:: Serviços Estratégicos

Vertical de Governança

Estruturas de GRC

Orquestração, criação e implementação de estruturas robustas, harmônicas, globais, padronizadas e de-facto que contemplem um ambiente integrado, corporativo e inteligente de GRC (Governança, Riscos e Conformidade) com seus respectivos indicadores, do mais alto nível até a última estrutura operacional existente em perfeita sinergia com outras torres e verticais de negócio.

Boardmember & C-Level Advisory

Apoio consultivo para conselheiros, board members, C-Levels, DPOs, ações on-demand em Due Diligence, diagnósticos de Due Care, acompanhamento antes, durante e depois em processos de M&A, mapeamento de riscos e comitês especiais a partir de profissionais especializados com décadas de atuação em grandes operações, estruturas complexas em Segurança, Tecnologia e de Negócio.

(re)Estruturação SGSI

Implementação (do zero), pré-assessments para certificações ISO/IEC ou avaliações (time, entregáveis, processos, ROI, escala, indicadores...) em estruturas do Sistema de Gestão de Segurança da Informação baseado na ISO270xx, independente do seu nível atual e momento, ajudamos transformar sua fotografia estática em um filme de sucesso.

CISO as a Service - Virtual CISO

Oferece acionamentos sob demanda em pacotes de horas de acordo com o perfil, necessidade e momento de cada companhia, ajudando a companhia em decisões estratégicas, condução de temas junto a reguladores externos, auditorias, apoio extra as lideranças, conselhos, DPOs, C-Level e áreas parceiras, tudo isso com custos competitivos, alta especialização no tema e disponibilidade imediata.

Plano Diretor / MasterPlan

Criação, revisão e validação efetiva de “Planos Diretores”, garantindo perfeita sinergia entre outros planos corporativos e indicadores estratégicos (de negócio, corporativo, da TI e SI), sempre utilizando frameworks globais (OCEG, ISO38500, COBIT, ITIL, BPMN, BaBok...) com foco protetivo nas “joias da coroa”, na sustentabilidade e escalabilidade. Opcionalmente, SWOT, Porter, Schneider, BCG Matrix, BSC e Canvas podem compor a entrega.

DOCs regulados e legais

Construção de relatórios de SI específicos para documentos de "Relação com Investidores", produção de material estratégico para suporte em caso de IPOs, papers e documentos embasados em ambientes regulados (BaCen, SEC, CVM, B3, ANBIMA, ANPD, MPF...), que atendam o regramento legal necessário, revisados e apresentados dentro da formalidade e regramento culto gramatical esperado pelo regulador.

Vertical de Riscos

Enterprise Risk Management

Inteligente e holísta de verdade. Criação de estruturas de riscos corporativas com base no perfil, porte e obrigações do setor, utilizando os modelos/frameworks mais adequados para cada tipo de operação e hierarquia (OCTAVE, COSO eRM, FAIR, Hazop, Gartner CARTA, ISO31000, NIST RMF e ISO27005), de acordo com a maturidade, hierarquia, silos e momento atual da sua estrutura de gerenciamento.

Análise crítica de OKRs e KxIs

Análise crítica de indicadores corporativos de risco e correlação/integração com problemas, vulnerabilidades, desvios de Segurança. Revisão em OKRs em nível Estratégico, KGIs/KRIs/KCIs até KPIs Operacionais ajudando no correto cascateamento de interesses e (possíveis) revisões em tolerância, apetite e na taxonomia de riscos.

Análise de contratos

Análise contratual de fornecedores, considerando claúsulas e condições desfavoráveis, redução de custos, volumetria, garantia de SLOs/SLAs, adequação regulatória (contratos relevantes BaCen, provedor crítico em ações de Continuidade, atendimento a mandates de Compliance ou de controles de Segurança), qualidade dos entregáveis, RACI, recorrência e coerência de indicadores.

Replanejamento orçamentário

Escrutínio e diligenciamento profundo do plano orçamentário (equipe, estrutura, OKRs/KPIs, macro-processos, contratos, ferramentas, licenciamentos, investimentos, sinergia com demais projetos, movimentações OpEx/CapEx e expansão futura) buscando economia, crescimento e previsibilidade em curto, médio e longo prazos. Análises e recomendações extras de ITO/BPO/MSS/SS podem ser considerados na atividade.

QoS - Quality of Service

Avaliamos a "qualidade dos seus serviços" em Segurança, seja na condição de clientes, fornecedores ou parceiros. Seja qual for a atividade, temos profissionais com altíssima expertise na construção de produtos, na avaliação de serviços (MSS, ITO, BPO, SS, AgileSquads, Pricing, FTE Rating...), criação e validação de catálogos, de portfólios, indicadores, comparativos com mercado, escrutínio de processos e uso efetivo de plataformas, produtos e serviços.

Exercícios, simulações + Due Care

Exercícios no contexto de "Gerenciamento de Riscos" utilizando os lançamentos reais da cia (qualitativos ou quantitativos), conceitos e plataformas em uso no intuito de identificar fragilidades no processo, interpretações e/ou taxonomias divergentes, formalizações deficitárias, não atendimento de controles críticos e relevantes de mercados regulados e possibilidades de integração/agrupamento de contextos, conforme orientações e controles esperados pela ISO31000 (ou outro framework de interesse).

Vertical de Compliance

M&A, diligenciamento, care e IPOs

Investigação, pré-auditoria e suporte durante processos de M&A (fusão, aquisição ou casos de cisão), a partir de abordagens ativas via diligenciamentos presencias, entrevistas, checklists e geração final de "relatório de risco" (ou oportunidade) do ativo-alvo de interesse. Abordagem passiva (prévia a formalização interna/pública de interesse) pode ser considerada utilizando ferramentas não-invasivas, intrusivas e/ou que não geram "gatilhos de observação/interesse" no ativo/incorporação sensível sob análise. Modelo de diligenciamento muito além dos controles normalmente mais técnicos utilizados em abordagens tradicionais de Segurança, alcançando questões de Governança, Riscos, Conformidade, Continuidade, Auditoria, Produto, Privacidade e Dados.

Diagnóstico OT/ICS/SCADA

Da instalação física até testes finais em campo, o diagnóstico é baseado na abordagem de 6 camadas - 1. Segurança Física, 2. Infraestrutura de Redes, 3. DMZ SCADA, 4. Missão Crítica (DCS Servers, Workstations, Salas e Consoles de Operação), 5. Protocolos e Comunicação SCADA com Dispositivos (Profi/ModBus, OPC e outros *BUS) e 6. Dispositivos de Campo (PLCs, RTUs, IEDs e sensores), considerando o conjunto de normativos da ISA/IEC 62443-x, subpartes e desmembramentos em caso de regionalizações e particularidades como NIST (USA), NERC-CIP (North America), ENISA (Europe), BSI (German), CNCA/CCC (China), TIA e outras específicas ISO/IEC além da ISA/IEC.

Pré-Assessment de seguro ciber

Avaliamos previamente sua companhia com base nas recomendações e assessments dos principais fornecedores de seguro globais para ajudar em processos de redução de custo e/ou adequação (previamente a solicitação da apólice, que atualmente, apresenta alto nível de negativas/desinteresse da seguradora por falta de respostas claras e controles efetivos). O pre-assessment possibilidade identificar os principais domínios e controles que possuem desvios relevantes, apresentando recomendações gerais de adequações em função do tempo, esforço, criticidade, porte, perfil e momento da cia.

MSS, Shared-Services & xTO

Da análise das instalações físicas, passando por capital humano a criação do catálogo de serviços e respectivos SLOs/SLAs. Ajudamos na arquitetura e implementação de CSCs - Centro de Serviços Compartilhados, áreas completas de Serviços Gerenciados (MSS) e estruturas complexas de Outsourcing (ITO & BPO), sempre utilizando frameworks e melhores-práticas globais de cada setor, atividade esta que permite que sua operação nasça praticamente aderente a modelos como ITSM/ITIL, COBIT, ISOs (27001, 22301, 38500...), BPMN e outros balizadores.

CoE e Security by Design/Default

Sua empresa ainda está no estágio embrionário de SDCA (antes do PDCA, o Standard, Do, Check & Act), iniciando frentes de hardening ou arquitetura segura sem processos claros? Ajudamos na elevação de maturidade e ajustes em toda a esteira de entrega/atividade. Construção de "Arquitetura de Referência Segura" - SEC by Design/Default, via estruturação de Centro de Excelência com controles e baselines na origem, automação direta em sua ferramenta de CI/CD no melhor estilo "mover segurança para à esquerda" - SLS - Shift Left Security.

Padronização & Normalização

Padronização, classificação e organização de processos-core/chave/crítico de atividades a partir de ISOs específicas, utilizando linguagem universal BPMN ou suas respectivas etiquetas regulatórias, facilitando e acelerando a identificação de documentos, localização de evidências durante auditorias e melhora considerável na base de conhecimento (knowledge-base) da companhia. Organizamos seus documentos de acordo com o contexto de atendimento, de aderência e do objetivo de controle alvo que ele irá suportar.

Mercados regulados

Preparação da empresa/estrutura (pessoas, processos e ferramental) para certificações, credenciais e pré-onboarding em mercados regulados e específicos como BaCen/OpenFinance/SFN, ANBIMA, Sox/SEC, CVM, BSM, SUSEP, IFCs, PCI, ISO, HIPAA, Marco Legal Startups, MCI e eCiber/PNS. Do treinamento inicial ao levantamento da documentação formal final, nossos especialistas acelerarão em muito o tempo de aceitação, reduzindo e antecipando surpresas (por vezes impeditivas) ao longo de todo o processo.

GapAnalysis, audits e acreditação

Produzimos gap-analysis para quaisquer certificações e frameworks bem conhecidos ou padrão de mercado (ISO, NIST, PCI-DSS, PPSI, SEC, BaCen, CVM, ANBIMA, HIPAA, BSM, ANPD/LGPD. EU/GDPR, ISF, MITRE, DAMA...), geramos assessments (pré-auditorias) e acreditação construtiva e colaborativa em parceria com áreas de Tecnologia, Negócios, Compliance, Controles Internos, Riscos e/ou time de Auditoria. Medimos a maturidade em sua esteira de Desenvolvimento Seguro através da nossa parceria com o consórcio MVSP.

ESG integrado com eGRC

Relatórios de ESG (métricas e metas de sustentabilidade em formato, frequência e conteúdo específico) se tornaram indispensáveis para empresas que querem ser reconhecidas como praticantes. Embora com opções (GRI, SASB, IIRC e TCFD), estas metodologias estão longe de serem padronizadas e, em diversos casos, longe de estarem em sintonia com outros frameworks e indicadores de outras verticais. Mesmo sendo estruturas voluntárias não obrigatórias, são cada vez mais requisitadas por seguradoras, clientes, governos, organizações (ONU - Objetivos de Desenvolvimento Sustentável) e bancos de investimentos. Produzir integrando ESG com Planos Diretores de Negócios, Tecnologia e com as disciplinas corporativas decanas de Governança, Riscos e Conformidade é nosso diferencial.