Os desafios de encontrar (e manter) talentos na Segurança da Informação

27 de março de 2017

Uma matéria publicada na versão online do jornal Valor Econômico em fevereiro deste ano ouviu empresários do setor de Segurança da Informação – entre eles o sócio-diretor da Clavis, Bruno Salgado – para entender como a disputa por talentos afeta a área, que passou a ver seus profissionais serem assediados por empresas de vários setores sem relação direta com a segurança, dentro e fora do Brasil.

Para além da disputa, em si, a principal explicação para o aumento na busca por mão-de-obra especializada em cibersegurança é, obviamente, a demanda causada pela evolução (em números e em sofisticação) dos incidentes cibernéticos.

Na última edição do relatório “Global Fraud & Risk Report”, a empresa de cibersegurança Kroll identificou um aumento significativo em fraudes e incidentes cibernéticos ocorridos em 2016. Entre os executivos ouvidos pela empresa, 82% afirmaram que suas companhias sofreram algum tipo de fraude – para efeitos de comparação, em 2015 eram 75%, e em 2013, 70%.

No Brasil a situação é ainda mais séria; um relatório da CompTIA revelou que 90% das organizações enfrentaram pelo menos um incidente de segurança no último ano e 75% tiveram dificuldade de lidar com uma ou mais violações de dados mais sérias.

São apenas alguns dos dados que reforçam a necessidade de investimentos em equipamentos, processos e pessoal especializado capazes de prevenir, detectar e responder a esses riscos.

No lado da mão-de-obra, no entanto, a dificuldade de encontrar os recursos necessários para responder a esses desafios só faz crescer: para Rogério Reis, sócio da empresa de segurança Arcon, até 2020 faltarão 2 milhões de profissionais de segurança no mundo, o que obviamente deve aumentar ainda mais a disputa por talentos.

E no caso do Brasil, que não está no melhor momento econômico, as empresas ainda têm que enfrentar o assédio de corporações do exterior: “Como a demanda por profissionais é global, a atratividade da carreira internacional aumenta muito”, segundo afirmou Paulo Breitenvieser, diretor de segurança da Cisco, para o Valor Econômico.

Para Bruno Salgado, da Clavis, uma saída é a terceirização, o que nas organizações está sendo chamado de estratégia “1 para 1”: “um time de segurança híbrido em que para cada profissional celetista a empresa contrata um terceirizado” o que, segundo ele, “é o melhor de dois mundos, porque dá uma capacidade de resposta rápida em momentos de baixa ou alta demanda de trabalho”.

Mas empresas que buscam profissionais de nível executivo, com perfil de gestor, enfrentam outros desafios. A demanda por esses profissionais aumentou juntamente com as ameaças, mas diferentemente de outras empresas onde a preocupação é com a escassez de profissionais o desafio aqui é encontrar o perfil correto e definir o papel que esses profissionais têm na organização, a exemplo do que acontece em outros países como os EUA onde os processos e organogramas são mais organizados.

Buscando novos perfis

O artigo “Cresce a busca por executivos de segurança”, também publicado no jornal Valor Econômico mostra que, em geral, esses profissionais têm curso superior em tecnologia e certificações na área de segurança, mas para Rogério Reis, da Arcon, o escopo da segurança é multidisciplinar e tem intersecções com outras áreas; por isso ele destaca que além das habilidades técnicas e de desenvolvimento, outras capacidades como a gestão de negócios vêm sendo consideradas na contratação de profissionais que podem vir a se tornar executivos.

Empresas como o Itaú Unibanco, por exemplo, estão buscando profissionais que, mais do que habilidade técnica, tenham, nas palavras do superintendente de segurança Nelson Novaes Neto, “espírito empreendedor e flexibilidade para se adaptarem aos cenários que se transformam constantemente”. Atualmente a equipe de Novaes têm vagas abertas para perfis distintos como arquitetura de segurança, engenharia de segurança entre outros. Ele diz que a empresa vem estimulando a formação e especialização dos colaboradores, além de permanecer atenta a novos talentos internos.

Em outro exemplo de tentativa de formar novos profissionais e gestores, a Cisco investe na formação interna em programas de treinamento como o “Alugue um CSO”, em que coloca seus especialistas em segurança para trabalhar em clientes objetivando vivenciar o dia-a-dia das empresas. Para o diretor de segurança da empresa, Paulo Brietenvieser, o profissional de segurança – que já teve um perfil mais “geek”, está se transformando numa “ponte entre o lado técnico e a necessidade dos negócios.

É claro que as certificações e cursos continuam tendo papel importante no mercado, mas não são consideradas essenciais. Bruno Salgado lembra que “os títulos são importantes, mas não garantem que o profissional seja um bom gestor”. O desempenho passado – especialmente nos níveis operacionais – é a melhor forma de avaliar a qualidade de um especialista na área.

Tags: , ,


Analista pleno em Gestão de Riscos, Compliance e Vulnerabilidades – Brasília – DF

16 de março de 2017

 

A Clavis Segurança da Informação busca profissionais para alocação em Brasília, com nível de maturidade pleno.
A vaga conta com CLT + VT + TR + Plano saúde com abrangência nacional TOP + Plano Dental+ distribuição do lucro da empresa  + reembolso de 1 certificação a cada 6 meses + participação em eventos de desenvolvimento e segurança da informação.

Perfil:

  • Dinâmico, ágil e criativo
  • Boa performance sob pressão
  • Boa comunicação
  • Proatividade
  • Bom Inglês técnico
  • Desenvoltura ao tratar com assuntos diversos

Principais atividades:

  • Experiência na administração e configuração de ferramentas de Gestão de Vulnerabilidades
  • Gerenciamento de solução de scanners de vulnerabilidades
  • Elaboração e confecção de relatórios técnicos e gerenciais

Conhecimentos desejáveis:

  • Banco de dados
  • Alguma linguagem de programação
Os interessados para esta vaga devem por favor enviar currículo em pdf para curriculo@clavis.com.br com a pretensão salarial. A atuação será presencial na cidade de Brasília-DF.

Workshop SegInfo: Conheça um pouco da história do evento e garanta seu lugar na 11ª edição, que acontece em abril/17

15 de março de 2017

Desde 2005 a Clavis Segurança da Informação organiza o Workshop SegInfo, evento que traz a proposta de promover o diálogo entre os setores da sociedade impactados pelas questões envolvendo a segurança da informação; no próximo dia 12 de abril, ele chega à sua 11ª Edição.

Pelo workshop – cuja última edição aconteceu em novembro de 2016, no Hotel Novo Mundo, no Rio de Janeiro – já passaram personalidades do mundo científico, corporativo, jurídico e político, trazendo uma visão ampla sobre o tema. A ideia do Workshop SegInfo é exatamente essa: palestras, debates e dinâmicas sobre segurança da informação nos seus mais variados aspectos, desde o técnico até o social.

Saiba o que aconteceu nas últimas edições e prepare-se para as novidades de 2017.

Veja como foram as duas últimas edições do Workshop SegInfo

Edição IX

Realizada no Centro de Convenções da Bolsa de Valores do Rio, entre os dias 11 e 12 de abril, a 9ª edição do evento teve entre os participantes gerentes, diretores e profissionais de segurança e tecnologia da Informação, além de empresários, executivos, advogados, estudantes e entusiastas em geral.

Palestraram nesta edição Ricardo Salvatore – Assessor de Arquitetura e Governança de TI do Departamento de Tecnologia da FAPES/BNDES; Dr. Erick Blatt – Delegado Federal e Coordenador do Grupo de Repreensão a Crimes Cibernéticos do Rio de Janeiro da Polícia Federal; Rafael Soares – Diretor Técnico da Clavis Segurança da Informação; Sr. Antonio Magno Figueiredo de Oliveira – Coordenador Geral de Tratamento de Incidentes de Redes (CGTIR) do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GSIPR); Sr. Marco Carvalho – Diretor CompTIA Brasil; Mariano Sumrell Miranda – Diretor de Marketing da WinCo; Msc. Ricardo Kleber – Professor de Segurança de Redes do Instituto Federal do Rio Grande do Norte – IFRN, entre outros.

Ao final do evento os 121 participantes puderam avaliar o Workshop SegInfo através de um formulário elaborado e distribuído pela organização do evento por meio eletrônico. A avaliação- voluntária e espontânea – obteve média final de 9,12 pontos.

Edição X

Entre os profissionais que palestraram no Hotel Novo Mundo durante a 10ª Edição do Workshop SegInfo estão: Carlos Caetano – Associate Regional Director – Brazil (PCI Security Standards Council) . Palestra:  Adoção no PCI no Brasil; Davidson Bocccardo – CTO (Green Hat Segurança da Informação – Grupo Clavis) Palestra: Desenvolvimento Seguro de Software; Carol Bozza – Account Executive (CyberArk) – Palestra: A maldição do local admin; Marcelo Branquinho – CEO (TI Safe) – Palestra: Scada Ransomware; e Rodrigo Montoro: – Pesquisador (Clavis Segurança da Informação) – Palestra: Big Data e Segurança da Informação.

Os participantes desta edição também puderam avaliar e opinar sobre o evento. Confira alguns comentários:

“Já manifestei minha opinião anteriormente: evento de muito bom nível! Parabéns aos organizadores.”

“O Workshop SegInfo está cada dia mais focado ao cenário atual do mercado de Segurança da Informação e superou mais uma vez sua capacidade de trazer excelentes palestrantes e informações, além de mais uma vez promover um excelente networking entre os profissionais da área de SegInfo.”

“Uma excelente oportunidade para nos manter atentos à necessidade constante de manter nossos dados e, consequentemente, nossos negócios, protegidos.”

Os palestrantes do SegInfo 10 disponibilizaram as suas apresentações para o público. Você pode encontrá-las neste link.

O que vem por aí

A 11ª Edição do Workshop acontece no próximo dia 12 de abril, das 8h30 às 17h30 na Churrascaria Fogo de Chão, no bairro do Botafogo, Rio de Janeiro ( Av. Reporter Nestor Moreira, s/n).

Esta edição contará com palestras de profissionais renomados e será 100% focado em executivos e líderes da área de Segurança da Informação. Serão oferecidos welcome-coffee no início do evento, almoço executivo e um coquetel ao final do Workshop.

Neste ano não acontecerá venda de entrada para o evento. Todos os presentes serão convidados dos patrocinadores e organizadores. Solicite agora mesmo o seu convite para um dos patrocinadores (a lista de organizadores e patrocinadores está neste link).

Entre os palestrantes desta edição estão: Carol Bozza – Account Executive (CyberArk); Marcos Vinicius -Brazil Managing Director (Qualys); Carlos Caetano – Associate Regional Director do Brazil (PCI Security Standards Council); Rafael Soares Ferreira – Diretor Presidente (Clavis Segurança da Informação); William Caprino – Diretor Comercial (Clavis Segurança da Informação); Davidson Bocccardo – CTO (Green Hat Segurança da Informação) e Anchises Moraes – Threat Intelligence Analyst  (RSA)

Clique aqui e saiba mais sobre as edições anteriores do Workshop SegInfo.

Para maiores informações sobre o evento deste ano, clique aqui.


Divulgação da avaliação (média de 8,73) e testemunhos do curso Desenvolvimento Seguro de Software – [Presencial]

8 de março de 2017

avaliacaodecursos-500x137 (2)

A Academia Clavis tem o prazer de divulgar a avaliação da sua última turma do treinamento Desenvolvimento Seguro de Software. O treinamento de janeiro de 2017, realizado presencialmente, obteve média geral de 8,73.8-) Veja abaixo todos os itens avaliados pelos alunos.

Veja abaixo os resultados da avaliação feita pelos alunos do treinamento Desenvolvimento Seguro de Software:

Perguntas
Média
Perguntas formuladas pelo professor focalizaram, estimularam e desencadearam novas ideias? 9,2
As ideias principais foram retomadas, resumidas, esclarecidas ou completadas, quando necessário? 9,2
Os exemplos utilizados foram ilustrativos, simples, relevantes e ajustados aos conceitos principais? 8,9
O vocabulário utilizado na apresentação foi preciso, correto, sendo traduzido quando necessário? 9,5
Houve sequência no desenvolvimento do assunto de modo que facilitasse o entendimento por parte do aluno? 9,0
Qual o grau de profundidade que foi desenvolvido o curso? 8,9
Qual a sua avaliação sobre o material entregue? 8,3
Faça uma avaliação geral para a parte teórica do curso. 9,0
Faça uma avaliação geral para a parte prática do curso. 8,6
O tempo de duração do curso foi adequado? 8,2
Os textos foram adequados, preparados e bem utilizados? 8,7
O instrutor demonstrou domínio suficiente aos assuntos abordados? 9,9
Os recursos audiovisuais foram utilizados adequadamente? 8,6
As instalações físicas foram suficientes para um bom desenvolvimento do curso? 7,2
Coffee Break? 7,9

Até as próximas turmas! ;)


Divulgação da avaliação (média de 9,03) e testemunhos do curso Auditoria de Segurança em Aplicações Web – [Presencial]

6 de março de 2017

avaliacaodecursos-500x137 (2)

A Academia Clavis tem o prazer de divulgar a avaliação da sua última turma do treinamento Auditoria de Segurança em Aplicações Web. O treinamento de Janeiro de 2017, realizado presencialmente, obteve média geral de 9,03.8-) Veja abaixo todos os itens avaliados pelos alunos.

Veja abaixo os resultados da avaliação feita pelos alunos do treinamento Auditoria de Segurança em Aplicações Web:

Perguntas
Média
Perguntas formuladas pelo professor focalizaram, estimularam e desencadearam novas ideias? 9,5
As ideias principais foram retomadas, resumidas, esclarecidas ou completadas, quando necessário? 9,5
Os exemplos utilizados foram ilustrativos, simples, relevantes e ajustados aos conceitos principais? 9,4
O vocabulário utilizado na apresentação foi preciso, correto, sendo traduzido quando necessário? 9,4
Houve sequência no desenvolvimento do assunto de modo que facilitasse o entendimento por parte do aluno? 9,4
Qual o grau de profundidade que foi desenvolvido o curso? 8,5
Qual a sua avaliação sobre o material entregue? 8,4
Faça uma avaliação geral para a parte teórica do curso. 8,9
Faça uma avaliação geral para a parte prática do curso. 9,0
O tempo de duração do curso foi adequado? 7,8
Os textos foram adequados, preparados e bem utilizados? 8,9
Como foi o atendimento da equipe administrativa durante o curso? 9,5
Como foi o atendimento da equipe administrativa fora do horário do curso? (emails, lista, telefone, etc) 9,5
O instrutor demonstrou domínio suficiente aos assuntos abordados? 9,5
Os recursos audiovisuais foram utilizados adequadamente? 8,9
As instalações físicas foram suficientes para um bom desenvolvimento do curso? 7,9
Coffe Break? 9,2

Até as próximas turmas! ;)


+ 11 vagas de início imediato na Clavis Segurança da Informação – Por favor compartilhem

2 de março de 2017

vagas-clavis

 

A Clavis precisa novamente de bons reforços! A empresa abre mais 11 vagas para sua equipe! São vagas para as áreas variadas: Desenvolvimento, Analista de Segurança (Normativo, Defensivo e Ofensivo), Área Comercial e Financeiro

Todas as vagas contam com CLT + VT + TR + Plano saúde com abrangência nacional TOP +Plano Dental+ distribuição do lucro da empresa  + reembolso de 1 certificação a cada 6 meses + participação em eventos de desenvolvimento e segurança da informação.

Os interessados para cada vaga devem por favor enviar currículo em pdf para curriculo @ clavis.com.br com a pretensão salarial e a vaga pretendida detalhada no subject do email. A atuação será presencial no bairro Catete, ao lado do Metrô/Palácio do Catete, na matriz da Clavis, Praia do Flamengo, 66 – Rio de Janeiro.

trabalhe-na-clavis-500x129-1

 

1) Desenvolvimento

São até quatro vagas. Estão sendo aceitos perfis júnior, pleno e sênior.

Perfil desejado:

  • Ter experiência em linguagens voltadas para a web, além de facilidade de aprender novas tecnologias;
  • Escrever código coerente, coeso, limpo e legível;
  • Conhecimento mínimo de SQL;
  • Boa comunicação, saber se expressar e ser entendido;

Diferenciais:

  • Conhecimentos em métodos ágeis (Scrum, Kanban e etc);
  • Experiência em outras linguagens de programação (Ruby, Python, Perl, C, Java e etc);
  • Conhecimento em algum framework voltado para web;
  • Conhecimento na área de segurança de informação;
  • Bom inglês técnico.

2) Analista de Segurança da Informação com foco em PCI-DSS e 27001

São até duas vagas. Estão sendo aceitos perfis júnior, pleno e sênior.

Conhecimentos gerais recomendados:

Boa experiência em segurança da informação, análise de riscos, condução de campanhas de conscientização em segurança da informação e arquitetura de infraestrutura de segurança.

Conhecimento específico:

  • PCI DSS
  • ISO 27001
  • ISO 27002
  • Elaboração de Políticas de Segurança
  • Análise de Riscos
  • Arquitetura de Segurança
  • Criptografia

Diferenciais:

  • Certificações na área
  • Inglês fluente
  • Palestras ministradas, eventos de segurança
  • Autodidata
  • Trabalho em equipe
  • Proatividade
  • Pesquisas

3) Analista de Segurança da Informação – Segurança Ofensiva

São até duas vagas. Estão sendo aceitos perfis pleno e sênior.

PRINCIPAIS ATIVIDADES
0. Realizar testes manuais e automatizados de análise de vulnerabilidades
1. Realizar testes manuais e automatizados de teste de invasão
2. Realizar análise de código manual e automatizada
3. Elaboração de relatórios técnicos e gerenciais para cada teste realizado
4. Elaboração do planejamento de operacionalização de medidas de correção
5. Atendimento aos clientes, acompanhamento e suporte no processo de medidas de correção

REQUISITOS
0. Bom inglês técnico (principalmente leitura e escrita);
1. Experiência com atividades de análise de vulnerabilidade, teste de invasão ou análise de código;
2. Certificações e/ou participação em treinamentos técnicos na área de segurança da informação;
3. Domínio da língua portuguesa para elaboração de textos formais e artigos técnicos.

4) Profissional Sênior na área Comercial de Tecnologia da Informação

São até duas vagas.

Atividades

  • Colaboração na prospecção de novos clientes e auxílio na atual expansão da empresa
  • Abertura de mercado para venda das soluções em segurança da informação da Clavis
  • Elaboração de propostas personalizadas visando o pleno atendimento das necessidades dos clientes

Conhecimentos prévios necessários

  • Já ter atuado pelo menos uma vez em empresas que vendem serviços relacionados à área de segurança da informação
  • Experiência no mercado de Tecnologia da Informação e/ou Segurança da Informação
  • Bom inglês técnico e domínio da língua portuguesa
  • Habilidade em negociações e capacidade de pleno atendimento das necessidades do cliente

5) Coordenador Financeiro

Uma vaga.

Pré-requisitos:

  • Graduação em Ciências Contábeis (mandatório)
  • Excel avançado
  • Inglês intermediário
  • Conhecimento em Lucro Presumido

Principais Responsabilidades 

  •  Gerenciar Fluxo de Caixa, Balanço e DRE
  •  Gerar relatórios gerenciais para fundo de investimentos
  •  Realizar conciliação bancária
  •  Realizar contato com clientes e fornecedores
  •  Realizar fechamento financeiro

Diferenciais  

  • Gerenciar Fluxo de Caixa, Balanço e DRE
  • Conhecimento em ICMS e ICMS ST
  • Conhecimento em Lucro Real
  • Conhecimento em cálculo de Impostos Federais e Municipais
  • Conciliação de contas (bancária e patrimonial)
  • Proativo
  • Dinâmico

Os interessados para cada vaga devem por favor enviar currículo em pdf para curriculo @ clavis.com.br com a pretensão salarial e a vaga pretendida detalha no subject do email. A atuação será presencial no bairro Catete, ao lado do Metrô/Palácio do Catete, na matriz da Clavis, Praia do Flamengo, 66 – Rio de Janeiro.

Boa sorte! 😉


Estágio/Bolsista – Oportunidade na área de Pesquisa, Desenvolvimento e Cursos da empresa Clavis Segurança da Informação

2 de março de 2017

 

A Clavis Segurança da Informação está com 4 novas oportunidades aos interessados em participar do seu time. Estamos com vagas abertas para estagiário atuarem no escritório da empresa na cidade do Rio de Janeiro. Procuramos por estudantes de Engenharia da Computação, Sistemas da Informação ou Ciência da Computação, a partir do 4º período.

Local: Rio de Janeiro – RJ – Flamengo (presencial);
Horário: Segunda à sexta / 20 ou 30 horas por semana (horário flexível);
Captação de currículos: até 19/03;
Prova presencial na Clavis: 22 de março de 2017;
Chamada para entrevista: de 27 até 31 de março de 2017;
Início das atividades: abril de 2017;
Atividades

O bolsista irá participar dos diversos projetos de pesquisa, desenvolvimento e treinamentos da Clavis Segurança da Informação, podendo atuar nas áreas:

  • Infraestrutura
  • Teste de Invasão
  • Teste de Negação de Serviço
  • Gerenciamento de Vulnerabilidades
  • Segurança de Software
  • Desenvolvimento das soluções da empresa
  • Criptografia e Mineração de Dados em Segurança

Além de dar apoio às atividades da Academia Clavis, atuando como monitor em cursos e treinamentos.

Perfil esperado do candidato

Espera-se do candidato um elevado grau de comprometimento e disposição para atuar junto ao mais produtivo grupo de pesquisa e desenvolvimento do mercado de segurança da informação. Conhecimentos prévios em Ciência da Computação e Segurança são desejáveis, no entanto, o mais importante é o brilho nos olhos e a vontade de aprender. A Clavis oferece oportunidades de formação, por meio dos nossos diversos cursos, e de rápido crescimento dentro da empresa. Em troca destes benefícios únicos, esperamos de cada bolsista o compromisso incondicional com os objetivos e as políticas da empresa.

Requisitos

  • Estar regularmente matriculado em curso superior.
  • Inglês técnico (leitura)
  • Pró-atividade
  • Facilidade em comunicação
  • Trabalho em equipe
Benefícios
  • Bolsa estágio no valor de R$ 800,00 para 20 horas semanais ou R$ 1.200,00 para 30 horas semanais
  • Vale Transporte e auxílio refeição
  • Acesso a todos os cursos EAD disponíveis na Academia Clavis Segurança da Informação

Como participar?

Os interessados devem enviar e-mail para  com o subject: “Oportunidade de Estágio na Clavis“. Dúvidas serão retiradas exclusivamente através do e-mail, e sempre usando o subject acima. Aceitaremos inscrições até dia 19/03/2017.

Boa sorte! 😉

Entenda como padrões de segurança da indústria como o PCI DSS podem auxiliar as organizações a reduzir os riscos relacionados à cibersegurança

13 de fevereiro de 2017

O ano de 2016 foi um ano bastante complexo do ponto de vista da segurança da informação. A cada novo balanço divulgado surgem números que confirmam um aumento significativo no total de ameaças, fraudes e incidentes cibernéticos. Um exemplo, entre tantos existentes, é o relatório “Global Fraud & Risk Report” produzido anualmente pela empresa de cibersegurança Kroll. Dos executivos ouvidos na edição 2016, 82% afirmaram que suas companhias sofreram algum tipo de fraude. Em 2015 o percentual era de 75%. Em 2013, 70%.

A percepção de piora no cenário da cibersegurança atinge praticamente todos os setores. No comércio eletrônico, por exemplo, houve aumento de 31% nas tentativas de fraudes no período entre o feriado de Ação de Graças e o último dia de 2016, segundo relatório da empresa ACI Worldwide. Em 2015, segundo o documento, uma em cada 109 transações no e-commerce era uma tentativa de fraude. Em 2016, uma em cada 97.

Infelizmente, não há sinal de que 2017 será um ano melhor. Vijay Basani, CEO da EiQ Networks, produziu um artigo para o site HelpNet Security com algumas previsões nada positivas para o ano que começa. especialmente porque pessoas e empresas são muito sujeitos a falhas, seja por distração, seja por negligência: “as pessoas tem uma incrível habilidade de ignorar a coisa certa a fazer porque fazer o errado pode ser mais conveniente, rápido e mais compensador”.

O problema é que, no caso de dados e informação, a negligência pode causar vazamentos. E vazamentos significam prejuízo financeiro e prejuízo para a marca.

Diante desse quadro, o que Basani recomenda vai ao encontro das recomendações de muitos outros especialistas: revisão das políticas de segurança, foco em educação contínua dos colaboradores e inteligência: “pense em segurança como uma vantagem competitiva estratégica, não como um centro de custo ou uma dor de cabeça administrativa”.

Mas “pensar segurança como vantagem competitiva estratégica” requer planejamento, investimento em pessoas, criação de equipes, treinamento de pessoal, equipamentos, software… e requer a criação de políticas de segurança que regulem o funcionamento dessa estrutura. Ou seja, é um esforço nada desprezível que depende de investimentos, tempo e paciência.

A fim de facilitar esse processo algumas indústrias contam com padrões já bem definidos que, evitam a necessidade de começar um processo “do zero” e reduzem as chances de erro na implantação e manutenção dessas políticas e estruturas de segurança, bastando que as empresas aceitem e entrem em conformidade com esses padrões.

No caso da indústria de pagamentos, existe o padrão PCI DSS.

O que é PCI DSS?

O PCI DSS, acrônimo para Payment Card Industry Data Security Standards (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento), é um padrão que prevê a proteção da privacidade e da confidencialidade dos dados de cartões de pagamento.

A conformidade ao PCI DSS é requerida de qualquer organização que transmita, processe ou armazene tais dados. Organizações que sofram com vazamentos de tais dados podem ter que arcar com milhões de dólares em multas e custos de remediações, além de perder a confiança de seus clientes, e sofrer com danos duradouros em suas marcas.

Dois podcasts para saber mais sobre PCI DSS

Duas edições do SegInfocast – o podcast da Clavis Segurança da Informação – trataram extensamente do PCI DSS. Veja a seguir:

SegInfocast #38

Nesta edição, o apresentador Paulo Sant’Anna recebeu o diretor comercial da Clavis, Willian Caprino, para uma conversa sobre diversos aspectos da segurança da indústria de pagamentos e a importância de manter um sistema de gerenciamento contínuo de vulnerabilidades.

Ele lembra que não existia padrão de segurança para essa indústria, com cada bandeira criando suas próprias regras, até 2006. Naquele ano, Visa, Mastercard, American Express, JCB e Discover fundaram o PCI Council, destinado a criar um padrão único de segurança – o PCI DSS – voltado para qualquer empresa que tenha acesso às informações de cartões de pagamento, como lojas, gateways de pagamento na Internet, sites de comércio eletrônico e outros, que devem seguir os requisitos de segurança estabelecidos pelo PCI. Decidiu-se que anualmente será requerido dessas empresas a validação da conformidade com as normas.

Estar em conformidade com este padrão traz, como vantagens, a diminuição dos riscos de vazamento de dados de cartões e, consequentemente, redução no número de transações fraudulentas, perdas financeiras e exposição negativa.

SegInfocast #47

Nesta edição, Willian Caprino assume a cadeira de apresentador para entrevistar Carlos Caetano, Diretor regional do PCI Council no Brasil e América Latina. Na conversa foram apresentados os aspectos da segurança da indústria de pagamentos no mercado brasileiro.

Segundo Carlos, O PCI Council vem trabalhando com o objetivo de promover treinamento e certificações de segurança para que possa ajudar as empresas de cartões nacionais na luta constante contra o crime nos meios de pagamento. Ele reitera a importância do mercado de cartões brasileiros em padronizar as suas regras de segurança conforme os requisitos estabelecidos pelo PCI.

Além disso, ele lembra que os atacantes têm tido como alvo não só as grandes empresas mas também os pequenos e médios negócios e, por isso, o PCI se preocupa em assessorar essa grande fatia do mercado, trazendo uma linguagem simples que permita o fácil entendimento para o empreendedor, de modo a alertá-lo sobre os riscos de segurança que envolvem o seu negócio em relação aos meios de pagamento.

PCI Compliance na Clavis

A Clavis Segurança da Informação oferece uma série de soluções destinadas a auxiliar organizações de todos os tamanhos a atingir a conformidade com o PCI DSS.

É possível realizar a avaliação do status de segurança, permitindo entender o nível de maturidade em que a empresa se encontra nesse quesito e qual o gap a ser preenchido. Uma vez identificadas as lacunas em relação aos requisitos para conformidade, a Clavis ajuda a empresa a desenvolver um planejamento que identifica e prioriza as ações necessárias para se alcançar esse status.

Outros serviços da Clavis relacionados ao PCI DSS envolvem:

  • Treinamento e campanhas de conscientização a respeito dos conceitos e requisitos do PCI DSS.
  • Consultoria para a adequação de processos, validação de configurações e obtenção de certificado de conformidade.
  • PCI Scanning: monitoramento de sistemas, tratamento de vulnerabilidades, relatórios de conformidade ao PCI.
  • Pré-avaliação de conformidade ao PCI. Determine se sua organização está preparada para uma avaliação de conformidade ao PCI.
  • Apoio à elaboração do PCI SAQ. Tenha orientação quanto ao preenchimento do auto-questionário do PCI.
  • Gap Analysis. Descubra onde estão as lacunas de conformidade e as potenciais vulnerabilidades de sua organização.
  • Relatório de conformidade: Confirme que sua organização atende aos requisitos de conformidade.
  • Correção de não-conformidades: apoio à elaboração de planos de tratamento de não-conformidades.

Para saber mais e agendar uma avaliação, clique aqui.

Tags: