Minimize a fraude com a Segurança da Informação

A fraude é um câncer organizacional. Se os gestores não decidirem combate-la, ela pode acabar com a organização. Todas as organizações sofrem algum tipo de fraude, independente do seu porte ou do tipo de negócio.

Existem disponíveis várias estatísticas e estudos, mas em média estima-se que entre 2% e 5% é quanto as organizações e as nações sofrem por causa da fraude. E fraude é prejuízo na certa, abate diretamente do faturamento da organização.

Para que uma fraude aconteça são necessários dois elementos básicos: informação e a ação do criminoso.

Sem informação o criminoso não consegue agir. Nesta perspectiva é que a segurança da informação minimiza as fraudes. Um processo de segurança da informação profissional e realizado com seriedade mantém o acesso a informação estritamente permitido apenas para aqueles usuários que precisam da informação e são autorizados para este acesso. Grande parte das fraudes acontece porque o criminoso tem acesso a informações que não deveria ter acesso.

Outro forte controle de segurança da informação é a segregação de funções. Em um processo qualquer um mesmo usuário não deve fazer uma atividade e controlar esta atividade. Continuando, a segurança da informação exige a existência e o monitoramento das ações de cada usuário. Isto é, teremos rastreabilidade das ações que ajudará numa eventual investigação, caso os controles preventivos não tenham sido suficientes para evitar o ato criminoso.

A correta destruição de mídia de informação (discos, computadores e papéis) é um controle efetivo para que a informação não chegue a pessoas que não deveriam ter acesso à informação.

Em resumo, cada organização deve ter implantado um Processo de Segurança da Informação que deve contemplar várias dimensões:

– Políticas e normas;

– Gestão de risco dos recursos de informação;

– Acesso à informação;

– Classificação do sigilo da informação;

– Continuidade do negócio no que depende de informação;

– Cópias de segurança da informação;

– Conscientização e treinamento do usuário;

– Resiliência operacional da informação;

– Gestão de incidentes;

– Ambiente físico dos recursos de informação;

– Desenvolvimento e aquisição de sistemas, e;

– Proteção técnica.

Estas dimensões são validadas para toda organização, independente do seu tipo de negócio e do seu porte. O que será diferente será a maneira como os controles serão desenvolvidos e implantados, bem como a rigidez destes controles.

Se sua organização não possui uma abordagem estruturada para a segurança da informação, comece o quanto antes. Um fato é realidade: sem segurança da informação, a fraude existe, cresce e a Organização só faz perder.