Brand Abuse, Digital Fraud, Information Leakage, Sales Abuse, Partner Compliance, Threat Intelligence

Compliance digital: gestão de riscos para além da LGPD

Por André Luiz em
COMPARTILHAR

Certo, você tem interesse em compliance digital. Antes de falarmos sobre esse assunto, observe a seguinte lista de riscos:

  • Phishings e malwares
  • Vazamentos de dados
  • Perfis falsos em redes sociais
  • Domínios similares
  • Vendas não autorizadas
  • Aplicativos fraudulentos
  • Outros usos indevidos de marca

É bem provável que os dois primeiros itens são aqueles com que você mais se preocupa ou ouve falar. Mas, quando tratamos de compliance no ambiente digital, a preocupação não deve se voltar somente ao que é coberto pela Lei Geral de Proteção de Dados (LGPD). A proteção completa de uma marca tem se mostrado indispensável para mitigar muitos outros riscos – que podem, inclusive, acontecer em cadeia.


Por que o compliance digital não deve se restringir à LGPD?


Como aponta a Legal Ethics Compliance (LEC), maior comunidade de Compliance do Brasil (e organizadora do Congresso  Internacional de  Compliance, que em 2019 possui patrocínio da Axur), o nono e último pilar de um programa de  Compliance é Auditoria e monitoramento. Isso significa estar de olho aberto (ou pensar em uma forma de otimização para isso) a todos os momentos, para que todo o programa e sua gestão de riscos funcionem corretamente. E essa preocupação deve se estender também ao meio digital – ainda que ele pareça monstruoso e imensurável.

Uma pesquisa de 2017 da Deloitte, gigante do setor de auditoria e consultoria empresarial, mostrou que um dos cinco pilares  dos riscos  empresariais é o cibernético. Se você é do meio empresarial, é provável que falar em riscos digitais lhe remeta à LGPD, que está em vigência desde junho de 2018 e penaliza as empresas que não se adequarem às regras estabelecidas para a proteção dos dados de seus clientes (como senhas ou dados de cartão de crédito).

A ética de tratar com responsabilidade os dados de clientes e evitar quaisquer tipos de vazamentos é quase óbvia. Só que o surgimento de uma lei que pune severamente as empresas que se descuidarem nesse ponto mostra que o próprio governo está bem ciente da intrínseca relação entre dois crescentes (e muito importantes) campos: (1) o compliance e as responsabilidades das empresas e (2) os perigos a que um cidadão pode estar exposto em meio virtual.

A Deloitte também apontou em seu último panorama  de riscos  cibernéticos, de março de 2019, que apenas 31% das empresas fazem monitoramento de redes sociais - ou seja, possuem preocupação com outros tipos de infração de marca.

 

Qual a extensão dos riscos digitais, afinal?


Vamos admitir: o tamanho da internet é imensurável. Mas é possível monitorá-la – e é isso que gostamos de fazer aqui na Axur. Em nossa caça constante aos crimes on-line, percebemos que muitos deles estão interligados. Alguns exemplos são:


Perfis falsos que divulgam phishings, vagas falsas, vendas não autorizadas ou estelionatos

1 - Account Flipping - Axur

Todo perfil falso (no Instagram, no Facebook ou em outras redes sociais) tem um objetivo específico. Em geral, eles tentam:


Domínios que podem hospedar phishing ou estelionato

12 - Domínios Similares - Axur2

Um domínio como suamarc4.com.br sem nenhum conteúdo hospedado pode parecer inofensivo, mas é sempre importante registrar todas as ocorrências desse tipo para que não surjam phishings ou estelionatos naquela página. Lembre-se também de sempre conferir se não há nada na versão mobile – no Google Chrome, é só apertar as teclas Ctrl + Shift + i.

 

Dicas para um bom programa de compliance digital


São três as valiosas esferas de uma empresa que podem ser atingidas no imenso ambiente virtual: reputação de marca, confiança do consumidor e receita. Esses são fatores que podem levar ao sucesso ou ao fracasso, e investir em uma boa presença digital mostra ao consumidor que você está disposto a entregar o melhor produto ou serviço.

A prevenção é o primeiro passo de tudo, e é sempre importante. Mas, muitas vezes, acaba sendo mais necessário ficar atento a quaisquer tipos de infração que apareçam pela web – ou seja: monitoramento digital. Ninguém está imune a nada, afinal de contas.

O tempo de reação é outro momento do monitoramento que conta muitos pontos. Quanto mais cedo você souber de um vazamento ou perfil falso para poder reagir de modo proativo, melhor, correto?

Reconhecer os riscos digitais

A explosão dos smartphones e do acesso à internet mostra que é preciso estar atento ao crescimento dos dados que circulam por aí – muitas vezes, sem que você saiba: é só observar a existência da deep e dark web, por exemplo. Por isso, mapeie todas as possibilidades de riscos que sua empresa pode estar correndo.

Dentro do mapeamento, um bom início é observar casos anteriores das fraudes e crimes digitais que se pretende monitorar que já aconteceram em empresas semelhantes ou do mesmo setor.

Adotar a Gestão Integrada de Riscos

É a adoção de um conjunto de práticas em uma única (e integrada) visão dos riscos. Para a empresa internacional de consultoria Gartner, o sexto e último atributo desse tipo de gestão é a tecnologia, ferramenta pela qual se pode arquitetar todo o processo de um gerenciamento unificado. Em outras palavras: use bons softwares e plataformas de segurança para poder ampliar os resultados!

Essa prática inclui também o diálogo e a parceria estritos com o setor de Segurança da Informação da empresa. Afinal, é esse o time que vai cuidar de fraudes e crimes digitais mais “pesados”, como os phishings e os malwares.

Código de conduta: comunicar sobre a segurança

O código de conduta que você desenvolver em seu programa de Compliance deve incluir alertas aos funcionários (e, claro, também aos clientes) sobre cibersegurança. Um dos 4 blocos essenciais desse elemento da gestão de riscos é, afinal, o de Relacionamentos.

 

Como a tecnologia pode auxiliar no compliance digital?


A PwC, outra das maiores empresas de auditoria do mundo, mostrou em estudo de 2019 como é importante (e também uma tendência) que as empresas utilizem aplicações de tecnologia que auxiliem no monitoramento de requisitos legais e regulatórios e em notificações de alerta.

No relatório, são três os tipos de empresas que possuem essa preocupação bem definida (em porcentagens decrescentes): das iniciantes, apenas 28%; ativas, 40%; e dinâmicas, 70%. Parece que não é à toa que o sinônimo de dinâmico é ágil, né?

A Axur pode te dar uma mãozinha (e nossos robôs também): monitoramos toda a web em busca de todos os tipos de infrações que podem estar prejudicando sua marca e sua presença digital. Depois, você pode solicitar a remoção com alguns poucos cliques na nossa plataforma, o Axur One.

Algumas das nossas ofertas são:

Para saber mais dados interessantes sobre o tema, veja também nosso relatório Atividade  criminosa  on-line no  Brasil. É possível fazer uma internet mais segura – e a gestão de riscos não precisa ser complicada.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

André Luiz

Estudante de Jornalismo da UFRGS e Content Creator na Axur. Por aqui, também já fiz parte da equipe de Brand Protection. E, claro, amo trabalhar com as possibilidades que a tecnologia nos oferece para a informação e para o conhecimento!