ICTS Protiviti

Ciberataques: 4 etapas para criar um programa de Segurança da Informação

Por

Por Carlos Araujo Jr.


Não há dúvidas que a pandemia do Coronavírus afetou e continuará impactando a maneira como vivemos e trabalhamos. As empresas foram obrigadas a se adaptar e, com isso, uma quantidade significativa de operações adotaram o home office sem estarem 100% preparadas para esse cenário. No entanto, aquelas que já tinham implementado uma governança do Programa de Segurança da Informação certamente absorveram melhor os impactos causados durante as adaptações forçadas pelo cenário da pandemia.

Nos primeiros meses, muitas orientações foram disponibilizadas a fim de ajudar as empresas que não estavam preparadas a tomarem ações mínimas de segurança nesse cenário de trabalho à distância. Porém, a implementação isolada desses controles disponibilizados não significa que as operações estejam seguras. Afinal, maturidade em Segurança da Informação não se cria do dia para a noite.

Os controles ajudam na mitigação de possíveis riscos, mas essas e outras medidas foram tomadas para “apagar o fogo”, ou seja, resolver alguns problemas específicos que, antes da pandemia, nunca haviam sido priorizados ou até identificados pelas empresas. Isso porque, os desafios da cibersegurança não são novos, eles apenas recebem suas roupagens de acordo com a ocasião. Neste caso, o Coronavírus trouxe um cenário de urgência para as empresas que ainda não enxergavam a Segurança da Informação como uma área crítica. Porém, as ameaças de segurança já existiam há anos.

Então, como as organizações poderiam estar melhor preparadas para esse cenário sem precedentes? Antes de tudo, é necessário avaliar seus processos e ativos a fim de identificar os investimentos e os controles que precisam ser priorizados para que a área de Segurança passe do comportamento reativo ao proativo. Para atingir esse objetivo, há a importância de estruturar o Programa de Segurança, que pode ser dividido em quatro grandes etapas, são elas: planejamento e organização; implementação; operação e manutenção; e monitoramento e avaliação.

Na etapa de planejamento e organização é importante o comprometimento dos líderes da empresa com o tema. Neste sentido, é possível dizer que o cenário pandêmico foi um impulsionador, mas além do Coronavírus, quais os outros grandes motivadores, internos e externos, da Segurança da Informação? Um exemplo que também está em pauta é a vigência da Lei Geral de Proteção de Dados. Além disso, nesta etapa, é importante a definição do perfil de ameaça, bem como a realização de uma avaliação de riscos de segurança a fim de identificar seus gargalos e suas ameaças.

Para a etapa de implementação, algumas atividades essenciais são o desenvolvimento de políticas, normas e procedimentos que suportem o tema de segurança na empresa e, com base na avaliação de riscos, o desenvolvimento e a implementação de blueprints necessários para atender suas necessidades.

Na próxima etapa, de operação e de manutenção, é importante que auditorias internas e externas sejam realizadas visando garantir que os requisitos, as linhas de base e os controles de segurança estejam, de fato, implementadas de maneira efetiva. Por fim, o monitoramento e a avaliação envolve o acompanhamento e a revisão de métricas e de indicadores, além de propostas de melhorias para o próximo ciclo do programa.

Ou seja, não existe uma “receita de bolo” que garanta segurança. Cada empresa deve cumprir suas etapas para entender como a área de Segurança da Informação pode se tornar uma parceira estratégica do negócio. Lembrando que, nenhuma organização estava totalmente preparada para a pandemia do Coronavírus, mas aquelas que já possuíam um programa implementado conseguiram se beneficiar da resiliência e da adaptabilidade que ele proporciona.

Carlos Araujo Jr. é gerente de Cyber Security na ICTS Protiviti

Políticas sobre o uso de dispositivos pessoais em tempos de home office

Por

Por Igor Buess


Ao longo dos últimos anos presenciamos a crescente mescla do uso de dispositivos tecnológicos pessoais com os profissionais. Isso porque, acessamos o e-mail da empresa no celular pessoal, respondemos mensagens no WhatsApp na sua versão web diretamente do computador corporativo, realizamos videoconferências em notebooks que são nossos e por aí vai.

Quando se fala em segurança da informação, o bem mais precioso é a informação em si e, por isso, sua localização serve, em muitos casos, para definir o senso de propriedade e responsabilidade sobre o meio que a contém. Ou seja, se uma informação – de propriedade da empresa – está contida num dispositivo móvel pertencente a um colaborador, pode-se inferir que há um senso de propriedade e responsabilidade parcial da empresa com esse equipamento em questão, pelo menos no que tange ao controle de configurações e a possibilidade de monitoramento.

Obviamente deve existir um limite razoável no controle da corporação sobre esse dispositivo para que não haja abusos e invasões na privacidade do colaborador. Isso significa que a empresa precisa definir seu monitoramento exclusivamente para fins de proteção da sua informação e nada mais.

Com o advento da pandemia do Coronavírus, o home office se tornou padrão na maioria das empresas e o uso – por parte dos colaboradores – de dispositivos pessoais para execução de suas funções cresceu exponencialmente, tornando essa problemática ainda mais latente. Portanto, é cada vez mais relevante que as regras dessa modalidade estejam escritas de forma clara e objetiva para que ambas as partes – empresa e colaborador – estejam em harmonia, evitando situações constrangedoras que, em alguns casos, podem até resultar em consequências legais.

O principal meio de definição dessas regras é através de normativos, tais como políticas, normas e procedimentos, juntamente com inciativas de treinamento e conscientização por meio de cursos online, webinars e e-mails internos, entre outros.

Mas um aspecto que deve ser levado em consideração é a razoabilidade das regras que serão definidas. Em outras palavras, o fato das empresas definirem e escreverem as normas não as dá total liberdade para avançar sobre a privacidade do equipamento do colaborador. Tenha em mente: se o colaborador achar que as regras são abusivas, ele simplesmente vai optar por não utilizar seus dispositivos pessoais.

Em relação ao conteúdo específico das normas, sugere-se que alguns aspectos estejam definidos e citados, como a responsabilidade por manter o dispositivo atualizado e seguro; as consequências do descumprimento das orientações de segurança; a possibilidade de investigações no conteúdo do equipamento em casos suspeitos; o suporte oferecido ao usuário em caso de problemas técnicos; e as ações que podem ser tomadas em casos de perda ou roubo.

É importante lembrar que a liberdade de uso de dispositivos pessoais tem seus prós e contras. Isso porque, por um lado, a empresa economiza na compra de equipamentos tecnológicos para cada colaborador e dá mais flexibilidade de trabalho. Por outro, cria-se uma maior complexidade de manutenção da segurança de informações e ocasiona um consequente aumento da superfície de ataque. Tendo isso em mente, a empresa deve avaliar se os benefícios compensam ou não, podendo optar até por uma abordagem mista, na qual apenas determinados sistemas e informações podem ser acessados via dispositivos pessoais.

Igor Buess, consultor de Segurança da Informação na ICTS Protiviti

RPA, Workflow e IoT para otimizar os recursos remotamente e aproveitar o impulso da pandemia

Por

Por Thiago Guimarães


Ainda encontramos nas empresas um ponto em comum: a utilização de papéis e planilhas na execução de processos de negócio. Podemos citar desde um formulário de acesso à portaria, o qual um funcionário se certifica de anotar os dados, tanto do veículo, quanto do visitante, a formulários mais complexos, os quais são preenchidos por operadores com dados dos equipamentos de produção, que depois serão compilados.

Às vezes, tais formulários, dão um passo em direção à “digitalização” com a inserção das informações em planilhas ou sistemas de gestão, mas, em sua maioria, os montantes de papéis são arquivados em caixas que acabam empilhadas nas salas de arquivos. Se, em algum momento, alguém precisa de algumas das informação nesses papéis, a consulta é morosa e onerosa e, também, não são raros os casos em que os gestores acabam verificando que os processos não foram executados corretamente ou até mesmo não foram. Isso porque, a rotina de papéis e de planilhas demanda muito esforço da gestão no acompanhamento e monitoramento dos processos a fim de garantir sua correta execução.

Adicione tal complexidade ao cenário de pandemia do Coronavírus, que exige das empresas um olhar mais crítico de seus custos e continuidade das operações à distância, para ampliação de potenciais problemas nestes processos, abrindo as portas para as ineficiências, os erros e as fraudes. Portanto, podemos observar que a brincadeira que circula na internet traz uma verdade: o maior agente da Transformação Digital nas empresas não foram os executivos C-level, mas o Coronavírus.

Afinal, num momento em que é necessário o controle dos processos à distância, mas com restrição de orçamento, a implementação de tecnologias como RPA (do inglês, Robotic Process Automation), Workflow Automation (Automação do Fluxo de Trabalho) e IoT (Internet das Coisas) passou a fazer a diferença para muitas empresas nas situações mais variadas.

Podemos citar, por exemplo, o controle de temperatura de alimentos nos supermercados, momento em que, normalmente, os varejistas colocam uma pessoa para realizar a medição da temperatura três vezes ao dia e anotá-la em papéis para, posteriormente, passar para planilhas. Nesse cenário, através de um sensor remoto (IoT), é possível coletar e enviar os dados via nuvem, permitindo o acesso às temperaturas do produto sem a necessidade da medição de campo por uma pessoa.

Outra oportunidade de utilização de tecnologia está no processo de recebimento de produtos pelas empresas e pagamento. Normalmente a Nota Fiscal do fornecedor é recebida em papel e enviada para a área fiscal neste formato para depois ser lançada num sistema. Ao invés desse processo, é possível extrair o arquivo direto do site da Secretaria da Fazenda e processar a Nota Fiscal, lançando-a diretamente no sistema de pagamento por meio de um robô.

Muitas vezes temos situações de automação óbvias, mas que acabam passando desapercebidas nas rotinas empresariais. Se a empresa tem grande circulação em papéis, provavelmente terá oportunidades de automação para explorar.

Que tal “entrar na onda” da Transformação Digital ditada pelo Coronavírus e usar este momento como impulsionador para conhecer como as novas tecnologias que podem auxiliar sua empresa na maximização da produtividade do time que está trabalhando remotamente e, ainda, reduzir custos.

Thiago Guimarães, gerente sênior de riscos e performance na ICTS Protiviti

84% das empresas ainda não estão preparadas para a LGPD, aponta ICTS Protiviti

Por

Mesmo com a Lei Geral de Proteção de Dados (LGPD) ganhando espaço na agenda corporativa, uma pesquisa com 104 empresas brasileiras mostra que 84% ainda não estão preparadas para atender todos os requisitos da nova legislação, que entrará em vigor a partir de agosto de 2020.

É o que a revela a primeira amostragem de um estudo organizado pela consultoria de ética e compliance ICTS Protiviti, realizada com organizações de diferentes portes, setores e regiões do País entre 10 de agosto e 10 de novembro de 2019. O levantamento reuniu informações coletadas a partir de interações de empresas no Portal LGPD http://www.protiviti.com/BR-por/protecao-de-dados-pessoais

Segundo as estatísticas do estudo, apenas 12,5% das empresas participantes já realizaram o mapeamento de riscos de segurança da informação e proteção de dados, considerada uma ação primária de adequação à lei, e somente 17,3% delas estão preparadas para fazer a gestão da privacidade de dados processados por seus fornecedores e terceiros. Em contrapartida, o desenvolvimento de políticas e normativos em relação aos cuidados da LGPD é o quesito com maior nível de aderência por parte das empresas, com 41,3% delas, indicando já terem produzido este conteúdo.

“Faltando menos de 300 dias para a entrada em vigor da lei, é preocupante que as organizações tenham realizado o desenvolvimento de políticas de segurança sem antes terem mapeado seus riscos ligados ao não cumprimento da norma”, diz Jefferson Kiyohara, especialista em LGPD e diretor da compliance na ICTS Protiviti. “É como iniciar uma viagem sem ter clareza sobre o destino”, completa o executivo.

Das 104 companhias participantes, 33% são de grande porte, 27,5% fazem parte do grupo de médias corporações e 39,6% são micros e pequenas empresas. Participaram da pesquisa organizações de setores variados, como varejo, construção, saúde, educação, telecomunicação, tecnologia da informação, indústria, dentre outros nichos econômicos.

Portal LGPD aponta nível de adequação das empresas

Serviço gratuito, criado pela ICTS Protiviti, o portal LGPD foi criado para ajudar companhias a identificarem o seu grau de adequação à lei por meio de uma avaliação técnica. O teste é em formato de questionário on-line, composto de perguntas alternativas relacionadas à política interna de proteção de dados da empresa. Após ser respondido, na mesma a hora, a empresa recebe gratuitamente um relatório com o diagnóstico sobre o seu atual nível de adequação à LGPD para saber se está, ou não, sujeita às multas e às infrações da lei.

A iniciativa da ICTS Protiviti tem a missão de contribuir na importância que as empresas devem ter em relação a programas de proteção de dados, que envolvem o estabelecimento de controles específicos, a nomeação de responsáveis por implementar e operar tais controles, além de obter evidência de que os controles estão operando de maneira efetiva.

ICTS Protiviti lança consultoria gratuita para avaliar a adequação das empresas à LGPD

Por

A consultoria ICTS Protiviti, especializada em gestão de riscos e compliance, passa a oferecer uma consultoria gratuita para empresas avaliarem seu grau de adequação à nova Lei Geral de Proteção de Dados (LGPD), que entra em vigor em agosto de 2020 e que prevê novas regras para coleta, armazenamento, tratamento e compartilhamento de dados pessoais.

Para realizar esta avaliação, empresas de qualquer porte e segmento podem acessar o portal http://www.protiviti.com/BR-por/protecao-de-dados-pessoais. O teste é em formato de questionário on-line, composto de perguntas alternativas relacionadas à política interna de proteção de dados da empresa. Após ser respondido, na mesma a hora, a empresa recebe gratuitamente um relatório com o diagnóstico sobre o seu atual nível de adequação à LGPD para saber se está, ou não, sujeita às multas e às infrações da lei.

O relatório também traz orientações de como as empresas devem iniciar seus processos de adequação. De acordo com André Cilurzo, especialista em LGPD e diretor associado na ICTS Protiviti, mesmo com pouco menos de um ano para que a lei entre em vigor, as empresas precisam entender que a adequação não é uma iniciativa simples, exigindo senso de urgência por parte das lideranças das organizações.

“Existem diversas ações e mecanismos, como treinamentos, workshops, revisão e estruturação de processos, implantação de ferramentas e mudança de cultura dos colaboradores no tratamento de dados pessoais, que demandam investimentos e esforços das corporações. A ficha ainda não caiu”, alerta Cilurzo.

A Lei Geral de Proteção de Dados abrange as operações de tratamento realizadas no Brasil, ou a partir da coleta de dados feita no país por empresas brasileiras ou estrangeiras. A norma também vale para empresas ou entes que ofertem bens e serviços ou tratem informações de pessoas que estão no Brasil. A partir desta lei, o Brasil iguala-se a mais de 100 países que já possuem norma sobre o assunto, alterando o cotidiano de usuários, empresas e do Poder Público.

Assim como ocorreu a partir da promulgação da lei europeia de proteção de dados, a GDPR (do inglês, General Data Protection Regulation), que impulsionou a aprovação da lei brasileira, espera-se uma grande demanda por parte dos usuários por privacidade, exigindo que as empresas tenham capacidade para responder e se adequar rapidamente.

48% das empresas estão muito expostas ao risco de corrupção, afirma estudo da ICTS Protiviti

Por

A promulgação da Lei Anticorrupção do Brasil (Lei Empresa Limpa 12.846/13) atendeu aos anseios da população e fortaleceu o combate à cultura da impunidade. Com sanções administrativas severas, que podem ser aplicadas a companhias de todos os portes, as empresas deveriam incluir em sua agenda a criação de medidas para prevenir e combater a corrupção e as fraudes. Contudo, este cenário ainda não alcançou os níveis adequados de debate dentro da maioria das organizações, de acordo com a ICTS Protiviti, consultoria especializada em auditoria interna, serviços em gestão de riscos e compliance, que realizou uma análise do nível de maturidade de compliance de empresas brasileiras.

Com uma amostra de 642 companhias, o levantamento aponta que 48% das empresas analisadas estão em situação de extrema exposição a riscos de corrupção e apenas 3% adotam um bom conjunto de ações de um programa de compliance. Os números apresentam uma situação alarmante por parte das companhias quanto às atuais medidas tomadas para sanar os riscos associados à corrupção, condutas antiéticas, fraudes e outras falhas de conformidade.

De acordo com Jefferson Kiyohara, líder da Prática de Riscos & Compliance da ICTS Protiviti, as empresas precisam aumentar a conscientização sobre a importância de implantar um programa efetivo de compliance. “Mesmo com a ampla divulgação sobre o tema em função das investigações, acordos e sanções impulsionados pelas operações da Polícia Federal, como Lava Jato e Zelotes, muitas companhias ainda não entraram na rota correta para proteger o seu negócio, a sua reputação e os seus profissionais, e inclusive há aquelas que pagarão para ver até onde conseguirão chegar sem adotar as medidas anticorrupção necessárias. Os benefícios de um programa efetivo de compliance vão além do mero atendimento de um requisito legal: há o reforço da cultura organizacional, redução de custos com fraudes e sanções, assim como a atração e retenção de talentos, entre outros”.

Programas de compliance inexistentes ou incipientes expõem a riscos como o fechamento da empresa, perda de clientes, restrição de acesso a crédito, danos reputacionais junto a fornecedores e clientes, gastos com multas, punições e com advogados de defesa, sem contar os prejuízos financeiros alavancados pelas fraudes, que são responsáveis por uma perda média de 5% do faturamento das empresas, conforme levantamento da Association of Certified Fraud Examiners (ACFE).

Segundo a consultoria, na análise deste ano houve um aumento pelo interesse no tema compliance, principalmente entre empresas de até 99 colaboradores. Se comparada à versão realizada em 2015, esta nova amostra foi ampliada em 38% no número de empresas participantes. Dessas, 56% são companhias de até 99 profissionais, 21% contemplam de 100 a 499 funcionários e 23% estão acima de 500.

Outra informação preocupante apresentada na análise relata que 71% das empresas ainda não mapearam seus riscos de exposição à corrupção e 68% não adotam processos de análise de terceiros (Due Dilligence). Para o especialista, tais dados demonstram que há ainda um caminho a ser percorrido. “Na atual conjuntura, os orçamentos estão limitados. O mapeamento de riscos permite identificar o que é crítico e definir um plano de ação priorizado, otimizando o uso dos recursos da empresa. E mesmo assim não tem sido feito”. Analisando os riscos de terceiros, Kiyohara afirma: “Se o pagamento de propina for feito por um fornecedor, em benefício da empresa, ambos podem ser penalizados. E mesmo assim, há empresas que não se preocupam em realizar uma pesquisa reputacional do seu fornecedor”

A situação também é grave entre empresas que mantêm relações comerciais com entes públicos. Do total de companhias analisadas, 70% atendem o setor governamental. Dessas, 67% ainda não mapearam seus riscos de exposição à nova lei e o mesmo número não possui mecanismos de avaliação de terceiros (Due Dilligence). Os dados apontam uma inadequação, mesmo em processos críticos. “É fundamental conhecer quais são os agentes públicos com quem a empresa interage, quem faz esta interação e como ela é feita” reforça Kiyohara.

Em relação aos elementos de compliance mais presentes na análise, 61% afirmam possuir Código de Ética e Conduta, enquanto 62% disponibilizam um canal de denúncia que permite a apuração de registros anônimos de desvios e violações do Código. A dúvida, nesses casos, é qualitativa, ou seja, se as empresas estão de fato alinhadas com as melhores práticas. Por exemplo, o canal é, de fato, independente? O código é de conhecimento de todos e praticado no dia a dia?

As informações analisadas pela ICTS Protiviti têm origem em dados registrados em seu portal (www.portaldecompliance.com.br) que oferece para todas as organizações que desejarem a possibilidade de avaliar gratuitamente seu nível de compliance e aderências às melhores práticas de um programa de integridade. Todas as empresas interessadas em avaliar sua situação em relação à exposição a riscos e seu grau de maturidade em compliance podem acessar o website www.portaldecompliance.com.br.