Due Care e Due Diligence

Ao longo da literatura de InfoSec deve ser comum encontrar dois termos, principalmente na literatura inglesa: due care e due diligence.

Se fôssemos realizar a tradução literal dos termos, due care poderia ser traduzido como devido cuidado e due diligente seria traduzido para diligência devida. Porém mesmo em artigos e fóruns de discussão de InfoSec em português eventualmente encontramos os termos na forma original. Explico a seguir qual seu propósito e importância na área.

Due Diligence

Executivos de organizações são os responsáveis em atender a diversas leis e regulamentações externas. E podem ser responsabilizados caso não venham a atender. Eles podem ser inclusive processados e responsabilizados por acionistas e clientes se eles não realizarem due diligente nas organizações. Due diligente pode ser definido em fazer tudo o que for possível e viável para prevenir com que algo ruim aconteça para a empresa. Isso inclui a elaboração de políticas adequadas, pesquisa sobre ameaças e incorporá-las ao processo de gestão de risco e garantir com que sejam realizadas auditorias de forma adequada.

Ou seja, é papel do executivo com que sejam criadas as condições na organização para que a segurança faça parte dos processos. Realizar toda a pesquisa e compreensão dos riscos envolvidos para evitar surpresas. Isso inclui desde pensar em segurança no processo de contratação de novos funcionários até o processo de desligamento do colaborador. Ou mesmo incorporar segurança no desenvolvimento e publicação de aplicações da organização.

E o executivo será responsabilizado, conforme dito, caso não venha a trabalhar a segurança na organização e algo ruim aconteça. Por envolver a elaboração de políticas e conformidade com regulamentações e leis, due diligence é geralmente associado a líderes, leis e regulamentações.

Due Care

Due care, por sua vez, tem caráter mais prático. Indica o conjunto de precauções que são tomadas por um colaborador competente para realizar suas funções de forma segura. Ou seja, poderá ser desde o executivo quando for realizar uma decisão em realizar essa de forma responsável e segura até ao colaborador operacional que deverá atuar de forma segura e prevenida.

Due care é quando o funcionário da organização recebe um e-mail potencialmente oriundo de campanha de phishing e toma precauções, como não clicar em links desconhecidos. E se não tomar as precauções será considerado negligente.

Due Care vs Due Diligence

Due diligence é o ato de obter informações que sejam necessárias para realizar as melhores decisões nas atividades operacionais e planejadas. Ou seja, é a preparação prévia ao trabalho a ser efetivamente realizado. É realizar o planejamento para evitar a ocorrência de surpresas e permitir melhor compreensão do risco envolvido. Um exemplo é o caso de um banco que pretende disponibilizar aos seus clientes um Internet Banking. É necessário com que o banco compreenda que a quantidade de ações de hacking aumentarão, fraudes bancárias aumentarão, etc. Ou seja, não se trata de não inovar, mas de compreender os riscos envolvidos nas atividades. Com base no due diligence é possível com que os executivos tomem as melhores decisões. 

Due care é agir de forma responsável e fazer a coisa certa. É realizar as coisas da forma como padronizado e esperado na execução de determinadas tarefas. Due care garante realizar as ações com o mínimo risco envolvido na ação. Se a organização não possui políticas de segurança adequadas, contramedidas adequadas e treinamento de segurança, a organização não está realizando o due care. No caso do Internet Banking, se a organização disponibiliza o serviço mas não implementa o TLS para comunicação, a organização não está realizando o due care

Em resumo, as seguintes expressões definem os termos:

  • due diligence: obtenção de dados
  • due care: ações prudentes. 

2 comentários sobre “Due Care e Due Diligence

  1. Carlos Tadeu de S. Barretto disse:

    Ótimo artigo Thiago,
    O interessante é que “Diligência”, significa, no próprio português, “fazer alguma coisa de forma urgente e cuidadosa”. Logo, “Due Care, Due Diligency” significaria “fazer algo de forma urgente e com muito cuidado”;
    De qualquer forma, na nossa área de atuação, Segurança da Informação, quando falamos de normas de segurança, os cuidados precisam ser redobrados. As novas regras de proteção de dados (LGPD), diferente de outras normas de segurança, não indicam produtos nem entram nos meandros das tecnologias de segurança.
    Mais que nunca, vejo a necessidade de contratação de especialistas externos para certificar a segurança, tanto com análises tecnológicas, em sistemas, quanto avaliações em ambiente físico (análise de formulários e papéis) e das normatizações (políticas de segurança, normas de contratações de funcionários e empresas, treinamentos de conformidade, etc).
    Enfim, acredito que o trabalho será árduo para garantir a segurança que se espera com a LGPD.

    1. Thiago Leite disse:

      Olá Carlos! Obrigado pelo comentário. Fiz o artigo justamente porque os termos Due Diligence e Due Care, na tradução literal, não deixam bem claro os propósitos de cada um. Dependente de cada papel que o profissional desempenha pode gerar dúvidas. No caso de um gestor preocupado em levantar os riscos envolvidos, “due diligente” por ser alertar o que pode ocorrer e como proceder em conformidade. Porém, em um gestor operacional, no “due care” a preocupação é saber fazer em como fazer em conformidade para minimizar os riscos em realizar o operacional.

      Quando falamos das legislações e regulamentações existentes, o “due diligente” já sabe seu norte, cabendo o “due care” operacializar de forma adequada o que é esperado.

      Carlos, podemos continuar a discussão por e-mail se preferir. É uma conversa longa de boteco. Novamente obrigado pelo comentário.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *