Risco, Resiliência e PCN pós COVID-19.


MÁRIO  SÉRGIO RIBEIRO (*) Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que Read more

LGPD: o projeto de segurança da informação de 2019!


(*) Mário Sérgio Ribeiro A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas Read more

Resolução 4658 serve de alerta a todos os ramos de negócio.


(*) Mário Sérgio Ribeiro No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes Read more

A hora e a vez do Compliance!

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Finalmente parece que as corporações de segmentos importantes, não só os regulados, perceberam a importância do Compliance. Entenderam, se não pelo noticiário e/ou pela obrigatoriedade, o quão essa disciplina pode vir a agregar valor para a empresa e saíram na busca de profissionais e estruturação da área. Claro, que em se falando de Brasil deve se dar um desconto, pois por ser uma área de controle, que prima pela prevenção e cumprimento de regras mandatórias, sua valorização não é o que deveria ser, mas o movimento tem se mostrado acima do previsto, o que amadurece de vez a prática.

Antes de desenvolver esse artigo é importante salientar que eu não sou um profissional de Compliance, mas minha experiência de consultor e auditor em várias práticas que estão no programa de Compliance das empresas, auxilio o gestor de compliance e sua equipe. Isso venho fazendo há pelo menos quinze anos atendendo às demandas do Compliance Officer. Várias projetos desenvolvi tendo como sponsor a área de Compliance. Dessa forma, vou expor a minha visão sobre a área, de alguém de fora, que trabalhou e trabalha com vários compliance officer e equipe. Vamos então…

Alguns eventos podem explicar essa explosão que falei. Comecemos pela enxurrada de casos nacionais e internacionais que ganharam todas as manchetes nos últimos cinco anos, para ser modesto, e que envolve algumas práticas que estão na ordem do dia do Compliance. Fraude, corrupção, lavagem de dinheiro, suborno e outros tantos ilícitos foram acendendo o alerta vermelho de órgãos reguladores e auditorias. O risco do não compliance pode implicar em riscos maiores como o reputacional.

 Eventos como os citados vêm fazendo com que reguladores há algum tempo venham apertando o cinto com novas regulamentações recheadas de controles e, as auditorias, ampliem e endureçam com seus critérios de auditoria na busca da prevenção de danos quantitativos (financeiros) e qualitativos (imagem) de seus fiscalizados e clientes.

Podemos dizer que internacionalmente a prática do Compliance começa a se difundir a partir dos anos 70, com a criação do Comitê da Basiléia para Supervisão Bancária. Nesses anos procurou-se fortalecer o Sistema Financeiro através da maior conceituação sistemática de suas atividades, parametrizando-se pelas boas práticas financeiras e munindo-as de procedimentos prudenciais na sua atuação.

Pelas nossas bandas, com a abertura comercial incrementada a partir de 1992 com o governo Collor, o Brasil procurou-se alinhar-se com o mercado mundial da alta competitividade, e simultaneamente, os órgãos reguladores aumentaram sua preocupação em implementar novas regras de segurança primeiramente para as Instituições financeiras e a regulamentar o mercado interno em aderência às regras internacionais.

Esse histórico foi fazendo com que empresas reguladas e/ou com fortes auditorias internas e externas, com critérios de auditoria claramente estabelecidos, estruturassem melhor a área, criando seu planejamento, suas equipes, sua relação com outras áreas da empresa e seu programa de Compliance.

Já escutei, não uma, mas inúmeras vezes a frase: …mas, manter uma área só para atender a leis, reguladores, etc.? Como essa área agregaria Valor ao negócio? Por si só esse atendimento pode parecer pouco, mas o Risco do Não Compliance traz efeitos de multa e até suspensão das operações.

Entendo que no mínimo os elementos agregadores de valor do Compliance seriam:

    • Qualidade e velocidade das interpretações regulatórias e políticas e procedimentos de compliance relacionados;
    • Aprimoramento do relacionamento com reguladores, incluindo bom retorno das revisões dos supervisores;
    • Melhoria de relacionamento com os acionistas;
    • Decisões de negócios em compliance;
    • Velocidade dos novos produtos em conformidade com o mercado;
    • Disseminação de elevados padrões éticos/culturais de compliance pela organização;
    • Acompanhamento das correções e deficiências (não conformidades).

Ao avaliarmos esses elementos agregadores de valor do Compliance podemos perceber claramente a sua importância para a empresa; para aqueles que “tocam” a área fica uma dura missão, a de gerir o risco de compliance. Conceituamos Risco de Compliance como a soma do risco de imagem e reputação e o risco legal.

O Risco de imagem e reputação é a perda da confiança, credibilidade da empresa diante da sociedade e das partes interessadas. E o Risco legal é aquele relacionado às possíveis sanções a serem aplicadas pelos órgãos reguladores e autorreguladores em função da não aderência a normas, regulamentos, políticas e procedimentos internos

Nessa gestão do risco de compliance podemos olhar o risco aqui sob as suas duas perspectivas, a positiva e a negativa.

Na visão positiva do risco, que é a oportunidade, nesse caso refletida na execução planejada de toda a conformidade necessária para o cumprimento de leis e regulamentos e sal execução. Essa total conformidade se reflete em decisões de negócios dentro das regulamentações, sem futuras surpresas que possam atrapalhar os objetivos organizacionais atrelados a essas decisões. Por exemplo, a fusão ou incorporação de empresas pode ser uma ótima oportunidade de negócio para uma dada empresa. Trata-se de uma decisão que envolve análises complexas para a tomada de decisão. Aqui, a presença do Compliance Officer é de extrema importância para que não haja problema lá na frente, que pode até suspender uma fusão decidida por outros aspectos.

Outro ponto positivo é a possibilidade de demonstração de governança aos acionistas, mesmo que seja um quinhão dessa governança, ao se estabelecer um relacionamento confiável com os mesmos. E algo positivo que aparece de forma sublimar, mas aparece, é a oportunidade de agregar os devidos padrões éticos aos colaboradores e terceiros/parceiros que estabelecem negócios com a empresa.

Uma oportunidade muito importante é a possibilidade, e os compliance officer também sabem disso, de atuar na elevação do capital reputacional. Esse capital reputacional é o quanto a empresa acumula da reputação de sua marca sob a ótica do mercado onde atua e sob os olhos da sociedade.

Este capital está diretamente relacionado com os princípios e valores morais com os quais a empresa atua e pactua. É um capital de valor intangível, mas tão valoroso como o capital econômico financeiro da qual a empresa dispõe. Em caso de incidentes em sua reputação, o negócio pode vir a falir.

Esse parece um benefício invisível que o Compliance conquista, mas ele existe e pode ser medido. Atrelado a esse incremento do capital reputacional vem a possibilidade que o Compliance traz, de fazer com que os colaboradores acreditem que cumprir regras vale a pena e que todos ganham. Em se tratando de Brasil é uma mudança de paradigma enorme, já que não somos muito fadados a cumprir regras e assemelhados.

Pela vertente negativa do risco podemos de bate pronto destacar alguns deles:

    • Dano à reputação da organização e da marca;
    • Cassação da licença de operação;
    • Sanções às empresas e aos indivíduos (processo administrativo, criminal, multas e, até prisão).

Destaquei apenas três itens, mas que sozinhos ou relacionados fazem um barulho danado para a empresa, podendo até a descontinuar o negócio. Dado ao tamanho de cada um deles, o ROI do Compliance fica facilmente justificável e isso meus amigos Compliance Officer sabem perfeitamente.

De toda forma percebo claramente em contato com vários Compliance Officer que conheço que a tarefa não é das mais simples, muito pelo contrário, exige muita transpiração e inspiração no dia a dia. Uma dessas transpirações e inspirações que conheço é a interação, o relacionamento do Compliance com as outras áreas da empresa.

Várias áreas dentro da empresa estabelecem intersecções com a área de Compliance. Muitas atividades se conectam e se interagem. Dessa forma, as fronteiras de cada uma delas são uma linha tênue, causando retrabalho, dificultando o entendimento de respectivas funções. Daria um artigo único para falar desse assunto, mas vou pegar parte dele apenas.

A maioria dos regulamentos, normas, etc. nas quais o Compliance deve avaliar e procurar colocar a empresa em conformidade demanda algum tipo de ação, um projeto. Algumas dessas ações/projetos ficam a execução por conta da própria área, como, por exemplo, a prevenção e lavagem de dinheiro e combate à fraude. Outras ações/projetos podem ficar com diversas áreas, como as relacionadas com os temas da Segurança da Informação e o Plano de Continuidade de Negócios, por exemplo.

Já vi muitas resoluções sobre Segurança da Informação e Plano de Continuidade de Negócios, por exemplo, serem simplistas demais. Com isso o Compliance Officer, que não tem nenhuma obrigação de ser especialista no tema, pode ficar vendido. Ele vai precisar interagir com as áreas da empresa para tomar pé da conformidade com o tema e medir de alguma forma o risco do compliance.

Por exemplo, se o assunto for Plano de Continuidade de Negócios, ele pode ir até a área de TI ou de Segurança da Informação, que podem ser os responsáveis pela execução e manutenção do Plano, e colher informações sobre a situação atual. Pode ir ou checar com controles internos e/ou risco operacional para certificar o que a TI/SI falou…tem a auditoria interna também.

Claro, esse modus operandi é de cada um, de cada Compliance Officer, de cada empresa. Mas o que eu quero trazer a tona é a versatilidade, a destreza que o Compliance Officer e a sua equipe devem ter nessa circulação pela empresa. As coisas saem, fluem, colhem-se os resultados melhor se todos pudessem entender o que é trabalho do Compliance e o seu significado para os negócios. Certamente as interações que ocorrem devem acontecer com a maior assertividade possível.

Essa interação e comunicação devem ter em mente que o objetivo maior para o Compliance é a conquista da conformidade, mesmo com resoluções pouco detalhadas. Para essas resoluções existem algumas maneiras de medir o grau de atendimento. Tem a tal de “melhores práticas do mercado”, mas…uma que eu adoto é a aderência a normas nacionais/internacionais e arcabouços de institutos reconhecidos tanto aqui como lá fora. Com certeza aqui não há erro!

Se me permitirem, um insight. Além desse “marketing interno” do Compliance, a viabilidade da criação de uma Matriz de Responsabilidades entre determinadas áreas correlatas e o Compliance seria de bom tom. Áreas que possam criar um retrabalho ou alguma outra dificuldade para que o trabalho flua melhor e alcance os resultados desejados, aparece na elaboração da matriz e pode ser corrigido. Penso que agregaria…

Certamente vejo que nos próximos anos a demanda do Compliance deve crescer, mesmo nos segmentos que não possuem reguladores. Leis impostas de âmbito executivo federal como a Anticorrupção, a GDPR da União Europeia, entre outros, devem fazer com que segmentos que antes não olhavam para essa prática comecem a olhar. Esse é um ótimo caminho, e os profissionais que o escolheram agradecem!

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

A Segregação de Função não é um assunto que deveria interessar somente à Auditoria!

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Não sei quantos, mas certamente algumas pessoas que estão começando a ler esse artigo já se depararam com pontos de não conformidade com relação à falta do processo, falta da matriz de conflito da Segregação de Função? Quer seja pela auditoria interna, externa ou órgãos reguladores, o tema invariavelmente já bateu na porta de alguns. Entretanto, talvez, outra parcela de leitores ainda não teve que se preocupar com o tema, ou ainda não lhe chamou a atenção. De toda forma uma coisa é certa: a falta de atenção para com esse tema deve ser considerada bem crítica. Deve estar na agenda do Compliance, do Risco, da Segurança da Informação, TI, da Alta Administração, etc. Vamos procurar destrinchar esse assunto.

Mas, o que vem a ser a Segregação de Função?  Conhecida também no mercado e no meio acadêmico como SOD (Segregation of Duties), a SOD pode ser considerada um dos métodos que visa à redução de riscos deliberado ou proposital, quando o exercício de funções administrativas se mostram potencialmente conflitantes em sua cadeia produtiva, capazes de interferir nas tomadas de decisões. É necessária, portanto, a separação, o apartamento das funções a serem executadas, quando se apresentarem antagônicas, isto é, se exercidas cumulativamente forem capazes de interferir na produção das informações ou dos serviços. Logo, a SOD é princípio básico e primordial de um sistema de controle interno, estruturado na separação de funções.

A questão principal é procurar evitar o Conflito de Interesse entre as funções. A ideia de que um dado colaborador em uma dada função não deve exercer atividades conflitantes, segundo o princípio e atributos da SOD, tem como objetivo a mitigação do risco de um ato ilícito, como uma fraude, a ser praticado por tal colaborador no exercício de sua função.

A coisa fica mais simples de entender quando exemplificamos. Vamos pegar uma pequena empresa onde trabalham oito pessoas (dois sócios e seis funcionários). Nessa empresa existe um processo de Compras, onde um dos funcionários foi destacado para cuidar do processo como um todo. Esse funcionário, pela condição da empresa de poucos funcionários, seleciona fornecedores, cadastra, escolhe fornecedores para uma compra, realiza a cotação, leva as propostas para um dos sócios aprovar, e pronto, sai o fornecedor vencedor. Tem problema? Sim, claro! Mas a aprovação do fornecedor não é realizada por um dos sócios? Sim, é. Então, não temos problema, pois é o sócio quem escolhe? É, ledo engano. Isso ocorre aos montes em pequenas empresas, poderia até afirmar que em algumas para lá de pequena.

Onde está o risco nesse simples exemplo? O funcionário realiza atividades conflitantes e daí pode surgir o ilícito. Ele poderia até selecionar e cadastrar fornecedores, desde que existam critérios para tal, mas o recebimento das propostas, pelo menos, deveria ser endereçado com cópia a um dos sócios, que autorizaria o funcionário a elaborar uma planilha final, com critérios técnicos e comerciais previamente estabelecidos, e elaborada a planilha, entregaria ao sócio responsável para a decisão final. Parece simples, sim, e é simples, mas…

No exemplo fica claro que apartar atividades conflitantes mitiga e muito o risco de alguém que esteja mal-intencionado. Se todas as atividades que citei fossem deixadas na mão de um único funcionário, a possibilidade de um conluio com algum fornecedor era simples de se praticar. Isso entre tantas outras possibilidades de dano à empresa.

Normalmente se fala muito de SOD apenas para as áreas financeira e contábil, o que se trata de uma falha. Todas as áreas da empresa devem ser avaliadas e uma matriz de conflitos de SOD deve ser realizada para cada uma das áreas. Nessa matriz devem ser selecionados atributos de SOD, que podem e normalmente são diferentes entre as áreas, mas o resultado objetivado ao final é o mesmo: avaliar onde está havendo o Conflito de Interesse entre as funções.

É claro que existem áreas na empresa mais críticas do que outras, como a financeira, contábil, compras, TI, etc. O risco de uma fraude e quaisquer outros atos ilícitos nessas áreas produz um estrago bem maior do que em áreas menos crítica. De toda forma, cada empresa deve saber quais áreas são mais críticas e quais são menos críticas.

Para melhor entender e tratar os conflitos existentes em uma matriz SOD é avaliar sob a ótica do risco. Onde for identificado Conflitos de interesse na matriz deve ter o risco identificado e o potencial impacto advindo dele. Dessa forma, torna-se possível pensar e estruturar controles que possam mitiga-lo.

No exemplo do funcionário de Compras que usei nesse artigo, um simples controle de mitigação escolhido foi o de segregar algumas atividades do processo de compras ao sócio da empresa; mesmo assim, algum risco residual ficou, por conta de o funcionário realizar algumas atividades que possam gerar algum conflito de interesse e provocar algum dano.

Mas nem sempre é possível apartar atividades de um dado processo para outros funcionários ou até para o dono da empresa, mesmo porque, atividades até apartadas entre funcionários tem um risco residual clássico em função de tais funcionários estarem associados “para o mal”. Isso nos remete a ideia de que geralmente outros controles, além do apartamento das funções, devem ser pensados e colocados em prática para diminuir ao máximo o risco residual.

 Controles preventivos e detectivos devem ser pensados e implantados, dentro de um balanço apropriado. Não existe uma regra de quantos controles devem ser implantados para cada conflito identificado, mas sempre que possível, mais que um é sempre bem-vindo. Sabemos, entretanto, que quantidade não é qualidade, onde um controle bem desenhado e implantado e que reduz efetivamente um risco de conflito, é melhor do que dez sem nenhuma efetividade.

A coisa pode ficar pior quando juntarmos a matriz de conflito SOD com o perfil de acesso à sistemas informáticos de uma dada função. Certamente encontramos os conflitos de SOD da matriz nas permissões de acesso de dado perfil e/ou dado usuário (função do modelo de concessão de acesso da empresa) à sistemas informáticos. Se essas atividades conflitantes, mostradas em um “papel”, por meio de uma matriz, se refletem no âmbito da TI, a coisa já ruim, fica bem pior.

Falta de segregação, falta de visão do risco para conflitos de interesse, falta de controles mitigatórios aliado a permissões de acesso, além do necessário para uma dada função, é pedir para ser impactado por um ato danoso. Claro que não acontece na profusão pelas possibilidades geradas, até porque existe muita gente honesta, mas é dar muita sopa para o azar, ah, isso é.

Está aí exposto um pouco da preocupação de auditoria, reguladores e outros. A SOD, com sua matriz de conflitos e processo, seus riscos associados, e o excesso de privilégios concedidos às mesmas funções da matriz SOD é um assunto quase que absolutamente esquecido nas empresas em geral, a não ser que o chato do auditor solicite. De uma vez por todas é importantíssimo entender que esse assunto é a fonte de inúmeros incidentes com grande materialidade nas empresas, e isso é facilmente comprovado quando a coisa acontece e investigamos o porquê de ter ocorrido. Então se eu tivesse que dar um conselho e encerrasse o artigo faria da seguinte forma:

- Construa uma matriz SOD com os conflitos apontados (em todas as áreas);
- Avalie um a um de forma específica, os riscos e impactos de cada um dos conflitos de interesse;
- Selecione e implante controles de mitigação preventivos e detectivos;
- Encontre o risco residual no qual sua empresa sinta-se confortável;
- Veja sempre a possibilidade de apartar as funções, com uma possibilidade, redesenhando o job description da mesma.
- Avalie os perfis de acesso se eles refletem os conflitos de sua matriz SOD;
- Produza uma reengenharia em seus perfis de acesso para redução de riscos.

Então, mãos à obra!

Até a próxima.

___________________________________________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP.
Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA.
E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

Os riscos de um processo de acesso lógico sem planejamento.

enigma.consultoria Sem categoria Leave a comment   , ,

(*) Mário Sérgio Ribeiro

 

… Infelizmente tenho que informar que o risco de você demitir alguém é alto. Como? Isso mesmo, demitir alguém é risco alto em sua empresa!

Não se trata de nenhum terrorismo, mas é a história e a situação em que várias empresas já se encontraram. E do outro lado a pergunta, mas como você chegou a essa conclusão?

Vejamos. Por meio de várias pistas que aparecem ao colaborador, uma boa parcela deles desconfia que esteja entrando na marca do pênalti. Muitos gestores fornecem essa pista, mudando seu comportamento, muita fofoca ocorre, e hoje, muita informação, com dicas para empregados saberem se estão na lista negra circula pela Internet em sites especializados.

O ser humano reage de forma diferente diante de uma situação como essa. Uma parcela começa a procurar outro lugar para se colocar antes que seja pego de surpresa; outra, entretanto, acredita que alguma coisa seja devido a ele, que se trata de uma injustiça, e é essa a situação em mora o perigo.

Essa parcela de colaboradores chamada “do mal” acaba entrando no conhecido triângulo de Cressey, e racionaliza que algo é devido a ele e que precisa fazer justiça de alguma forma. O resto fica por conta da motivação/pressão que ele tem de sobra dentro desse contexto e, por último, onde eu queria chegar, a oportunidade.

Essa tal oportunidade é fornecida pela empresa, em seu desestruturado, ou melhor, desastroso processo de acesso a sistemas de informação. Com privilégios e mais privilégios sem qualquer análise, com total falta de controle e tudo o mais que se tem direito, esse colaborador “do mal” devidamente motivado, pode se apoderar de informações altamente sensíveis. Pois bem, está feito. Divulga onde não devia, vende para quem pagar, e por aí vai a lista de estrago que ele pode trazer para a sua ex-empresa, com as informações que teve acesso e que de alguma forma a armazenou.

A Alta Administração na situação citada relutam um pouco em aceitar, mas enxergam o risco e o tamanho do estrago que pode ocorrer. Ser humano é ser humano, é da natureza a possibilidade do erro!

E o porquê de algo tão impactante e para alguns, podendo soar como surreal? A resposta é por conta de uma causa simples: um processo de acesso a sistemas de informação desestruturado, sem planejamento, sem noção do risco, isto é, quando o tem.

A falta ou o processo de acesso a sistemas de informação planejados e executados de forma desestruturado, sem ater as consequências da coisa malfeita, pode dar a chance de pessoas que não deviam ver, alterar ou excluir o dado/informação o façam.

Todos sabemos o quanto o mundo corporativo de hoje está completamente informatizado e dependente da Tecnologia da Informação (TI). Difícil encontrar algum processo de negócio que não tenha a TI envolvida, e claro, como consequência, o ser humano como seu usuário principal. Nessa linha que vivemos, as empresas de todo tamanho são obrigadas a responder à questão: que dado/informação os colaboradores podem acessar? Quais softwares e sistemas informáticos devo disponibilizar para os usuários da empresa realizarem suas atividades? Que política, critérios e métodos devem ser utilizados para mitigar o risco de disponibilizar mais do que o necessário e poder ter consequências nada agradáveis?

Os processos de negócios das empresas, com suas atividades e tarefas definidas, os inter-relacionamentos entre as diversas áreas, estão todos entrincheirados sobre a batuta da TI com seus dispositivos computacionais, seus aplicativos e sistemas informáticos. Os dados e as informações que compõem todo esse universo precisam ser criados, manuseados, transportados, armazenados e descartados, em uma clara obediência ao ciclo de vida da informação. É assim que as coisas ocorrem e esse é o contexto na qual vivemos.

Uma empresa precisa dispor de pessoas para desempenhar o que convencionamos chamar de funções de trabalho. Essas funções de trabalho estão atreladas a um cargo, a uma posição que a pessoa assume na empresa. A empresa espera que no desempenho de suas funções a pessoa contribua para o alcance das metas e resultados previstos em seu planejamento. E hoje, mais do que nunca, as atividades a serem desempenhadas pelas funções de trabalho tem uma total dependência de dispositivos computacionais.

Nesse contexto de um mundo quase que, ou, totalmente dependente da TI, torna-se necessário que as empresas definam quais dados e informações que seus colaboradores possam ter acesso, para que desempenhem suas funções no atendimento aos anseios projetados pela empresa e, que esse acesso, seja concedido de forma que sejam minimizados riscos.

E que riscos são esses? São riscos de natureza intencional ou não intencional. Pela concessão de acessos a dados e informações acima da necessidade que o colaborador tem para realizar suas funções, ele pode utilizar esses privilégios oferecidos pela empresa e perpetrar os mais variados atos ilícitos, como por exemplo, se apoderar de informações de dada criticidade e “oferecer” a potenciais interessados. Essa é uma ação intencional.

Apesar de existir uma linha tênue entre uma ação intencional e uma não intencional, um exemplo de uma não intencionalidade é o colaborador transmitir uma informação sensível, na qual não se deveria ter sido fornecido acesso a ele, para alguém interessado (interno ou externo da empresa). Essa informação transmitida pode trazer consequências de magnitude severa à empresa.

Uma das principais premissas que deve ser observada e utilizada para mitigar riscos como o mencionado e dentro do tema em questão é utilizar o conceito do Menor Privilégio:

Menor privilégio é a prática administrativa consagrada seletivamente de atribuir permissão para usuários, de tal forma que, ao usuário, não seja fornecida permissão além daquela necessária para desempenhar sua função de trabalho. Garantir aderência ao princípio do menor privilégio é um grande desafio administrativo que requer a identificação das funções de trabalho, a especificação da série de permissões requeridas para desenvolver essas funções e a restrição do usuário para um domínio com tais privilégios.

A prática do Menor Privilégio independe do tamanho da empresa, sua quantidade de usuários e de sistemas informáticos. O que deve prevalecer é bem claro aqui: as permissões de acesso devem ser concedidas dentro dos limites do que é necessário para o colaborador desempenhar sua função, suas atividades, nada a mais, nada a menos.

Uma outra prática importante é a instituição da segregação de funções, que deve ter uma matriz elaborada e implantada e levada para o acesso lógico, com a segregação de acesso a sistemas informáticos.

Lendo o que coloquei parece algo absolutamente óbvio e simples de se executar, disse bem, parece…. Esse é o caso, na teoria é uma coisa e na prática outra. Independentemente do tamanho da empresa se não houver compromisso do andar de cima, com falas e atos, sem admitir qualquer “carteirada”, venha de onde vier, além de política e normas que se façam cumprir, com sansões explícitas, a coisa não começa muito bem…e deve invariavelmente terminar mal.

Na vida empresarial não são poucas as exceções que quebram regulamentos e regras estabelecidas, com justificativas sem fundamento e valor para o negócio. Exceções que na grande maioria das vezes elevam mais ainda o risco, sem agregar ao negócio da empresa e no atingimento de metas estabelecidas. Trata-se de riscos assumidos e de forma absolutamente desnecessária.

Mas então, por onde começar? O que deve ser pensado para que riscos desnecessários não sejam assumidos e que seja fornecido o acesso devido para que os colaboradores realizem suas atividades? Essas são pelo menos duas das variadas perguntas que bate na cabeça daqueles que tenham que tratar do assunto. Vejamos algumas atividades macro que podem ser cumpridas pela empresa:

  • Ter uma Política de Segurança da Informação atualizada que seja suporte para uma norma complementar de controle de acesso lógico;
  • Criar e/ou definir uma área/subárea que gerencie o acesso lógico/sistemas informáticos;
  • Criar e implantar uma Norma de Acesso e controle a dados e informações;
  • Elaborar a matriz de segregação de função e implantando em sistemas informáticos;
  • Definição de uma metodologia adequada de Acesso e controle lógico a sistemas informáticos;
  • Criação do processo de concessão, manutenção e exclusão do acesso a sistemas informáticos;
  • Monitoramento e revisão periódica dos processos e dos riscos relacionados.

Essas atividades macro são independentes do tamanho da empresa. São as que costumamos chamar de boas práticas e se aplica a toda e qualquer empresa. O que varia, e isso é absolutamente correto, é, por exemplo, o método de concessão e revisão de acesso em uma pequena empresa e uma grande empresa. Enquanto a pequena pode basear sua concessão por usuário, na grande já se torna obrigatória fazê-lo por funções.

Como indicamos, para iniciar é necessário que haja uma Política de Segurança da Informação (PSI) devidamente implantada e “no sangue” dos colaboradores da empresa. Normalmente encontramos PSI que parece mais um romance, com inúmeras páginas, quando na verdade uma PSI deve ter no máximo três páginas, quando muito. Além de outras “virtudes” uma PSI deve servir de suporte para uma norma complementar de controle de acesso lógico que deve ser escrita e implantada.

Um outro ponto importante é a necessidade se ter definido uma área que seja responsável em gerenciar o acesso a dispositivos e sistemas informáticos, ou como se convencionou chamar, Controle de Acesso Lógico, o que é mais abrangente. Interessante essa área estar dentro do Security Office da empresa. Como qualquer área, deve ter seus propósitos definidos, seus colaboradores especializados e processos estabelecidos. Lembrar que a função de gestão aqui envolve os processos de concessão, manutenção e exclusão dos usuários de TI. Além disso, deve a área exercer a devida Governança munida de métricas e indicadores estabelecidos.

Em seguida e com a participação da área responsável de Controle de Acesso Lógico, deve ser elaborada e estabelecida uma Norma que defina como se dará o acesso e o seu controle aos dados e informações, que estão sob a custódia da Tecnologia da Informação. Isso é fundamental! Essa Norma deve trazer no mínimo o escopo, a abrangência, o propósito, as diretrizes e as sanções para quem descumprir o que estiver estabelecido. Uma Norma é o guia, aquilo que a empresa julga que deva ser cumprido para um assunto específico e de importância.

O passo seguinte é definir qual a metodologia de Controle de Acesso a sistemas informáticos que deve ser implantada. Algumas das várias abordagens utilizadas no mercado são:

  • Baseado no Usuário;
  • Baseado em Política;
  • Baseado em Funções.

Baseado no Usuário

Nessa abordagem, direitos de acesso são autorizados diretamente para um usuário ou grupos de usuários, muitas vezes, por exemplo, com o uso de ACLs (listas de controle de acesso) para recursos de rede e controle de acesso discricionário (DAC) e mandatório (MAC).

Aqui, os usuários têm garantido acesso aos recursos de sistemas e aplicações por meio de regras de acesso discretas que especificam o nível de autorização de usuários para recursos específicos ou grupos de recursos (arquivos de dados ou aplicações, por exemplo). Para organizações que tenham poucos sistemas (20 no máximo) e são relativamente pequenas (100 funcionários) e uma população de usuários estáveis, as despesas administrativas associadas com esse tipo de controle de acesso/perfis é aceitável.

Entretanto, com organizações médias e grandes e em crescimento, o número de usuários aumenta e os sistemas se multiplicam. Manter a segurança de acesso usando essa abordagem torna-se um desafio administrativo devido ao significativo nível de manutenção que deve ser desenvolvido. Por exemplo, quando um novo colaborador é contratado, os requerimentos de permissões de usuários necessitarão ser definidos nas regras de acesso para múltiplos sistemas e aplicações.

 

Baseado em Política

Neste modelo regras organizacionais são usadas com informação do atributo do usuário para determinado controle de acesso. Por exemplo, uma regra pode definir que um usuário tenha código de localização X e função Y para completar uma transação Z.

 

Baseado em Funções

Diferente do baseado em usuário, neste método o usuário estará incluído em um ou mais perfis funcionais. RBAC (Role Based Access Control) é definido como um método que aplica e gerencia o controle de acesso por meio do uso de componentes intermediários (funções) entre usuários e privilégios. O modelo básico preconizado pelo NIST (National Institute of Standards and Technology) é composto por três componentes distintos: usuários, funções e privilégios ou permissões.

No ambiente RBAC usuários ganham acesso aos recursos de TI por estarem associados com um apropriado perfil empresarial. Para um novo usuário, as responsabilidades de seu trabalho devem estar identificadas e então o perfil que corresponde aquelas responsabilidades deve ser conectado ao ID do novo colaborador/usuário.

O modelo RBAC considera ambas, as funções do negócio e as responsabilidades organizacionais, e permite as organizações estabelecerem uma série de direitos de acessos necessários para indivíduos desenvolverem suas responsabilidades requeridas por seu cargo, entre esses indivíduos estão empregados, clientes ou parceiros de negócios.

Trata-se de um modelo ideal para médias e grandes corporações, que tem um número razoável de funções em seu recurso humano e sistemas informáticos em operação. São inúmeros os benefícios desse método, mas deve-se estar consciente de que não é um projeto simples de ser implantado, demandando a participação de várias áreas da empresa. O RBAC é o método que permite a implantação do conceito de gestão de identidade e a possibilidade da implantação do SSO (single sign on), da senha única ao invés de inúmeras senhas.

Escolhida a metodologia é fundamental mapear e modelar o processo de concessão, revisão e exclusão do acesso lógico a sistemas informáticos. Nesse mapeamento e modelamento a empresa tem definido como quer que o processo, em todas as suas etapas, seja devidamente cumprido por todos.

E por último o Monitoramento do processo e dos riscos associados. Disciplina quase sempre esquecida, o monitoramento do processo e dos riscos associados ao tema deve trazer métricas e indicadores que possibilitem à empresa avaliar, corrigir/melhorar o rumo do que ocorre.

Em diversos projetos que desenvolvi do tema em questão, ficou a lição de que o fator chave de sucesso aqui é a visão mais detalhada possível que a Alta Administração da empresa deva ter com os riscos que estão atrelados ao tema. Essa visão deve estar refletida nas políticas e normas que a mesma referenda e, em quanto ela insere em sua agenda a cobrança da área responsável de indicadores, que reflitam periodicamente incidentes e riscos associados a questão.

Não se trata de um assunto especificamente do security office ou da TI da empresa, estamos falando de um risco corporativo. Um tema dessa magnitude tratado com certa displicência pode trazer consequências até catastróficas para a empresa, ou o receio permanente de demitir alguém! É bom abrir bem o olho!

 

Até a próxima!

 

_______________________________________________________________

(*) 57 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

As pessoas, seus novos hábitos, costumes e comportamentos e a segurança das informações.

enigma.consultoria Sem categoria Leave a comment   , , , , ,

Mário Sérgio Ribeiro (*)

Se você parou para pensar e refletir um pouco sobre o que vem acontecendo no dia a dia deve ter notado o quanto as relações e comportamentos das pessoas têm mudado e a velocidade que isso tem acontecido. É fato! A Tecnologia da informação e comunicação tem patrocinado mudanças significativas no modo de as pessoas se relacionarem, se comunicarem. Essas mudanças criam novos hábitos, comportamentos, muda a forma de as pessoas se relacionarem com o mundo exterior. Nesse contexto eu pergunto: como as empresas, que têm como principal ativo Pessoas, tem percebido e encarado essas transformações? Como essas mudanças podem afetar o ambiente corporativo e colocar em risco o outro ativo, o segundo em importância, as informações corporativas.

 

A tecnologia e comunicação nos últimos dez anos se tornou o principal catalisador na mudança de hábitos e comportamentos das pessoas. Celular que virou computador com internet e máquina fotográfica, velocidade maior pela rede, meios instantâneos de se comunicar, como o falecido Orkut, o viciante facebook, instagram, twitter, o mais novo e conquistador com o nome de WhatsApp, ou zap zap como brasileiro gosta de chamar. Alguns têm falado que o tal e-mail já coisa do passado, é para Tiozão!!!

 

Enquanto escrevia esse artigo li uma pesquisa saindo no portal da UOL. A manchete dizia que 75% dos casais brasileiros se comunicavam via WhatsApp, sendo esse o principal meio de comunicação escolhido. As mulheres o utilizam mais do que o homem e muitas falaram que não sabiam dizer quantas vezes o fazem por dia, sabiam apenas que eram muitas, muitas comunicações com seus amados.

 

Mais uma constatação a uma máxima que eu e você já sabemos: trocamos literalmente a fala, mesmo por telefone, não precisa ser mais aquela olho no olho, pelas palavras. Os casais não se falam mais, imagem os outros. Se já pelo telefone a coisa é fria, imagina por palavras…

 

O povo brasileiro gosta de se comunicar, de interagir. Hoje temos mais celular do que aparelhos fixos. Alguém poderia imaginar algo assim? Essa gama de dispositivos tecnológicos e de comunicação, aliado às “invenções” para popular esses dispositivos, mudou alguns paradigmas. Por exemplo, que tal pensarmos o que as pessoas fizeram com a sua privacidade?

 

A partir do lançamento do Orkut e posteriormente do microblog Twitter, até os Instagrams da vida, as pessoas tiveram a possibilidade de se expor, se expuseram, e como vem se expondo!! Se pensarmos que a onda pegou a partir do uso maciço por pessoas públicas (artistas, celebridades e pseudo-celebridades, políticos…) que passaram a utilizar as primeiras redes sociais e o Twitter para se expor, até porque vivem dessa exposição, pessoas comuns gostaram da ideia e foram à luta. Vejam que quase 2 bilhões de pessoas usam o facebook.

 

O que é fato aqui, é que a tal preservação da privacidade é, em muitos exemplos, banida pela própria pessoa. Quantos e quantos casos tomamos conhecimento pela mídia onde o culpado foi a quebra da privacidade patrocinada pela própria vítima? E pior, vários deles com consequências catastróficas.

 

Não quero e nem pretendo entrar na discussão psicológica, sociológica e até antropológica do tema, mas é inegável que as pessoas de uma maneira geral estão se expondo e expondo seus familiares, em muitos casos de forma perigosa. Diante de tantos alertas e casos mostrados as pessoas continuam a quebrar sua privacidade se escorando em alicerces pouco seguros como: somente meus amigos me veem, não compartilho com quem não conheço, e por aí vai…De uma vez por todas as pessoas precisam entender que a melhor segurança é aquela que avalia o valor da informação antes de praticar qualquer ato. E esse parece ser um dos Xs da questão.

 

Quando faço minhas palestras de conscientização em segurança da informação nas empresas e coloco o tema sob a ótica pessoal/familiar e não somente corporativa, as pessoas parecem tomar um clic. E a coisa esquenta quando, por meio de uma dúzia de casos e de situações de risco, demonstro o que a pessoa pode estar fazendo com a sua segurança e de seus próximos.

Parece que definitivamente só se toma consciência quando partimos para um discurso um pouco mais duro, quando mostramos que antes de qualquer coisa avalie-se o VALOR da informação e as consequências de seu compartilhamento antes de tomar qualquer decisão.

Essas mudanças e transformações que vem ocorrendo no modo como as pessoas tem tocado suas vidas, mais uma vez como falei, patrocinado e muito pela tecnologia e comunicação, não há como não fazer uma relação com o ambiente do trabalho. As pessoas estão diferentes do que eram anos atrás com a incorporação desses novos hábitos, costumes e comportamentos querendo e/ou não querendo levando-os para dentro da empresa.

Ninguém sai de casa para trabalhar e diz para seus hábitos, costumes e comportamentos o seguinte: ei, vocês, fiquem quietinhos aí em casa que agora eu vou levar outros hábitos, costumes e comportamentos para ir trabalhar comigo? Alguém faz essa dissociação? Você e sua empresa já pensaram sobre isso?

Para os que não pensaram ou desacreditam nessa questão, poderia listar aqui uma série de ameaças e probabilidades que podem se transformar em impactos indesejáveis para a empresa, e ajudar a mudar de opinião.

Por exemplo, aliado a tais mudanças e o elevado poder dos “celulares” de hoje em dia, podemos pensar em alguém com alguma intenção, bater fotos de tela, de documentos que não deveriam ter acesso e de alguma forma tiveram e bum, em um clic, jogar onde quiser tais informações, inclusive na concorrência.

Para o caso dos não intencionados, alguma foto da equipe de trabalho em uma festinha de aniversário, com tela de computador aberta ao fundo, documentos sobre a mesa, etc.

Comentários públicos da empresa com o intuito de se gabar, tentando aumentar sua escala de valores como uma pessoa importante…É, a lista pode ser imensa.

 

OK, mas o que e como fazer com a questão?

Em primeiro lugar e de forma clara você precisa entender e aceitar esse novo contexto em nossas vidas. Não há como mudar o curso onde a maioria deseja levar. Em segundo lugar precisa ter em mente que, em se tratando de ambiente de trabalho, na segurança das informações corporativas, são as Pessoas o ativo mais importante. Elas são o agente da ameaça, que é aquele sujeito que perpetra uma ameaça explorando vulnerabilidades existentes.

 

Entendendo e aceitando essas duas ponderações é necessário arregaçar as mangas e agir. Agir no sentido de reduzir o risco das possíveis consequências. Essa ação demandará identificar e implantar controles que possam levar a um risco residual aceitável para a empresa.

 

Sei que muito provavelmente vários desses controles você deve tê-lo implantado na empresa. Modelos de contratação que olhem para o SER Políticas, Normas, Códigos, controles de acesso físico, lógico, PLRs, etc. devem fazer parte desse rol de controles. Ok. Mas uma rápida e simples pergunta que faço: eles permanecem operando de forma a deixar o risco residual no patamar que se julgou aceitável? Todo o controle deve ter uma espécie de “memorial descritivo” e será que o tal memorial descritivo continua a ser atendido?

 

Ainda nessa linha, será que foi pensado nos devidos controles para mitigar o risco Pessoas nesse novo contexto que ponderei? Não faltou ou não falta nada? Digo isso porque normalmente encontro a falta de alguns controles importantes, como o Programa de Conscientização e Educação em Segurança da Informação, Antifraudes e ilícitos semelhantes. O seu programa de conscientização, caso você o tenha e o execute de forma continuada, anda acompanhando essas mudanças e transformações comentadas nesse artigo?

 

Julgo o Programa de Conscientização um dos controles mais eficazes nessa luta pela mitigação dos riscos com a segurança das informações corporativas e assemelhados. Aumenta sua importância com esses tempos bicudos e de mudanças e transformações citadas. Mas existem limitações em sua eficácia quando não for devidamente planejado e implantado.

 

É fundamental que um programa desses tenha em seu planejamento a ideia de que ele não é para ser feito uma vez na vida e outro na morte. Um dos atributos de sua eficácia é a sua continuidade. Sua execução deve acontecer ao longo do ano, e não somente com uma palestra e pronto. Isso funciona em pequena escala, não colocando o risco em um patamar residual que desejamos. Pense nisso.

 

Como conclusão gostaria de deixar uma reflexão. O mundo tem se transformado diariamente e em uma velocidade que não percebemos, que não temos tido tempo para parar e pensar no que está ocorrendo. E nessa linha, são as Pessoas que estão conduzindo essas transformações e vivenciando o que há de bom e também o que há de ruim. Já falado, somos vítimas ou felizardos de nossos atos e também dos outros. As transformações nos hábitos, costumes e comportamentos das Pessoas têm alterado diariamente os riscos associados. Digo isso olhando para todos os lados, e não mais somente para um pequeno pedaço dele que tratei nesse artigo. Que possamos ter sabedoria e paciência para entender o que se passa, e procurar sempre as melhores formas de vivermos felizes e tentar ajudar os outros a também o ser!

 

Até a próxima!

 

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

O ROI em Fraudes e ameaças semelhantes (28out2013)

enigma.consultoria Sem categoria Leave a comment   , ,

Por Mário Sérgio Ribeiro (*)

Há alguns dias atrás ministrei uma palestra patrocinada pelo CPqD e IBM na sede da IBM em Belo Horizonte. O tema era Prevenção e Combate de Fraudes Corporativas. Na mesa redonda ao final do evento, com a participação de outros palestrantes e moderadores, veio uma pergunta: como demonstrar o ROI de projetos de prevenção e combate de Fraudes? É possível? O ROI como se conhece e que é utilizado em investimentos de vários tipos, ah, esse ROI não é possível demonstrar. Entretanto, há “uma luz no final do túnel” e essa luz, dentro de minha visão, é a que eu vou procurar trazer nesse artigo.

Vamos alinhar nosso contexto. Vamos procurar uma maneira de encontrar um retorno sobre o investimento para que fraudes corporativas, corrupção, lavagem de dinheiro, vazamento de informação, roubo de identidade, etc., não ocorram, ou, que se possa detectá-las antes que uma perda material (impacto financeiro) e/ou um dano à imagem e reputação (impacto não financeiro) ocorram.

O conceito simplificado de ROI que se conhece é encontrado fazendo: o ganho a ser obtido (em termos monetários, com o investimento que deve ser realizado) dividido pela quantia gasta com o investimento x 100; com isso extraímos o ROI em um formato percentual. Para o nosso contexto a questão que não se cala é simples: que ganhos são esses, considerando que o tema do ROI que pretendemos encontrar não existe os ganhos expressos no numerador da sentença matemática como entendemos, mas sim “evitar ou mitigar prejuízos” que porventura possamos ter? Pensar dessa forma é acreditar no risco dos eventos de nosso rol de ameaças: fraudes, corrupção, lavagem de dinheiro…lista grande!

OK. Se a Alta Administração de sua empresa não acredita nessa história de riscos, que os riscos dessas ameaças não existem na empresa, etc., tudo bem, tente achar outro meio de convencê-los. Talvez eles sejam daqueles onde tenha que ocorrer uma fraude de R$ 1 milhão, para pensarem em começar a investir, ou ainda, apostam no chamado “benefício da imprevidência”, onde um dado percentual de fraude é tolerada pela Alta Administração da empresa por conta de supostos ganhos com ela, claro, maiores do que o valor das fraudes. É incrível, mas isso acontece em várias empresas. Mas enfim, se por outro lado eles acreditam que os riscos dessas ameaças podem ocorrer e trazerem impactos que podem prejudicar os objetivos organizacionais da empresa, então podemos “tocar o barco” com nosso modelo.

Então, em nosso modelo de ROI temos a premissa de que é necessário identificarmos o risco da fraude, mensurarmos o seu valor, definirmos uma resposta ao risco encontrado, implantar essa resposta e monitorar esse risco e sua dinâmica. Nessa cadeia simplificada, que também atende pelo nome de gestão do risco, a resposta ao risco encontrado tem sempre investimentos a serem feitos – a não ser que se opte por aceitá-los – e o que espero com esses investimentos é que o risco que sobra, o risco conhecido como residual, seja menor ou igual ao risco antes da resposta. Esse risco residual é aquele que eu aceito, que eu suporto ter como perda por conta de sua ocorrência.

Pois bem, então o tal ROI que procuramos está na capacidade de encontrarmos a resposta mais otimizada ao possível risco, logo, com o investimento mais otimizado, que me possibilite chegar a um risco residual que a empresa considere desejável. Lembrando que se esse risco acontecer de se manifestar é aquele que eu aceitei como perda em face dos investimentos que fiz. Então, a partir do conhecimento e aceite desse risco residual que encontrei, o ROI ideal é aquele na qual não há manifestação desse risco residual, ou, se houver, que ele tenha uma perda menor ou igual ao risco residual aceito. Se você concorda com essa afirmação, saiba que ela é bonita no papel, mas não é tão simples de ser executada. Por quê? Vejamos a seguir.

Construir o Mapa de Risco da Fraude.

Para um escopo e abrangência definidos pelo projeto, a construção do Mapa do Risco da Fraude envolve identificar os riscos do mesmo. Suponhamos que eu tenha como escopo o Mapeamento do Risco da Fraude Interna na área de Compras de uma dada empresa. Olhando os elementos Processos, TI, Pessoas e Infraestrutura física da área em questão, devo desmembrar minha ameaça Fraude Interna em categorias, levantar as vulnerabilidades e controles existentes, a eficácia desses controles, o agente de ameaça interno (comprador, por exemplo) e/ou um agente de ameaça externo (fornecedor, por exemplo) e a partir daí, descrever o risco, isso mesmo, fazer uma descrição do risco.

 Mensuração do Mapa de Risco elaborado.

Essa etapa seria motivo de mais de um artigo, é nevrálgica, mas vou resumir para nosso intento. Medir o risco envolve escolher entre várias abordagens disponíveis na literatura. O que você precisa encontrar aqui é o risco expresso em valores monetários. Por quê? Porque fica mais fácil convencer quem “assina o cheque” do investimento a fazê-lo. Que investimento? Em medidas de controle, por exemplo, que é uma das quatro respostas possíveis a um dado risco mensurado: reduzir (com controles), aceitar, transferir/financiar e evitar. Se você apresenta o risco de forma qualitativa (Alto, Médio, Baixo) e depois fala que precisa de R$ 150 mil para implantar uma dada ferramenta de controle, o cara que assina o cheque pergunta: “mas esse Alto que você mensurou para o risco é de quanto ($)?”. Entre as várias formas de calcular o Risco, a mais conhecida é aquela que multiplica a Probabilidade pelo Impacto. Outro “calcanhar de Aquiles” nessa mensuração é determinar a chance do risco ocorrer, o que chamamos de Probabilidade, e que muitos investimentos não saem, pois essa chance de ocorrer não foi devidamente fundamentada.

 Sem querer aprofundar a discussão acerca do conceito de Probabilidade nesse contexto da estimativa do Risco, julgo importante discutir a questão que sempre é colocada da subjetividade na determinação da Probabilidade.

 É possível determinar com boa assertividade a chance de um dado evento ocorrer causando impactos à empresa. Há uma série de requisitos e critérios que podem e devem ser estabelecidos que contribuam para essa assertividade na determinação da probabilidade. Veja esse exemplo hipotético:

- Suponhamos uma sala de certa empresa que guarda uma série de projetos em papel altamente inovadores e que tem como estimativa de valor a continuidade das operações da própria empresa. Pois bem, vejamos dois cenários. No cenário 1, o acesso físico a essa sala tem como barreira uma porta trancada com uma chave normal que fica dentro de um armário no corredor. Em um cenário 2, o acesso à essa sala é por meio de uma tripla autenticação colocada do lado da porta de acesso. Essa tripla autenticação envolve senha, token e biometria. Além dessa tripla autenticação, ao adentrar a sala, há a existência de um sistema CFTV que monitora as atividades no seu interior em tempo real. E mais um dado: ainda não houve nenhum incidente de violação do acesso físico à sala que trouxesse algum dano à empresa, como o roubo de um dos projetos; entretanto, estudo recente do Comportamento Organizacional revela um descontentamento generalizado dos colaboradores com uma série de itens, como salário, benefícios, plano de carreira, etc.

 Questão: apenas com os dados que passei, se você tivesse que estimar a chance (probabilidade) de alguém, que indevidamente pudesse acessar a sala e roubar um ou vários projetos, diria que em quais dos dois cenários essa chance é maior, mesmo sabendo que nunca ocorreu nenhum incidente?

 Sem pestanejar certamente você respondeu o Cenário 1. E por que fez isso? De forma simples deve ter pensado comparando os dois cenários, que os controles que mitigam o risco no cenário 1 de alguém indevidamente adentrar na sala e roubar os projetos é muito inferior do que os controles instalados no cenário 2. O cenário 1 proporciona inúmeras oportunidades para que o perpetrador consiga seu intento. As oportunidades que o perpetrador vislumbra ocorrem pelas vulnerabilidades que ele percebe existirem.

 Então, não é suficiente somente levar em conta ao determinar a chance de ocorrência quando se procura estimar um risco, olhar apenas para a estatística de acontecimentos. No risco operacional devemos levar em conta uma série de requisitos, além do estatístico, como vulnerabilidades, eficácia de controles, estudo do Clima Organizacional, etc., que aumenta a minha assertividade na determinação da chance de ocorrência.

 Quanto aos impactos, eles podem se apresentar de duas formas: o financeiro e o não financeiro. O financeiro é aquele que de forma direta pega no bolso da empresa. Em termos de uma fraude, por exemplo, um roubo de numerário ou de um ativo tangível é um impacto financeiro. Isso é importante. Para eu determinar um impacto financeiro é necessário mensurar essa perda. O outro, que chamamos de impacto não financeiro, pode não chamar tanto a atenção como o financeiro, mas dependo do caso, pode ser bem mais impactante. Normalmente o mais citado são as categorias relacionadas ao dano à imagem e reputação. A categorização do impacto não financeiro pode ser bem mais detalhada do que somente imagem e reputação.

 Então, encontrando a chance de ocorrência e o impacto eu consigo mensurar o meu risco. Mas já falei, dá trabalho e se você não estiver muito bem embasado, vai ser questionado e o dinheiro do investimento, que falaremos mais á frente, não virá.

 Resposta ou Tratamento ao Risco mensurado.

O risco encontrado pede que se defina que tipo de resposta ele terá. Ele poderá ser aceito, transferido, evitado ou mitigado. Dentro do nosso foco, vamos discutir a resposta Mitigado. A ideia de mitigar (reduzir) o risco pressupõe que eu tenha que procurar por medidas, controles que possam fazer com que o risco encontrado possa ser reduzido. Esses controles têm investimentos concentrados em processos, pessoas, tecnologia e infraestrutura física. Os controles selecionados atuam para diminuir a chance da ocorrência (probabilidade) e/ou o impacto financeiro e não financeiro.

 A regra de ouro é selecionar os controles que façam com que se encontre o risco residual desejável com o menor investimento possível. Não é fácil atender a essa regra, mas o esforço compensa e a Alta Administração agradece. A mensuração do risco residual é uma tarefa especializada e que deve ser realizada por pessoal capacitado, caso contrário, pode cair em descrédito.

 Muitos erros ocorrem por conta de acreditar que determinados controles seriam suficientes para colocar o risco residual em um patamar desejável. Procura se seguir a regra ao pé da letra ou atender a máxima faça mais com menos. Cuidado, nem sempre isso é possível! A disciplina de Riscos não admite amadorismo. E para finalizar não se esqueça de que as atividades em uma empresa mudam a toda a hora, mudando os riscos e consequentemente os controles devem ser revistos. O que eu quero dizer é que o monitoramento deve ser contínuo, sob pena do seu ROI poder vir a ruir!

 Até a próxima!

_______________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ABBC (Associação Brasileira de Bancos). E-mail: mario.ribeiro@enigmaconsultoria.com.br

Corrupção tem cura? – 25mar12

enigma.consultoria Sem categoria Leave a comment   ,

O Fantástico mostrou no domingo uma prática que atende pelo nome de Corrupção, um câncer nacional! Vamos aproveitar e comentar um pouco sobre tema tão em moda…

Corrupção é categorizada como uma Fraude Ocupacional (alguém utiliza uma ocupação, um cargo para perpetrar uma fraude). A fraude provoca grandes estragos em países como o Brasil e Estados Unidos, por exemplo. Em última pesquisa da ACFE estimou a perda nos EUA com a fraude ocupacional em parcos 900 bilhões de dólares. Não preciso ficar dando exemplos de corrupção, porque é diário os acontecimentos e podemos dizer que é o câncer a ser extirpado da sociedade brasileira.

Em minha dissertação de mestrado, que tratou da questão Fraude, tive que estudar e ler como um doido o tema e confesso: existe luz no final desse túnel! Mas, como resolver? Essa foi a pergunta de minha esposa após o Fantástico desse domingo, que mostrou uma parte do problema. Respondi: é simples, com Prevenção.

O combate a Corrupção atende por processos e controles definidos e implementados que Previnem, Detectem e Investiguem. A Prevenção deve ter um conjunto de processos e controles que agem de maneira pró-ativa contra a Corrupção, veja, eu disse pró ativamente. Os processos de Detecção são importantes, claro que são. Mas em uma escala de impactos financeiros e operacionais, são menos importantes do que a Prevenção. Isso porque a Detecção pode acontecer quando a materialização da perda financeira ou de imagem já ocorreu, quando se investiga e vê o tamanho do buraco. Daí ser muito mais barato investir na Prevenção, mas muito mais barato (veja os números americanos que citei no início). E mais, uma detecção de fraude leva mais de dois anos em média para ser detectada. Então, nos dois anos, qual terá sido o tamanho do rombo?

Nessa questão, vamos distinguir dois tipos de empresas: a privada e a pública. As empresas privadas, notadamente as do setor financeiro, tem um grau de maturidade no combate à corrupção ou a fraude muito maior do que outros setores privados e muito, muito maior em relação as empresas públicas. Ok professor, mas o que pode ser estabelecido em termos de processos para combater a corrupção? Vamos lá, alguns deles, só alguns, podem ser:

-> Implementação da Gestão do risco da Fraude (corrupção é uma das categorias);

-> Implementação de uma Política de Combate à Fraude;

-> Avaliação Continuada de Pessoal Interno;

-> Implementação e gestão da Conduta Ética de colaboradores;

-> Implementação e gestão da Denúncia Anônima (segundo a pesquisa da ACFE, o que mais produz resultados)

Simples? Não, não é! A empresa pública acima de tudo necessita ter vontade política para implementar. Eu, por exemplo, nunca vi uma licitação ou convite para contratação de uma consultoria para Elaborar e Implementar processos e controles para Combater a Fraude Interna ou a Corrupção. Vocês conhecem? Se conhecerem, me avisem que eu divulgo. Não existe cultura alguma da Prevenção a Corrupção. Enquanto isso, os agentes de ameaça (corrupção) deitam e rolam porque o terreno é fértil.

 Um abraço a todos e até a próxima.

Roubo de Identidade: muitas tentativas! – 15mar2013

enigma.consultoria Sem categoria Leave a comment   ,

 Li uma matéria no portal da UOL e fiquei surpreso com alguns números divulgados sobre Roubo de Identidade, que podemos dizer que é um tipo de fraude. Vamos lá:

- a cada 17 segundos um consumidor brasileiro é vítima da tentativa dessa fraude;

- de janeiro a outubro de 2011 1,54 milhão de tentativas dessa fraude foram detectadas;

- se todas tivessem sido realizadas o prejuízo total estimado seria de R$ 5,7 bilhões.

A pesquisa não fala sobre o montante dos prejuízos

O que me deixou muito surpreso foram os números de tentativas para apenas um dos vários tipos de fraudes que temos. Vamos tentar encontrar algumas explicações para isso.

Se existem tantas tentativas é porque o resultado da fraude é vantajoso, que o intento é vulnerável e, que se existirem controles, eles são frágeis. No caso do roubo de identidade em nosso país, fica fácil de explicar. Distribuímos informações privadas nossa para “Deus e todo mundo”. Nosso CPF, RG, endereço residencial, etc., é passado sem nenhuma preocupação, por telefone, pessoalmente, pelo computador…Acreditamos que todos são bem intencionados, até que provem o contrário, mesmo eu não conhecendo de quem se trata, não avaliamos se trata-se de uma solicitação falsa, enfim, como todo bom brasileiro, Acreditamos!!!

A fraude é a arte de se enganar, mesmo que isso possa não representar um ganho financeiro. Para controlar o risco da fraude é necessário estabelecer um mínimo de prevenção, de estabelecer um mínimo de controles para evitar o risco de cair na armadilha. Esses controles devem estar na cabeça de todos aqueles que desejam não serem ludibriados.

Perdeu documentos? Imediatamente faça um BO. Pediram seu CPF e você não sabe de quem se trata, ou nunca teve nenhum tipo de transação com o solicitante, diga que o CPF é um documento pessoal e privado.

Recebeu e-mails em sua caixa postal que não conhece o destinatário, e esse e-mail solicita uma série de informações pessoais? Não clique em nada e não forneça o que é pedido. A empresa séria procura meios mais seguros para solicitar essas informações do que o e-mail.

Os números só irão baixar e os prejuízos também, quando as “vítimas” se tornarem mais conscientes e não caírem na armadilha. Enquanto isso, os agentes da ameaça fraude (no caso, roubo de identidade) irão agir em busca de seu intento, e pelo andar da carruagem, devem estar conseguindo.

Um abraço a todos e até a próxima!