Por Jéssica Costa*
Cuidado, o problema pode estar dentro de casa!
Com o crescimento do mundo digital e as previsões de decolagem da Internet das Coisas (IoT), aumentam as situações que podem causar algum dano sobre a confidencialidade ou a integridade das informações. Nos próximos anos, as empresas estarão ainda mais expostas.
Existe uma preocupação evidente sobre ataques externos e indevidos, causados propositalmente, pelas mais diversas motivações. Temos visto as organizações se preparando para este tema, buscando entendimento das reais ameaças e se capacitando para responder rapidamente a qualquer incidente de segurança. Porém, temos percebido que enquanto a preocupação vem crescendo com as ameaças externas, as empresas estão descuidando dos riscos internos.
Uma pesquisa realizada pela Kroll entre 2015 e 2016 revelou que pelo menos 75% das empresas consultadas sofreram algum tipo de fraude no último ano, e que a maior ameaça às empresas vem de seus próprios colaboradores. Das empresas onde a fraude ocorreu, 80% envolvia pelo menos uma pessoa de dentro da empresa.
Enquanto isso, 92% dos CIOs se dizem altamente preocupados com invasões externas, mas menos da metade deste número entende que as ameaças internas sejam preocupantes. Este cenário chama a atenção, especialmente quando complementado com a informação de que 46% dos danos empresariais provêm do uso mal-intencionado ou inadequado da rede por parte dos colaboradores ou visitantes autorizados (fonte: Security Intelligence).
Empresas de capital aberto são periodicamente auditadas e tendem a ter boas práticas em políticas de acesso, mas nem sempre bem geridas. As pessoas são movimentadas internamente e não necessariamente tem revisões em sua rotina transacional. Com isso, elas absorvem (ganham) novos poderes, sem ter os anteriores revisados. Essa situação pode leva-la a ter combinações de autorizações de acessos inadequadas e perigosas.
Em 83% de nossos projetos de consultoria relacionados à processos e tecnologia, identificamos fragilidades significativas para as operações. Para eliminarmos ou mitigarmos os riscos (tanto os internos como externos), devemos investir em políticas de compliance, tais como o código de ética e políticas corporativas, amarradas ao tripé: pessoas-processos-tecnologia. No entanto, de nada adiantará se a governança sobre estas políticas não estiver alinhada e executada com o mesmo nível de rigor da gravidade dos problemas gerados.
*Jéssica Costa (jessica.costa@agrconsultores.com.br) é sócia e head de Entrega de Projetos da GS&AGR Consultores