O vazamento de informações é uma das principais pautas entre gestores de TI e um dos maiores riscos que as empresas podem enfrentar e precisam tratar. Dados estratégicos, de clientes e de funcionários são exemplos de informações que, se vazadas, podem gerar prejuízos materiais, reputacionais e legais para organizações de qualquer porte.
Sabendo que a mais significante das ameaças tecnológicas é a violação cibernética, que pode causar a exposição dos conteúdos, é muito comum ouvir falar de vazamentos de dados que ocorreram devido a algum ataque cibernético, viabilizado por meio da permissão de acesso externo às informações. Porém, a grande parte destes casos ocorrem internamente nas empresas e são protagonizados por pessoas mal-intencionadas que visam obter alguma vantagem com essa informação.
Os dados pessoais têm se tornado cada vez mais valiosos porque, ao coletar informações, uma empresa ganha mais assertividade para oferecer os produtos certos ao cliente que tem mais afinidade em adquiri-los. E esse valor, que é de conhecimento interno, incentiva os mal-intencionados a vazarem os dados, prejudicando a organização.
Como consequência desse cenário, medidas foram tomadas, como a criação, na Europa, da GDPR (General Data Protection Regulation), e, no Brasil, da Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, que protege, por meio de regulamentos, os dados pessoais, e aplica sanções como advertências, multas simples ou diárias e até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Isso fez com que os processos se tornaram mais rigorosos dentro das empresas e medidas foram tomadas para aumentar o controle de acessos, a fim de evitar vazamento de informações, que são relacionados à ‘Segurança da Informação’.
E para que estas práticas sejam bem aplicadas, algumas etapas podem ser executadas, tal como criar processos de atualizações para softwares e sistemas, definir políticas de segurança, não permitir a utilização de programas pirateados ou não confiáveis, monitorar a infraestrutura; treinar os profissionais com boas práticas de segurança da informação e monitorar frequentemente e-mails, documentos, nuvem e demais informações.
Entretanto, é importante destacar que quando o acesso a essas informações é permitido, a responsabilidade pela prevenção ao vazamento passa a ter mais um dono: a ‘Gestão de Acessos’. A prática acontece quando empresas concedem os acessos sem mapear as funções dos profissionais, espelhando perfis de outros usuários, ou ainda sem examinar se o exercício concedido pode gerar algum risco para o negócio. Como resultado dessa ação, colaboradores podem ter permissões incompatíveis com as funções que desempenham e, eventualmente, tirarem vantagem disso.
Dessa forma, a aderência à LGPD envolve muito mais do que apenas ter políticas de privacidade e consentimento apropriados. É essencial que as empresas também foquem na implementação de controles internos, incluindo a gestão de acessos e a segregação de funções (SoD), a fim de minimizar ações indevidas e, consequentemente, aumentar a proteção e conformidade destas informações.
Em suma, a SoD e a LGPD estão intrinsecamente relacionadas quando se trata da proteção dos dados sensíveis, uma vez que essa integração eficaz traz diversos benefícios para as empresas. Além de contribuir com a conformidade legal, essa abordagem fortalece a segurança dos dados, aumenta a confiança dos clientes e parceiros, evita danos à reputação e demonstra compromisso em proteger a privacidade das informações, oferecendo uma vantagem competitiva no mercado regulamentado.
*Eduardo Maia gerente sênior de IT Risk Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
A Tecnologia da Informação (TI), composto também por empresas de Segurança da Informação (SI), tem ganhado cada vez mais importância na economia global. Consequentemente, a responsabilidade das empresas do setor em relação à sustentabilidade ambiental, social e de governança (ESG) cresce na mesma proporção. De acordo com a Gartner, até 2026, a sustentabilidade ambiental será uma das prioridades para 70% das empresas que contratam serviços de TI. Isso se deve à crescente atenção dos consumidores e investidores em relação às questões de ESG e à busca por fornecedores alinhados com esses valores.
Diante deste cenário, para que o setor se mantenha em ascensão, é crucial não se atentar às questões ESG apenas em operações próprias, mas também em toda a cadeia de fornecimento para que, desta forma, seja viável sua manutenção no mercado ao longo do tempo. Isso porque, nos últimos tempos, as empresas têm se deparado com impactos em sua imagem e em suas operações devido à má atuação de terceiros e, conforme os principais frameworks de mercado, terceirizar uma atividade não significa evitar riscos, mas sim compartilhar.
Em termos de regulações e legislação, é possível citar a resolução CMN nº 4893, que se trata de uma importante ferramenta de regulamentação do sistema financeiro brasileiro e busca aumentar a segurança e a estabilidade do setor por meio da adoção de boas práticas de governança, gestão de riscos e compliance. Sua implementação contribui para um sistema financeiro mais saudável e transparente, o que beneficia tanto as instituições financeiras quanto os seus clientes.
Além disso, a SASB (Sustainability Accounting Standards Board), que é uma organização sem fins lucrativos e desenvolve padrões contábeis de sustentabilidade para diversas indústrias, entre elas, as de TI, busca evidenciar fatores ESG relevantes em termos de impactos financeiros e operacionais para as empresas. Dentro destes fatores evidenciados pela SASB para o setor de TI, podemos destacar o crescimento da oferta de serviços baseados em nuvem, que implica no aumento do número de data centers e equipamentos de hardware. Portanto, gerenciar o uso de energia e água é um importante valor ambiental para os acionistas, que estão voltados às mudanças climáticas e às oportunidades de inovação em eficiência energética e energia renovável.
Outro ponto da SASB para o setor são as crescentes ameaças de segurança de dados, como os ataques cibernéticos e de engenharia social, que colocam em risco seus próprios dados e de seus clientes. Uma gestão eficaz da Segurança da Informação nessa área, começando pela matriz SoD (Segregation Of Duties), é importante para reduzir os riscos regulatórios e de reputação que podem levar a uma diminuição da receita, menor participação de mercado e ações regulatórias envolvendo possíveis multas e outros custos legais.
Em linha com a categoria de capital humano, nota-se que a indústria de TI está enfrentando a escassez de funcionários qualificados, o que leva a altas taxas de rotatividade e concorrência para adquirir novos talentos. Algumas empresas estão contratando estrangeiros e operações offshore, enquanto outras contribuem para programas de educação e treinamento para expandir a disponibilidade de funcionários qualificados domésticos. Portanto, é possível inferir que, para garantir a qualidade dos serviços prestados por fornecedores, as empresas da indústria de TI podem considerar a realização de auditorias que verifiquem a qualificação técnica dos funcionários desses fornecedores, bem como suas práticas de recrutamento, treinamento e retenção de talentos.
É importante ressaltar que os padrões da SASB para a indústria de TI fornecem às empresas orientações claras sobre quais tópicos de sustentabilidade financeiramente relevantes devem ser divulgados em seus relatórios, buscando disponibilizar informações úteis aos investidores e outras partes interessadas. Além disso, a adoção destes conceitos divulgados pela SASB pode auxiliar as empresas a identificarem e gerenciarem os riscos, aprimorando a estratégia, melhorando as operações e a reputação, o que garantirá, assim, a sustentabilidade do negócio ao longo do tempo.
Em resumo, fica um recado em especial para as empresas do universo de TI: buscar se atentar não somente às questões de governança, mas também aos aspectos ambientais e sociais caso queiram se manter relevantes no mercado, sem obviamente se esquecerem da cadeia de fornecedores, que também pode causar impactos em suas operações e imagens.
Com as empresas em busca de aquisições estratégicas para expandir sua participação de mercado de forma a obter acesso a novas tecnologias ou geografias e aumentar sua competitividade, notam-se tendências que podem continuar a moldar o cenário de fusões e aquisições em 2023.
Entre elas, há uma demanda contínua por empresas de tecnologia e ativos digitais, assim como maior foco nas organizações com perfis ambientais, sociais e de governança (ESG) já desenvolvidos e nas transações internacionais devido à procura por negócios mais globalizados. Além disso, as taxas de juros baixas podem continuar barateando os empréstimos, o que pode encorajar mais empresas a buscar acordos de fusões e aquisições.
Entretanto, num processo que envolva fusão e aquisição, ou seja, num M&A (Mergers & Acquisition), se a migração for dificultosa, podem ocorrer situações indesejadas, como clientes trocarem a empresa pelo concorrente ou certas vulnerabilidades serem exploradas de forma indevida, tornando a reorganização societária e, consequentemente, a transformação digital, um fracasso.
Por exemplo, há casos reais, como uma cisão parcial realizada no setor de seguros que foi descontinuada após recorrentes dificuldades enfrentadas na estruturação operacional, bem como na gestão de acesso para a uma nova subsidiária. Na época, a empresa não possuía estrutura e processos adequados para as atividades de gestão de acesso, sendo assim não se sabia como estava o cenário atual das permissões de acesso aos sistemas core do negócio.
Ou seja, sem a devida estruturação e controle, o processo de concessão de acesso para a nova subsidiária ocorreu de forma incompleta e desordenada, incorrendo em uma série de problemas operacionais e aumento de vulnerabilidades.
Como forma de mitigar os problemas operacionais, foram empregadas soluções de análise de dados para avaliação do cenário e ajuda na tomada de decisões estratégicas. Em pouco tempo o cenário caótico foi sendo minimizado e compreendido pelos indicadores e informações organizadas. No entanto, o desgaste já havia acontecido e o prosseguimento da cisão já não fazia sentido. Se o entendimento de cenário e controle de mudanças fossem operacionalizados de forma antecipada a partir de ferramentas de análise, o resultado teria mais chances de ser positivo.
Outro exemplo, desta vez no setor rodoviário, traz um processo de aquisição para a incorporação de tecnologia que fez com que a empresa adquirente se enquadrasse em novas exigências regulamentadoras. Um dos pontos essenciais para atendimento das exigências impostas consistia na estruturação mais robusta do processo de gestão de acesso aos sistemas incorporados, ou seja, a empresa precisou amadurecer seus processos de forma muito rápida, tendo em vista que havia pouca iniciativa desenhada para gestão de acesso.
Neste caso, o uso de técnicas de análise de dados permitiu melhoria significativa de maturidade ao aferir o cenário e desenhar planos de ação para questões ligadas à IAM (Identity and Access Management) e SoD (Segregation of Duties).
As dificuldades enfrentadas e consequentemente a taxa de insucesso relacionadas ao processo de reorganização societária não ficam restritos apenas aos cenários internos das companhias. Segundo a Forescout, 53% das organizações se depararam com incidentes e problemas críticos de cibersegurança durante um processo de M&A, assim como 65% apresentaram arrependimento em relação ao acordo feito após enfrentarem problemas nessa questão. De forma não isolada, as vulnerabilidades de cibersegurança são exponenciais sem uma solução sólida de IAM instalada.
Isso significa que o processo de M&A terá um grande problema de segurança caso a empresa esteja gerenciando um alto volume de dados descentralizados ou sem uma estratégia de identidade centralizada.
Ter uma solução de análise massiva de dados disponível para execução antes de uma reorganização societária permite que a companhia tenha um panorama mais eficiente do cenário atual sob um contexto geral, não somente para temas voltados à gestão de dados.
Ao realizar uma análise completa e eficiente considerando grandes volumes de dados financeiros e operacionais, é possível que tendências e pontos de falhas sejam identificados levando, a decisões estratégicas mais eficientes e seguras. Ou seja, evita que meses sejam desprendidos integrando sistemas e minimiza o esforço operacional garantindo mais tempo para a equipe se dedicar em assuntos ainda mais críticos. Além disso, o emprego da tecnologia aumenta a taxa de sucesso de fusões e aquisições, pois essas tendem a falhar se não houver um processo claro de integração dos dados.
A implementação de uma ferramenta de análise de dados massivo é uma etapa crítica na jornada de migração em M&A, exigindo dos tomadores de decisão um planejamento antecipado que contemple a avaliação de quais dados e sistemas devem ser mantidos e quais serão descartados.
*Erick Matheus Santos e Rafael Carniato são da área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
A Lei Sarbanes-Oxley (SOX), promulgada nos Estados Unidos e voltada para a governança corporativa, traz as novas questões regulatórias sobre a privacidade de dados e os constantes processos de violações de segurança, forçando as empresas a aumentarem a conscientização e a responsabilidade sobre as ações internas de seus funcionários.
Um dos instrumentos para tal controle é a matriz Segregation of Duties ou Segregação de Funções (SoD). Sem ela, as segregações inadequadas de funções podem dificultar a prevenção, detecção e investigação de fraudes, o que pode levar a declarações financeiras incorretas, punições regulatórias, danos à reputação da empresa e redução da confiança dos investidores. Há também o risco de apropriação indébita de ativos, que envolve terceiros ou funcionários de uma organização que abusam de sua posição para roubá-la por meio de atividade fraudulenta.
Ou seja, se os controles internos não forem confiáveis, abrem-se precedentes para aumentar os testes substantivos pela auditoria interna e pelo auditor externo, traduzindo-se em custos adicionais para a organização. E as descobertas mais sérias podem levar a uma avaliação pelo auditor externo de que a empresa possui uma deficiência significativa ou fraqueza material.
Por último, se os SoDs não estiverem presentes, levanta-se a questão sobre se as informações e provas obtidas são confiáveis, isentas de erros ou podem sugerir a existência de uma distorção material. Como resultado, o auditor pode aumentar o tamanho das amostras, diminuir o limite de testes substantivos ou aumentar os procedimentos de auditoria em geral.
Por isso, os SoDs devem ser proporcionais ao tamanho, à complexidade e ao risco geral das operações de uma empresa e do ambiente de relatórios financeiros, o que os torna importantes nos esforços para reduzir fraudes e aumentar a eficácia operacional.
Controles compensatórios podem existir para mitigar os riscos resultantes da falta de segregação adequada de funções. Entretanto, eles incluem trilhas de auditoria, reconciliação, revisões de supervisão e logs de transações que podem encarecer os custos. Portanto, recomenda-se que a SoD seja implantada por meio de um projeto e sustentada ao longo do tempo.
Prevenir resultados desastrosos
Sem a SoD, qualquer destes cenários mostra claramente a possibilidade de resultados desastrosos, exatamente o que não se tolera na Lei SOX. Como resultado, o objetivo de gerenciamento de risco dos controles SoD é evitar que ações unilaterais ocorram em processos-chave nos quais os efeitos irreversíveis estejam além da tolerância de uma organização a erros ou fraudes.
Independentemente da metodologia, ou do framework que sustenta o processo de gerenciamento de risco de uma empresa, a SoD é assunto relevante, pois a gestão de perfil de acesso é uma preocupação recorrente entre membros de comitês de auditoria, especialmente em períodos de ameaças cibernéticas cada vez mais frequentes.
Para nós, auditores independentes para certificação SOX, é evidente perceber que quanto maior a preocupação com a SoD e seus desdobramentos, de uma maneira preventiva, maior é o nível de maturidade de governança da empresa em todo o seu processo de gerenciamento de riscos.
*Erick Matheus Santos e Gustavo Ferreira são gerentes na área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
De maneira global, o número total de IPOs (Initial Public Offering) diminuiu bastante em 2022. Foram 992 aberturas iniciais de capital no mundo todo, o que equivale a 44% de queda comparado com o número de 2021, de acordo a EY. Com as incertezas econômicas e tensões geopolíticas sendo considerado como o maior desafio do mercado de IPO, as empresas e os investidores continuam esperando por um sentimento mais estável e positivo do mercado de ações.
Na bolsa brasileira não temos um IPO desde agosto de 2021, dado o cenário de volatilidade econômica e a alta dos juros, com a taxa básica de juros, a Selic, chegando a 13,75% ao ano.
Mas, para 2023, o mercado prevê um movimento de R$ 80 bilhões na B3. Por isso, as empresas que tiveram de desistir de suas aberturas de capital nos anos de 2021 e 2022 devem priorizar o processo no próximo ano. Desde 2020, 109 empresas chegaram a fazer o primeiro protocolo da oferta na CVM (Comissão de Valores Mobiliários) e a estimativa é de que entre 10 e 15 empresas façam uma abertura de capital ou uma oferta subsequente ao longo do primeiro semestre de 2023. Esse cenário otimista também depende de uma série de variáveis, entre elas, o movimento mais claro de queda da inflação e o fim do aperto monetário no Brasil e no exterior.
Embora as empresas pré-IPO priorizem detalhes financeiros e operacionais e, em menor grau, controles de TI, sabemos que menos atenção ainda é dada aos controles dos fornecedores com os quais estão se envolvendo. Neste cenário, a recomendação é que essas empresas passem a identificar e a entender o ambiente de controle seus prestadores de serviços, sobretudo porque as empresas confiam cada vez mais na infraestrutura e nos aplicativos baseados em nuvem para dar suporte a funções críticas de negócios.
As empresas que ainda não abriram o capital, mas estão considerando, são aconselhadas a solicitar um relatório SOC (Service Organization Controls), que é um atestado do ambiente de controle interno da organização de serviços para checar se há deficiências no ambiente de fornecedores e, com isso, evitar possíveis problemas de auditoria no futuro.
Nesta análise, a administração pode presumir que um investimento em ferramentas e aplicativos de fornecedores terceirizados vem com uma transferência de risco. Infelizmente, este não é necessariamente o caso. Na realidade, a empresa compartilha o risco, ou seja, é sempre responsável por garantir que os controles estejam em vigor, seja em seu próprio ambiente ou em seus fornecedores. Por isso, os relatórios SOC podem revelar problemas de controle no ambiente de controle do fornecedor.
No entanto, simplesmente obter os relatórios não é suficiente. É importante que a empresa analise os relatórios com cuidado e entenda exatamente quais controles estão em vigor e quais não estão. Os itens a serem observados são se a opinião emitida pelo auditor do serviço possui ressalvas, se há exceções de controle, se há controles habilitados pelo usuário e se o relatório inclui sub prestadores de serviços.
Para empresas de capital aberto, a obtenção e a análise de relatórios SOC é considerada parte de seu controle interno, mas as empresas que pretendem abrir o capital também se beneficiarão da atenção antecipada neste ponto. Entender os requisitos com antecedência pode evitar riscos depois da abertura de capital. Além disso, antecipar os requisitos e os critérios solicitados pela SOC irá dar credibilidade e vantagem competitiva ao ser avaliado por empresas pré-IPO.
*Erick Matheus Santos e Thiago Gomes são gerentes na área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Atualmente, todo o mercado está querendo e precisa inovar com a tecnologia, bem como adequar-se às legislações atuais, como a Lei Geral de Proteção de Dados (LGPD), que acaba de ser sancionada pelo presidente da república. Além disso, profissionais de diversos setores passaram a ter como condição fundamental se adaptarem aos assuntos pertinentes à tecnologia da informação, mas não podemos esquecer do famoso termo “back to basics” ou seja, voltar às origens.
A TI é um imperativo organizacional, ou seja, todas as atividades dependem dela em algum nível para funcionarem. Não se trata de uma função secundária, mas sim um fim em si mesma, pois seu objetivo é dar suporte, criar e entregar valor para o negócio. Além disso, essa disciplina tem macros objetivos, como consolidar e entregar os benefícios para as áreas de negócio, cuja função é garantir os resultados realizando-os conforme planejado, assim como otimizar riscos criando uma consistência nessa realização de resultados, além de aprimorar recursos, utilizando-os de forma eficiente para gerar resultados de forma consistente.
O negócio e a tecnologia da informação precisam falar a mesma língua. Se a empresa está em fase de recessão, não adianta a TI ter planos de expansão. Ao mesmo tempo, se a empresa estiver em fase de inovação, não adianta a área de tecnologia estar em fase de estabilização. Isso significa que é necessário o alinhamento com a estratégia corporativa.
Neste aspecto é que a TI está tentando criar e agregar valor, e o risco de segurança pode colocar tudo a perder, seja utilizando recurso de forma ineficiente, entregando resultados instáveis, ou até mesmo causando rupturas em legislações vigentes. Com este cenário latente vem a pergunta: vou precisar de apoio da área de Riscos, além da Tecnologia da Informação?
Sim! Identificar, avaliar, responder e monitorar riscos são atividades em que o departamento de riscos vai ajudar a TI a estar alinhada com a estratégia corporativa. Visto isto, entendemos que a gestão foca em planejar, construir, executar e monitorar as atividades em alinhamento, sem esquecer de ter a direção definida pela governança para criar valor alcançando os objetivos, pois ela é quem dita o rumo da TI, ou seja, em última instancia é a governança que é a responsável por garantir essa entrega de valor.
Vale ressaltar que o gerenciamento de riscos é uma das ferramentas chaves da governança. Entendendo isso, você terá alinhamento estratégico, entregará valor, otimizará os recursos, as performances e a conformidade para, enfim, estar pronto para evoluir com os assuntos em alta no mercado como Data Analytics, Auditoria Contínua, Robotics, Machine Learning e certificar, ou não, seus processos em Segurança da Informação.
*Erick Matheus dos Santos é gerente da área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
As organizações estão sentindo o calor e a pressão para inovar e criar maneiras de fazer com que seus negócios permanecerem relevantes. Para as instituições financeiras, em particular, esta situação é ainda mais presente devido à forte concorrência dos gigantes do setor, bem como as startups “nascidas digitais”.
Com o cenário regulatório em constante mudança, equilibrar requisitos regulamentares e de conformidade complexos com esforços para aumentar a eficácia e reduzir custos por meio da transformação digital, exigirá processos de negócios mais inteligentes e que demandam atenção com a segurança da informação.
As inovações permitem o acesso ideal do usuário aos sistemas, garantindo a manutenção das medidas de segurança apropriadas. Para um número crescente de organizações, usuários internos e externos estão acessando sistemas de todo o mundo e de uma variedade de dispositivos. Isso significa que as identidades desses usuários e seus acessos associados, em vez da rede, estão formando o novo limite de segurança em torno da organização.
Essa mudança de paradigma destaca a importância de acertar o gerenciamento de identidade e acesso (IAM), tanto para facilitar os negócios quanto para ficar à frente dos requisitos de auditoria, conformidade e regulamentação. Analisando a Instrução Normativa nº 001/2001, temos o Princípio da Segregação de Funções, uma regra de controle interno para evitar falhas ou fraudes na entidade, descentralizando o poder e estabelecendo independência para as funções de execução operacional, custódia física e contabilização da informação. Ela alerta que ninguém deve ter sob sua inteira responsabilidade todas as fases inerentes a uma operação.
A informação tem um ciclo de vida de quatro fases: manuseio, no qual dado é criado e manuseado; transporte, que são os meios para o envio dos dados de um local a outro; armazenagem, onde o dado está guardado/custodiado; e descarte, ou seja, quando se dá o ciclo final à informação.
Analisando estas etapas, um dado pode ser vazado como ato intencional em algumas dessas fases para obter algum ganho ou vantagem e, em um ambiente competitivo, cujas mudanças de processo e tecnologia podem impulsionar a organização a novos patamares ou causar riscos significativos e possíveis impactos negativos, é crucial a adoção de medidas proteção de dados para que eles não caiam nas mãos de alguém mal-intencionado em qualquer etapa do seu ciclo de vida.
Cabe a adoção de procedimentos de segurança como estratégia de prevenção de ataque cibernético, evitando o vazamento de informações sigilosas das empresas. Portanto, para permanecer relevante e permitir que a empresa tenha sucesso em um cenário em rápida mudança, mantendo uma forte postura de risco e segurança, programas, processos, governança e tecnologia de gerenciamento de identidade e acesso precisam ser alinhados.
Investir em uma equipe capacitada na terceirização deste serviço que seja especializada, com profissionais que tenham domínio do tema e que sejam capacitados para proteção de dados, deve ser levado em consideração num mundo cada vez mais digital e com empresas ingressando para a cultura Data Driven.
