A Fraude Ocupacional: entendendo e mitigando a Oportunidade.


Mário Sérgio Ribeiro (*) O caso da Americanas trouxe de volta à cena as questões relacionadas à Fraude Ocupacional. As investigações prosseguem mas, os indícios, pelas notícias publicamente vinculadas, dão conta de que pode ter ocorrido uma fraude ocupacional (FO). Read more

Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

A Fraude Ocupacional: entendendo e mitigando a Oportunidade.

9 de março de 2023 enigma.consultoria Sem categoria Leave a comment  

Mário Sérgio Ribeiro (*)

O caso da Americanas trouxe de volta à cena as questões relacionadas à Fraude Ocupacional. As investigações prosseguem mas, os indícios, pelas notícias publicamente vinculadas, dão conta de que pode ter ocorrido uma fraude ocupacional (FO). Esse caso se tornou público pela manifestação do seu presidente na época, relatando a ocorrência à imprensa. Infelizmente o volume de fraudes ocupacionais não é pequeno, tanto no Brasil como no resto do Mundo, e é necessário por parte de toda e qualquer empresa entender e mitigar o risco da FO. Vamos tentar colaborar nesse sentido nesse blog.

Procurar entender do Porquê alguém comete uma FO é o primeiro passo. Difícil se cravar em cima disso, porque estamos falando de Pessoas. Mas segundo Cressey, uma pessoa pressionada (financeira, saúde, família…) ou motivada (inveja do que o vizinho tem, revanchismo à chefia…) pode vir a cometer uma FO. Se ela se encontra nessa situação e a empresa lhe dá a oportunidade de fazê-lo (fracos controles internos entre outros), está pronto o dueto; basta, pela teoria de Cressey, e isso o fraudador faz intuitivamente, racionalizar sua ação.

Podemos pela literatura definir três grandes categorias de FO: Manipulação Intencional de Documentos Financeiros (MIDF), Apropriação Indébita de Ativos Tangíveis e Intangíveis (AIAT-I) e Corrução. Das três, a que tem maior volume de ocorrência é a AIAT-I, mas os valores são considerados baixos; Corrupção vem em seguida, mas, aquela que tem menores ocorrências mas volumes de perda vultosos é a MIDF.

Dos três vértices do triângulo de Cressey que falei a empresa não tem qualquer controle sobre dois deles: pressão e racionalização. Já, sobre a Oportunidade, tem e deve fazer total controle. É simples: mitigando a oportunidade ao máximo da perpetração a chance da ocorrência do risco fica bem residual. Aqui cabe um pequeno parêntesis que exponho a seguir, antes de tratar da mitigação da Oportunidade.

Em vários casos ocorridos de MIDF foi verificado que existia certa e às vezes até grande pressão da Alta Administração por resultados (na maioria inexequíveis) mas com vultosas recompensas financeiras (bônus, prêmios). Se, os colaboradores envolvidos nessa “pressão deliberada” já estiverem sofrendo alguma pressão financeira particular ou estejam motivados a ter, por exemplo, o que seu vizinho tem, o cenário está montado para uma ocorrência de FO. Infelizmente as empresas que praticam essa pressão parecem desconhecer a linha tênue em que se metem e mais ainda, as pesquisas apontam que a maioria que comente uma FO nunca cometeu nenhum outro crime anterior.

Vamos à mitigação da Oportunidade.

O Combate à FO tem quatro grandes domínios: Prevenção, Dissuasão, Detecção, Resposta e Investigação. Dentro de cada um desses domínios temos um elenco de processos. É pelo entendimento de cada domínio, de seus processos, de suas entregas que começamos a “minar” a Oportunidade do perpetrador.

No domínio da Prevenção e Dissuasão devemos colocar em execução controles que de fato possam mitigar a ocorrência da FO. Esse domínio dentro do contexto de Combate é de extrema importância, isso porque, se esses processos e controles não estiverem devidamente mapeados e implementados podem ocorrer Impactos com materialidade. Lembrando que, o domínio Detecção, com seus processos e controles implementados, quando for entrar em ação pode ser tarde, pelas falhas nos domínios anteriores. Por exemplo, a Auditoria Interna ou Externa pode, ao realizar o seu trabalho, detectar que uma fraude está ocorrendo. Veja como coloquei o verbo, está ocorrendo. Isso quer dizer que, provavelmente, a materialidade está acontecendo. Nesse caso, a detecção, “enxerga o ferimento” e vai conhecer sua magnitude e recomendar estanca-lo (domínio de Resposta), mas a perda ocorreu!

Importante saber que a Auditoria também pode funcionar como um Controle Preventivo e até de Dissuasão quando realiza o seu trabalho, podendo enxergar sinais de possíveis fraudes a ocorrer em dado cenário. Quando isso ocorre, há tempo de usar a prevenção e dissuasão.

As entregas dos domínios citados só serão possíveis se for executado uma Avaliação de Risco da Fraude Ocupacional. O resultado dessa Avaliação é um Mapa da Fraude Ocupacional com a seleção e posterior implementação de Controles Preventivos e de Dissuasão. Controles de Detecção (que entram em ação se controles preventivos e de dissuasão foram suplantados ou não haviam sido projetados) também se utilizam do Mapa da FO para serem projetados e implantados.

Dependendo do tamanho da sua empresa e dos requisitos de Compliance que ela deva cumprir, uma estrutura mínima de Combate à FO deve ser montada. Essa estrutura, normalmente embaixo do Compliance, deve ter um responsável com a quantidade de colaboradores embaixo devidamente dimensionados. Em empresas de maior porte e que exijam uma área específica de Combate com responsáveis com cargo de Diretoria/Gerência, as metas são as mesmas, só muda a complexidade e tamanho.

Entre vários modelos você pode seguir o modelo do COSO para fazer o estruturamento das ações de sua área ou o ciclo de Deming (PDCA). O que não pode faltar em seu Programa Anual de Combate à Fraude Ocupacional (usando o ciclo PDCA):

Planejamento
(P):

– Elaborar a Avaliação do Risco da FO;

– Seleção dos Controles Antifraude;

Execução
(D):

– Implementação dos Controles Antifraude;

Controle
(C):

– Avaliar periodicamente (no máximo trimestral) os controles implementados;

Ação (A)

– Reavaliar
todo o programa corrigindo e melhorando o processo.

O assunto é tão amplo que fica difícil escolher o que falar em um espaço como esse. Como conclusão eu não posso deixar de falar no que se chama de Red Flags (Bandeiras vermelhas). As red flags são sinais, notadamente fornecido por um provável perpetrador de alguma FO que pode vir a ocorrer. Essas bandeiras vermelhas podem ser mapeadas também e você pode fazer para:

– Colaboradores de maneira geral;

– Gestores;

– Diretoria e Presidência (sim também existe e quando o trabalho vir encomendado pelo Conselho de Administração/Acionistas);

– Por categoria de Fraude Ocupacional.

Era isso pessoal. Espero ter contribuído. Opiniões contrárias e a favor são sempre bem-vindas! Se cuidem e abraço a todos!

_____________________________________________________________________

(*) Engenheiro, mestre em segurança da informação pela USP. Consultor, professor da FIA-USP e instrutor da Associação Brasileira de Bancos (ABBC).

Mitos da certificação na ISO 27001

25 de maio de 2022 enigma.consultoria Sem categoria Leave a comment  

Mário Sérgio Ribeiro (*)

Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – LGPD, crescente de ataques cibernéticos – mas o fato é que, a preocupação em criar uma maturidade no processo de segurança da informação segue a passos largos em nosso país. Mesmo assim, os números ainda são bem inferiores em relação à grande maioria de países da Ásia e Europa. E é por conta desses baixos números que resolvi escrever esse blog, mostrando e tentando quebrar alguns mitos que ainda cercam a questão. Vejamos então alguns desses mitos:

Questão #1: Complexidade do Processo

Claro, para uma empresa que tem um grau de maturidade baixo para com a segurança da informação, sair direto para uma certificação é complexo. Agora, para uma empresa que tenha uma dada cultura e maturidade com a SI e ainda, alguma maturidade com o sistema de gestão que obedeça ao ciclo PDCA, mesmo que não devidamente estruturado, a tão propagada complexidade pouco existe. São sete clausulas (4-10) a serem cumpridas, com itens considerados obrigatórios e outros relevantes; clausulas essas perfeitamente factíveis que demandam mais transpiração do que inspiração!

Questão #2: Custo é alto

O único custo obrigatório aqui é o da empresa certificadora, que já foi mais pesado. Com a entrada de várias dessas empresas no mercado, a concorrência ajudou o consumidor. Os valores cabem no bolso e são inteiramente compensados pelo ROI e esse custo tem uma relação direta com o escopo de sua certificação. Certificar apenas uma área da empresa é bem diferente do que certificar a empresa inteira: bem mais em conta. Custos opcionais, mas que podem ser interessantes e compensatórios, é a empresa ter a ajuda de um consultor/consultoria (que tenha um auditor líder na 27001) e, quando estiver tudo OK, chamar uma auditoria de pré-certificação. Outros custos de ordem operacional podem aparecer no transcorrer do projeto (como a aquisição/aluguel de uma ferramenta de avaliação de risco, apesar de existirem ferramentas open source para tanto), mas são visíveis em termos de conteúdo e prazo se o projeto for devidamente planejado.

Questão #3: ROI de difícil medição

Podemos usar abordagens quantitativas existentes no mercado que se baseiam no risco de incidentes de segurança, por exemplo, e, logo, uma certificação na 27001 deve diminuir consideravelmente esse risco de perda financeira e reputacional utilizada nessas abordagens. Abordagens não quantitativas levam em conta: visão de clientes e de potenciais clientes da empresa, visão do mercado, parceiros, entre outros. Ambas as abordagens têm metodologias simplificadas para serem implantadas e medir o ROI. Não posso aqui cravar, mas posso dar minha opinião com base na minha experiência: o retorno é garantido!

Questão #4: Stakeholders não enxergam os benefícios

A questão de elencar os benefícios e convencer as partes interessadas está na comunicação de forma simples e com foco estritamente no negócio. Com a certificação os stakeholders devem ser comunicados que a empresa tem um SGSI que atende a todos os preceitos de uma norma internacional reconhecida e que, acima de tudo, a empresa com isso procura maximizar as oportunidades de negócio minimizando ao máximo os riscos com a confidencialidade, integridade e disponibilidade das informações sob sua custódia. E mais, e talvez o principal deles, o processo de certificação eleva sobremaneira a cultura da SI e sua prática pelas pessoas e isso tem impacto direto no quantitativo e grau de possíveis incidentes de SI.

Estamos em maio de 2022 e na versão de 2013 da ISO 27001. Talvez ainda nesse primeiro semestre de 2022 saia a nova versão da ISO 27002 pela ABNT, também chamada de Anexo A da 27001. Esse Anexo A contém uma lista de controles de SI os quais a empresa não é obrigada a seguir, mas, são bem abrangentes e aconselho a todos fazerem uma análise de gap para checar cada um deles. Em tempo, se não for implementar os controles desse Anexo, deve justificar o porquê de não o fazer, e isso fica especificado no documento – obrigatório – chamado Declaração de Aplicabilidade. Uma nova versão da 27002 já saiu no início do ano pela ISO internacional e traz novidades importantes. Publiquei um post no Linkedin sobre isso; (https://www.linkedin.com/posts/mario-sergio-ribeiro-006ab21a_iso27001-iso27002-informationsecurtiy-activity-6915291453791318016-ZnJr?utm_source=linkedin_share&utm_medium=member_desktop_web).

Sou um pouco suspeito para falar dessa certificação, mas, desde quando obtive minha certificação de auditor líder na 27001 em 2007, venho percebendo o quanto de valor agregado as empresas que se certificam ou que, pelo menos seguem os atributos da 27001 e toda a família, obtém na Segurança da Informação. Se sua empresa ainda não tem, talvez valha a pena pensar, pesquisar sobre o assunto e quem sabe, buscar essa certificação!

Tenho um material desenvolvido com todo o processo de certificação detalhado. Aqueles que se interessarem em ter em mãos esse material, favor enviar um e-mail ou um zap (abaixo contatos) que enviarei graciosamente.

Era isso pessoal. Espero ter contribuído. Opiniões contrárias e a favor são sempre bem-vindas! Se cuidem e abraço a todos!

_____________________________________________________________________

(*) Engenheiro, mestre em segurança da informação pela USP. Consultor e professor da FIA-USP.
mario.ribeiro@enigmaconsultoria.com.br
Whatszap – Conta comercial – 11-9-8820-6790

 

O Porquê de se ter um Gerenciamento de Crise.

11 de março de 2022 enigma.consultoria Sem categoria Leave a comment  

Mário Sérgio Ribeiro (*)

________________________________________________________________________________________

Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, a despeito que um evento ou uma sequência deles possam nos trazer claros sinais de que Ela possa se estabelecer; logo, a boa prática pede para estarmos preparados. Eventos como desastre natural, pandemia, vazamento de dados de clientes, fraudes corporativas, perda de altos executivos em acidentes etc., formam um pequeno rol de ameaças que podem desencadear uma crise e necessitar a devida gestão.

Aquelas empresas que têm um PCN ou semelhante implementado, normalmente tem um Plano de Gestão da Crise (PGC) preparado, mas, direcionado ao escopo e objetivos do PCN, portanto, mais limitado. Falo aqui para tratar essa prática de forma isolada, com o preparo, implementação, treinamento de equipes e teste do PGC. O elenco de ameaças e agentes de ameaça escolhido e os cenários não devem ser nada limitado, aliás, se possível, o mais abrangente possível.

O PGC ajuda os colaboradores a adotar uma abordagem focada em situações de emergência. Ainda, o PGC elabora as ações a serem tomadas por todos da empresa para salvar a reputação da organização e a posição no setor. Ele dá uma visão detalhada das funções e responsabilidades dos funcionários durante a crise. Os macros desse Plano devem conter, no mínimo:

(a) Diagnostico da Crise;
(b) Equipes da Gestão da Crise;
(c) Responder a Emergência;
(d) Comunicação da Crise;
(e) Restaurar a normalidade interna e externa;
(f) Monitoramento até final da crise.

Muitos incidentes empresariais que vieram a público, claramente demonstraram a falta de preparo para com a prática; tiveram demorada, cara e enormes dificuldades em recuperar a imagem e reputação. Se eu for citar um por um aqui vai longe…

E o propósito do PGC então parece simples e bem claro: manter o mínimo de confiança de stakeholders e shareholder na empresa, durante e depois de superada a Crise. Sim, é por aí mesmo…Se sua empresa não tem um, faça-o. Se não souber, peça ajuda! Ficar sem ter um pode trazer algum arrependimento um dia…tomara que não, mas…

Abraço.

Até a próxima.

_______________________________________________________________

(*) 62 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP.
mario.ribeiro@enigmaconsultoria.com.br

Desafios de 2022.

7 de janeiro de 2022 enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma coisa. De toda forma, fiz um pequeno exercício dos principais desafios que as empresas vão precisar enfrentar nesse ano de 2022 na temática da privacidade de dados, cibersegurança, resiliência organizacional e auditoria de terceiros e, se me permitem, compartilho aqui com vocês.

Privacidade de dados e informação.

Para aquelas empresas que implementaram o seu Modelo de Tratamento e Governança dos Dados em conformidade com a LGPD o desafio agora é outro e, certamente, mais pesado. Governar é ter construído métricas e indicadores de qualidade para saber diuturnamente como a coisa anda. Todos sabemos que controlamos somente o que programamos, princípio básico de programação e controle. Então não adianta ter criado e implementado o melhor projeto do mundo se você não planejou o controle no mesmo nível; nesse caso, a recíproca também cabe. Logo, um projeto equilibrado, pressupõe um monitoramento que traga os indicadores necessários para a devida Governança. E mais desafio: mão de obra qualificada para fazer essa Governança. Vou aqui fazer um adendo que talvez muita gente vá torcer o nariz. Mão de obra qualificada não é sinônimo de certificações obtidas e falo com conhecimento de causa. Sou defensor de certificações e posso falar um pouco sobre, pois durante minha gestão na ISACA de 2003 a 2006 fui o Diretor de Educação no Brasil, responsável pelas certificações CISA e CISM na época.  São importantes aliados na vida profissional, mas não é instrumento de marketing.  As empresas devem olhar muito mais para o histórico, trajetória com o tema, os resultados e as entregas do profissional ao longo de sua carreira. Isso parece algo absolutamente óbvio, mas as vezes o óbvio…

Junta-se ao que falei a devida interação das áreas na empresa no intuito único da preservação da marca diante de uma Lei que vem forte com multas e com arranhões em reputação. Conseguir essa sinergia não é nada fácil. Líderes de fato, colaboradores conscientizados, matrizes de responsabilidades entre outros são elementos chaves. Não é para um ou outro aparecerem na foto como o bonzão, o que interessa é o brand da empresa!

Para as empresas que ainda não iniciaram e nem implementaram seu Tratamento é bom começar a arregaçar as mangas. A ANPD já concluiu, dentro do cronograma que estabeleceu, a dosimetria para as multas e pode tratar de maneira retroativa, isto é, para agosto de 2018, quando a Lei foi sancionada. Para quem pensa que a Agência está parada, está enganado e pode ter problemas. Fora essa questão de multa, penso ser muito mais crítico o problema reputacional que um incidente de privacidade pode trazer para a empresa. O desafio é grande e olha que não estamos falando de algumas poucas empresas. Os últimos números apontam que apenas 30% (acho até que é muito) das empresas nacionais se adequaram à LGPD (precisaríamos até saber esse grau de conformidade com a Lei). De toda forma o sentimento é que um volume muito grande de empresas estão fora da conformidade e precisam fazê-lo rapidamente.

Concluindo essa questão da conformidade com a LGPD queria deixar uma importante observação: o diagnóstico/auditoria dos Terceiros críticos da empresa para com a LGPD. Esse é um tema sempre relegado à um segundo plano e que causam transtornos terríveis quando ocorre um incidente. Já escutei e já auxiliei empresas em inúmeros casos. Esse é um desafio que parece que ninguém quer enfrentar. Fiz até um post recente no Linkedin Mario Sergio Ribeiro | LinkedIn caso queiram mais detalhes.

Cibersegurança/Segurança da Informação

Não vou ficar aqui citando pesquisas de A de B…mas pelos incidentes que são noticiados vivemos um momento bem delicado nessa questão. No terreno da cibersegurança, onde o meio que se desenvolve é a Internet, a frase que se escuta é: …não é se a empresa será atacada, mas quando! Esse quando é só uma questão do tamanho da empresa, do que faz e o valor de seus dados/informação. O desafio é enorme porque não é todo mundo que dispõe de investimento para defesa e, até quando dispõe, esbarra na falta de conscientização de quem assina o cheque. O que pode ser feito para mitigar essa situação é conhecer de forma pormenorizada nos riscos e investir de forma madura nas contramedidas. Não há varinha de condão aqui!

Do lado da segurança da informação o maior desafio sempre foi e permanecerá por um bom tempo sendo o investimento na educação das pessoas. Inúmeros incidentes poderiam ter sido evitados se a coisa fosse feita da forma correta. Falo isso há mais de 30 anos, mas parece que não vai mesmo…Essa educação é constante, deve ter um Programa e em 2022 esse desafio permanece mais vivo do que nunca!

Resiliência Organizacional

Plano de Continuidade de Negócios, Recuperação de Desastre de TI, de Resposta Incidentes de Segurança da Informação/Cibersegurança precisam estar devidamente atualizados para servir de contingenciamento para, e principalmente, mitigar os eventos de cauda longa. Esses eventos não podemos e não devemos ficar correndo atrás. Então, o desafio para dar musculatura à resiliência organizacional é a criação/atualização desses Planos, principalmente as empresas que estão voltando ao presencial ou mesmo no modelo híbrido. Prestem atenção pois estamos tratando de rompimento pilares importantes como a Disponibilidade de Confidencialidade.

Era isso. Obrigado pela leitura.

Espero que o ano de 2022 seja ótimo para você e que seja Feliz!

Abraço.

Até a próxima.

_______________________________________________________________

(*) 62 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP.

De Elo Fraco para Elo forte: um novo aliado para um velho conhecido!

22 de julho de 2021 enigma.consultoria Sem categoria Leave a comment   ,

Mário Sérgio Ribeiro (*)

Na segurança da informação/cibernética (SI&C) os colaboradores internos sempre foram vistos pelo lado negativo nos Programas de Educação e Conscientização. Tanto podem agir de forma acidental como intencional, podendo vir a causar um dano material e/ou de reputação à empresa. Que os criminosos do ciberespaço sabem disso há muito tempo e exploram de maneira assertiva essa fragilidade, isso ninguém duvida; aliás, segundo algumas pesquisas que li recentemente, em tempos de de ransomware para todo lado, colaboradores tem sido o alvo preferido para conseguirem o seu intento. Então, o que fazer? Aumentar a quantidade e qualidade dos controles tecnológicos? Aumentar simplesmente a quantidade de palestras de conscientização em SI&C? Demitir os colaboradores que erram para servirem como exemplo? Não! O caminho mais assertivo é mudar a mentalidade dos colaboradores naquilo que eles enxergam a SI&C, e na qual a empresa irá alcançar a robustez necessária em sua SI&C. Explico.

 O método convencional que a maioria esmagadora das empresas que se importam com a SI&C é investir pesadamente em controles tecnológicos de SI&C (hoje existem pelo menos 2.500 fornecedores de solução, e crescem dia a dia), com o típico viés preventivo/detecção/investigação e, em muitos casos, a punição aos colaboradores. E, a outra faceta do método é o estabelecimento de palestras de conscientização, quando muito, apoiadas em programas anuais de conscientização (muito poucas fazem isso). Pois bem, essas palestras procuram mostrar as políticas das empresas (o que pode e/ou o que não pode fazer), cuidados, dicas, etc. A periodicidade dessas palestras, na grande maioria dos casos, quando ocorre, é uma vez ao ano. Definitivamente Isso não educa e nem conscientiza ninguém. É o que chamamos de pró forma.

 Essa prática se revela há anos ineficiente, tamanha é a quantidade de eventos patrocinados por cibercriminosos tendo como alvo predileto os colaboradores. As empresas que dizem que nunca houve nenhum evento em seu domínio, talvez ainda não ouviram falar de que a inexistência de um evento não quer dizer que não há risco! Certamente há o risco em face da vulnerabilidade em adotar uma maneira que não é a correta com a conscientização de seu colaborador. A vulnerabilidade alta, aumenta a chance de ocorrência e bingo! Apostar todas as fichas em seus controles tecnológicos também se mostra ineficaz.

 Pois bem, mas o que é preciso mudar? Para que as empresas possam ter uma Cultura de Segurança robusta, baseada em controles tecnológicos eficazes, políticas e normas de acordo com seu negócio, processos de SI&C claramente definidos e colaboradores educados e conscientizados em SI&C é necessário mudar a mentalidade desses colaboradores. Passarão de um simples receptor do certo e errado para pessoas que agirão de forma pró ativa. Torná-los parte do processo de proteção da SI&C e não como agentes de ameaça (visão positiva x negativa) Isso é uma mudança fundamental no comportamento desses colaboradores, mudando sua maneira de pensar sobre SI&C. Certamente essa postura irá se refletir no desenvolvimento da tal Cultura de Segurança, que muito gente fala que tem, mas ainda permanece com o teoricamente considerado elo fraco da SI&C; e na prática, também fraco!

 Ok, mas como mudar a mentalidade do colaborador? O mais importante: mudar sua responsabilidade pessoal de uma mera adesão de seguir uma lista de itens a serem realizados, para considerarem uma responsabilidade pessoal em aderir às melhores práticas de SI&C e ser um elo forte, que também protege a SI&C.

Mais alguma coisa? Sim. Se eu desejo esse elo forte, mude sua responsabilidade pessoal, eu preciso de mais treinamento, mais conhecimento para essa minha “nova proteção”. O mais conhecimento fortalece o colaborador que sente que a empresa de fato aposta nele como um elo forte e, fica mais fácil de interpretar como parte do processo de proteção. Várias empresas que adotaram essa prática tiveram a oportunidade de verificar que:

  • Menos intrusões de malware, aplicação de engenharia social, entre outros ataques;
  • Drástica redução da possibilidade de um ransomware paralisar todo o negócio, com perdas materiais e de imagem que poderia levar a empresa à descontinuidade de seu negócio;
  • Nível bem maior de conformidade com a LGPD, evitando a violação de dados;
  • Elevada diminuição do trabalho da equipe de segurança tecnológica, que já tem um dia a dia sobrecarregado;
  • Ficou entendido e evidenciado que no caso de dúvidas o melhor é recorrer à equipe de segurança do que ficar apostando no “achismo” ou faço o quê?. As evidências foram obtidas por meio de Testes e Simulações.

 E o planejamento e execução dessa mudança de mentalidade, como fica? Deve ser elaborado um Programa de Educação e Conscientização em SI&C com essa proposta. Importante levar em conta nesse planejamento que esse projeto deve ter cronograma para o ano inteiro e que, juntamente com revisão de política/normas, processos, ele é revisto para o ano seguinte. Executado e aprovado o planejamento parte-se para sua execução.

 E quem pode/deve executar esse Projeto? As empresas podem utilizar suas equipes próprias ou buscarem consultoria especializada. Quero fazer uma consideração sobre as equipes próprias. A escolha se deveu somente por uma questão de custo? Se foi, errou. E parece que isso ocorre mais do que devia e pesquisas demonstram. Enquanto o pessoal de SI&C, TI e gestores de áreas veem como muito importante esse projeto, a Alta administração não enxerga assim, ou ainda, não foi despertada para enxergar de outra forma, infelizmente. Mas voltando à questão do custo. Não é ele quem deve determinar a escolha de A ou B para tocar o projeto e sim, se a equipe interna tem a capacidade, experiência e disponibilidade necessária; além disso, é importante avaliar se os colaboradores que deverão atuar de uma nova forma tem a confiança necessária nessa equipe interna. Sem esses atributos, será muito difícil a mudança de mentalidade que desejamos. Lembrando que também gastaremos o tempo do pessoal interno nisso.

Buscar uma consultoria especializada tem seus prós e contras. Um dos contras sempre citado é a disposição em fazer um investimento em um projeto desse, mesmo sabendo que no caso da equipe interna vai gastar horas desses colaboradores. Posso aqui dizer que a relação custo-benefício paga isso. Uma das vantagens é a experiência da consultoria em tratar desse assunto. Além do mais, essa mudança de mentalidade que citamos, sabemos, que passa por uma questão comportamental dos colaboradoes na qual a consultoria especializada deve ter a experiência necessária e metodologia para conduzir.

 Como conclusão quero salientar que existem estudos e pesquisas em que apontam para um aumento nos ataques usando colaboradores. Uma pesquisa realizada com mais de 1400 CISOs mostrou suas preocupações para esse e o próximo ano:

– 34% apontaram a fraude via e-mail;
– 33% conta na nuvem;
– 31% colaboradores internos (negligência, acidental ou criminal);
– 30% DdoS;
– 29% ataques na cadeia de suprimento;
– 27% ataques Ransomware; e
– 26% phishing.

Vejam que, das sete preocupações citadas, pelo menos quatro se referem aos colaboradores. E olha que estamos falando de países como EUA, vários da Europa e da Ásia, que supostamente tem maior maturidade com o tema de SI&C em relação ao nosso. Enfim, fica o recado: é necessário tornar o elo fraco um elo forte como seu aliado!

 Saúde, se cuidem e um abraço a todos!

Mário Sérgio Ribeiro (*) – engenheiro, mestre em segurança da informação pela USP. Consultor e Professor FIA-USP.
mario.ribeiro@enigmaconsultoria.com.br

Risco, Resiliência e PCN pós COVID-19.

7 de maio de 2020 enigma.consultoria Sem categoria Leave a comment   , , , , , ,

MÁRIO  SÉRGIO RIBEIRO (*)

Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que nos acostumar com a ideia de lidar com cada vez mais incertezas, a despeito de toda tecnologia e metodologia de previsão que dispomos.

A Pandemia do COVID-19 que se abateu sobre o mundo é um de vários possíveis eventos catastróficos que pode vir a nos colocar “de joelhos”. Como consequência desse atual evento que vivenciamos, fica uma pergunta: os negócios sobreviventes da COVID-19, como ficarão? As empresas têm Resiliência organizacional para aguentar um tranco desse tamanho? Como podem desenvolver estratégias de continuidade e sobreviver, mesmo diante de eventos dessa magnitude, que pelo jeito, pode vir a nos visitar novamente?

Há quase dez anos atrás o matemático americano John Casti escreveu um livro com o título “O colapso de tudo” – os eventos extremos que podem destruir a civilização a qualquer momento”. Título impactante? O autor quis chamar a atenção, alguns poderiam pensar, para vender livro? Em um primeiro momento talvez sim. Mas se você ler o currículo de Casti provavelmente não apostaria nisso. No livro, Casti analisa onze eventos alarmantes – e prováveis – situações que podem arrastar o mundo para uma idade das trevas, como diz a contracapa. Vamos a eles:

(1) Um apagão na Internet

(2) A falência do sistema global de abastecimento de alimentos

(3) Um ataque por pulso eletromagnético que destrói todos os aparelhos eletrônicos

(4) O fracasso da globalização

(5) A destruição provocada pela criação de partículas exóticas

(6) A desestabilização do panorama nuclear

(7) O esgotamento das reservas de petróleo

(8) Uma Pandemia Global

(9) Pane no sistema elétrico e no suprimento de água potável

(10) Robôs inteligentes que dominam a humanidade

(11) Uma crise no sistema financeiro global

Eu li e reli nesses dias este livro de Casti e confesso que não duvido do que ele fala! Alguns deles já acenderam sinal amarelo…Trata-se de um livro excelente e que recomendo a leitura a todos. Infelizmente, um dos eventos previstos por Casti estamos vivenciando: a Pandemia Global do COVID-19. E quando sairmos dela, machucados, mas vivos, até que ponto estaremos preparados para outros eventos que porventura possam vir, como alguns dos citados por Casti? Devemos, tanto como pessoas como empresa, ampliar nossa Resiliência. Mas afinal, o que essa tal de Resiliência organizacional?

 Resiliência Organizacional é a capacidade de uma organização em absorver e se adaptar em um ambiente em mudança e capacitada a cumprir seus objetivos, sobreviver e prosperar. Organizações mais resilientes podem antecipar e responder a ameaças e oportunidades, decorrentes de mudanças repentinas ou graduais em seu contexto interno e externo. (fonte: ISO 22316:17)

O aumento da resiliência pode ser uma meta organizacional estratégica e é o resultado de boas práticas comerciais e gerenciamento eficaz de riscos. E é nesse aspecto do gerenciamento eficaz de riscos que quero iniciar meu raciocínio nesse aumento da Resiliência organizacional.

 Ao sairmos dessa Pandemia veremos um mundo de outra forma e certamente as empresas olharão para essa questão da Resiliência. Mais conservadora e mais ressabiada com eventos de rara probabilidade, mas de impactos catastróficos, elas investirão em aumentar sua resiliência ou, pelo menos, deverão pensar muito mais do que antes do COVID-19 na sua Avaliação de Risco, em suas estratégias de continuidade e em seus planos de continuidade de negócios. Disso eu não tenho dúvida! Vamos explorar a questão…

Quando desenvolvemos nosso Plano de Continuidade de Negócios passamos por uma etapa que chamamos de Processo de Avaliação de Risco, que tem como objetivo: identificar os riscos de interrupção das atividades prioritárias da empresa, bem como os processos, sistemas, informações, pessoas, bens, parceiros terceirizados e outros recursos que os suportam. Em seguida, esses riscos identificados devem ser analisados, avaliados e identificados tratamentos que se alinhem com os objetivos de continuidade de negócios e de acordo com o apetite de risco da empresa.

Essa pandemia do COVID-19 acendeu uma luz amarela sobre o processo de avaliação de riscos. Eventos que antes poderiam ser considerados de probabilidade raríssima e que nem eram avaliados na maioria dos planos, devem passar a serem considerados e, seu tratamento, alinhado com as devidas estratégias de continuidade. Esse certamente é o momento ideal para que se faça uma análise desse processo dentro da continuidade de negócios. Para ajudar nessa análise, uma série de perguntas devem ser feitas. Vejamos algumas delas:

(1) Estou usando uma metodologia devidamente referendada para Avaliar o Risco da continuidade dos negócios?

(2) A identificação dos riscos tem processo e critérios definidos que tragam para o contexto os riscos de quaisquer probabilidade e magnitude?

(3) Ainda no que diz respeito a identificação dos riscos, estamos usando metodologia que nos permite identificar todas as categorias de riscos possíveis que tenham uma alinhamento direto com a continuidade de negócios?

(4) Existem riscos catastróficos (ou quase) que eu poderia estar incluindo em minha avaliação?

(5) Existe metodologia claramente definida que permite avaliar quais riscos de interrupção podem ser tratados?

(6) Os tratamentos escolhidos estão alinhados com os objetivos de continuidade de negócios e de acordo com o apetite de risco da empresa?

Os riscos que foram identificados e que necessitem de tratamento, a empresa deve considerar medidas proativas que possam reduzir a probabilidade, diminuir o período de interrupção e limitar o impacto da interrupção. Para alguns riscos, o tratamento, com o intuito de aumentar a resiliência organizacional, será a inclusão em algumas das estratégias de continuidade a serem definidas.

As estratégias de continuidade que são definidas e selecionadas a partir da análise de impacto nos negócios e no processo de avaliação de riscos tem como propósito proteger atividades prioritárias, estabilizar, continuar, retomar e recuperar atividades priorizadas, além de suas dependências e recursos de apoio. Faz ainda parte de seu escopo, mitigar, responder e gerenciar impactos.

Nessa pandemia do COVID-19 uma grande maioria de empresas “descobriu na marra” a estratégia do home office e do trabalho virtual. Obviamente as empresas que já tinham seu PCN, em sua grande parte, deveriam ter essa estratégia de home office definida para algumas de suas atividades e, portanto, saíram na frente. Mas, mesmo assim, provavelmente para uma boa parte delas, se tornou insuficiente para tirar a empresa de uma situação complicada, em alguns casos, dramática.

A questão central é que o evento da COVID-19 parou a roda da economia porque o seu ativo principal saiu de cena: Pessoas! E sem as pessoas, a roda não gira, não há como as empresas existirem. Dessa forma, o que se pode aprender com o COVID-19?

Eventos catastróficos, que podem ir desde um incêndio total das instalações de sua empresa ou uma crise sistema financeiro global (como a de 2008) e que Casti coloca que pode voltar (está entre os onze eventos), devem começar a fazer parte de seu processo de avaliação de risco, estratégia de continuidade de negócios e planos de continuidade de negócios.

A preocupação até hoje na elaboração e implementação de PCNs era com eventos como no máximo um incêndio com perda total. Estratégias de continuidade que estabilizem, continuem, retomem e recuperem as atividades priorizadas de uma empresa em um evento dessa natureza ou semelhante, é possível de se planejar e implementar. As estratégias não dependem de um contexto externo.

Mas o que fazer para eventos nos quais você depende de um governo, de uma situação extrema, onde a decisão não está com você, que se vê de “mãos atadas” para enfrenta-la? Para cada tipo de evento desse deve ser pensada e elencada uma solução. Vejamos como exemplo o próprio COVID-19.

Em um primeiro plano sugestiono que as empresas comecem a olhar com mais carinho para os Riscos Emergentes. Risco Emergente é um termo usado para descrever novos riscos que não encaixam no universo de riscos atual ou riscos que estão mudando, assim como sua interação com outros riscos. Comum a ambos é que Riscos Emergentes são difíceis de quantificar, mas considerados como tendo potencial para impactar a empresa de forma substancial.

A importância de gerir Riscos Emergentes se encontra no seu potencial para afetar a estratégia de negócios; consideração antecipada e mitigação podem ser vista como uma atividade chave de agregar valor através das Funções de Gestão de Risco. Não é objeto aqui fazer um detalhamento sobre Riscos Emergentes, que farei breve em outro artigo, mas se as empresas já estivessem inserido essa abordagem em sua função de riscos, muito provavelmente teriam detectado uma ameaça nas Endemias já ocorridas. Vejamos:

1. Poderiam dar atenção, entre outros, a estudos como de Casti, que é um dos fundadores do X-Center, instituição de pesquisa com sede em Viena que analisa eventos extremos causados pelo homem e como prever sua ocorrência;

2. Recorrer a base histórica sobre eventos de endemia, que já tivemos. Vejamos:

  • Coronavírus são conhecidos desde meados da década de 1960;
  • 2003: SARS (síndrome respiratória aguda grave);
  • 2005: Gripe aviária;
  • Síndrome Respiratória do Oriente Médio (MERS) foi identificada em 2012 e segunda onda em 2018;
  • Mercado de Whuan na China já foi fechado e reaberto três vezes.

3. Os eventos citados protagonizaram Endemias e uma Pandemia não foi questionada, mas poderia. Entre alguns aspectos, a globalização diminuiu as fronteiras e o vai e vem pelo mundo ocorre em abundância e em um piscar de olhos. A China comunista virou um potência capitalista e seus aeroportos são dos mais movimentados do mundo. Saímos da Ásia em um dia e depois de 18 horas estamos no Brasil? Ou em sete na Europa? E assim com qualquer país do mundo…

Com essa abordagem não tenho pretensão nenhuma de fazer previsões, de se prestar a um tolo, que fala depois do ocorrido, de encontrar uma fórmula de encontrar os cisnes negros de Taleb ou de encontrar culpados (OMS, governos, empresas, etc.). Nada disso! O que pretendo é mostrar que nosso cuidado com a Avaliação de Riscos de agora em diante deve ser muito mais contínuo e detalhado, carecendo de um monitoramento diário de dados e informações, em função da ampliação das categorias de risco que podem afetar o negócio de uma empresa. Talvez, incluir a raridade em sua Avaliação seja um começo…

Um dos maiores, senão o maior problema, enfrentado pelas empresas agora é a falta de caixa para suportar esse período incerto de inatividade. Uma das mais variadas soluções que podem ser adotadas para o futuro, baseada nessa nova avaliação de risco a ser realizada, é entender a Alocação de Capital para Risco Operacional como uma excelente resposta à um evento de risco operacional de elevada magnitude. Isso já existe de forma obrigatória em alguns setores regulados de nossa economia. Essa alocação seria usada diante de um evento, como o da COVID-19 por exemplo, por meio de políticas claramente definidas e aprovadas pela Alta Administração da empresa.

Na sequência de nossa revisão da Gestão da Continuidade de Negócios, a partir da avaliação de riscos e das estratégias, os procedimentos dos planos devem ser revistos. A resposta e estabilização da emergência, a gestão da crise, a comunicação com partes interessadas, a recuperação e o retorno ganham novos contextos que devem ser reavaliados com detalhes e critérios. Um item muito importante e que muitos esquecem é a sua cadeia de suprimentos! Reavaliar o risco de seus fornecedores/parceiros, pelo menos os mais críticos, é fundamental!

Muito dessa reavaliação tem como aprendizado este exato momento em que as empresas estão passando e tendo que resolver e resolver e… É um momento duro, mas deve ser guardado como forma de avaliar o que deu certo e o que deu errado. O certo entra como resposta a essa reavaliação, o errado, como aprendizado para um novo acerto.

De toda forma temos um novo paradigma. Os tomadores de decisão da empresa devem começar a pensar que infelizmente o imprevisto faz parte de nossa vida humana nesse planeta. Que os Eventos Extremos devem aparecer com maior frequência e que precisaremos desenvolver nossa Resiliência, ou mais ainda como define Taleb em seu livro Antifrágil: precisamos ser mais do que resilientes, precisamos ser Antifrágeis!

Em A Peste, romance existencialista de 1947, o escritor Albert Camus pinta um quadro emocionante de profissionais de saúde que se unem para combater um surto de peste bubônica. Camus em seu livro diz: parece ser que os seres humanos têm, na melhor hipótese, uma ilusão de controlar seu destino e que, em última análise, a irracionalidade governa os acontecimentos.

Se cuidem!

Abraço.

Até a próxima.

_______________________________________________________________

(*) 60 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

LGPD: o projeto de segurança da informação de 2019!

19 de dezembro de 2018 enigma.consultoria Sem categoria Leave a comment   , ,

(*) Mário Sérgio Ribeiro

A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas do setor privado e público. A LGPD nos remete claramente à gestão da segurança da informação. As empresas precisam planejar e executar um plano de ação que mitigue a ocorrência de incidentes que possam vir a acarretar pesadas multas e o comprometimento da marca. Esse artigo trata da temática em questão e procura responder a pergunta: como fazer a segurança dos dados e informações das pessoas?

 Segundo pesquisa publicada neste mês de dezembro pela Security Report, e realizada pela Gemalto, a maioria dos consumidores estão dispostos a abandonar completamente as empresas que sofrerem uma violação de dados; no topo dessa lista estão os varejistas. Dos 10.500 entrevistados, 66% dizem ser improvável fazer compras ou negócios com uma empresa que sofreu uma violação que tenha exposto suas informações financeiras e confidenciais. Os três mais citados que correm risco de perder clientes são: varejistas (62%), bancos (59%) e mídia social (58%). Acende-se o sinal amarelo escuro para as empresas.

 A crescente divulgação pela mídia escrita, falada e televisa sobre casos de violação de dados pessoais e os direitos das pessoas advindos com a LGDP (lei geral de proteção de dados) aumenta a conscientização e consequentemente as exigências das pessoas. Essa situação por certo aumenta a responsabilidade das empresas em proteger seus negócios, não somente pensando na multa que pode ser aplicada pelo governo, mas na repercussão de uma violação dos dados de pessoas que é custodiado por alguma empresa.

Dessa forma, o que uma empresa deve pensar em fazer? O que planejar, o que executar? Vou passar minha visão de segurança de dados e informações sobre o tema e a solução.

Dados e informações tem um ciclo de vida que precisa ser entendido e praticado pelas empresas. No caso específico da Lei faremos uma adaptação para melhor entendermos como opera dentro do ciclo de vida.

Em um primeiro estágio ocorre a COLETA de dados. Isso se dá quando por qualquer meio legal, coletam-se os dados de pessoas físicas para uso pelas empresas. Para essa coleta pode ser utilizado um sistema informático, uma planilha eletrônica, um editor de texto ou uma folha de papel. Se entende por pessoas físicas: colaboradores da empresa, clientes, fornecedores, parceiros, etc. Lembrar que a Lei é clara quanto ao consentimento formal por parte da pessoa física dessa coleta e qual será o uso da mesma.

O segundo estágio diz respeito à UTILIZAÇÃO dos dados coletados. Isso quer dizer que a partir da coleta, eu utilizarei um sistema informático, uma planilha eletrônica, um editor de texto ou uma folha de papel, por exemplo, para operar com os dados coletados nas tarefas que necessitam ser utilizados os mesmos. .

O terceiro estágio trata do ARMAZENAMENTO dos dados que foram coletados e são manuseados utilizando-se de algum meio, informático ou não. Lembrar que se utilizo algum sistema informático para coletar esses dados, no instante da coleta já utilizo um sistema de armazenamento desses dados, portanto, atuam em paralelo. Esse armazenamento pode se dar em dispositivos computacionais ou mesmo em um arquivo de pastas guardados em um armário, ou ambos.

O quarto e último estágio é o que chamamos de DESCARTE dos dados. Esse descarte de dados pode se dar de várias formas e o propósito é a eliminação dos dados de tal maneira, que os mesmos não possam ser mais recuperados ou utilizados.

Quando pensamos em proteger e manter a privacidade de dados de pessoas físicas é necessário entendermos como esses dados operam no ciclo de vida mostrado acima. Além desse entendimento, precisamos identificar, entre outros:

  • Quais são as ameaças à segurança das informações que as empresas dentro do escopo da Lei estão sujeitas?
  •  Quais são os agentes de ameaça capazes de perpetrar as ameaças em questão? Quais as suas motivações?
  • Quais as vulnerabilidades de minha empresa dentro desse escopo?
  • Quais controles tenho implantado e operando de tal forma que mitigue riscos da não proteção e privacidade desses dados pessoais?
  • Quais políticas e normas tenho implantado?
  • Que programas de conscientização e educação em segurança tenho implantado?
  • Qual a classificação dos dados e informações quanto aos pilares da segurança?

Essa análise precisa ser realizada em todos os estágios do ciclo de vida mencionado. Para que seja realizada é necessário entender cada uma das questões e responde-las para os respectivos estágios.

Estamos falando aqui do RISCO que sua empresa possa estar assumindo em cada um dos estágios mencionados. Saber quem são os agentes de ameaça e como podem agir é um primeiro passo. Na prática temos dois grandes grupos: os agentes de ameaça externos e os agentes de ameaça interno.

O principal representante do mundo externo são os hackers e os do mundo interno são os colaboradores e terceiros lotados na empresa. Para cada um desses agentes de ameaça é fundamental conhecer e entender quais as ameaças que podem perpetrar em cada um dos estágios do ciclo que mencionei.

Veja o colaborador da empresa, por exemplo, no estágio de Utilização dos dados. Ao ter sido permitido acesso aos dados e dentro do processo de manuseio e utilização dos mesmos, esse colaborador pode agir de maneira intencional ou não intencional. Agindo de forma intencional ele pode vazar os dados de quantos quiser e escolher quais dados deseja vazar. Mas também pode agir de forma não intencional, grande ocorrência, enviando dados para destinatário incorreto, ou perdendo dados/informações impresso no papel, por exemplo.

No caso dos hackers muitas empresas pensam que os mesmos se interessam por grandes corporações, notadamente por instituições financeiras ou semelhantes. Ledo engano. Claro que estatisticamente os maiores alvos são as empresas citadas, mas toda e qualquer empresa que tenha dados e informações que tenham Valor, interessam aos hackers. Nos dias atuais não é possível imaginar que empresa A ou B estejam fora do alvo. Subestimar nesse caso é simplesmente negligenciar uma situação presente nos dias atuais e evidenciada nas estatísticas.

As empresas para tratarem a Lei sob a ótica da Segurança dos dados e informações necessitam saber como estão protegidas em cada um dos estágios do ciclo de vida que citei. É fundamental como ponto de partida realizar uma Análise de Gap. Essa análise deve apontar em detalhes as lacunas em segurança que a empresa tem.

Tomar cuidado ao fazer uma análise dessas com duas coisas: quem faz e como se evidencia. Quem faz é a capacidade e conhecimento de quem conduzirá a análise. Não dá para jogar na mão de quem não é especialista e com experiência em segurança uma etapa dessas. Outro ponto importante é a coleta de evidência dessa análise. Cuidado aqui. Existe um razoável trabalho de campo a ser feito. Não se pode e nem deve acreditar no que é colocado no papel, falado em uma entrevista ou o que possa ser impresso por uma impressora. Errar aqui erra no restante do projeto!

Com a Análise realizada em todo o ciclo parto para a montagem de um Plano de Ação. Esse Plano deve conter, entre outros, os controles e mecanismos necessários que devem ser implementados para mitigar ao máximo o risco, em uma relação custo benefício que a empresa julgue aceitável. Aqui deve ser elaborado de forma detalhada um cronograma físico-financeiro de implantação.

A última etapa desse trabalho é a implantação do Plano de Ação. Como nas etapas anteriores, a ajuda externa pode ser importante para a empresa realizar esse trabalho. Pode ser que investimentos devam ser realizados em ferramentas e capacitação, por exemplo.

 Uma outra questão importante nesse projeto, além do explanado acima, é a estruturação organizacional para ficar em conformidade com a Lei. Algumas responsabilidades que poderão estar atreladas a novos cargos na empresa deverão estar presentes. Vejamos:

  • Controlador: compete as decisões sobre o tratamento das informações
  • Operador: responsável pelo tratamento dos dados
  • Encarregado: que atuará como canal de comunicação entre os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), um órgão que deverá operar nos moldes de uma agência reguladora, mas que ainda não foi criado.

Algumas empresas já começaram a arregaçar as mangas, mas a maioria ainda não. É importante saber que a Lei está em vigor e o momento é de ficar em conformidade com a Lei. Nós da Enigma já estamos auxiliando duas empresas no projeto, e temos mais três no radar. O deadline é fevereiro de 2020, quando de fato a partir daí as empresas poderão ser punidas. Temos, portanto, 13 meses para desenvolver o projeto. Pode parecer muito, mas é apertado. Infelizmente aqui, não dá para esperar o carnaval passar…

 Boas Festas e um excelente 2019 a todos!

 Até a próxima.

_______________________________________________________________________________________

(*) 59 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Resolução 4658 serve de alerta a todos os ramos de negócio.

12 de agosto de 2018 enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Já não era sem tempo, uma resolução como essa expõe a necessidade das IFs e seus parceiros a agirem contra ameaças reais que já prejudicaram diversas empresas e podem vir a continuar com o seu intento no futuro.

Detalhada em três capítulos, o BACEN procurou trazer à tona a preocupação com a crescente utilização de meios eletrônicos e de inovações tecnológicas no setor financeiro. Segundo o BACEN, isso requer que as IFs tenham controles e sistemas de segurança cibernética cada vez mais robusta, especialmente quanto à resiliência a ataques cibernéticos.

Demonstrando preocupação, o Fórum Econômico Mundial divulgou um estudo recente em que calcula em US$ 500 bilhões por ano os prejuízos anuais, em todo o planeta, com os crimes cibernéticos. Uma estimativa de uma consultoria internacional estima que os crimes virtuais possam chegar a US$ 6 trilhões em 2021. É muita coisa…

Claro que o alvo principal dos criminosos virtuais ainda são as empresas do setor financeiro, mas aqui vai um alerta de sinal amarelo, meio avermelhado: diversos outros setores têm experimentado o gosto amargo desses crimes virtuais. Um bom exemplo é o setor da Saúde, aqui composto por hospitais, laboratórios, clínicas, planos de saúde, operadoras de plano de saúde, etc. Esse setor é um dos principais alvos do ataque de, por exemplo, ransomware (deixa seus dados e informações indisponíveis e pede um resgate em bitcoin).

 Dessa forma quero salientar que esse artigo interessa não somente aos leitores, que de uma forma ou de outra estão sob a égide do BACEN, mas a todo mercado; uns com maior, outros com menor ênfase, mas ninguém está livre e o interesse deveria ser geral.

A Segurança Cibernética deve ser vista como um braço da segurança tecnológica que faz parte de algo bem maior que é a Segurança da Informação. Lembrando que a segurança da informação tem em pessoas, processos, TI e infraestrutura física o escopo de seu trabalho. A segurança cibernética compreende tecnologias, processos e controles que são projetados para proteger sistemas, redes e dados de ataques em um mundo não físico. Esse grifo é importante para entendermos que estaremos tratando em um local sem rosto. Qualquer uma dessas seguranças que estamos falando trabalha na proteção de três pilares básicos de dados e informações: Confidencialidade, Disponibilidade e Integridade.

Algo que caracteriza a Segurança Cibernética é que o seu agente de ameaça, isto é, aquele que perpetra os ataques virtuais, é única e exclusivamente alguém fora do ambiente da empresa, alguém que não tem rosto, identidade e nem está presente na folha de pagamento. Lembrando que quando tratamos a segurança da informação, incluímos o agente de ameaça interno, representado entre outros por funcionários.

Pois bem, voltemos a 4658. Vou me ater nesse artigo, aos itens que tem um prazo curto (até 06/05/2019) para ter Aprovação do Conselho de Administração ou, na inexistência, a Diretoria da IF. São eles: Política de Segurança Cibernética e o Plano de Ação e Resposta a Incidentes. Não pretendo detalhar O COMO fazer, pois, seria um desrespeito àqueles que já contrataram meus serviços de consultor para auxiliar no cumprimento dos requisitos. Vou pinçar o que acredito ser extremamente importante e que os responsáveis pelo tema nas empresas devam abrir os olhos e “arregaçar as mangas”. Vamos lá então.

POLÍTICA DE SEGURANÇA CIBERNÉTICA

  1. Redução da Vulnerabilidade a Incidentes Cibernéticos

Aqui estamos falando na gestão de riscos, onde a vulnerabilidade é um de seus componentes. O propósito desse item é claramente atuar de forma preventiva, o que é a ação mais barata e correta a se fazer.

A redução da vulnerabilidade é obtida por meio da implantação de controles/mecanismos/procedimentos que reduzem a chance de ocorrência (probabilidade) de um dado evento.

A resolução cita um baseline de controles mínimos, mas pode ser que ele seja insuficiente para a IF. É necessário definir o escopo dos ativos tangíveis e intangíveis e aplicar, no mínimo, uma análise de vulnerabilidades. Fica a sugestão de fazer algo mais ampliado, como a análise do risco.

  1. Cenários de Incidentes nos Testes de Continuidade de Negócios

Na segurança da informação é comum elaborar os mais variados cenários em função do acontecimento de determinados eventos. É possível simular cenários catastróficos, como um incêndio total, ou cenários menores que acionem um PCN, como uma greve.

 Na segurança cibernética os cenários são mais específicos e levam em conta as tentativas de interrupção de serviços, provocadas, por exemplo, para uma tentativa de invasão aos sistemas da IF. Esses vários cenários devem ser colocados em uma lista e um Planejamento de Testes deve ser elaborado contemplando um a um dos cenários. Ao longo do ano é aconselhável fazer pelo menos dois testes desses, com dois cenários diferentes. Um relatório detalhado deve ser produzido, salientando principalmente os pontos fracos para posterior correção.

Vale salientar nesse caso a necessidade de reavaliar o seu PCN em todas as etapas: análise de risco, BIA, estratégias de continuidade e planos. Isso porque o seu plano pode não ter sido preparado vislumbrando as ameaças do cyber espaço.

  1. Procedimentos e Controles preventivos e de tratamento de incidentes por prestadores e terceiros

Os prestadores de serviços e terceiros que manuseiam, armazenam, enfim, que trabalhem com a informação da IF dentro do ciclo de vida de uma informação, deverão elaborar e levar ao conhecimento da IF o seu plano de tratamento de incidentes para com os dados e informações da IF. Nesse plano deverão constar procedimentos e controles preventivos e de tratamento de incidentes. A IF deverá evidenciar, onde for possível, a implantação dos procedimentos e controles elaborados. Essa etapa pode ser bem trabalhosa para a IF em função da quantidade possível de prestadores e terceiros que trabalhem com dados e informações da IF.

  1. Classificação dos dados e das informações

A classificação dos dados e informações é uma disciplina de extrema importância na segurança. A resolução fala em classificar quanto à sua relevância, o que quer dizer, classificar pela importância aos negócios da IF. Os dados e informações cumprem seu ciclo de vida nos sistemas e bancos de dados das empresas. Deve ser estabelecido um critério para categorizar esses dados e informações para atender a relevância solicitada. É uma outra etapa trabalhosa da resolução que pede experiência quando for executar o trabalho, notadamente na inteligência para definir a categorização.

  1. Mecanismos de disseminação da cultura de segurança cibernética
  • Implementação de programas de capacitação e de avaliação periódica de pessoal

Aqui deve ser elaborado e implantado um programa educacional junto ao corpo de colaboradores da empresa, com o intuito de prevenir riscos provocados por pessoas em relação à segurança cibernética. Quando falamos pessoas nos referimos a todos os colaboradores, de todas as áreas, inclusive as de TI. Lembrando sempre que pessoas são consideradas o elo fraco da segurança, haja visto que a engenharia social tecnológica é fartamente utilizada pelos criminosos virtuais, e com grande eficácia.

  • Prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros.

Várias IFs há algum tempo demonstram sua preocupação com a questão e investem em comunicação a seus clientes sobre e principalmente a utilização do principal canal que é o Internet Banking. Um Plano deve ser elaborado, levando-se em conta uma avaliação minuciosa, por exemplo, dos canais de atendimento, para definir como conscientizar e educar seus clientes e usuários acerca dos riscos com o cyber espaço. Uma estatística de incidentes pode ajudar na questão. A IF não deve poupar esforços nesse sentido, pois essa ação é altamente recomendável em função do tamanho do risco operacional.

 

PLANO DE AÇÃO E DE RESPOSTA A INCIDENTES

  1. Adequação da estrutura organizacional e operacional

A resolução fala em um diretor para segurança cibernética. Algumas IFs já tem esse cargo, só que chamam de diretor de segurança da informação. Aqui é importante avaliar qual o escopo da área e as atribuições desse diretor. A segurança dos dados e informações está baseada em pessoas, processo, infraestrutura física e TI. A segurança cibernética se diferencia pelo seu agente de ameaça ser exclusivamente externo e o ambiente de “luta” não é físico, é virtual, é o cyber espaço. Nas empresas onde não existe a figura de um diretor para o tema, e o cargo, seja de gerencia ou de coordenação, deve ser avaliado e pensado. Toda a adequação deve ser elaborada levando-se em conta a conformidade com a resolução sem esquecer, entretanto, o tamanho e a complexidade das operações da IF.

  1. Plano de Ação e de Resposta a Incidentes

Antes de um Plano vem o processo de resposta a incidentes atrelado a uma metodologia e/ou a norma internacional que rege o tema, a 27.035. Algumas IFs já tem o processo, a metodologia, só não sei se dentro do que trata a norma. Nós da consultoria aplicamos a metodologia abaixo em conjunto com a norma internacional citada. A metodologia elenca seis passos:

Passo 1 – PREPARAÇÃO

Passo 2 – DETECÇÃO

Passo 3 – CONTENÇÃO

Passo 4 – ERRADICAÇÃO

Passo 5 – RECUPERAÇÃO

Passo 6 – ACOMPANHAMENTO

Uma política deve ser elaborada para apoiar uma estrutura a ser montada. Ter recursos humanos e materiais de acordo com o tamanho e a complexidade da IF, é uma tarefa que o gestor da área deve decidir com o apoio da Alta Administração. De toda forma, há também um trabalho espinhoso a ser executado para esse item.

 A resolução ainda tem uma outra seção que diz respeito à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Em um outro artigo comentarei sobre esse capítulo da resolução.

Sugiro às IFs que promovam uma análise de gap diante dessa resolução. Ela permitirá à IF entender de forma analítica onde está conforme, onde não está ou até, onde tem alguma coisa encaminhada. Essa análise possibilita à IF entender de forma mais profunda como se encontra para com o tema e colocar dinheiro realmente onde precisa.

Como um recado final que quero deixar e usei no título do artigo, é que esta resolução pode ajudar outros segmentos de mercado que não são regulados, mas que são alvos de ataques do cyber espaço. Dessa forma acho extremamente importante que os responsáveis nesses setores vejam como podem usar a resolução em seu proveito.

Outra, parceiros, fornecedores e terceiros de uma IF tem na resolução uma ótima oportunidade de aumentar o nível de maturidade de sua empresa para com um tema tão importante para os dias de hoje. Podem, e no meu entender deveriam aproveitar o momento e aumentar sua resiliência na questão. Além de mitigarem um importante risco operacional, podem propagandear pelo mercado o profissionalismo que tratam tão importante questão.

Era isso!

Até a próxima.

_______________________________________________________________

(*) 59 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

É possível mitigar o Vazamento de Dados?

22 de março de 2018 enigma.consultoria Sem categoria Leave a comment   , , ,

(*) Mário Sérgio Ribeiro

Em quase vinte e cinco anos atuando somente com a segurança da informação eu nunca tinha visto tanta propagação de incidentes de vazamento de dados/informações como nos dias atuais. O pior é que não se escolhe local, entidade e grau de importância, etc. Vejam que nem o STF foi poupado, quando da questão da quebra de sigilo bancário do presidente Temer pelo ministro Barroso. Olhem onde o tema bate, bem lá no topo! E ao concluir esse artigo aparece o caso da Cambrige Analytica e Facebook. Já tratei desse assunto nesse espaço, mas hoje vou abordá-lo sob outra ótica.

 Define-se hoje um vazamento de dados/informações como um ato intencional com intuitos diversos, praticado por uma pessoa ou entidade interessada em quebrar a classificação da informação e tornar os dados acessíveis a quem não deveria ter esse direito. Os intuitos para essa prática podem ser, entre outros:

 -> Prejudicar a parte onde se tem os dados vazados, sem qualquer tipo de ganho ou vantagem com o ato;

-> Obter algum ganho, financeiro, por exemplo, com os dados vazados;

-> Criar algum tumulto, com a finalidade de desviar o foco para algo mais importante dentro do contexto.

Fica claro nesse escopo que estamos tratando que alguém ou alguns, de dentro ou de fora de alguma empresa, organismo, instituição com acesso a determinados dados e informações, que possa de forma intencional, quebrar a classificação da informação e compartilhar esses dados a quem não teria direito a conhecê-los. Esse “vazador” tem motivações para atuar e podemos classificá-lo de três tipos:

 -> Alguém ou alguns em bando colaboradores de uma empresa/instituição;

-> Alguém ou alguns em bando de fora da empresa roubando os dados da empresa/ instituição; ou

-> Juntos, gente de dentro e de fora da empresa e em conluio, para vazar os dados.

 Pois bem, contextualizada a questão vamos tentar dissecá-la. Comecemos pelo meio que esses dados estão disponibilizados. Para simplificar nosso raciocínio vamos instituir dois meios: o digital e o papel. O meio digital pode ser acessado em diversos formatos conforme sabemos: sistemas autorizados pela empresa, pen drive, telas de dispositivos, entre outros. O meio em papel, não tem outro formato, é o papel impresso mesmo com os dados/informações.

 Obedecendo ao ciclo de vida da informação, esses dados podem ser encontrados em um dos quatro momentos da vida do dado/informação: manuseio, transporte, armazenagem e descarte. Lembrando que o manuseio é onde o dado é criado e manuseado, transporte são os meios que os dados são enviados de um local a outro, a armazenagem onde o dado está guardado/custodiado e descarte, é o ciclo final, quando se dá o fim ao dado/informação.

Vou tratar esse artigo em duas partes. Na primeira vou falar sobre o vazamento interno dos dados, isto é, uma pessoa que faz parte da empresa ou é um terceiro, que atua o tempo todo na empresa e que vaza os dados. Em uma segunda parte e de forma mais curta, vou falar dos dados/informações de disponibilizados por uma empresa para outros (terceiros) e de um consumidor comum.

AMBIENTE INTERNO

Para vazar dado alguém interno de alguma forma teve acesso a eles. E aqui estamos falando de dados e informações que podem se utilizar dos quatro ciclos aqui comentados. Mais, esses dados podem estar em ambos os meios, digital e papel. Mais ainda, não necessariamente o vazador dos dados pode ser alguém que não tenha acesso autorizado aos dados vazados.

O tema não é nada simples porque estamos tratando com seres humanos, com todas as fragilidades que nossa espécie tem. Cabe às empresas praticarem algumas boas práticas para diminuir as consequências desses atos. Selecionei algumas bem simples, que se implementadas da maneira correta podem mitigar muito bem esse risco. Vamos lá:

(1) Políticas e normas claras e simples, mas com SANÇÕES.

Normalmente encontro Políticas e Normas de Segurança da Informação que mais parecem uma novela do que um documento que deve ser claro e simples.

A Política (menos detalhes) e as Normas (detalhes das diretrizes da política) devem ter como requisitos imprescindíveis serem claras e simples. Qualquer um que leia deve ter entendimento fácil do que está lendo para poder praticar. Não deve ser um romance, com frases de efeito. Infelizmente não é isso que temos. Costumo dizer que se você perguntar para um colaborador quais são as diretrizes da Política e ele não conseguir falar/explicar 30% dela, a empresa falha.

E por que as SANÇÕES? Talvez muita gente não goste, mas Política sem Sanção tira o efeito mandatório que uma Política deva ter. Olhando sob a ótica de controles que mitigam riscos, as Políticas e as Normas são o que consideramos Controles de Dissuasão. O verbo dissuadir significa instigar alguém a mudar de opinião ou de intenção. As políticas e normas em segurança da informação são elaboradas e implantadas para dizer aos colaboradores o que não deve ser realizado, o que não é permitido em suas diretrizes. E, ao incluir sanções no final do documento, a empresa está dizendo o que poderá fazer caso o colaborador infrinja alguma das diretrizes ali descritas.

Aqui temos um viés importante. As diretrizes com sanções, se bem elaboradas e dentro de um programa estruturado de conscientização e educação em segurança da informação, deve produzir o efeito que um controle de dissuasão deve produzir, ou seja, o colaborador que tiver alguma intenção, por exemplo, de vazar uma dada informação, pode mudar sua intenção porque está infringindo uma diretriz e a sanção pode ser dura, incluindo em algumas empresas, a demissão por justa causa.

Existem muitas políticas e normas por aí simplesmente informativa, a maioria mais parecendo um manual de procedimentos. É necessário colocar a política e normas em seu devido lugar, com sanções estabelecidas e acordadas com o jurídico da empresa e inseri-las em um programa estruturado de conscientização e educação. Sem isso, não temos um importante controle de dissuasão operando e mais, cria-se a possibilidade de mais oportunidades para alguém mal intencionado atuar.

 

(2) Permissões, só as necessárias para exercer a função do cargo

Muitas oportunidades são concedidas aqui àqueles que desejam vazar. Na grande maioria das empresas as permissões concedidas aos usuários para acesso aos dados e informações, independente se estejam informatizados ou não, estão acima de suas necessidades para executar o que descreve sua função de trabalho.

Os problemas e os riscos são diversos aqui e vou tocar em um deles apenas. Normalmente encontramos um erro clássico nesse caso, que incrementa o risco. Gestores de dada área são definidos como “dono da informação” (àquela que certamente trata de sua área de trabalho). Por essa “propriedade” são escolhidos para determinar o que seus subordinados podem ou não acessar, e até usuários de outras áreas, que possam ter a necessidade de acessar informações onde o dono é o tal gestor.

Nada contra gestores serem responsáveis por importante tarefa, mas sim, com a falta de critérios padronizados para que o gestor possa fazê-lo conhecendo os riscos de segurança da informação e seus requisitos básicos. Outra. Além dos critérios, o gestor pouco conhecimento tem sobre os riscos advindos de autorizações mal feitas. Em várias situações, esse mesmo gestor olha para o pilar Disponibilidade com muita importância, sem se ater com os perigos de corromper a Confidencialidade da Informação, que é o ponto central do que estamos tratando. As empresas acreditam piamente que os gestores têm totais condições de fazer tais avaliações sem qualquer orientação. Muito cuidado aqui!

Um exemplo clássico do que estamos falando é o gestor disponibilizar a um dado usuário permissões muito além de sua descrição de trabalho, única e exclusivamente porque em dado momento esse usuário irá substituir seu chefe, por exemplo; outra, por achar que tem gente de menos para fazer o trabalho, bem comum isso, incrementa privilégios onde não deveria fazê-lo. São práticas que ocorrem e que podem trazer problemas.

(3) A prática da Engenharia Social interna é mais comum do que se pensa.

Pensamos então somente que a Engenharia Social foi algo inventado pelos hackers, onde o mestre de todos foi Kevin Mitnick, o seu precursor. Infelizmente não é isso que ocorre. Muitas pessoas tem o talento de um engenheiro social e na maioria dos casos nem sabe que essa técnica é tema de estudo há anos.

Quem tem intenção de praticar um vazamento de dados/informação, em uma boa parte das vezes, procura ocultar sua identidade e/ou utilizar de algumas informações de que não dispõe de acesso. Aí entra o engenheiro social interno.

É aquele camarada com atitude de ganhar a confiança de seus companheiros de trabalho e conseguir seus objetivos, ou seja, ocultar sua identidade por meio da identidade da vítima ou ter os dados/informações que deseja.

Esses engenheiros sociais internos conhecem a empresa e sabem até que ponto seus colegas de trabalho estão conscientizados sobre essa prática. As empresas por sua vez, com parcos e em boa parte das vezes mal direcionados investimentos na conscientização e educação de seus colaboradores, não percebem a prática da engenharia social interna, que é silenciosa e não deixa rastros.

(4) A Classificação da Informação deve estar presente nos quatro ciclos de vida da informação, independente dos meios disponibilizados.

De uns tempos para cá as empresas começaram a valorizar um dos pilares da segurança da informação que é a Classificação da Informação. Quando eu classifico um dado/informação eu de fato demonstro que me preocupo com o valor desses dados e informações. E isso é fundamental em segurança: conhecer o valor e classificá-la segundo critérios estabelecidos.

E mais uma vez tenho que frisar: em qualquer meio que o dado/informação esteja disponibilizado. E mais, como cito no título do item, essa classificação deve estar presente nos quatro ciclos de vida da informação, começando pelo manuseio até seu descarte. Quando o dado/informação está devidamente classificado, e consequentemente valorado de forma estruturada, eu estabeleço um requisito fundamental para estabelecer permissões e evitar privilégios.

Projetos de concessão e controle de acesso lógico onde de forma preliminar foi estabelecido a Classificação da Informação de forma estruturada e criterizada, o projeto de acesso lógico demonstrou de forma clara o quão estava robusto e sólido.

Posso ser chato, mas tenho que voltar a falar o que venho dizendo há anos: se quer fazer a coisa certa em segurança da informação não há como fugir de um projeto estruturado da classificação da informação.

 

(5) Conscientização e educação em Segurança da Informação é o ano inteiro.

E por fim, é necessário o estabelecimento de um programa que possa conscientizar e educar o colaborador sobre o tema. De novo, não é só aquela palestra que muitas empresas fazem falando das diretrizes da política. Isso é enfadonho e ninguém se conscientiza de nada. É colocar no “sangue” do colaborador a cultura da segurança da informação. Posso dizer a você com todas as letras se isso for realizado de forma planejada muitos, mas muitos problemas seriam evitados, inclusive vazamento de dados/informação. Como? Não vou contar o milagre todo por que vivo disso, mas para começar, e se realizado de forma lúdica, a engenharia social interna pode ser evitada.

AMBIENTE DE TERCEIROS

Como no vazamento interno, aqui também não faltam incidentes. Quase todo dia tem um sendo noticiado. Vamos então.

Aqui temos dois tipos principais. Um, em que uma dada empresa disponibiliza seus dados/informações para um terceiro, por qualquer motivo, em que ele atue em apenas um ou nos quatro ciclos de vida da informação. O outro tipo, esse um consumidor, que tem seus dados/informações disponibilizados a um terceiro, que também pode atuar em um ou nos quatro ciclos de vida da informação.

Vejamos quando uma empresa disponibiliza seus dados/informações a um terceiro.

Normalmente vários cuidados são tomados no campo jurídico. Termos de confidencialidade, contratos bem escritos com cláusulas prevendo multas em caso de vazamento de dados, etc. Mas, o mais importante, e que em boa parte dos casos não é realizada, é uma ação preventiva a ser efetivada antes da formulação de qualquer contrato. Essa ação é uma auditoria para saber o quanto a empresa está preparada em termos de segurança da informação para ter disponibilizado as informações da empresa. Os resultados dão o Go ou No Go para a realização do contrato.

Essa auditoria deve varrer o escopo do contrato com minucioso detalhamento dos dados e informações que serão disponibilizados à empresa contratante. A auditoria deve estar municiada de todos os requisitos de segurança dos dados e informações que serão disponibilizados e preparar seus critérios de auditoria dentro de seu planejamento.

Essa auditoria muito provavelmente deverá apontar não conformidades e, desde que a empresa a ser contratada se interesse, essas não conformidades deverão ser corrigidas em um prazo a ser fornecido pelos auditores. Somente depois de uma segunda visita e os pontos corrigidos é que o contrato poderá ser redigido com as cláusulas que se desejar.

Por mais que se estabeleçam multas pesadas e/ou outros, o risco operacional de se efetivar um contrato dessa natureza sem uma auditoria como a citada é elevadíssimo. As prováveis perdas operacionais (financeira e imagem) por conta de um incidente de vazamento, por exemplo, podem provocar até a descontinuidade do negócio da empresa contratante, por mais que se aplique multas no terceiro.

Ok, tudo certo a empresa foi aprovada e o contrato estabelecido. Acabaram as auditorias? NÃO. Ao longo do contrato outras auditorias devem ser estabelecidas, com dia e hora marcados. Bom seria se pudessem ser previstos em contratos visitas de surpresa, sem aviso prévio, daquelas: passei aqui para tomar um cafezinho. Explico.

O tomar um cafezinho dá a possibilidade de, somente passeando pela empresa contratada, poder encontrar material de elevado valor da empresa contratante, por exemplo, impresso em um pool de impressão. Isso, entre outros tantos possíveis incidentes. Sem a surpresa, a empresa contratada pode lançar um texto alerta aos seus funcionários, que entre outros, lembrando a todos que naquele dia não esqueçam nada no pool de impressão, etc.

A empresa contratada, como a contratante, precisa ter a consciência de inserir no DNA de seus colaboradores a segurança da informação. Isso é imperativo.

Acabou? NÃO. Se o contrato for rescindido ou não renovado, deve ser realizada uma auditoria para ter as evidências necessárias de que a contratada descartou todos os dados/informações da empresa contratante. Caso isso não seja realizado, não percorremos o ciclo de vida da informação, o que pode trazer futuros problemas.

Já realizei diversas auditorias com esse escopo e encontrei muitas não conformidades, algumas classificadas como graves, que impossibilitava qualquer assinatura de contrato com a empresa. A maioria das empresas terceiras auditadas, interessadas no contrato a ser celebrado, corrigiram essas não conformidades e os contratos eram efetivados.

Confesso que a demanda que tenho por essas auditorias preventivas são menores do que as auditorias com as empresas terceiras já contratadas. Nesse caso, a demanda pelo meu serviço geralmente ocorre quando algum incidente ocorreu no terceiro, e dessa forma contratam o serviço e normalmente encontramos outros riscos que podem vir a provocar futuros incidentes, o que dos males é o menor.

Sobre o segundo tipo, os dados de consumidores. Difícil aqui. Não posso eu Mário Sérgio, contratar uma auditoria para cada empresa que estabeleci uma relação comercial e que ficou com meus dados. Aqui somente as leis sobre o tema. O que cabe e isso é importante, é saber no antes de disponibilizar seus dados, se a empresa mostra em um contrato ou documento legal o que faz com seus dados e como os protege. Isso não quer dizer muita coisa, porque papel aceita tudo, mas é algo que você tem em mãos e pode usar.

Outro ponto importante é saber se já houve incidente noticiado pela imprensa sobre a empresa. Se houve, você deve se aprofundar na pesquisa sobre a mesma, sentir que está apoiado nas informações que precisa e daí decidir o que fazer. Tenha sempre todo cuidado, pois os seus dados podem cair em mãos de quem você nem imagina e ele vale muito!

E para terminar, o caso desses dias envolvendo o Facebook e a Cambrige Analytica, empresa de análises de dados que foi acusada de ter coletado e usado os dados de 50 milhões de usuários do Facebook. Essas informações revelaram o perfil completo de 50 milhões de pessoas que estão na rede social, que passaram a receber propaganda altamente personalizada durante, por exemplo, a campanha de Donald Trump e do Brexit.

 O escândalo explodiu depois que um ex-funcionário da Cambridge Analytica, chamado Christopher Wylie, revelou que a consultoria britânica pegava dados das pessoas que fizeram o teste e também de seus amigos, sem consentimento.

Vou voltar no tema com mais profundidade, mas sempre alertei clientes em palestras de conscientização que faço que o Facebook é uma rede gratuita, que você não paga nada para entrar e nem para sair, e isso parece bom, mas se perguntaram alguma vez como uma rede social protege seus dados? Quem os acessa? O que faz com eles? Complicado, né?

 

Era isso!

 

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

A hora e a vez do Compliance!

23 de janeiro de 2018 enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Finalmente parece que as corporações de segmentos importantes, não só os regulados, perceberam a importância do Compliance. Entenderam, se não pelo noticiário e/ou pela obrigatoriedade, o quão essa disciplina pode vir a agregar valor para a empresa e saíram na busca de profissionais e estruturação da área. Claro, que em se falando de Brasil deve se dar um desconto, pois por ser uma área de controle, que prima pela prevenção e cumprimento de regras mandatórias, sua valorização não é o que deveria ser, mas o movimento tem se mostrado acima do previsto, o que amadurece de vez a prática.

Antes de desenvolver esse artigo é importante salientar que eu não sou um profissional de Compliance, mas minha experiência de consultor e auditor em várias práticas que estão no programa de Compliance das empresas, auxilio o gestor de compliance e sua equipe. Isso venho fazendo há pelo menos quinze anos atendendo às demandas do Compliance Officer. Várias projetos desenvolvi tendo como sponsor a área de Compliance. Dessa forma, vou expor a minha visão sobre a área, de alguém de fora, que trabalhou e trabalha com vários compliance officer e equipe. Vamos então…

Alguns eventos podem explicar essa explosão que falei. Comecemos pela enxurrada de casos nacionais e internacionais que ganharam todas as manchetes nos últimos cinco anos, para ser modesto, e que envolve algumas práticas que estão na ordem do dia do Compliance. Fraude, corrupção, lavagem de dinheiro, suborno e outros tantos ilícitos foram acendendo o alerta vermelho de órgãos reguladores e auditorias. O risco do não compliance pode implicar em riscos maiores como o reputacional.

 Eventos como os citados vêm fazendo com que reguladores há algum tempo venham apertando o cinto com novas regulamentações recheadas de controles e, as auditorias, ampliem e endureçam com seus critérios de auditoria na busca da prevenção de danos quantitativos (financeiros) e qualitativos (imagem) de seus fiscalizados e clientes.

Podemos dizer que internacionalmente a prática do Compliance começa a se difundir a partir dos anos 70, com a criação do Comitê da Basiléia para Supervisão Bancária. Nesses anos procurou-se fortalecer o Sistema Financeiro através da maior conceituação sistemática de suas atividades, parametrizando-se pelas boas práticas financeiras e munindo-as de procedimentos prudenciais na sua atuação.

Pelas nossas bandas, com a abertura comercial incrementada a partir de 1992 com o governo Collor, o Brasil procurou-se alinhar-se com o mercado mundial da alta competitividade, e simultaneamente, os órgãos reguladores aumentaram sua preocupação em implementar novas regras de segurança primeiramente para as Instituições financeiras e a regulamentar o mercado interno em aderência às regras internacionais.

Esse histórico foi fazendo com que empresas reguladas e/ou com fortes auditorias internas e externas, com critérios de auditoria claramente estabelecidos, estruturassem melhor a área, criando seu planejamento, suas equipes, sua relação com outras áreas da empresa e seu programa de Compliance.

Já escutei, não uma, mas inúmeras vezes a frase: …mas, manter uma área só para atender a leis, reguladores, etc.? Como essa área agregaria Valor ao negócio? Por si só esse atendimento pode parecer pouco, mas o Risco do Não Compliance traz efeitos de multa e até suspensão das operações.

Entendo que no mínimo os elementos agregadores de valor do Compliance seriam:

    • Qualidade e velocidade das interpretações regulatórias e políticas e procedimentos de compliance relacionados;
    • Aprimoramento do relacionamento com reguladores, incluindo bom retorno das revisões dos supervisores;
    • Melhoria de relacionamento com os acionistas;
    • Decisões de negócios em compliance;
    • Velocidade dos novos produtos em conformidade com o mercado;
    • Disseminação de elevados padrões éticos/culturais de compliance pela organização;
    • Acompanhamento das correções e deficiências (não conformidades).

Ao avaliarmos esses elementos agregadores de valor do Compliance podemos perceber claramente a sua importância para a empresa; para aqueles que “tocam” a área fica uma dura missão, a de gerir o risco de compliance. Conceituamos Risco de Compliance como a soma do risco de imagem e reputação e o risco legal.

O Risco de imagem e reputação é a perda da confiança, credibilidade da empresa diante da sociedade e das partes interessadas. E o Risco legal é aquele relacionado às possíveis sanções a serem aplicadas pelos órgãos reguladores e autorreguladores em função da não aderência a normas, regulamentos, políticas e procedimentos internos

Nessa gestão do risco de compliance podemos olhar o risco aqui sob as suas duas perspectivas, a positiva e a negativa.

Na visão positiva do risco, que é a oportunidade, nesse caso refletida na execução planejada de toda a conformidade necessária para o cumprimento de leis e regulamentos e sal execução. Essa total conformidade se reflete em decisões de negócios dentro das regulamentações, sem futuras surpresas que possam atrapalhar os objetivos organizacionais atrelados a essas decisões. Por exemplo, a fusão ou incorporação de empresas pode ser uma ótima oportunidade de negócio para uma dada empresa. Trata-se de uma decisão que envolve análises complexas para a tomada de decisão. Aqui, a presença do Compliance Officer é de extrema importância para que não haja problema lá na frente, que pode até suspender uma fusão decidida por outros aspectos.

Outro ponto positivo é a possibilidade de demonstração de governança aos acionistas, mesmo que seja um quinhão dessa governança, ao se estabelecer um relacionamento confiável com os mesmos. E algo positivo que aparece de forma sublimar, mas aparece, é a oportunidade de agregar os devidos padrões éticos aos colaboradores e terceiros/parceiros que estabelecem negócios com a empresa.

Uma oportunidade muito importante é a possibilidade, e os compliance officer também sabem disso, de atuar na elevação do capital reputacional. Esse capital reputacional é o quanto a empresa acumula da reputação de sua marca sob a ótica do mercado onde atua e sob os olhos da sociedade.

Este capital está diretamente relacionado com os princípios e valores morais com os quais a empresa atua e pactua. É um capital de valor intangível, mas tão valoroso como o capital econômico financeiro da qual a empresa dispõe. Em caso de incidentes em sua reputação, o negócio pode vir a falir.

Esse parece um benefício invisível que o Compliance conquista, mas ele existe e pode ser medido. Atrelado a esse incremento do capital reputacional vem a possibilidade que o Compliance traz, de fazer com que os colaboradores acreditem que cumprir regras vale a pena e que todos ganham. Em se tratando de Brasil é uma mudança de paradigma enorme, já que não somos muito fadados a cumprir regras e assemelhados.

Pela vertente negativa do risco podemos de bate pronto destacar alguns deles:

    • Dano à reputação da organização e da marca;
    • Cassação da licença de operação;
    • Sanções às empresas e aos indivíduos (processo administrativo, criminal, multas e, até prisão).

Destaquei apenas três itens, mas que sozinhos ou relacionados fazem um barulho danado para a empresa, podendo até a descontinuar o negócio. Dado ao tamanho de cada um deles, o ROI do Compliance fica facilmente justificável e isso meus amigos Compliance Officer sabem perfeitamente.

De toda forma percebo claramente em contato com vários Compliance Officer que conheço que a tarefa não é das mais simples, muito pelo contrário, exige muita transpiração e inspiração no dia a dia. Uma dessas transpirações e inspirações que conheço é a interação, o relacionamento do Compliance com as outras áreas da empresa.

Várias áreas dentro da empresa estabelecem intersecções com a área de Compliance. Muitas atividades se conectam e se interagem. Dessa forma, as fronteiras de cada uma delas são uma linha tênue, causando retrabalho, dificultando o entendimento de respectivas funções. Daria um artigo único para falar desse assunto, mas vou pegar parte dele apenas.

A maioria dos regulamentos, normas, etc. nas quais o Compliance deve avaliar e procurar colocar a empresa em conformidade demanda algum tipo de ação, um projeto. Algumas dessas ações/projetos ficam a execução por conta da própria área, como, por exemplo, a prevenção e lavagem de dinheiro e combate à fraude. Outras ações/projetos podem ficar com diversas áreas, como as relacionadas com os temas da Segurança da Informação e o Plano de Continuidade de Negócios, por exemplo.

Já vi muitas resoluções sobre Segurança da Informação e Plano de Continuidade de Negócios, por exemplo, serem simplistas demais. Com isso o Compliance Officer, que não tem nenhuma obrigação de ser especialista no tema, pode ficar vendido. Ele vai precisar interagir com as áreas da empresa para tomar pé da conformidade com o tema e medir de alguma forma o risco do compliance.

Por exemplo, se o assunto for Plano de Continuidade de Negócios, ele pode ir até a área de TI ou de Segurança da Informação, que podem ser os responsáveis pela execução e manutenção do Plano, e colher informações sobre a situação atual. Pode ir ou checar com controles internos e/ou risco operacional para certificar o que a TI/SI falou…tem a auditoria interna também.

Claro, esse modus operandi é de cada um, de cada Compliance Officer, de cada empresa. Mas o que eu quero trazer a tona é a versatilidade, a destreza que o Compliance Officer e a sua equipe devem ter nessa circulação pela empresa. As coisas saem, fluem, colhem-se os resultados melhor se todos pudessem entender o que é trabalho do Compliance e o seu significado para os negócios. Certamente as interações que ocorrem devem acontecer com a maior assertividade possível.

Essa interação e comunicação devem ter em mente que o objetivo maior para o Compliance é a conquista da conformidade, mesmo com resoluções pouco detalhadas. Para essas resoluções existem algumas maneiras de medir o grau de atendimento. Tem a tal de “melhores práticas do mercado”, mas…uma que eu adoto é a aderência a normas nacionais/internacionais e arcabouços de institutos reconhecidos tanto aqui como lá fora. Com certeza aqui não há erro!

Se me permitirem, um insight. Além desse “marketing interno” do Compliance, a viabilidade da criação de uma Matriz de Responsabilidades entre determinadas áreas correlatas e o Compliance seria de bom tom. Áreas que possam criar um retrabalho ou alguma outra dificuldade para que o trabalho flua melhor e alcance os resultados desejados, aparece na elaboração da matriz e pode ser corrigido. Penso que agregaria…

Certamente vejo que nos próximos anos a demanda do Compliance deve crescer, mesmo nos segmentos que não possuem reguladores. Leis impostas de âmbito executivo federal como a Anticorrupção, a GDPR da União Europeia, entre outros, devem fazer com que segmentos que antes não olhavam para essa prática comecem a olhar. Esse é um ótimo caminho, e os profissionais que o escolheram agradecem!

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

1 2 3 4 5 6   Next »