Due Care e Due Diligence

Ao longo da literatura de InfoSec deve ser comum encontrar dois termos, principalmente na literatura inglesa: due care e due diligence.

Se fôssemos realizar a tradução literal dos termos, due care poderia ser traduzido como devido cuidado e due diligente seria traduzido para diligência devida. Porém mesmo em artigos e fóruns de discussão de InfoSec em português eventualmente encontramos os termos na forma original. Explico a seguir qual seu propósito e importância na área.

Due Diligence

Executivos de organizações são os responsáveis em atender a diversas leis e regulamentações externas. E podem ser responsabilizados caso não venham a atender. Eles podem ser inclusive processados e responsabilizados por acionistas e clientes se eles não realizarem due diligente nas organizações. Due diligente pode ser definido em fazer tudo o que for possível e viável para prevenir com que algo ruim aconteça para a empresa. Isso inclui a elaboração de políticas adequadas, pesquisa sobre ameaças e incorporá-las ao processo de gestão de risco e garantir com que sejam realizadas auditorias de forma adequada.

Ou seja, é papel do executivo com que sejam criadas as condições na organização para que a segurança faça parte dos processos. Realizar toda a pesquisa e compreensão dos riscos envolvidos para evitar surpresas. Isso inclui desde pensar em segurança no processo de contratação de novos funcionários até o processo de desligamento do colaborador. Ou mesmo incorporar segurança no desenvolvimento e publicação de aplicações da organização.

E o executivo será responsabilizado, conforme dito, caso não venha a trabalhar a segurança na organização e algo ruim aconteça. Por envolver a elaboração de políticas e conformidade com regulamentações e leis, due diligence é geralmente associado a líderes, leis e regulamentações.

Due Care

Due care, por sua vez, tem caráter mais prático. Indica o conjunto de precauções que são tomadas por um colaborador competente para realizar suas funções de forma segura. Ou seja, poderá ser desde o executivo quando for realizar uma decisão em realizar essa de forma responsável e segura até ao colaborador operacional que deverá atuar de forma segura e prevenida.

Due care é quando o funcionário da organização recebe um e-mail potencialmente oriundo de campanha de phishing e toma precauções, como não clicar em links desconhecidos. E se não tomar as precauções será considerado negligente.

Due Care vs Due Diligence

Due diligence é o ato de obter informações que sejam necessárias para realizar as melhores decisões nas atividades operacionais e planejadas. Ou seja, é a preparação prévia ao trabalho a ser efetivamente realizado. É realizar o planejamento para evitar a ocorrência de surpresas e permitir melhor compreensão do risco envolvido. Um exemplo é o caso de um banco que pretende disponibilizar aos seus clientes um Internet Banking. É necessário com que o banco compreenda que a quantidade de ações de hacking aumentarão, fraudes bancárias aumentarão, etc. Ou seja, não se trata de não inovar, mas de compreender os riscos envolvidos nas atividades. Com base no due diligence é possível com que os executivos tomem as melhores decisões. 

Due care é agir de forma responsável e fazer a coisa certa. É realizar as coisas da forma como padronizado e esperado na execução de determinadas tarefas. Due care garante realizar as ações com o mínimo risco envolvido na ação. Se a organização não possui políticas de segurança adequadas, contramedidas adequadas e treinamento de segurança, a organização não está realizando o due care. No caso do Internet Banking, se a organização disponibiliza o serviço mas não implementa o TLS para comunicação, a organização não está realizando o due care

Em resumo, as seguintes expressões definem os termos:

  • due diligence: obtenção de dados
  • due care: ações prudentes. 

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *