Home / Eventos / Inovação em foco: um resumo da 7ª edição do GRC International

Inovação em foco: um resumo da 7ª edição do GRC International

Muitos apostavam que o país estava parado e que não haveria o GRC na semana de 28 de maio, porém o que se viu foi o contrário. Demonstrando apoio à democracia, mas com um pé e a cabeça no futuro, a 7ª edição reuniu cerca de 150 executivos, profissionais de GRC, Cyber e empresários de vários segmentos no espaço inovador e colaborativo construído pelo Bradesco, o inovaBra Habitat, gerenciado pela WeWork com primazia. Inovar é preciso, com sustentabilidade, consciência, gerando empregos e principalmente combatendo a corrupção, esse foi o mote do evento que trouxe conteúdo de alto nível, palestrantes internacionais e prática através de workshops disruptivos. Confira o resumo do evento:

28 DE MAIO – Segunda

Talk Show: Open Innovation X GRC
Abrindo o evento, Jeferson D’Addario – CEO Grupo DARYUS – propôs um desafio e uma pergunta a Marcelo Negrini, Diretor de Transformação Digital da Ornito (empresa do Grupo Spread): “É possível falar de Open Innovation em um evento sobre Governança, Riscos e Compliance? Os temas são antagônicos e incompatíveis? ”
Uma das novas referências em inovação e transformação digital do país, Negrini afirmou que muitas criações disruptivas só aconteceram porque respeitaram práticas de governança, riscos e compliance. O maior desafio, entretanto, é adaptar a cultura empresarial para trocas, parcerias e colaboração, tendo em vista a manutenção de planos de segurança da informação e compliance – e aqui chegamos ao conceito de Open Innovation: trazer inovação para a organização a partir de trocas realizadas com outras empresas, especialmente startups, ou seja, trata-se de um processo de abertura e câmbio entre empresas a fim de promover inovações seguras, pesquisa e colaboração até mesmo com concorrentes. A prática, que para muitos ainda é nova e desafiadora, teve início na década de 1990 e ganha cada vez mais força com o “boom” das startups no Brasil e no mundo.
O talk show funcionou como uma provocação inicial aos executivos presentes e uma preparação para o que estava por vir – muito debate sobre as possibilidades de inovação segura e principalmente sobre a necessidade de mudança na cultura empresarial brasileira. “Você pode abrir, ouvir, inovar, criar, redesenhar…dar piruetas, girar e etc no seu negócio, ou no seu novo negócio, e GRC bem aplicado, na dose certa, permitirá que o novo foguete suba em segurança, minimizando perdas e danos.”, encerrou Jeferson D’Addario.

Blockchain na visão dos mortais
Convidamos João Paulo Oliveira – evangelista em Blockchain e disrupção na indústria bancária e financeira – para apresentar ao público uma visão mais atual e “mortal” dos possíveis usos do Blockchain. Segundo ele, a tecnologia pode ser encarada como a onda mais recente da transformação digital, já que possibilita um modo de entrega de aplicações antes impensado. Por se tratar de uma rede na qual transações são realizadas de forma descentralizada e dependentes da aprovação de todos seus integrantes, o Blockchain já é visto como uma opção segura para trocas não somente financeiras, mas de dados como um todo – processos de auditoria mais seguros, transações financeiras sem banco, registros independentes de cartórios etc. Até mesmo para o sistema eleitoral a tecnologia seria uma saída de confiança, contando com uma rede de contagem de votos constituída por partidos, organizações e vários outros membros representativos da sociedade, afirma João Paulo.
Inserido num contexto de discussão sobre Gestão de Riscos e Compliance, o conceito de smart contract aplicado ao Blockchain faz todo sentido – contratos nos quais as regras são auto-executáveis na rede. Só é preciso automatizar os processos desejados, sem depender de terceiros e nem de custos de execução. Além disso, a tecnologia chama atenção pela criação de “identidades soberanas” (Startup Civic) – as identidades dos usuários são registradas e nunca apagadas, resultado: os integrantes da rede conseguem provar para todos os seus históricos de crédito e demais atividades, dispensando análises e autenticações de informações feitas por terceiros e que geralmente têm alto custo.
Por fim, João Paulo levantou a seguinte questão: como as grandes empresas lidam com a disrupção e GRC ao mesmo tempo? O maior desafio do uso do Blockchain por essas organizações é a grande mudança estrutural e cultural que necessitam realizar, por isso, a tecnologia é predominantemente utilizada em atividades empresariais mais periféricas e de menores valores.

Cidades Inteligentes, aquilo que ninguém contou!
Convidamos Cristiano Breder, Head de Cyber Security & Risk Services Latam, para mediar o painel com o foco em questões pouco abordadas sobre as smart cities. Para o debate, estiveram presentes André Galvão – Prodam SP – e Leonardo Noshi – NRPAR LTDA.
Disponibilizar tecnologias em ambientes públicos os tornam mais inteligentes ou mais inseguros? Esta foi a primeira pergunta lançada aos convidados. Segundo André Galvão, o trabalho de desenvolvimento tecnológico da cidade de São Paulo tem sido um grande desafio por se tratar de uma cidade extremamente híbrida – pessoas e culturas muito diferentes convivendo e compartilhando espaços a todo tempo. Além disso, a própria estrutura urbana se desenvolveu de maneira diversificada em cada uma de suas regionais. No ranking de cidades mais conectadas no Brasil, publicado pela revista Exame em 2017, São Paulo lidera, seguida de Curitiba, Rio de Janeiro, Belo Horizonte e Vitória. No caso da capital carioca, que desceu do segundo para o terceiro lugar, fica evidente a relação entre má gestão e queda no sucesso do uso das tecnologias.
Mas o que define uma Cidade Inteligente? No painel foram apontadas algumas características, como a existência de um ecossistema de negócios, compartilhamento de carros, participação cidadã nas eleições, energia limpa, digitalização do governo, nível educacional, proteção ambiental, velocidade da internet, transporte público, estacionamento inteligente, planejamento urbano, descarte de lixo etc. Pela listagem, é possível perceber que o conceito abarca não somente o uso e o compartilhamento das tecnologias, mas questões sociais ainda precárias no Brasil – não por acaso ocupamos o 80º lugar no ranking mundial de smart cities. Leonardo Noshi trouxe dados interessantes sobre a experiência de implementações tecnológicas em cidades brasileiras menores: segundo ele, o desafio nesse caso diz respeito à imaturidade dos serviços de TI, que geralmente não possuem equipes qualificadas e exclusivas à área. Como resultado temos o conceito Cidade Inteligente no interior do país reduzido à disponibilidade de internet em áreas públicas, como praças, e uma maior insegurança na implementação de medidas tecnológicas.

Resiliência Organizacional – Importante no novo cenário econômico
A costarriquenha Karol Cordero, Diretora LATAM do Disaster Recovery Institute (DRI), apresentou de maneira tocante o conceito e a aplicação de ‘resiliência’ no universo organizacional, exibindo um vídeo sobre as consequências do furacão Nate, que devastou a Costa Rica em 2017, onde reside atualmente. Chuvas torrenciais provocadas pelo furacão inundaram cidades, romperam estradas, paralisaram totalmente as atividades dos habitantes. Segundo ela, até hoje as escolas não conseguiram retomar as aulas, reflexo claro da falta de resiliência e especialmente de planos de continuidade de negócios pelos órgãos públicos e privados.
Segundo Karol, a resiliência consiste na capacidade de uma organização dar continuidade às suas atividades frente a incidentes internos ou externos, obtendo um rendimento minimamente aceitável dentro de suas metas. Para isso, destacou três ‘As’ indispensáveis: Atitude (positividade, mentalidade de sobrevivente), Agilidade (preparo, consciência, capacidade de resolução de problemas) e Acesso (relações em forma de associações e redes de trabalho informais). Sendo assim, para além do uso de tecnologias de prevenção e controle de crise, a especialista destaca a importância do empenho humano em se manter resiliente e principalmente em rede – é necessário sempre saber quem se pode ajudar e quem pode lhe ajudar em momentos de crise. E aqui está um dos maiores desafios atuais: as estruturas empresariais não estão abertas para trocas e acabam por se tornar seus próprios obstáculos na busca por resiliência.
E mantendo a tônica da importância de se fazer redes e colaboração, Karol Cordero convidou Camila Ishikawa – profissional de Continuidade certificada pelo DRI – para discutir a representatividade feminina no trabalho de Continuidade. Camila estará liderando um grupo de brasileiras atuantes no tema em grandes corporações, para de forma permanente discutir e promover o assunto em eventos e fóruns internacionais.

Cyber Incident, tudo o que você precisa saber
Conduzido por Thiago Bordini, Diretor de Inteligência Cibernética da NS Prevention (empresa do grupo New Space), o painel reuniu profissionais que trabalham com Segurança da Informação e Cyber Security em posições diferentes – Fabrício Simão (BeyoundTrust), Santiago Schunck (SCSA Advogados) e Renato Borba (CSO da Avianca). O debate foi realizado com foco nos desafios brasileiros frente ao desenvolvimento e à sofisticação dos cyber ataques. Como apontado pelos convidados, o país desenvolveu consideravelmente sua cultura de prevenção de fraudes e aumentou o investimento na Segurança da Informação, contudo, a legislação não acompanhou a velocidade dos avanços tecnológicos.
Segundo Santiago Schunck, no Brasil existe uma cultura de omissão dos incidentes por parte das organizações, acreditando-se que torna-los públicos pode abalar a marca e a força institucional. Esse mau hábito acaba por fortalecer a ação dos invasores – sem diálogo entre corporações e a troca de informações sobre como ocorrem os incidentes e quais os métodos mais utilizados, os fraudadores permanecem fortes. Somente neste semestre vários episódios de vazamento de dados de empresas brasileiras se tornaram públicos da pior maneira possível – noticiados por veículos de comunicação, os casos foram relatados por clientes que tiveram seus dados expostos e até mesmo pelos próprios autores das invasões.
O único exemplo de conduta positiva relatado no painel foi do NuBank, que recebeu um alerta de um usuário sobre a existência de uma vulnerabilidade em seu sistema, que poderia facilitar a ação de hackers. Em diálogo com o usuário, o banco solucionou o problema e em seguida publicou na íntegra a conversa, da primeira mensagem alertando sobre a vulnerabilidade até a conclusão do caso. Como mencionado pelos especialistas, tornando público o incidente e sua resolução, a empresa se mostrou transparente e comprometida com a segurança de seus clientes.

Aplicação prática do Blockchain
A Segurança da Informação será protagonizada pelo Blockchain? Essa foi a pergunta lançada por Thiago Ponte e Vera Medina (Wipro) para o convidado Carl Amorim, executivo do Blockchain Research Institute no Brasil. Segundo o especialista, cada vez mais os brasileiros têm tomado consciência da exposição de seus dados por organizações que operam virtualmente, como o notório caso do Facebook. Além disso, para Carl, o cidadão está ficando ciente de que deve haver uma contrapartida dada pelas tecnologias em troca das informações que captura. Para todos eles, o Blockchain chega como uma solução ao uso inadequado de dados, especialmente para empresas menores em que a descentralização pode acontecer de maneira facilitada – processos distribuídos tendem a ser mais seguros e mais resilientes. Há unanimidade em dizer que o problema atual no que diz respeito à Segurança da Informação e ao uso ainda restrito do Blockchain não é tecnológico, mas cultural.

GDPR – Proteção de dados pessoais, como isto vai afetar você!
Três dias após o encerramento do prazo para a aplicação das normas estabelecidas pelo GDPR (General Data Protection Regulation), promovemos um painel exclusivamente dedicado ao tema, conduzido por Hélio Cordeiro – Head de Digital Transformation DARYUS -, com a presença de Nils Radsak (CIO da Audi do Brasil), Willians Santos (CSO da Somos Educação) e Daniel Martinez (Diretor de TI da IPSOS).
A presença de três cidadãos de origem europeia – Radsak (Alemanha), Martinez (Espanha) e Cordeiro (Portugal) – além da perspectiva de um security officer brasileiro, expandiu os olhares sobre a aplicação do GDPR e o uso de dados pessoais para além da União Europeia. O depoimento dos especialistas europeus sobre a exposição de dados no Brasil foi interessante – Nils Radsak conta que teve um primeiro grande susto quando foi abordado pela operadora de caixa em um mercado em São Paulo com a seguinte pergunta: “CPF na nota?” Para o alemão, a necessidade de se fornecer informações pessoais – especialmente utilizadas para o rastreamento de seu comportamento financeiro – em compras é uma exposição grave e totalmente desnecessária. Na cultura brasileira, não há nenhum problema em fornecer diversos dados pessoais no momento de compras ou cadastros, e nessa prática as empresas nacionais correm grandes riscos de serem pegas pelas normas do GDPR – basta um cidadão europeu se tornar cliente e ter seus dados utilizados, que qualquer empresa deverá se enquadrar nas normas estabelecidas. Aquelas que estiverem em desacordo deverão arcar com multas milionárias.
Sendo assim, alguns desafios foram destacados: como obedecer às normas GDPR em organizações que possuem grande complexidade no cadastro e no tratamento dos dados de seus clientes, como por exemplo a indústria automotiva? Nils afirma que tem sido desafiador entrar em conformidade com as normas em todos os setores da fábrica, pois os carros passam por etapas diferentes e são relacionados a partes diferentes em momentos diferentes, ou seja, será preciso reestruturar toda uma lógica de cadastro já fortemente estabelecida na cultura automobilística. Indo além, como as empresas farão para informar aos clientes, de maneira objetiva, o uso que será feito de seus dados? Como “devolver” os dados aos clientes? As empresas brasileiras têm 72 horas para comunicar um incidente, elas estão preparadas para isso? No âmbito da educação, em que se espera uma presença cada vez mais conectada e tecnológica, como cuidar da exposição de dados de crianças e adolescentes? Todas essas perguntas foram levantadas e discutidas no painel e quase todas obtiveram a mesma resposta: ainda não sabemos! A legislação colocada pelo GDPR se choca com hábitos e estruturas de uso de dados antigos e complexos. Resta aos profissionais competentes encontrar novas soluções e às empresas se flexibilizarem e se adequarem às normas.

Você disruptivo
Victor Oliveira, CFO da Sanofi, encerrou as atividades do primeiro dia alinhado à tônica do evento: inovação versus segurança. Desde o visual híbrido – terno com tênis – à apresentação, Victor demonstrou a importância de manter o equilíbrio entre a disrupção e a segurança da informação em qualquer ambiente corporativo. A primeira metade de sua palestra foi dedicada ao tema “robotização” e aos últimos avanços tecnológicos que nem sequer sabíamos existir, demonstrando que estamos próximos de uma realidade altamente tecnológica. Já na segunda metade, o CFO de uma das maiores empresas farmacêuticas do mundo debateu a importância de se pensar sempre em segurança antes de lançar um produto – segundo ele, a inovação deve ter como pilar a segurança.
Com foco na robotização de atividades realizadas na indústria farmacêutica, atividade que acompanha de perto na Sanofi, Victor mostrou os resultados positivos que já conquistou – simplificou e melhorou os processos financeiros da empresa, ampliando o tempo dos funcionários para trabalhos analíticos. Ele afirma que ao contrário do que mundos pensam, a robotização não vem para “roubar” vagas de emprego, mas permite aos humanos trabalharem mais qualitativamente e com menos foco no volume de produção.
Além das conquistas, o profissional também apontou os principais desafios que o mercado enfrenta para implementar práticas disruptivas: pouco conhecimento técnico e a consequente falta de segurança da informação; inabilidade de avaliar os valores investidos; dificuldade de monetizar soluções de segurança; rigidez no ambiente regulatório. Ou seja, mais um especialista aponta para a necessidade de mudança cultural nas empresas paralela ao investimento em segurança da informação – um equilíbrio tão difícil de atingir e que afeta as organizações nas mais diversas atuações.

29 DE MAIO – UM DIA HAND’S ON!
No segundo dia de evento, os participantes puderam colocar a mão na massa em dinâmicas sobre temas trabalhados no primeiro dia.

Table Top Exercise: Exercício de Gerenciamento de Crises e uso de um PCN – DARYUS Consultoria
Quanto os profissionais brasileiros estão preparados para lidar com momentos de crise? Talvez por vivermos em uma localidade com poucos acidentes naturais, como terremotos, furacões etc, geralmente não cultivamos práticas de prevenção e nem de gestão de riscos e continuidade de negócios. Para testar a habilidade dos participantes, a DARYUS simulou um caso de terremoto em São Paulo, no qual quatro órgãos deveriam se organizar e comunicar de maneira a atender a população e dar continuidade às suas atividades – um hospital (Santa Ajuda), um data center (Nuvem sem Fronteiras), um fornecedor de suprimentos (Soro Total) e logística (Linha Direta). Divididos entre os quatro grupos, os participantes também tiveram que se subdividir nas áreas de Recursos Humanos, TI e Operações. Durante a dinâmica, vários desafios foram sendo colocados pela equipe de consultores DARYUS, tornando o quadro da crise cada vez mais complexo, como geralmente acontece após desastres naturais. Ao final, foi possível perceber na prática o despreparo da maioria dos profissionais e suas principais deficiências, da qual a falta de comunicação se destacou. Desde a elaboração de planos de gestão de crise inadequados à organização das equipes e comunicação interna e externa de cada uma delas, o exercício mexeu com a mente dos participantes e rendeu muita conversa no coffe break.

Forense em Internet das Coisas – NS Prevention e SCSA Advogados
Como debatido no painel Cyber Incident, a legislação brasileira definitivamente não acompanhou a velocidade de desenvolvimento das tecnologias e ainda não dá conta da sofisticação com que os cyber incidents ocorrem. Para debater o assunto, a dinâmica trouxa a simulação de uma clonagem de celular por meio de biochip – Thiago Bordini, Grupo New Space, que possui chips implantados nas duas mãos, demonstrou como é fácil ter acesso aos dados de um celular por meio de um simples toque. O aparelho faz a leitura do chip e a partir disso ele já tem acesso a todo o conteúdo do aparelho. Além de surpreender o público presente, a simulação trouxe um questionamento: como provar que uma pessoa possui um biochip e realiza invasões por meio dele, se na legislação brasileira um cidadão tem o direito de se reservar de qualquer criação de provas contra si mesmo? Assim como é possível se negar a fazer o teste do bafômetro, por exemplo, é direito se recusar a passar por algum procedimento que prove a existência de um chip no corpo. Partindo disso, já percebemos que o uso de biochips, que tem se tornado cada vez mais comum, carrega questões sérias de segurança. É claro que a tecnologia foi desenvolvida com foco em benefícios para quem a usufrui, mas assim como se faz mau uso da internet das coisas, também se faz de todas as outras novas tecnologias. Com um certo sentimento de impotência frente ao despreparo do sistema jurídico brasileiro em relação aos cyber incidents, nos resta pensar em prevenção sempre – manter os aparatos tecnológicos com o máximo de proteção e acesso restrito de outros.

Gestão de Privilégios: vazamento de dados – Netconn e BeyondTrust
Dando continuidade à temática de Segurança da Informação e o uso indevido de dados, a dinâmica seguinte fez o público novamente trabalhar em equipes, com a mão na massa, e testar seus conhecimentos sobre o privilégio de dados. Perguntas foram lançadas aos grupos, com opções de respostas sobre quais as melhores práticas de Gestão de Privilégios.

BLOCKCHAIN – Blockchain Academy e Coinwise
Um dos momentos mais esperados do evento, a dinâmica sobre Blockchain contou com a presença de Rosine Kadamani, fundadora da Blockcain Academy e uma das poucas pessoas no mundo que conheceram pessoalmente o misterioso Satoshi Nakamoto – criador da tecnologia. A atividade, realizada pela primeira vez e idealizada pela DARYUS Consultoria, CoinWise e que teve o apoio primordial da BlockChain Academy, consistiu-se em montar e fazer funcionar um ‘Blockchain humano’, assim, os participantes foram divididos em grupos representando os “nós” reais da rede. O desafio era realizar e validar três transações diferentes, utilizando todas as regras de funcionamento BlockChain, até chegar à parte da mineração – o primeiro grupo a decodificar a operação foi premiado com cartões carregados com bitcoins.
Além de esclarecer muitas dúvidas sobre o funcionamento da rede, a dinâmica demonstrou a usabilidade do Blockchain e suas possíveis aplicabilidades, a tecnologia “na visão dos mortais”, como debatido por João Paulo Oliveira no primeiro dia de evento.

Como matar seu negócio – Jeferson D’Addario
Jeferson D’Addario encerrou a 7ª edição GRC + 6ª edição DRIDAY LA deixando lições importantes sobre os desafios e os principais erros cometidos por organizações na atualidade. Sabemos que para se manter viva, uma empresa necessita de estar ativa e em constante adaptação às novas exigências de um mercado cada vez mais exigente e tecnológico. Mas o que falta para se manter atual? Mudanças físicas? Capacitação da equipe? Investimento em startups?
Segundo o CEO do Grupo DARYUS, as empresas investem na qualificação de seus profissionais, selecionam executivos com bons currículos, mas se abrem pouco para que eles apliquem suas ideias e conhecimentos na empresa. Mais uma vez chegamos ao maior desafio citado em todo o evento: é preciso haver mudanças profundas na cultura empresarial brasileira. Atualmente, os currículos não são mais definidores de bons profissionais, mas sim os que elas promovem aos ambientes em que trabalham, entretanto, antes de tudo é preciso que a empresa se coloque aberta para receber tais contribuições. Para Jeferson, é possível ver as organizações funcionando em eternos loopings em busca de inovação, mas sem o uso da inteligência. Como dito por todos os convidados presentes em nosso evento, inovação pede planejamento e segurança, ou seja, é uma prática que demanda um ‘por quê’, um ‘como’, um ‘quando’ bem definidos.
Concluindo a palestra, doze práticas maléficas capazes de “matar” negócios foram discutidas, como erros de definição de público-alvo, lideranças e equipes; foco reduzido a ideias e não ao valor a ser entregue e à rentabilidade do negócio; visão fechada ao negócio e pouca comunicação com o mercado; falhas no mapeamento e gerenciamento de riscos; ansiedade empresarial – não dando tempo para a evolução saudável do negócio, entre outras.
Cumprimos nossa promessa de promover muitas trocas de conhecimento sobre as principais problemáticas e oportunidades atuais em Gerenciamento de Riscos e Compliance e sua relação com as inovações tecnológicas. Para saber mais sobre o evento, confira detalhes da cobertura feita em nossas redes sociais: https://www.facebook.com/daryusbr/

Sobre DARYUS

Confira tambem

GRC International discutirá governança e riscos em alto nível na próxima semana em SP

    Disrupção versus Segurança – confira um resumo dos principais temas e atividades desenvolvidas …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *