Protiviti alerta sobre a gestão de vulnerabilidade em TI
Objetivo da consultoria global [Protiviti] é apoiar as empresas na avaliação e no tratamento dos riscos atuais da TI por meio de medidas práticas
Faturar bitcoins, vender dados e até mesmo realizar pagamentos, ou transferências, usando o ERP das empresas são alguns dos métodos habilidosos de invasão promovidas por hackers atualmente.
A periculosidade é aumentada se pensar que tais ações contra a organização podem ser feitas por qualquer agente, seja um estranho ou até mesmo um colaborador mal-intencionado.
“A situação é preocupante porque as motivações de ciberataques deixaram de ser apenas para ganhos financeiros. São abordagens inovadoras que promovem danos físicos, roubam segredos comerciais, realizam invasões virtuais como forma de protesto e utilizam a infraestrutura comprometida para realizar outras invasões”,
explica Marco Ribeiro, líder da prática de gestão de risco de TI da Protiviti, consultoria global especializada em Gestão de Riscos, Auditoria Interna, Compliance, Gestão da Ética, Prevenção à Fraude e Gestão da Segurança.
Como forma de alertar as empresas, a Protiviti aponta seis passos práticos cujo objetivo é avaliar e tratar os riscos de TI na identificação e correção de ataques por meio de uma auditoria baseada na gestão de vulnerabilidade.
A estratégia da Protiviti é ressaltada num momento em que o custo médio devido a um vazamento chega a R$ 4.5 milhões, conforme dados do Ponemon Institute reportado no IBM cost of breach 2016.
Já em fraudes relacionadas às vulnerabilidades de TI, a Association of Certified Fraud Examiners (ACFE) aponta prejuízos financeiros que chegam a 5% do faturamento anual das empresas.
Trazendo outros números para a realidade do Brasil, que é considerado o País mais atacado da América Latina, temos que os atacantes permanecem em média 242 dias sem serem identificados no ambiente e TI, sendo que outros 99 dias são necessários, em média, para que seja feita a contenção do ataque.
De acordo com a consultoria, a primeira medida preventiva é mapear a estrutura organizacional da empresa com atenção total para área de TI.
O primordial nesta fase inicial é saber os motivos pelos quais os executivos acionam a área e conhecer todos os colaboradores e fornecedores, que têm passagens livres nos sistemas da companhia.
Tendo este mapeamento em mãos, a segunda dica é saber como são executadas as atividades em Segurança da Informação. É pertinente nesse momento averiguar quais ações são inseridas nos processos de negócios da empesa.
O terceiro passo é verificar se os riscos são medidos de acordo com o impacto ao negócio. E, principalmente, se há uma área da companhia dedicada à gestão de riscos.
A quarta etapa envolve a questão se os serviços fornecidos pela TI e SI estão definidos e catalogados, assim como, se estão estabelecidos através de processos e procedimentos. Um adendo importante neste estágio é saber se os controles são monitorados e se os eventuais incidentes são reportados aos responsáveis.
Já a quinta atitude é compreender as vulnerabilidades e os riscos que passam no ambiente de TI da empresa. De que forma a infraestrutura, os sistemas e as informações são protegidas? Há rotina de testes técnicos e de seus controles na operação de TI? São as duas indagações chaves a serem feitas.
Por fim, o sexto e último passo mostra como reportar os riscos ao board. A consultoria orienta três ações básicas: consolidar as vulnerabilidades em riscos relacionados a TI; associar quais riscos estão ligados às demandas de negócios e operacionais; e manter um dashboard periódico com riscos e planos de mitigação.
Portanto, a área de de TI das empresas pode servir de recurso para atacantes cometerem crimes eletrônicos e fraudes no ambiente interno ou em terceiros, sem que tenhamos conhecimento. Ataques como contra a DynDNS que comprometeu sites e serviços como o Twitter e o Spotify, promovido pela botnet Mirai, confirmam esta tendência.
“O alerta é similar às instituições com ambientes na nuvem e que enfrentam os mesmos riscos dos ambientes convencionais. No entanto, devido ao grande volume de dados armazenados de várias origens, o cloud se torna um pool atrativo para os cibercriminosos. É preciso enfrentar esta realidade”,
finaliza Ribeiro.
Sobre a Protiviti (www.protiviti.com)
A Protiviti é uma empresa global de consultoria que ajuda empresas a resolverem problemas em finanças, tecnologia, operações, governança, risco e auditoria interna. A companhia presta serviços para mais de 60% das empresas da Fortune 1000® e 35% da Fortune Global 500®.
A Protiviti e suas firmas membro independentes prestam serviços aos clientes por meio de uma rede de mais de 70 escritórios em mais de 20 países, contando com mais de 4.500 profissionais em todo o mundo.
No Brasil ela está presente desde 2006. A empresa também trabalha para agências governamentais e empresas de menor porte e/ou em fase de crescimento, incluindo aquelas que têm por objetivo fazer a abertura de capital.
Presente na classificação 57 da lista de 2016 da Fortune – 100 Melhores Empresas para Trabalhar®, a Protiviti é reconhecida em seu segmento entre as “Melhores Empresas para Trabalhar”. A empresa é uma subsidiária integral da Robert Half (NYSE: RHI). Fundada em 1948, a Robert Half é membro do índice S&P 500 e foi nomeada para Fortune® na lista “Empresas Mais Admiradas do Mundo” da revista entre 1998-2016.
Artigos sobre Franchising e Mercados, Economia, Finanças e Gestão
Artículos en espanhol
Articles en français
Articles in English
Colunistas
Artes, Cultura e Variedades
Feiras e Eventos
Responsabilidade Sócio-Ambiental
Economia e Finanças
Política
Internacional
Meio Ambiente
Empresas Fornecedoras
