir a evolução e longevidade das empresas.

“É como se a empresa fosse um ser humano. Nossa maior preocupação era não conseguir salvar o corpo intacto”, contou Fernandes. O corpo foi salvo e por inteiro graças ao timing alinhado das ações e, de forma global, ao Business Continuity Plan (BCP) ou Plano de Continuidade de Negócios, parte do Mapa de Contingência traçado em parceria com o grupo DARYUS.

Além do BCP, o projeto foi constituído por: Plano de Ação de TI (PAI), Plano de Gerenciamento de Crises (PGC) e Plano de Ação de Emergência (PAE). Segundo o executivo, essas categorizações foram imprescindíveis para, em um momento de crise, mais do que respirar, manter a estratégia mercadológica e responder rapidamente aos imprevistos e riscos iminentes. “Enquanto a duração da crise estava dentro de 48 horas, utilizamos o PAE. Ao ultrapassar esse período, acionamos o BCP”, explicou.

Durante sua fala, também ficou nítido o quão essencial foi o envolvimento dos funcionários, que estavam cientes de como deveriam agir durante a execução dos planos, em prol da resiliência corporativa.

Em paralelo ao Plano de Continuidade de Negócios, a AGV utilizou a comunicação a seu favor, tendo como grandes aliados o posicionamento diante da imprensa, bem como o disparo diário de comunicados, por meio dos quais informava seus clientes acerca da situação e de como estavam trabalhando para amenizar suas limitações.

Ainda assim, medidas extremas foram irremediáveis: “Em um determinado momento, foi necessário ‘escolher’ qual cliente deixaríamos de atender naquela fase, sempre tendo como prioridade a preservação da vida humana”, enfatizou Fernandes em referência à entrega das vacinas.

Apesar dos obstáculos, o desfecho do case foi um marco: em apenas 10 dias, a operação da AGV estava completamente normalizada, resultado da união de forças e expertises. Mas não é só o fato de a empresa ter se recuperado de forma tão ágil que chama a atenção, é preciso se atentar ao fato de que, em nenhum período, ela ficou paralisada, dando, de fato, continuidade ao negócio.

O primeiro dia foi encerrado com o encontro mensal do DRI Women, em que Karol Cordero, Latin America Marketing Director em DRI International, e Camila Ishikawa, Leader of WBCM Latin America, apresentaram a iniciativa ao público.

Além disso, haviam outras participantes do grupo de estudos e mentoria presentes, o que tornou o momento ainda mais especial, uma vez que as mulheres compartilharam suas experiências e chamaram o público para contribuir à discussão sobre o cenário da área de Continuidade de Negócios.

06/06 – Quinta-feira

O segundo dia foi marcado pela boa e inovadora prática!

No primeiro horário, os participantes foram contagiados pela conversa franca entre Luiz Felipe Ferreira, Data Protection Product Owner do Itaú Unibanco, e Marcio Cots, Sócio do escritório Cots Advogados, que participaram do Talk Show: Como escolher um DPO.

Durante o bate-papo, algumas questões que figuraram nas palestras anteriores foram reforçadas, a exemplo da adequação à LGPD estar fundada em uma solução multidisciplinar – o que implica na seleção de diversas áreas.

Já para responder à questão principal do talk show, Cots elencou duas características que precisam ser inerentes ao Data Protection Officer (DPO): conhecer profundamente a Lei Geral de Proteção de Dados e participar como um dos pilares da aplicação do compliance. “Todo funcionário é um DPO”, comentou Cots para explicar que toda equipe de uma empresa precisa estar ciente quanto aos direitos, deveres e boas práticas relacionadas à LGPD.

Mas, diferente dos demais, o DPO possui uma responsabilidade legal enquanto profissional, não havendo abertura para qualquer deslize em direção à negligência, imprudência ou imperícia, conforme complementou o advogado.

“E para colaborar com o cumprimento do job description complexo do DPO, a empresa deve incorporar aos projetos, desde sua concepção, o conceito de privacy by design”, pontuou Ferreira. O termo, criado na década de 1990, significa elevar a privacidade ao patamar de fundamento para desenvolver ferramentas, tecnologias e dinâmicas de trabalho tanto para proteger os dados pessoais de funcionários quanto de clientes.

Diante do dilema: “O DPO deve ser da área de segurança ou jurídica?”, Cots ponderou: “O profissional tem nestes dois princípios, uma vez que sua função é proteger os dados e guiar a instituição em direção à conformidade com a Lei Geral de Proteção de Dados. Clique aqui para conferir a LGPD na íntegra, diretamente no site do governo federal.

Depois de tanto escutar e absorver, chegou o tão esperado momento de falar e agir: a primeira dinâmica foi iniciada.

CTF de Cyber Security

O objetivo da primeira dinâmica foi mostrar como se dá o modus operandi de um invasor de redes de computador. Na hora da execução, uma surpresa: nenhuma máquina seria utilizada! Os próprios participantes funcionaram como sistemas e hackers, se organizando em 3 fileiras horizontais com 4 participantes cada e uma fila com vários potenciais invasores.

O hacker tinha a missão de escolher um dos “acessos” da fileira e obter a credencial para seguir no jogo, passando para a próxima fase – ou fileira. No entanto, ao selecionar o participante “errado”, ele tinha o acesso negado e dava a chance a outro hacker, até alguém chegar a terceira fileira e acessar a rede de computador para violar os dados – nesse momento, haviam chances de se deparar com um participante cuja carta estava marcada com a armadilha conhecida como Honeypot. Foi um jogo divertido em que os grupos se integraram e entenderam como acontece uma invasão na prática, literalmente.

Gestão de Crise: como tratar a Violação de Dados

Sob pressão! Nesta dinâmica, os grupos ficaram diante de um verdadeiro desafio, que começou com a apresentação do Hospital Santa Excelência, resultado de uma fusão entre dois grandes hospitais. Esse processo permitiu maior rentabilização e modernização dos atuais sistemas de TI, bem como a designação de um dos Data Centers como principal e o outro como secundário (backup).

Dentro dos grupos, os participantes sortearam cartas e, de acordo com seus símbolos, se dividiram em subgrupos: Data Protection Officer (DPO), Segurança da Informação, Tecnologia da Informação, Comunicação Corporativa, Conselho de Administração-Diretoria e Jurídico. Então, surgiu uma ameaça: um e-mail dizendo que conseguiram todos os dados dos pacientes do hospital e que iriam publicar na internet, caso o Hospital não pagasse uma certa quantidade de bitcoins.

Os DPOs de cada equipe se reuniram com as áreas do Hospital para decidir sobre as decisões a serem tomadas e por quê. A mobilização foi geral e, ao final, os DPOs compartilharam com todos quais foram as soluções pensadas com base em argumentos legais e efetividade de resposta ao ataque.

Grupo de participantes conversando sobre as estratégias que poderiam aplicar em prol do sucesso da dinâmica
Participantes do evento reunidos em grupos para discutir sobre as estratégias aplicadas ao objetivo da dinâmica

Controle de danos: respondendo ao incidente 

Dessa vez, a camisa que os grupos vestiram foi a de grandes empresas do setor de turismo, portanto a situação hipotética foi a seguinte: em meio à concorrência acirrada, uma das companhias teve os dados vazados, o que serviu de exemplo para as outras.

Diante do risco iminente, os grupos tiveram que criar estratégias de investigação com estratégias e integração com os departamentos internos das empresas, ou seja, uma resolução baseada na multidisciplinaridade, questão pontuada muitas vezes durante o evento.

Para encerrar o GRC International e DRIDAY Latin America, Jeferson D’Addario, CEO da DARYUS, agradeceu a participação de todos, desde o público até as equipes engajadas na organização do evento. “Fazemos isso com e para vocês”, disse, comemorando.

Executivos, funcionários e palestrantes saíram do evento bastante entusiasmados, prontos para compartilhar o rico conhecimento que foi gerado durante dois dias extremamente produtivos.

Saiba mais sobre o eventos promovidos pelo Grupo DARYUS, clicando aqui. O próximo será a 2ª edição do evento Investigação Forense – Clique aqui para saber mais e garantir seu ingresso.

Sobre Nathalia Gorga

mm
Formada em Jornalismo pela Faculdade Cásper Líbero e Pós-Graduanda em Comunicação Corporativa pela Universidade Anhembi Morumbi, atua como Analista de Comunicação no Grupo DARYUS.

Confira tambem

O que as empresas têm a aprender com os casos recentes de vazamentos de dados?

Grandes incidentes suscitam, mais do que reflexões, a necessidade de tomar decisões Na semana passada, …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *