Monitoramento de informação: vital para segurança da empresa

O monitoramento de informação não é apenas uma boa prática para a segurança de dados das empresas, mas uma necessidade.

O monitoramento de informação não é apenas uma boa prática para a segurança de dados das empresas, mas uma necessidade. Um levantamento realizado pela Protiviti Brasil mostra que entre 2014 e 2018, dos 32 mil incidentes analisados nas empresas que participaram da pesquisa, mais de 70% eram relativos ao vazamento de informações.

O vazamento de informações confidenciais tornou-se um dos principais desafios de negócios globalmente. Hoje, nenhuma indústria ou empresa está 100% protegida contra perda e/ou roubo de dados. Garantir a segurança das informações está se tornando parte integrante dos processos de negócio e papel do monitoramento de informação.

Vazamentos mais comuns são a divulgação de resultados, planejamento financeiro, projetos estratégicos, dados dos colaboradores e dados de clientes. Normalmente esses vazamentos ocorrem internamente, cometidos por pessoas da organização.

É importante também conhecer a relação que existe entre os tipos de incidentes como, por exemplo, um incidente detectado sobre perda de talento, que ocorre quando o colaborador pretende deixar a empresa, geralmente está associado aos incidentes vazamento de informação. Quando o colaborador decide deixar a empresa, ele inicia um processo de transferência de arquivos para seu e-mail particular, para que ele possa utilizar essas informações em outras empresas que ele virá a trabalhar.

Com a lei geral de proteção de dados (LGPD) que entrou em vigor em agosto de 2020, os cuidados com os dados devem ser ainda maiores. Isso significa que as empresas precisam monitorar toda movimentação realizada, garantindo a segurança destas informações.

Além do vazamento de informações o monitoramento de informação pode detectar fraudes corporativas. E, quando há a falta de monitoramento de informação, a maioria dos riscos só são detectados depois de ser tornarem um problema. E essa detecção tardia da ameaça interna reduz as opções de correção.

Uma fraude não acontece da noite para o dia. O fraudador vai testando o ambiente, inicialmente de uma forma mais tímida e assim aumentando o risco de grandes fraudes. Com um monitoramento de informação efetivo é possível verificar indícios precoces da intenção.

A maior parte do gerenciamento de risco é, na verdade, o gerenciamento de incidentes e o foco está no forense.

Quais os riscos de um ambiente de trabalho sem monitoramento de informação?

Com o monitoramento de informação no ambiente é possível cobrir diversas irregularidades e riscos, tais como:

• vazamentos;
• corrupção;
• reputação;
• gestão de pessoas;
• fraude;
• roubo;
• desvios;
• riscos de mercado;
• concorrencial;
• riscos de compliance e regulatórios;
• governança;
• riscos à vida, de acidentes ou desastre.

Quanto maior o número de entidades sob o monitoramento de informação maior será a capacidade de detecção, prevenção e reação.

Visto a quantidade de riscos existes, podemos dizer que o monitoramento pode ser utilizado por diversas áreas de uma empresa a exemplo, áreas de compliance, recursos humanos, investigação, segurança, qualidade, auditoria, entre outras.

Quais são as áreas que trazem mais estes tipos de incidentes

Em pesquisa realizada ao logo destes 10 anos na ICTS Protiviti, mostrou que operações/manufatura e comercial concentram mais de 50% dos incidentes detectados. Isso mostra que devemos estar mais atentos a elas, mas sem deixar de lado as demais áreas como a financeira, marketing, recursos humanos, logística.

Quais os níveis organizacionais com maiores riscos?

• Nível estratégico: possui menos incidentes, porém são casos de maior criticidade, os assuntos que mais aparecem neste nível é a corrupção, assédio, favorecimento, vazamento de informações estratégicas e contato com concorrentes.
• Nível tático: possui quantidade relevante de incidentes com variações nos impactos, nem crítico nem baixo, são equilibrados, os incidentes relacionados a este nível é a fraude, vazamento de fórmulas e segredos industriais, relacionamento com concorrente e perda de talentos.
• Nível Operacional: possui a maior parte de incidentes de médio e baixo impactos que sinalizam tendências e sugerem planos de ação preventivos, os assuntos relacionados são o desvio de conduta, vazamento de informação, perda de talentos, erros operacionais, transgressão às regras, contato com sindicato e concorrente.

Segundo nossa experiência de mais de 10 anos, 100% das empresas possuem dados suficiente para detectar e prevenir diversos riscos.

Monitoramento de informação de Acordo com a Lei

Monitoramento de informação do ambiente corporativo é uma ferramenta útil para a prevenção e mitigação de riscos. Porém, não é incomum o tráfego de dados pessoas. Para estar em conformidade, alguns pontos precisam ser verificados:

• Ter políticas claras e acessíveis.
• Comunicar sobre o monitoramento do ambiente e seus objetivos.
• Obter ciência e consentimento dos colaboradores, terceiros, todos envolvidos no processo de monitoramento.
• Manter o acesso limitado/restrito aos dados.
• Seguir as melhores práticas de segurança da informação e confidencialidade e garantir que o processo interno mantém essas regras/diretrizes, incluindo a proteção de dados pessoais.
• Ter definido e disponibilizado a informação sobre o tempo de armazenamento dos dados.
• Não fazer distinção de pessoas quanto as regras que serão aplicadas.

Os 4 pilares para um processo maduro de monitoramento envolvem unir

Confira os pilares do monitoramento de informação eficaz e maduro.

• Conhecimento em riscos: contando com uma equipe especializada em riscos corporativos, deve-se buscar entender as necessidades específicas de cada corporação e ter ciência sobre diferentes impactos em diversas ações antiéticas e noções de priorização.
• Conhecimento técnico: ter expertise na plataforma que integre informações de diversos dispositivos da empresa. É necessário entender de elaboração de regras e dicionários específicos para as necessidades de cada empresa.
• Plataforma tecnológica moderna: possuir plataforma de monitoramento que consiga abranger diversas fontes de dados (comunicações corporativas, armazenamento, devices externos, logs de impressora etc.).
• Independência: garantir a confidencialidade, neutralidade no tratamento, cumprimento da LGPD (Lei Geral de Proteção de dados), escalonamento imparcial para tratamento de todo e qualquer incidente.

Dividimos o monitoramento em três níveis de maturidade

Podemos classificar o monitoramento de informações das empresas em três níveis de maturidade. Leia e veja em qual a sua organização se encaixa.

• Sem monitoramento: não há monitoramento preventivo nem reativo. Quando acontece uma situação, a empresa não consegue buscar informações dentro dos dados que possui. A corporação está à mercê de riscos como vazamento de dados, processos trabalhistas, corrupção e outros.
• Monitoramento inicial: nele a empresa tem um monitoramento reativo, há uma ferramenta que o setor de Tecnologia da Informação utiliza para barrar alguns acessos, porém nem sempre há tempo e recursos para explorar todas as funcionalidades da ferramenta. Existem alguns dados levantados pelo TI quando a investigação é necessária, porém é difícil manter a confidencialidade do assunto. Nem sempre há tempo ou equipe para fazer esse monitoramento. Com isso, ficam “pontas soltas” e falta conhecimento para uma investigação apropriada. Isso impede a captura de dados que seriam essenciais para esse processo.
• Monitoramento Maduro: possui monitoramento preventivo e investigativo. Empresas com esse nível de maturidade contam com equipe especializada em riscos corporativos, com expertise sobre os diferentes impactos em diferentes ações antiéticas. Ela também possui noções de priorização, conhecimento técnico e uma plataforma moderna que integre diversos ativos da empresa em uma visão de 360º. Isso garante a  confidencialidade, a neutralidade, a privacidade de dados pessoais, o escalonamento imparcial e a terceirização de indicadores confiáveis (KPI).

Como vimos o monitoramento de informação é fundamental para corporações que desejam evitar perdas por atitudes antiéticas, fraudes, vazamentos entre outros. E para isso, é preciso seguir alguns pilares que garantem que a empresa tenha total maturidade para lidar com esse processo, seja de forma preventiva ou reativa.