Por Hélio Ito, Conselheiro de Administração do Instituto dos Auditores Internos do Brasil (IIA Brasil)
O Índice Global de Segurança Cibernética, produzido pela agência do setor de tecnologia da ONU e divulgado na última semana de junho, traz uma boa notícia para o Brasil. O país saiu da 71ª posição para 18º lugar no ranking de segurança digital entre os 193 países avaliados. O trabalho analisa alternativas que governos adotam para ampliar a segurança nesse sentido e combater riscos cibernéticos em seus portais oficiais.
Porém, o Brasil é líder absoluto como o país que mais recebeu ataques em 2020, de acordo com a empresa Kaspersky, na edição do Panorama de Ameaças na América Latina. O Brasil está com 56% de ocorrências, à frente do México (28%), Colômbia (7,3%), Peru (5,4%), Argentina (1,9%) e Chile (1,6%). Esse mesmo estudo mostrou que 2 em cada 3 ataques na região são contra companhias e apenas 1 em 3 é direcionado a pessoas comuns. Empresas de segurança cibernética bloquearam mais de 20,5 milhões de ameaças contra consumidores e 37,2 milhões contra organizações.
Isso mostra que todos os cidadãos e, principalmente, as empresas atualmente correm riscos cibernéticos de alguma natureza. E aí está o grande desafio de como combater essa prática criminosa, que tem como alvo o uso de um computador, uma rede de equipamentos ou um dispositivo conectado em rede. Bastante estruturados, os cibercriminosos usam técnicas avançadas para atingirem seus objetivos.
Além dos cuidados que o usuário deve tomar em relação ao uso de senhas, antivírus, abertura de anexos, links e e-mails desconhecidos, é importante que a empresa tenha uma visão clara de toda a operação e fortaleça a sua estrutura, ferramentas e procedimentos de segurança da informação para prevenir os crimes cibernéticos.
Desafios para os auditores internos no combate às ameaças virtuais
Neste momento, muitas companhias que estavam atuando remotamente durante os quase dois anos de pandemia de coronavírus se preparam para retomar ao trabalho presencial. Bem como outras empresas definem estratégias para a manutenção de uma rotina híbrida a partir do segundo semestre de 2021. Essas duas variáveis envolvem riscos cibernéticos para a auditoria interna, além da falta de transparência e da integridade das informações.
Em ambos os casos, é papel do auditor interno redobrar a atenção e estabelecer mecanismos de verificação cruzada para minimizar os riscos de ataques. Agora, mais do que nunca, é importante ter um diagnóstico amplo de todos os departamentos. Para isso, as alocações do plano de auditoria estão refletindo nas áreas de maior risco, incluindo segurança cibernética que, sem dúvida, hoje representa o principal risco enfrentado pelos líderes de auditoria interna. Para combater essa ameaça, o auditor interno precisa se concentrar em assuntos de maior risco e relevância, ter especialistas no time, além de contratar de profissionais externos capacitados no assunto.
A auditoria interna de tecnologia também precisa desempenhar um papel mais abrangente no combate a esse perigo ao adicionar a temática em seu trabalho cotidiano, incluindo elementos da Lei Geral de Proteção de Dados (LGPD), aprovada pelo Governo em 2019, e que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa física ou jurídica, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade.
Por fim, deste período de pandemia fica a lição de que houve um aumento considerável de casos de crimes cibernéticos. Na verdade, todos já sabiam o que fazer para minimizar estes danos, mas os empresários relutavam em tomar uma decisão significativa devido aos custos/investimentos associados e à análise pobre de probabilidade e impacto.
Aprendemos que precisamos fortalecer continuamente o processo de Segurança da Informação da organização, mas nem sempre isso é algo fácil de se obter. A liderança de auditoria interna precisa tomar para si a responsabilidade de sensibilizar executivos e conselheiros das organizações em relação aos riscos cibernéticos e seu real impacto no negócio. É preciso mostrar exemplos de perdas materializadas em empresas semelhantes, independentemente do tamanho e segmento de atuação, uma vez que os ciberataques ocorrem sem distinção.