A Fraude Ocupacional: entendendo e mitigando a Oportunidade.


Mário Sérgio Ribeiro (*) O caso da Americanas trouxe de volta à cena as questões relacionadas à Fraude Ocupacional. As investigações prosseguem mas, os indícios, pelas notícias publicamente vinculadas, dão conta de que pode ter ocorrido uma fraude ocupacional (FO). Read more

Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

As pessoas, seus novos hábitos, costumes e comportamentos e a segurança das informações.

12 de junho de 2015 enigma.consultoria Sem categoria Leave a comment   , , , , ,

Mário Sérgio Ribeiro (*)

Se você parou para pensar e refletir um pouco sobre o que vem acontecendo no dia a dia deve ter notado o quanto as relações e comportamentos das pessoas têm mudado e a velocidade que isso tem acontecido. É fato! A Tecnologia da informação e comunicação tem patrocinado mudanças significativas no modo de as pessoas se relacionarem, se comunicarem. Essas mudanças criam novos hábitos, comportamentos, muda a forma de as pessoas se relacionarem com o mundo exterior. Nesse contexto eu pergunto: como as empresas, que têm como principal ativo Pessoas, tem percebido e encarado essas transformações? Como essas mudanças podem afetar o ambiente corporativo e colocar em risco o outro ativo, o segundo em importância, as informações corporativas.

 

A tecnologia e comunicação nos últimos dez anos se tornou o principal catalisador na mudança de hábitos e comportamentos das pessoas. Celular que virou computador com internet e máquina fotográfica, velocidade maior pela rede, meios instantâneos de se comunicar, como o falecido Orkut, o viciante facebook, instagram, twitter, o mais novo e conquistador com o nome de WhatsApp, ou zap zap como brasileiro gosta de chamar. Alguns têm falado que o tal e-mail já coisa do passado, é para Tiozão!!!

 

Enquanto escrevia esse artigo li uma pesquisa saindo no portal da UOL. A manchete dizia que 75% dos casais brasileiros se comunicavam via WhatsApp, sendo esse o principal meio de comunicação escolhido. As mulheres o utilizam mais do que o homem e muitas falaram que não sabiam dizer quantas vezes o fazem por dia, sabiam apenas que eram muitas, muitas comunicações com seus amados.

 

Mais uma constatação a uma máxima que eu e você já sabemos: trocamos literalmente a fala, mesmo por telefone, não precisa ser mais aquela olho no olho, pelas palavras. Os casais não se falam mais, imagem os outros. Se já pelo telefone a coisa é fria, imagina por palavras…

 

O povo brasileiro gosta de se comunicar, de interagir. Hoje temos mais celular do que aparelhos fixos. Alguém poderia imaginar algo assim? Essa gama de dispositivos tecnológicos e de comunicação, aliado às “invenções” para popular esses dispositivos, mudou alguns paradigmas. Por exemplo, que tal pensarmos o que as pessoas fizeram com a sua privacidade?

 

A partir do lançamento do Orkut e posteriormente do microblog Twitter, até os Instagrams da vida, as pessoas tiveram a possibilidade de se expor, se expuseram, e como vem se expondo!! Se pensarmos que a onda pegou a partir do uso maciço por pessoas públicas (artistas, celebridades e pseudo-celebridades, políticos…) que passaram a utilizar as primeiras redes sociais e o Twitter para se expor, até porque vivem dessa exposição, pessoas comuns gostaram da ideia e foram à luta. Vejam que quase 2 bilhões de pessoas usam o facebook.

 

O que é fato aqui, é que a tal preservação da privacidade é, em muitos exemplos, banida pela própria pessoa. Quantos e quantos casos tomamos conhecimento pela mídia onde o culpado foi a quebra da privacidade patrocinada pela própria vítima? E pior, vários deles com consequências catastróficas.

 

Não quero e nem pretendo entrar na discussão psicológica, sociológica e até antropológica do tema, mas é inegável que as pessoas de uma maneira geral estão se expondo e expondo seus familiares, em muitos casos de forma perigosa. Diante de tantos alertas e casos mostrados as pessoas continuam a quebrar sua privacidade se escorando em alicerces pouco seguros como: somente meus amigos me veem, não compartilho com quem não conheço, e por aí vai…De uma vez por todas as pessoas precisam entender que a melhor segurança é aquela que avalia o valor da informação antes de praticar qualquer ato. E esse parece ser um dos Xs da questão.

 

Quando faço minhas palestras de conscientização em segurança da informação nas empresas e coloco o tema sob a ótica pessoal/familiar e não somente corporativa, as pessoas parecem tomar um clic. E a coisa esquenta quando, por meio de uma dúzia de casos e de situações de risco, demonstro o que a pessoa pode estar fazendo com a sua segurança e de seus próximos.

Parece que definitivamente só se toma consciência quando partimos para um discurso um pouco mais duro, quando mostramos que antes de qualquer coisa avalie-se o VALOR da informação e as consequências de seu compartilhamento antes de tomar qualquer decisão.

Essas mudanças e transformações que vem ocorrendo no modo como as pessoas tem tocado suas vidas, mais uma vez como falei, patrocinado e muito pela tecnologia e comunicação, não há como não fazer uma relação com o ambiente do trabalho. As pessoas estão diferentes do que eram anos atrás com a incorporação desses novos hábitos, costumes e comportamentos querendo e/ou não querendo levando-os para dentro da empresa.

Ninguém sai de casa para trabalhar e diz para seus hábitos, costumes e comportamentos o seguinte: ei, vocês, fiquem quietinhos aí em casa que agora eu vou levar outros hábitos, costumes e comportamentos para ir trabalhar comigo? Alguém faz essa dissociação? Você e sua empresa já pensaram sobre isso?

Para os que não pensaram ou desacreditam nessa questão, poderia listar aqui uma série de ameaças e probabilidades que podem se transformar em impactos indesejáveis para a empresa, e ajudar a mudar de opinião.

Por exemplo, aliado a tais mudanças e o elevado poder dos “celulares” de hoje em dia, podemos pensar em alguém com alguma intenção, bater fotos de tela, de documentos que não deveriam ter acesso e de alguma forma tiveram e bum, em um clic, jogar onde quiser tais informações, inclusive na concorrência.

Para o caso dos não intencionados, alguma foto da equipe de trabalho em uma festinha de aniversário, com tela de computador aberta ao fundo, documentos sobre a mesa, etc.

Comentários públicos da empresa com o intuito de se gabar, tentando aumentar sua escala de valores como uma pessoa importante…É, a lista pode ser imensa.

 

OK, mas o que e como fazer com a questão?

Em primeiro lugar e de forma clara você precisa entender e aceitar esse novo contexto em nossas vidas. Não há como mudar o curso onde a maioria deseja levar. Em segundo lugar precisa ter em mente que, em se tratando de ambiente de trabalho, na segurança das informações corporativas, são as Pessoas o ativo mais importante. Elas são o agente da ameaça, que é aquele sujeito que perpetra uma ameaça explorando vulnerabilidades existentes.

 

Entendendo e aceitando essas duas ponderações é necessário arregaçar as mangas e agir. Agir no sentido de reduzir o risco das possíveis consequências. Essa ação demandará identificar e implantar controles que possam levar a um risco residual aceitável para a empresa.

 

Sei que muito provavelmente vários desses controles você deve tê-lo implantado na empresa. Modelos de contratação que olhem para o SER Políticas, Normas, Códigos, controles de acesso físico, lógico, PLRs, etc. devem fazer parte desse rol de controles. Ok. Mas uma rápida e simples pergunta que faço: eles permanecem operando de forma a deixar o risco residual no patamar que se julgou aceitável? Todo o controle deve ter uma espécie de “memorial descritivo” e será que o tal memorial descritivo continua a ser atendido?

 

Ainda nessa linha, será que foi pensado nos devidos controles para mitigar o risco Pessoas nesse novo contexto que ponderei? Não faltou ou não falta nada? Digo isso porque normalmente encontro a falta de alguns controles importantes, como o Programa de Conscientização e Educação em Segurança da Informação, Antifraudes e ilícitos semelhantes. O seu programa de conscientização, caso você o tenha e o execute de forma continuada, anda acompanhando essas mudanças e transformações comentadas nesse artigo?

 

Julgo o Programa de Conscientização um dos controles mais eficazes nessa luta pela mitigação dos riscos com a segurança das informações corporativas e assemelhados. Aumenta sua importância com esses tempos bicudos e de mudanças e transformações citadas. Mas existem limitações em sua eficácia quando não for devidamente planejado e implantado.

 

É fundamental que um programa desses tenha em seu planejamento a ideia de que ele não é para ser feito uma vez na vida e outro na morte. Um dos atributos de sua eficácia é a sua continuidade. Sua execução deve acontecer ao longo do ano, e não somente com uma palestra e pronto. Isso funciona em pequena escala, não colocando o risco em um patamar residual que desejamos. Pense nisso.

 

Como conclusão gostaria de deixar uma reflexão. O mundo tem se transformado diariamente e em uma velocidade que não percebemos, que não temos tido tempo para parar e pensar no que está ocorrendo. E nessa linha, são as Pessoas que estão conduzindo essas transformações e vivenciando o que há de bom e também o que há de ruim. Já falado, somos vítimas ou felizardos de nossos atos e também dos outros. As transformações nos hábitos, costumes e comportamentos das Pessoas têm alterado diariamente os riscos associados. Digo isso olhando para todos os lados, e não mais somente para um pequeno pedaço dele que tratei nesse artigo. Que possamos ter sabedoria e paciência para entender o que se passa, e procurar sempre as melhores formas de vivermos felizes e tentar ajudar os outros a também o ser!

 

Até a próxima!

 

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

É absolutamente imperativo focar nas Pessoas em primeiro lugar. (06jun14)

6 de junho de 2014 enigma.consultoria Sem categoria Leave a comment   ,

Mário Sérgio Ribeiro (*)

Na semana passada o noticiário de jornais e principais portais do país davam conta de que o Itamaraty vinha sendo alvo de hackers que promoveram ataque contra o sistema de comunicação interna, que serve ao Ministério das Relações Exteriores e às embaixadas brasileiras pelo mundo. Não há dimensão dos atos, mas certo que dados pessoais de diplomatas e telegramas secretos podem ter sido acessados. Como ocorreu a invasão? O velho e conhecido “phishing”, uma técnica de engenharia social tecnológica que utiliza mensagens falsas com anexos e/ou links para o usuário clicar e ter seus dados e senhas capturados; nesse caso, os anexos vinham disfarçados de comunicados oficiais do Itamaraty. Estima-se que pode chegar a 5.000 as contas hackeadas, considerando a invasão de sistemas nas embaixadas. Qual o impacto financeiro e operacional do ocorrido? Algo novo e inusitado? Certo que não!

Maio de 2013, Edward Snowden inicia sua série de vazamento de informações classificadas como sigilosas pelo governo americano. Coloca em uma “sinuca de bico” Barack Obama, revelando detalhes da espionagem que a NSA, a agência de segurança da informação americana, faz em líderes de governo, empresas, etc., exceto cidadãos americanos. Pergunta: como Snowden teve acesso à informações sigilosas tendo apenas um cargo mediano, de analista, em uma agência que supostamente deva ter os melhores controles do mundo?

Outra. O último relatório divulgado pela ACFE em 2014 dá conta de que as organizações perdem 5% de suas receitas em fraudes ocupacionais (praticada por um colaborador com um cargo na empresa), o que projeta a cifra global de U$ 3,7 trilhões. Levam-se em média 18 meses para se detectar uma fraude e quem mais detecta não é ferramenta tecnológica, auditorias, etc., é uma “ferramenta” conduzida por pessoas e atende pelo nome de Denúncia Anônima. Em 42,2% dos casos quem salvou a Pátria foram pessoas denunciando pessoas, o que representa em 1.483 casos relatados o número de 626 denúncias anônimas! No caso da pesquisa da ACFE, só para você ter uma ideia, ferramentas de detecção ficaram com 1,15% dos 1.483 casos relatados, o que dá 17!!! Pouco, né?

Dois fatos e uma pesquisa em que o centro das atenções são Pessoas. No primeiro fato citado, um ato não intencional que provoca um impacto danado. No segundo fato, um ato intencional (vazamento de informação) em um local que se supunha em teoria que tivesse os melhores processos e ferramentas de controle de segurança da informação. E por último, pessoas agindo como uma “ferramenta” de controle, na prevenção de detecção de ilícitos, como fraudes, corrupção, etc.. Ok, mas afinal, aonde eu quero chegar com isso? Qual a relação dos fatos ocorridos e de uma pesquisa de um órgão independente, conceituado e sem nenhum interesse comercial? É isso que vou dissecar nesse artigo.

Primeiro um alerta. Atuo com Segurança da Informação, Combate a Fraudes e outros riscos operacionais há quase 30 anos. Sinto-me um estudante voraz em busca de conhecimento, mesmo com 55 anos. Nesse período venho procurando dizer a todos que convivi e convivo profissionalmente (colaboradores de minhas equipes, clientes potenciais e clientes ativos, alunos e até amigos pessoais) que para mitigar o risco de eventos indesejados com as informações da empresa e de ativos tangíveis, é imperativo focar sempre as atenções em Pessoas. Não há melhor receita! Processos, Segurança física e Controles Tecnológicos são outros pilares, mas não devem ser tratados com  prioridade maior do que as Pessoas. Nunca! É um erro! Agindo dessa forma você inverte a ordem das coisas: coloca o tratamento da consequência em primeiro lugar e a Causa em segundo plano. Isso está errado.

Bem, vamos em frente…

Vamos classificar nosso personagem Pessoas em três categorias distintas. Na primeira delas vamos defini-las como alguém que comete erros e não há intenção de qualquer tipo de ganho com o ato cometido; essa categoria vamos classificá-la como Pessoas sendo um Agente Não Intencional de Ameaça. Pessoas como agente  e a ameaça como algo danoso que pode ocorrer por conta do erro cometido. No caso 1, o erro foi clicar no anexo e a ameaça é patrocinada pelo o que o phishing deseja, a princípio, capturar dados e perpetrar ilícitos a partir daí.

No caso do Snowden, temos a segunda categoria que é a do Agente de Ameaça Intencional. Snowden tinha a intenção de causar algum ganho, de causar um impacto com sua ação e ela foi intencional, a partir do instante em que ele começa a coletar informações, que certamente não deveria ter acesso.

E por último a categoria de Controle, isso mesmo, Controle. Pessoas podem funcionar muito bem como controles para mitigarem riscos. É o caso do Canal de Denúncias de Fraudes e ilícitos semelhantes. Vejam, e funciona! Quase a metades das detecções feitas foram por conta desse controle, mostrados na pesquisa da ACFE. Do que depende essa ação? Da conscientização das Pessoas em realizarem a denúncia de que uma fraude esteja ocorrendo ou está prestes a ocorrer.

Vejamos o primeiro caso, o recebimento de uma mensagem falsa por e-mail, com uso da engenharia social tecnológica tendo como seu ator um hacker, utilizando-se do “phishing”. Como tantos caíram? Só lá no Itamaraty que ocorre isso? Quem clicou no anexo? Por que clicou? As pessoas que trabalham no Itamaraty ou outras tantas que caíram e caem nesse golpe, tem uma constante conscientização e educação sobre esse e outros tantos riscos da segurança da informação? Qual foi a última vez que alguém falou sobre isso dentro da empresa, conscientizando e educando as pessoas, se é que falou? Quanto do orçamento é dedicado ao tema?

Infelizmente encontram-se muitas empresas que enviam um e-mail para todos da empresa dizendo: pessoal, acessem a Intranet da empresa leiam as políticas, códigos e normas, deem um clic que entenderam…, ok? Você, sinceramente, com tantos afazeres estaria convencido a fazer a leitura de um simples e-mail desses e clicar Ok, eu li e entendi? Para que se adota essa prática? Para cumprir o que auditoria pede? Que um órgão regulador questionou? Essa prática não funciona em hipótese alguma! Ninguém vai ler nada…não vai entender nada…e não vai praticar da forma que você deseja que se pratique. Se você quer fazer a coisa certa, tratando a Causa (Pessoas), precisa colocar no “sangue” delas, no DNA da empresa, a conduta certa, e isso se faz por meio de palestras muito bem planejadas, com cunho pedagógico, com didática e por pessoas capacitadas e habilitadas a conduzir a questão. Não adianta pegar um técnico de TI, profundo conhecedor de técnicas hackers, por exemplo, colocar ele lá na frente porque você não tem custo, e pronto, resolvi o problema. Tem esse técnico a habilidade e capacidade pedagógica e didática de conscientizar as Pessoas que estão ali escutando? Pense nisso. Além disso, é necessário ter um Programa de Conscientização e Educação planejado, e que é executado o ano inteiro, e se renova ano após ano. Não é para fazer no ano 1 e depois lembrar e fazer no ano 4. São inúmeras as variáveis nessa questão que mudam em uma velocidade muito grande. Se não for realizado dessa maneira, não funciona.

Ok, você até concorda com o que eu falo, mas infelizmente só lembra-se de fazer quando a porteira já escancarou…ou não consegue convencer a Alta Administração da empresa a fazê-lo? Com tantos casos populando pela mídia, é difícil alguém no topo não perceber a necessidade. Só posso entender que eles assumem o risco ou é pura negligência.

Veja na sua empresa qual foi a última vez que você fez uma campanha de conscientização e educação em segurança da informação. Veja também, qual foi a última vez que você fez a revisão de sua política, de seu código de ética, de suas normas de segurança. Na maioria, e não é privilégio seu, devem ter pelo menos uns três anos sem revisão.

O agente de ameaça intencional, categoria 2, ele existe nas empresas, mas ainda bem que é minoria em relação a categoria 1. Essas pessoas também são conscientizadas e educadas a fazer o certo e cumprirem o que for determinado. Mas, em um dado momento na empresa, por conta de pressões/motivações internas e/ou externas e oportunidades, passam para o lado do não legal, do crime. Se formos pegar o caso do Snowden em detalhes é claro que podemos encontrar algumas falhas de controles dentro da NSA, mesmo sendo a NSA. Snowden não comenta como conseguiu as informações, talvez em um livro que por certo lançara, mas usou sua inteligência e cometeu o abuso. Mas a pergunta: como detectar um agente de ameaça intencional na empresa? O que poderia ter evitado a ação de Snowden?

 

Com elevado QI e considerado um “gênio da computação”, Snowden não deve ter deixado rastros em suas coletas. Controles tecnológicos que devem existir em abundância e qualidade na NSA, por certo não detectaram as ações de Snowden. E onde Snowden poderia ser pego? Somente Pessoas que conhecessem seu perfil, seus hábitos, temperamento, personalidade poderiam ajudar nesse sentido. Por mais frio que o agente de ameaça intencional seja, alterações ocorrem em seu comportamento verbal e não verbal. Algumas atitudes e temperamento ficam alterados nesse período. O que não fazia antes, começa a fazer; agia de um jeito e começa a agir de outro…traços de um perfil de alguém que está fazendo alguma coisa errada começam a saltar os olhos daqueles mais próximos.

 

Ok, mas onde você quer chegar? Na 3ª categoria do início de meu artigo: Pessoas funcionando como controles. Uma empresa é feita de várias equipes de trabalho com alguém liderando, um gestor. É assim que a coisa anda.

 

Em primeiro lugar precisamos ter gestores de pessoas e não somente de resultados. Esses gestores precisam estar aptos e treinados para identificar uma “maça podre” no meio das outras. Precisamos de líderes de fato. Se não o temos, precisamos treiná-los, para incentivar, promover, para pensar para frente, mas também para servir de escudo, de barreira aos maus intencionados. É possível treinar um gestor para agir dessa forma? Claro que sim! E podem ter certeza, trata-se de um excelente e eficaz controle.

 

Em segundo lugar, as pessoas de uma equipe precisam trabalhar em prol da equipe e consequentemente da empresa. Precisam ser conscientizadas e educadas no sentido de proteger a empresa das “maças podres”. Não se trata de caça as bruxas, mas sim, de se criar um ambiente em que se preze as condutas esperadas pela empresa: ganha a empresa, ganha a equipe e ganha você!

 

No segundo caso, particularmente, podemos estar falando do Canal de Denúncia, do início de nosso artigo, quando mencionamos os índices da pesquisa da ACFE. Se planejado e implantado dentro das melhores práticas, o Canal de Denúncia pode funcionar como um controle preventivo de ilícitos, isto quer dizer, que eu posso chegar antes da perda. Ah, e falando em perda, a mesma pesquisa da ACFE relata que em 54% dos casos pesquisados não houve nenhuma recuperação depois de anos de investigação e execução; apenas em 14% dos casos ocorreu total recuperação do prejuízo.

 

Como conclusão propomos a empresa de qualquer porte, com vista a mitigar o risco de vazamentos de informação, fraude, corrupção, etc. a planejar e implantar os seguintes processos/controles:

 

Segurança da Informação:

1. Política, Normas complementares e procedimentos operacionais;

2. Programa de Conscientização de Segurança da Informação (envolvendo palestras presenciais, gravação de vídeos, boletins, etc.) para colaboradores, gestores e alta administração.

 

Fraude, Corrupção e ilícitos semelhantes:

1. Política Antifraude e Anticorrupção;

2. Código de ética e de conduta;

3. Treinamento Antifraude para colaboradores;

4. Treinamento Antifraude para gestores e alta administração;

5. Canal de Denúncia.

 

Era isso!

 

 

Até a próxima!

 

_______________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br