A segregação de funções (SoD) é um conceito importante para estruturas de controle interno, relatórios financeiros e conformidade regulatória, incluindo a Lei Sarbanes-Oxley (SOX). É um componente de um ambiente de controle eficaz. A eficácia geral da gestão dos controles internos depende em grande parte de uma divisão adequada de responsabilidades.
O fundamento básico da SoD é que nenhum funcionário ou grupo de funcionários deve estar em posição de executar incorretamente ou com má intenção uma atividade e ocultar erros por fraude no curso normal de suas funções. Em geral, as principais funções incompatíveis a serem segregadas são:
A custódia de ativos
A autorização ou aprovação de transações relacionadas que afetem esses ativos
O registro ou divulgação de transações relacionadas
Os sistemas tradicionais de controle interno dependem da atribuição de certas responsabilidades a diferentes indivíduos, ou seja, da segregação de funções incompatíveis entre colaboradores de uma mesma equipe ou equipes distintas. A premissa geral da SoD é impedir que uma pessoa tenha, simultaneamente, autorização para gestão de ativos (por exemplo, cadastro de dados mestres) e a contabilização destes. Porém, é importante ter em mente para que a SoD não impede o conluio entre colaboradores com estas funções.
Por que a SoD é importante?
A SoD ajuda a minimizar o risco e a possibilidade de uma organização não atingir seus objetivos, fornecer dados financeiros confiáveis e/ou cumprir leis e políticas definidas. Erros administrativos ou outros erros de registro podem não ser detectados em tempo hábil, se não houver uma rotina estabelecida de revisão independente/objetiva das transações. Desta forma, transações inadequadas, ou não autorizadas (fraudulentas) são permitidas, uma vez que o indivíduo controla a maior parte da receita, despesa, folha de pagamento ou outras funções.
A SOX e outras questões regulatórias estão forçando as empresas a aumentarem sua conscientização e responsabilidade sobre as ações de seus funcionários dentro da empresa. As recentes leis de privacidade e processos judiciais contra violações de segurança estão trazendo uma nova conscientização para monitorar e controlar a segurança e o acesso aos dados dentro das organizações.
Qual é o risco?
Segregações inadequadas de funções podem dificultar a prevenção, detecção e investigação de fraudes resultando em demonstrações financeiras distorcidas, punições regulatórias, danos à reputação da empresa e redução da confiança dos investidores.
Há também o risco de apropriação indébita de ativos, que envolve terceiros ou funcionários de uma organização que abusam de sua posição para furtá-la por meio de atividades fraudulentas.
Se os controles internos não são confiáveis, faz-se necessário o aumento dos testes substantivos da auditoria interna e do auditor externo, traduzindo-se em custos adicionais para a organização. Diante de descobertas mais graves, o auditor externo poderá concluir que a empresa possui uma deficiência significativa ou uma fraqueza material.
Veja também: IAM Tech Day – Cadeia de Valor de IAM e SoD
Por fim, na ausência da SoD, é questionada a confiabilidade das informações e evidências obtidas – livres de erros ou distorção relevante. Como resultado, o auditor pode aumentar o tamanho da amostra, reduzir o limite de testes substantivos ou aumentar os procedimentos de auditoria em geral.
A SoD deve ser proporcional ao tamanho, complexidade e risco geral das operações de uma empresa e das demonstrações financeiras. É importante sempre priorizar os riscos para a organização. As empresas continuam a aumentar a dependência da TI, tornando a SoD cada vez mais importante nos esforços para reduzir fraudes e aumentar a eficácia operacional.
Em última instância, diante da inviabilidade de aplicação da SoD, deve-se implementar controles para mitigar os riscos resultantes da falta de segregação adequada de funções. Esses controles incluem trilhas de auditoria, reconciliações, alçadas de aprovação preventivas configuradas em sistemas e/ou revisões detectivas de registros, revisão de aprovadores e outros.
De assistentes digitais pessoais a veículos autônomos, a Inteligência Artificial (IA) está revolucionando a forma como interagimos com a tecnologia e uns com os outros. Nesse cenário, o Microsoft Copilot e o ChatGPT da Open AI estão na vanguarda, aproveitando tecnologias transformadoras como Generative Pretrained Transformers (GPT) e Large Language Models (LLM). Essas ferramentas avançadas aproveitam o processamento de linguagem natural para entender e gerar respostas semelhantes às humanas a partir de grandes quantidades de dados, executando uma ampla gama de tarefas, como análise de sentimentos, resposta a perguntas, resumo e geração de imagens e textos. À medida que continuamos a explorar as fronteiras na inovação da IA, as tendências sugerem um futuro cada vez mais guiado por essas plataformas poderosas que não apenas aprimoram nossas habilidades, mas também moldam um futuro em que a influência da IA irá permear todos os aspectos de nossas vidas.
IA e LLMs oferecem benefícios importante para empresas que desejam aproveitar o poder da linguagem natural para seus negócios. Essas ferramentas podem ajudar as empresas a aperfeiçoarem seu atendimento ao cliente, aumentar a produtividade, otimizar processos, gerar insights e agregar valor aos negócios. No entanto, IA e LLMs também representam desafios significativos para empresas que desejam usá-los de forma eficaz e responsável.
Isso porque elas exigem muitos dados, poder de computação e experiência para treinar, implantar e manter. Tanto a IA quanto os LLMs também levantam questões sobre questões éticas, legais e sociais, como privacidade de dados, segurança, preconceito, justiça, responsabilidade e transparência. É importante observar que os LLMs não são necessariamente treinados para precisão: em vez disso, eles são treinados para fornecer a próxima melhor resposta de conversação a uma consulta. A quantidade de dados que precisam ser gerenciados e governados está crescendo exponencialmente e, com o início da IA generativa, a geração de novos dados não estruturados está impactando significativamente a como os dados são registrados, descobertos, protegidos, monitorados, auditados e principalmente terem sua veracidade confirmada.
Governança e gestão dos ativos de IA
O Microsoft Purview é o conjunto de soluções de segurança de dados da Microsoft que fornece um único local para descobrir, proteger e gerenciar dados em todo o ambiente corporativo para privacidade de dados, conformidade regulatória e segurança cibernética. Esta ferramenta permite que os usuários descubram, protejam e monitorem prompts e respostas, usando dados de IA generativa em ferramentas internas e externas.
Essas soluções são essenciais para que a IA opere de maneira gerenciada e controlada, mas também são relevantes para as empresas que estão adotando rapidamente a tecnologia sem os devidos controles de uso, compartilhamento e exportação de dados. A Microsoft anunciou recentemente o Microsoft AI Hub, que aproveita os recursos do MS Purview para identificar, proteger e gerenciar o uso de IA de uma organização em um único dashboard de indicadores.
Entre os principais recursos do MS Purview AI Hub estão a capacidade de inventariar atividades de IA generativa, incluindo o uso de dados confidenciais em uma ampla variedade de aplicativos e sites. A ferramenta permite proteger as interações do Copilot impedindo o acesso não autorizado confidencial de dados confidenciais e, mais especificamente, o Hub de IA do MS Purview pode monitorar, alertar ou até mesmo impedir que os usuários enviem informações confidenciais para sites de IA generativa. Além disso, ele também permite detectar e mitigar riscos de negócios e violações regulatórias enquanto o uso do AI Hub generativo no Purview, que permite a análise de riscos e impacto do uso de algoritmos de IA, ajuda os usuários a superarem esses desafios de e maximizar os benefícios de sua utilização nas empresas.
O Hub de IA do Microsoft Purview e as políticas que ele monitora estejam vinculadas ao DLP, exigindo que os dispositivos sejam integrados a esta plataforma. O AI Hub disponibiliza políticas integradas que podem ser ativadas e personalizadas para definir o escopo para usuários/grupos específicos e adaptá-las aos requisitos organizacionais. As políticas internas incluem:
Descoberta de prompts confidenciais em assistentes de IA;
Detectação quando os usuários acessam o navegador da Web para utilizar outros assistentes de IA;
Habilitação da proteção em assistentes de IA por meio da integração com o Gerenciamento de Riscos Internos do Microsoft Purview.
Os administradores e as equipes de proteção de dados também podem usar o Gerenciador de Atividades do Microsoft Purview para monitorar as interações de IA dos usuários e ser alertados quando uma regra DLP corresponder à interação de um usuário com um site de IA generativa. As principais preocupações dos líderes de segurança incluem riscos éticos, legais e regulatórios da utilização da IA.
À medida que as organizações aumentam a adoção de recursos de IA, regulamentações adicionais serão promulgadas para apoiar a utilização responsável e, ao mesmo tempo, proteger dados pessoais confidenciais. Embora o AI Act Europeu, juntamente com as estruturas com o NIST AI e a ISO 42.001, forneçam orientação para adoção, identificação e mitigação de riscos, é fundamental desenvolver uma estrutura de governança para IA que considere as implicações em seu modelo de negócios e do funcionamento de segmento de atuação.
Microsoft Purview: suporte à AI
Para assegurar a integração entre o monitoramento proativo e a necessidade de governança de IA, os novos modelos de IA Premium do Microsoft Purview Compliance Manager oferecem uma solução estratégica para gerenciar e relatar o risco de conformidade de IA, garantindo que utilização ética e legal da IA esteja alinhada com os padrões organizacionais e os regulamentos futuros. O Gerenciador de Conformidade do Microsoft Purview dá suporte à conformidade de IA por meio de quatro novos modelos de IA Premium para ajudar a avaliar, gerenciar e relatar os riscos de conformidade de IA. Esses modelos identificam as melhores práticas, monitoram as interações de IA, evitam o compartilhamento inadequado de dados confidenciais em aplicativos de IA e gerenciam políticas de retenção e exclusão para interações de IA. O Gerenciador de Conformidade inclui monitoramento em tempo real em aplicativos Multicloud e Software as a Service (SaaS), podendo ser revisado como parte de um programa completo de governança de IA.
O Copilot para Microsoft 365 permite otimizar o acesso a dados não estruturados em toda a organização, visto que a implantação e a utilização exigem acesso a dados atuais e relevantes. No entanto, a maioria das organizações têm dificuldades em evitar a proliferação, o gerenciamento e a proteção de dados. À medida que as organizações avançam para adotar a IA, o foco crítico deve ser aplicado para garantir um forte gerenciamento de dados em toda a empresa. Isso inclui a remoção de dados obsoletos e desatualizados, a proteção de dados críticos e confidenciais e a identificação proativa do uso inadequado.
Os recursos de Gerenciamento de Registros e Ciclo de Vida de Dados do Microsoft Purview permitem que as organizações descartem de forma defensável os dados que não são mais necessários. Ao aproveitar políticas e rótulos nessas ferramentas, as organizações podem permanecer em conformidade com os regulamentos de retenção de dados, reduzir sua superfície de ataque descartando dados que não são mais necessários e permitir que o Copilot para Microsoft 365 acesse as informações mais relevantes e atualizadas para fornecer as respostas mais relevantes e úteis.
O Microsoft Purview eDiscovery Premium permite que as equipes jurídicas e de descoberta eletrônica descubram quais tipos de informações os usuários estão inserindo nos prompts do Copilot para Microsoft 365 e quais tipos de respostas estão recebendo. Esse é um recurso essencial ao investigar o possível uso mal-intencionado de IA em organizações ou realizar avaliações de conformidade sobre como as informações estão sendo compartilhadas por meio da IA generativa.
O AI Hub no Purview, juntamente com os recursos de proteção de dados do Purview, fornece uma nova maneira de gerenciar ativos de IA com responsabilidade, com foco na segurança e na conformidade.
–
Baseado no artigo original escrito por: Patrick Anderson, MD Protiviti; Patrick Anderson, MD Security & Privacy; Antonio Maio, MD Microsoft.
Em um mundo cada vez mais digital, a proteção de dados se tornou um dos principais desafios para as organizações. A exfiltração de dados, ou seja, a transferência não autorizada de informações, é uma ameaça real que pode causar prejuízos financeiros, danos à reputação e problemas legais.
Imagine um cenário onde um funcionário, prestes a se demitir, tenta exfiltrar dados confidenciais da empresa. Sem um sistema robusto de proteção de informações, ele pode imprimir documentos sensíveis, enviar informações para aplicações externas ou clouds pessoais, ou até mesmo utilizar dispositivos USB para copiar dados. Esse tipo de incidente pode resultar em sérios riscos.
Para prevenir incidentes como este, as organizações adotam soluções de Data Loss Prevention (DLP). DLP é um conjunto de ferramentas e processos usados para garantir que dados confidenciais não sejam acessados, compartilhados ou retirados indevidamente. Essas soluções monitoram, detectam e bloqueiam a transferência de dados sensíveis para fora do ambiente corporativo, seja intencional ou acidentalmente. Implementar um sistema de DLP eficaz é essencial para proteger a propriedade intelectual, manter a conformidade com regulamentações e proteger a reputação da empresa.
Quando não há um sistema de proteção de informações implementado, a empresa se torna vulnerável a várias formas de exfiltração de dados. Um funcionário pode:
Imprimir documentos sensíveis: Facilitando a retirada física de informações.
Encaminhar dados para aplicações externas: Como clouds pessoais, onde a empresa perde o controle sobre esses dados. Isto pode ser feito tanto por computadores quanto por celulares e outros dispositivos móveis
Utilizar dispositivos de armazenamento externos: Como pen drives e HDs externos para copiar informações confidenciais
O Microsoft Purview é uma solução abrangente não só de DLP (proteção de dados), mas também de governança dos dados, projetada para ajudar as organizações a gerenciar, proteger e governar seu patrimônio de informações. Como dito anteriormente, ele combina capacidades de DLP, conformidade e governança em uma plataforma unificada, oferecendo uma visão holística da segurança e conformidade das informações em toda a organização.
O Purview está embarcado em licenças Microsoft mas pode não estar sendo usado na sua organização. Por isso, configurá-lo e aplica-lo pode ser um meio rápido e barato para classificar e proteger os dados da sua empresa.
O conceito e a aplicação da governança e proteção de dados do Microsoft Purview é ampla e completa, considerando 3 pilares principais:
Proteção dos dados confidenciais – por meio de mecanismos de descoberta e rotulagem de dados, é possível classificar dados confidenciais e restringir acesso a eles. O Purview possui várias rotulagens automáticas para facilitar este processo, aplicando as características em um conjunto grande de dados
Proteção contra perda de dados – o sistema de prevenção de perda de dados é nativo do Microsoft 365, protegendo o ambiente Microsoft e os pontos de extremidade contra vazamentos de dados. Esta funcionalidade permite avaliar comportamentos suspeitos de usuários que estejam tentando exfiltrar dados sensíveis, adaptando o risco deles de acordo com o seu comportamento. Para dispositivos mobile, é possível instalar o MDM (Mobile Device Manager) InTune, encapsulando todos os aplicativos e dados da organização em um ambiente selado e apartado do resto do celular, bloqueando inclusive prints de tela e envio via whatsapp.
Gerenciamento de riscos internos – por meio dessa solução, as organizações conseguem criar controles de privacidade fortes baseados nos usuários e pontos de extremidade, identificando comportamentos que podem ser enriquecidos por meio de inteligência artificial para apontar riscos de vazamento de dados por pessoas de dentro da organização.
A Protiviti é parceira da Microsoft, com foco na designação de segurança. Temos equipe capacitada não só para otimizar o uso e custo das suas licenças Microsoft, mas também habilitar e configurar as ferramentas de privacidade e segurança de informações. Adotar o Microsoft Purview pode ser um atalho rápido e econômico para a sua organização proteger seus dados de forma eficiente e segura, garantindo a continuidade dos negócios e a proteção contra ameaças internas e externas.
A história do Cavalo de Troia, um dos mais famosos contos da mitologia grega, oferece uma poderosa metáfora para entender os perigos da autenticação fraca na era digital. Da mesma forma que o famoso cavalo de madeira permitiu aos gregos penetrar nas defesas de Troia e abrir as portas para a invasão, a exploração de autenticação fraca em sistemas de segurança cibernética pode conceder acesso não autorizado aos invasores, comprometendo a integridade das organizações.
Assim como os troianos confiaram na aparente inocência do presente, as organizações muitas vezes subestimam a importância de implementar medidas robustas de autenticação, abrindo inadvertidamente as portas para intrusões maliciosas. Este paralelo histórico ressalta a necessidade premente de reconhecer e mitigar os riscos associados à autenticação fraca na proteção das informações e ativos das organizações contra ameaças cibernéticas cada vez mais sofisticadas.
Autenticação é o processo de verificar a identidade de um usuário ou dispositivo para garantir que eles sejam quem afirmam ser. É uma etapa crucial na segurança da informação e desempenha um papel fundamental na proteção de sistemas e dados contra acesso não autorizado. A autenticação é importante porque ajuda a garantir a confidencialidade, integridade e disponibilidade dos recursos de uma organização, protegendo-os contra ameaças cibernéticas, como ataques de hackers e violações de dados.
Modelos de autenticação: muito além das senhas
O modelo de autenticação mais conhecido e tradicional é a feita por meio de senha. Para incrementar a segurança e evitar ataques de força bruta, há aprimoramentos como o Captcha, a troca periódica das senhas, a obrigatoriedade de criação de senhas fortes e assim por diante. Porém, há outros mecanismos mais eficientes e com menor fricção ao usuário e que são mais efetivos, tais como:
Autenticação Multifator (MFA): este método exige que os usuários forneçam duas ou mais formas de autenticação para acessar um sistema. Pode incluir algo que o usuário sabe (senha), algo que o usuário tem (um token enviado em um segundo dispositivo) e algo que o usuário é (biometria, como impressão digital ou reconhecimento facial). A MFA é mais segura do que a autenticação apenas por senha.
Autenticação de Certificado: Neste método, os usuários possuem um certificado digital único que é usado para autenticar sua identidade. Esse certificado é geralmente armazenado em um token ou dispositivo seguro e é muito utilizado por instituições financeiras.
Aprimorar a autenticação nas empresas pode ser desafiador devido a diversas resistências. Os custos associados à implementação de tecnologias avançadas, a complexidade dos novos processos para os usuários, questões de compatibilidade com sistemas existentes e resistência cultural à mudança são algumas das barreiras enfrentadas. Além disso, preocupações com a privacidade, especialmente em relação ao uso de biometria, e a necessidade de garantir uma experiência do usuário simples e eficiente também contribuem para a dificuldade na adoção de medidas mais robustas de autenticação. Superar esses desafios requer comprometimento da liderança, investimentos adequados em tecnologia e treinamento, além de uma abordagem equilibrada que leve em consideração tanto a segurança quanto a usabilidade.
Para as organizações que utilizam o pacote Microsoft, a solução de gestão de identidades Microsoft Entra ID resolve grande parte desses desafios. As licenças corporativas já possuem o Microsoft Entra ID com a funcionalidade de robustecer os métodos de autenticação. Logo, os custos para melhorar a autenticação são praticamente inexistentes. Além disso, é uma solução nativa e integrada com todo o ambiente Microsoft, reduzindo as necessidades de integração. Para habilitar o MFA, por exemplo, a Microsoft disponibiliza o aplicativo Microsoft Authenticator, que permite validar acessos por meio do dispositivo móvel. Restam as questões associadas à privacidade e cultura de segurança da informação. Para estes casos, é fundamental aplicar um programa de gestão da mudança gradual para minimizar os impactos de um modelo de autenticação mais robusto.
Ao robustecer os métodos de autenticação das identidades na sua organização, a barreira de entrada dos cibercriminosos passa a ser muito maior. Além de confiar nas defesas do castelo, proteger a porta de acesso é um aprendizado que a história prova ser fundamental.
Com o aumento do acesso a dados de negócios fora dos limites da rede corporativa convencional, a segurança e a conformidade assumem uma importância cada vez maior. Por isso, as organizações devem buscar maneiras de aprimorar a proteção de seus dados, independentemente de sua localização, seja dentro da rede corporativa ou na nuvem. Além disso, é crucial que as organizações atendam aos requisitos regulatórios e do setor para garantir a segurança e a privacidade dos dados. A proteção de identidades e acessos é parte fundamental desse processo.
Mesmo em ambientes hospedados em nuvem, as organizações são responsáveis por proteger os dispositivos (endpoints) e acessos que transitam neste ambiente. E quando falamos sobre gestão e proteção de identidades e acessos, é notável a desatenção com a proteção aos acessos nas organizações.
Camadas de segurança na proteção de identidades e acessos
Em um modelo de defesa por profundidade, a gestão de identidade é uma das primeiras etapas de proteção na cibersegurança. A defesa em profundidade usa uma abordagem em camadas de segurança, em vez de depender de um único perímetro. Uma estratégia de defesa em profundidade usa uma série de mecanismos para reduzir o avanço de um ataque. Cada camada fornece proteção para que, se uma camada for violada, uma camada subsequente impedir que um invasor receba acesso não autorizado aos dados. Camadas de segurança podem incluir:
Segurança física, como limitar o acesso a um datacenter para apenas o pessoal autorizado
Controles de segurança de identidade e acesso, como autenticação multifator ou acesso condicional para controlar o acesso à infraestrutura e controle de alterações.
A segurança de perímetro de sua rede corporativa inclui a proteção contra DDoS (ataque de negação de serviço distribuído) para filtrar ataques em grande escala antes que eles possam causar uma negação de serviço para os usuários.
Segurança de rede, como segmentação de rede e controles de acesso à rede, para limitar a comunicação entre os recursos.
A segurança da camada Computação, como a proteção do acesso a máquinas virtuais, local ou na nuvem, fechando determinadas portas.
A segurança da camada Aplicativo garante que os aplicativos estejam seguros e livres de vulnerabilidades de segurança.
A segurança da camada Dados, incluindo controles para gerenciar o acesso aos dados de negócios e clientes e à criptografia para proteger os dados.
Os ataques de phishing estão ficando cada vez mais sofisticados e direcionados para pessoas com altas credenciais nas organizações. Inclusive já há um nome para isso: whaling, ou seja, fazer uma campanha de phishing para pegar o peixe grande. Nestas campanhas, o foco é ter acesso aos dados da credencial do usuário. E se a identidade dele não estiver segura, basta um link malicioso para todo castelo de proteção ser derrubado por meio de uma autenticação fraudulenta.
Para as organizações que utilizam soluções corporativas Microsoft, as licenças contemplam o Microsoft Entra. O Microsoft Entra simplifica o gerenciamento de acesso e autenticação para organizações, oferecendo uma plataforma de gestão de identidade unificado para aplicativos locais e na nuvem. Ele pode ser integrado ao Active Directory local já existente, sincronizado com outros serviços de diretório ou implantado em ambientes multinuvem.
Além disso, o Microsoft Entra possibilita às organizações a segura habilitação do uso de dispositivos pessoais, como smartphones e tablets, e promove a colaboração com parceiros comerciais e clientes.
Em licenças mais avançadas, o Microsoft Entra permite identificar comportamentos suspeitos no acesso e bloqueá-los antes de algo pior acontecer. Além disso, é possível integrar os logs de acesso do Microsoft Entra em ferramentas de SIEM (Security Information and Event Management) para monitoramento e reporte de acessos.
Configurar corretamente o Microsoft Entra ID é um caminho de ganho rápido para aumentar a postura de segurança da sua organização, evitando que ataques simples à identidade sejam bem-sucedidos.
A Controladoria-Geral da União (CGU) divulgou recentemente as 84 organizações reconhecidas na edição 2022-2023 do Empresa Pró-Ética, programa que incentiva as companhias a combaterem a corrupção.
O recebimento deste selo é um reconhecimento valorizado no mercado, uma vez que identifica empresas que possuem programas de Compliance efetivos, e que trabalham promovendo a cultura de integridade nos negócios. No entanto, para recebê-lo, a organização precisa realizar planejamento e investimentos, além de dedicação de anos de trabalho de diversos profissionais.
Entretanto, a dúvida que fica entre as empresas que buscam se adequar a esses parâmetros e, mesmo assim, não conseguem conquistar o reconhecimento, está relacionada ao que faltou para estar entre as organizações reconhecidas.
Em primeiro lugar, para conquistar o reconhecimento de Empresa Pró-Ética, a empresa deve atender dez áreas de avaliação, alcançando pontuação igual ou superior a 70 pontos e, cumulativamente, atingir o mínimo de 40% em todas as áreas.
Destas áreas, três se destacaram negativamente no grupo de empresas participantes, e contabilizaram menos de 45% de índice de sucesso, ou seja, são pontos que merecem atenção das organizações. São elas “VI – Controles para assegurar a Precisão e a Clareza dos Registros Contábeis e a Confiabilidade dos Relatórios e Demonstrações Financeiras”, “IX – Monitoramento do Programa de Integridade” e “X – Transparência e Responsabilidade Social”.
O item VI, de controles internos, foi o que as empresas obtiveram as piores notas gerais, dado que apenas 41% das empresas conseguiram demonstrar o atendimento aos requisitos. Neste tópico são abordados a avaliação do processo de gerenciamento de riscos das organizações, independência da atividade da auditoria interna, objetividade, proficiência e devido zelo profissional dos auditores internos.
Fica claro, portanto, a necessidade de as organizações comprometidas com a ética e o combate a fraudes e à corrupção estabelecerem estruturas de gerenciamento de riscos que contemplem a auditoria interna, seja na abordagem de avaliação ou de consultoria.
Independentemente do porte e perfil da empresa, mostra-se determinante ter uma estrutura de auditoria interna cada vez mais empoderada e estratégica, atuando em sinergia com os objetivos de Compliance das corporações. Inclusive, para obter o reconhecimento de Empresa Pró-Ética.
Nesse contexto, os resultados também mostraram o que impediu as organizações de conseguirem o selo, que foi o não tratamento adequado de questões relacionada à segregação de funções e aos limites de alçada. Neste item, apenas 26% das empresas atenderam os requisitos, sinalizando espaço para evoluir a maturidade dos controles internos. Na mesma linha, menos de 40% das organizações demonstraram capacidade de identificar receitas ou despesas fora do padrão, ou identificar sinais suspeitos.
Contudo, por mais que os temas supracitados possam parecer complexos de serem corrigidos, atualmente existem softwares de análises de dados para apoiar nestas questões. Dentre essas ferramentas, podemos mencionar os softwares de analytics, que são capazes de suportar a atividade de auditoria interna e controles internos como um todo e, em alguns casos, eliminar a abordagem amostral, avaliando a população.
Ações como essas, que trabalham com bases de dados cada vez mais complexas e pesadas, podem auxiliar na criação de um ambiente de controles internos, oferecendo garantia razoável de eficácia e eficiência do processo de gerenciamento de riscos.
Por exemplo, não é necessário auditar todo o ciclo de contas a pagar para identificar pontos fora da curva (outliers), como compras por valores muito acima da média para o período. Do mesmo modo que não é mais necessário contratar um especialista em TI apenas para avaliar se há segregação de funções e alçadas de aprovação nos ciclos financeiros das empresas.
Com as bases de dados corretas e completas é possível desenvolver fluxos no software de analytics e gerar mensalmente indicadores que ajudam, após analisados, na correção das lacunas identificadas de forma assertiva e tempestiva.
Por fim, lembramos que o processo de melhoria contínua deve ser adotado, uma vez que as não conformidades identificadas pela Auditoria Interna devem ser tratadas, tendo responsáveis e prazos. Dessa maneira, corrigir lacunas de forma tempestiva é fundamental para mitigar os riscos de fraude e corrupção.
*Jefferson Kiyohara é diretor de Forensics & Integrity | Compliance e ESG, e Gustavo Ferreira é gerente na área de Internal Audit & Financial Advisory, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
O vazamento de informações é uma das principais pautas entre gestores de TI e um dos maiores riscos que as empresas podem enfrentar e precisam tratar. Dados estratégicos, de clientes e de funcionários são exemplos de informações que, se vazadas, podem gerar prejuízos materiais, reputacionais e legais para organizações de qualquer porte.
Sabendo que a mais significante das ameaças tecnológicas é a violação cibernética, que pode causar a exposição dos conteúdos, é muito comum ouvir falar de vazamentos de dados que ocorreram devido a algum ataque cibernético, viabilizado por meio da permissão de acesso externo às informações. Porém, a grande parte destes casos ocorrem internamente nas empresas e são protagonizados por pessoas mal-intencionadas que visam obter alguma vantagem com essa informação.
Os dados pessoais têm se tornado cada vez mais valiosos porque, ao coletar informações, uma empresa ganha mais assertividade para oferecer os produtos certos ao cliente que tem mais afinidade em adquiri-los. E esse valor, que é de conhecimento interno, incentiva os mal-intencionados a vazarem os dados, prejudicando a organização.
Como consequência desse cenário, medidas foram tomadas, como a criação, na Europa, da GDPR (General Data Protection Regulation), e, no Brasil, da Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, que protege, por meio de regulamentos, os dados pessoais, e aplica sanções como advertências, multas simples ou diárias e até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Isso fez com que os processos se tornaram mais rigorosos dentro das empresas e medidas foram tomadas para aumentar o controle de acessos, a fim de evitar vazamento de informações, que são relacionados à ‘Segurança da Informação’.
E para que estas práticas sejam bem aplicadas, algumas etapas podem ser executadas, tal como criar processos de atualizações para softwares e sistemas, definir políticas de segurança, não permitir a utilização de programas pirateados ou não confiáveis, monitorar a infraestrutura; treinar os profissionais com boas práticas de segurança da informação e monitorar frequentemente e-mails, documentos, nuvem e demais informações.
Entretanto, é importante destacar que quando o acesso a essas informações é permitido, a responsabilidade pela prevenção ao vazamento passa a ter mais um dono: a ‘Gestão de Acessos’. A prática acontece quando empresas concedem os acessos sem mapear as funções dos profissionais, espelhando perfis de outros usuários, ou ainda sem examinar se o exercício concedido pode gerar algum risco para o negócio. Como resultado dessa ação, colaboradores podem ter permissões incompatíveis com as funções que desempenham e, eventualmente, tirarem vantagem disso.
Dessa forma, a aderência à LGPD envolve muito mais do que apenas ter políticas de privacidade e consentimento apropriados. É essencial que as empresas também foquem na implementação de controles internos, incluindo a gestão de acessos e a segregação de funções (SoD), a fim de minimizar ações indevidas e, consequentemente, aumentar a proteção e conformidade destas informações.
Em suma, a SoD e a LGPD estão intrinsecamente relacionadas quando se trata da proteção dos dados sensíveis, uma vez que essa integração eficaz traz diversos benefícios para as empresas. Além de contribuir com a conformidade legal, essa abordagem fortalece a segurança dos dados, aumenta a confiança dos clientes e parceiros, evita danos à reputação e demonstra compromisso em proteger a privacidade das informações, oferecendo uma vantagem competitiva no mercado regulamentado.
*Eduardo Maia gerente sênior de IT Risk Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
A Tecnologia da Informação (TI), composto também por empresas de Segurança da Informação (SI), tem ganhado cada vez mais importância na economia global. Consequentemente, a responsabilidade das empresas do setor em relação à sustentabilidade ambiental, social e de governança (ESG) cresce na mesma proporção. De acordo com a Gartner, até 2026, a sustentabilidade ambiental será uma das prioridades para 70% das empresas que contratam serviços de TI. Isso se deve à crescente atenção dos consumidores e investidores em relação às questões de ESG e à busca por fornecedores alinhados com esses valores.
Diante deste cenário, para que o setor se mantenha em ascensão, é crucial não se atentar às questões ESG apenas em operações próprias, mas também em toda a cadeia de fornecimento para que, desta forma, seja viável sua manutenção no mercado ao longo do tempo. Isso porque, nos últimos tempos, as empresas têm se deparado com impactos em sua imagem e em suas operações devido à má atuação de terceiros e, conforme os principais frameworks de mercado, terceirizar uma atividade não significa evitar riscos, mas sim compartilhar.
Em termos de regulações e legislação, é possível citar a resolução CMN nº 4893, que se trata de uma importante ferramenta de regulamentação do sistema financeiro brasileiro e busca aumentar a segurança e a estabilidade do setor por meio da adoção de boas práticas de governança, gestão de riscos e compliance. Sua implementação contribui para um sistema financeiro mais saudável e transparente, o que beneficia tanto as instituições financeiras quanto os seus clientes.
Além disso, a SASB (Sustainability Accounting Standards Board), que é uma organização sem fins lucrativos e desenvolve padrões contábeis de sustentabilidade para diversas indústrias, entre elas, as de TI, busca evidenciar fatores ESG relevantes em termos de impactos financeiros e operacionais para as empresas. Dentro destes fatores evidenciados pela SASB para o setor de TI, podemos destacar o crescimento da oferta de serviços baseados em nuvem, que implica no aumento do número de data centers e equipamentos de hardware. Portanto, gerenciar o uso de energia e água é um importante valor ambiental para os acionistas, que estão voltados às mudanças climáticas e às oportunidades de inovação em eficiência energética e energia renovável.
Outro ponto da SASB para o setor são as crescentes ameaças de segurança de dados, como os ataques cibernéticos e de engenharia social, que colocam em risco seus próprios dados e de seus clientes. Uma gestão eficaz da Segurança da Informação nessa área, começando pela matriz SoD (Segregation Of Duties), é importante para reduzir os riscos regulatórios e de reputação que podem levar a uma diminuição da receita, menor participação de mercado e ações regulatórias envolvendo possíveis multas e outros custos legais.
Em linha com a categoria de capital humano, nota-se que a indústria de TI está enfrentando a escassez de funcionários qualificados, o que leva a altas taxas de rotatividade e concorrência para adquirir novos talentos. Algumas empresas estão contratando estrangeiros e operações offshore, enquanto outras contribuem para programas de educação e treinamento para expandir a disponibilidade de funcionários qualificados domésticos. Portanto, é possível inferir que, para garantir a qualidade dos serviços prestados por fornecedores, as empresas da indústria de TI podem considerar a realização de auditorias que verifiquem a qualificação técnica dos funcionários desses fornecedores, bem como suas práticas de recrutamento, treinamento e retenção de talentos.
É importante ressaltar que os padrões da SASB para a indústria de TI fornecem às empresas orientações claras sobre quais tópicos de sustentabilidade financeiramente relevantes devem ser divulgados em seus relatórios, buscando disponibilizar informações úteis aos investidores e outras partes interessadas. Além disso, a adoção destes conceitos divulgados pela SASB pode auxiliar as empresas a identificarem e gerenciarem os riscos, aprimorando a estratégia, melhorando as operações e a reputação, o que garantirá, assim, a sustentabilidade do negócio ao longo do tempo.
Em resumo, fica um recado em especial para as empresas do universo de TI: buscar se atentar não somente às questões de governança, mas também aos aspectos ambientais e sociais caso queiram se manter relevantes no mercado, sem obviamente se esquecerem da cadeia de fornecedores, que também pode causar impactos em suas operações e imagens.
Com as empresas em busca de aquisições estratégicas para expandir sua participação de mercado de forma a obter acesso a novas tecnologias ou geografias e aumentar sua competitividade, notam-se tendências que podem continuar a moldar o cenário de fusões e aquisições em 2023.
Entre elas, há uma demanda contínua por empresas de tecnologia e ativos digitais, assim como maior foco nas organizações com perfis ambientais, sociais e de governança (ESG) já desenvolvidos e nas transações internacionais devido à procura por negócios mais globalizados. Além disso, as taxas de juros baixas podem continuar barateando os empréstimos, o que pode encorajar mais empresas a buscar acordos de fusões e aquisições.
Entretanto, num processo que envolva fusão e aquisição, ou seja, num M&A (Mergers & Acquisition), se a migração for dificultosa, podem ocorrer situações indesejadas, como clientes trocarem a empresa pelo concorrente ou certas vulnerabilidades serem exploradas de forma indevida, tornando a reorganização societária e, consequentemente, a transformação digital, um fracasso.
Por exemplo, há casos reais, como uma cisão parcial realizada no setor de seguros que foi descontinuada após recorrentes dificuldades enfrentadas na estruturação operacional, bem como na gestão de acesso para a uma nova subsidiária. Na época, a empresa não possuía estrutura e processos adequados para as atividades de gestão de acesso, sendo assim não se sabia como estava o cenário atual das permissões de acesso aos sistemas core do negócio.
Ou seja, sem a devida estruturação e controle, o processo de concessão de acesso para a nova subsidiária ocorreu de forma incompleta e desordenada, incorrendo em uma série de problemas operacionais e aumento de vulnerabilidades.
Como forma de mitigar os problemas operacionais, foram empregadas soluções de análise de dados para avaliação do cenário e ajuda na tomada de decisões estratégicas. Em pouco tempo o cenário caótico foi sendo minimizado e compreendido pelos indicadores e informações organizadas. No entanto, o desgaste já havia acontecido e o prosseguimento da cisão já não fazia sentido. Se o entendimento de cenário e controle de mudanças fossem operacionalizados de forma antecipada a partir de ferramentas de análise, o resultado teria mais chances de ser positivo.
Outro exemplo, desta vez no setor rodoviário, traz um processo de aquisição para a incorporação de tecnologia que fez com que a empresa adquirente se enquadrasse em novas exigências regulamentadoras. Um dos pontos essenciais para atendimento das exigências impostas consistia na estruturação mais robusta do processo de gestão de acesso aos sistemas incorporados, ou seja, a empresa precisou amadurecer seus processos de forma muito rápida, tendo em vista que havia pouca iniciativa desenhada para gestão de acesso.
Neste caso, o uso de técnicas de análise de dados permitiu melhoria significativa de maturidade ao aferir o cenário e desenhar planos de ação para questões ligadas à IAM (Identity and Access Management) e SoD (Segregation of Duties).
As dificuldades enfrentadas e consequentemente a taxa de insucesso relacionadas ao processo de reorganização societária não ficam restritos apenas aos cenários internos das companhias. Segundo a Forescout, 53% das organizações se depararam com incidentes e problemas críticos de cibersegurança durante um processo de M&A, assim como 65% apresentaram arrependimento em relação ao acordo feito após enfrentarem problemas nessa questão. De forma não isolada, as vulnerabilidades de cibersegurança são exponenciais sem uma solução sólida de IAM instalada.
Isso significa que o processo de M&A terá um grande problema de segurança caso a empresa esteja gerenciando um alto volume de dados descentralizados ou sem uma estratégia de identidade centralizada.
Ter uma solução de análise massiva de dados disponível para execução antes de uma reorganização societária permite que a companhia tenha um panorama mais eficiente do cenário atual sob um contexto geral, não somente para temas voltados à gestão de dados.
Ao realizar uma análise completa e eficiente considerando grandes volumes de dados financeiros e operacionais, é possível que tendências e pontos de falhas sejam identificados levando, a decisões estratégicas mais eficientes e seguras. Ou seja, evita que meses sejam desprendidos integrando sistemas e minimiza o esforço operacional garantindo mais tempo para a equipe se dedicar em assuntos ainda mais críticos. Além disso, o emprego da tecnologia aumenta a taxa de sucesso de fusões e aquisições, pois essas tendem a falhar se não houver um processo claro de integração dos dados.
A implementação de uma ferramenta de análise de dados massivo é uma etapa crítica na jornada de migração em M&A, exigindo dos tomadores de decisão um planejamento antecipado que contemple a avaliação de quais dados e sistemas devem ser mantidos e quais serão descartados.
*Erick Matheus Santos e Rafael Carniato são da área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.