A fraude é um câncer organizacional. Se os gestores não decidirem combate-la, ela pode acabar com a organização. Todas as organizações sofrem algum tipo de fraude, independente do seu porte ou do tipo de negócio.
Existem disponíveis várias estatísticas e estudos, mas em média estima-se que entre 2% e 5% é quanto as organizações e as nações sofrem por causa da fraude. E fraude é prejuízo na certa, abate diretamente do faturamento da organização.
Para que uma fraude aconteça são necessários dois elementos básicos: informação e a ação do criminoso.
Sem informação o criminoso não consegue agir. Nesta perspectiva é que a segurança da informação minimiza as fraudes. Um processo de segurança da informação profissional e realizado com seriedade mantém o acesso a informação estritamente permitido apenas para aqueles usuários que precisam da informação e são autorizados para este acesso. Grande parte das fraudes acontece porque o criminoso tem acesso a informações que não deveria ter acesso.
Outro forte controle de segurança da informação é a segregação de funções. Em um processo qualquer um mesmo usuário não deve fazer uma atividade e controlar esta atividade. Continuando, a segurança da informação exige a existência e o monitoramento das ações de cada usuário. Isto é, teremos rastreabilidade das ações que ajudará numa eventual investigação, caso os controles preventivos não tenham sido suficientes para evitar o ato criminoso.
A correta destruição de mídia de informação (discos, computadores e papéis) é um controle efetivo para que a informação não chegue a pessoas que não deveriam ter acesso à informação.
Em resumo, cada organização deve ter implantado um Processo de Segurança da Informação que deve contemplar várias dimensões:
– Políticas e normas;
– Gestão de risco dos recursos de informação;
– Acesso à informação;
– Classificação do sigilo da informação;
– Continuidade do negócio no que depende de informação;
– Cópias de segurança da informação;
– Conscientização e treinamento do usuário;
– Resiliência operacional da informação;
– Gestão de incidentes;
– Ambiente físico dos recursos de informação;
– Desenvolvimento e aquisição de sistemas, e;
– Proteção técnica.
Estas dimensões são validadas para toda organização, independente do seu tipo de negócio e do seu porte. O que será diferente será a maneira como os controles serão desenvolvidos e implantados, bem como a rigidez destes controles.
Se sua organização não possui uma abordagem estruturada para a segurança da informação, comece o quanto antes. Um fato é realidade: sem segurança da informação, a fraude existe, cresce e a Organização só faz perder.