Em artigo
publicado no site da Associação Brasileira das Empresas de Software (ABES),
especialista destaca a importância da Segurança da Informação para combater
fraudes e crimes nas empresas. Confira a íntegra do texto:
A PricewaterhouseCoopers (PwC) divulgou no dia 19 de fevereiro sua
pesquisa “Economic crime: a threat to business processes – 2014”. Esta pesquisa
contou com a participação de 5.128 respondentes de 96 países ao redor do mundo.
Destas companhias, 54% possuem mais de 1.000 funcionários. O Brasil está
representado neste contingente.
É uma pesquisa riquíssima e
merece ser estudada e debatida detalhadamente e com a sabedoria de identificar
o que ela pode transmitir para a realidade de cada organização, mas
especificamente a sua realização. Sugiro que o leitor acesse o site da PwC e
leia a mesma de maneira completa.
Para este artigo, gostaria de destacar alguns itens que fortalecem o
Processo Organizacional de Segurança da Informação como a Base Preventiva para
o combate a fraude e a minimização dos seus impactos. Vejamos:
a. No Brasil, 24% das companhias tiveram situações identificadas de
fraudes econômicas e 64% das fraudes foram cometidas por pessoal interno.
b. Considerando o triângulo Racionalização (Desejo), Oportunidade e
Pressão, a Oportunidade foi a primeira razão de se cometer a fraude, sendo
responsável por 74%. Os outros dois elementos ficaram com 13% cada um.
c. Canal de Denúncia foi o meio que mais levou a descoberta de Fraude
com 34%, Monitoração das Informações com 21%, e Auditoria Interna com 17%.
d. Recomendações para o combate à fraude:
- Envolvimento e comprometimento da alta direção.
- Gerenciamento de riscos
- Controles, políticas, normas, procedimentos e monitoramento.
- Continuidade das ações para a conformidade.
Considerando apenas estes destaques acima, o Processo Organizacional de
Segurança da Informação é fundamental para a existência de controles que ajudem
a combater a fraude.
A existência de oportunidade para se fazer a fraude, indica
vulnerabilidade em controles de sistemas e fragilidade nos controles de
segurança da informação. Por exemplo se um usuário descobre que não existe uma
boa trilha de auditoria (ninguém vai saber o que ele fez), ou se ele pode
realizar ações utilizando identificação de um outro usuário, ou se autorizações
de acesso que deveriam ser cortados continuam válidos, estas fragilidades geram
oportunidades para atos de fraudes.
Para monitorar as informações é necessário a existência de registros de
rastreabilidade, é necessário que as identificações de usuários sejam efetivas,
estes registros de rastreabilidade precisam ser confiáveis e ter a garantia da
sua integridade.
O Canal de Denúncia precisa ter suas informações guardadas em um padrão
de sigilo/segredo compatível com o que propõe. Os acessos a estas informações
têm que ser rigorosamente controlados. É necessário a autorização adequada e o
corte de acesso de usuários que não mais estejam exercendo a função.
Auditoria interna só vai ser possível desenvolver o seu trabalho se
existirem as regras e os controles para que sejam identificados aquilo que não
está em conformidade com as políticas e normas de segurança da informação.
Somente poderá se acusar um usuário de fraude por usar a identificação de outro
usuário, se existir um regulamento indicando que na organização a identificação
é pessoal e intransferível.
Políticas e normas precisam existir de maneira compatível e de fácil
compreensão para a organização e para os usuários desta organização. Avaliação
de riscos é uma das Dimensões de Segurança da Informação, inclusive com uma
norma especifica, a ISO/IEC 27005: 2008.
É bom lembrar que a recente Lei 12.737 de 2012, Tipificação Criminal de
Delitos Informáticos, ao incluir no Código Penal o Artigo 154-A, exige a
existência de “mecanismos de segurança”. Uma organização que não possui um
Processo de Segurança da Informação terá dificuldade perante a justiça de
provar várias ações que tenha sofrido de criminosos, se não possui controles
adequados com o seu porte e tipo de negócio.
Considero o Processo Organizacional de Segurança da Informação a base para
o combate de crimes econômicos na organização. Evidentemente existem outros
tipos de ações. Mas, leia a pesquisa da PwC e tire as suas conclusões.
Fonte: Publicado por Edison Fontes, em www.abessoftware.com.br
Nenhum comentário:
Postar um comentário