A PricewaterhouseCoopers (PwC) divulgou hoje, 19/Fev/2014, sua pesquisa “Economic crime: a threat to business processes – 2014”. Esta pesquisa contou com a participação de 5.128 respondentes de 96 países ao redor do mundo. Destas companhias, 54% possuem mais de 1.000 funcionários. O Brasil está representado neste contingente.
É uma pesquisa riquíssima e merece ser estudada e debatida detalhadamente e com a sabedoria de identificar o que ela pode transmitir para a realidade de cada organização, mas especificamente a sua realização. Sugiro que o leitor acesse o site da PwC e leia a mesma de maneira completa.
Para este nosso ponto de encontro, gostaria de destacar alguns itens que fortalecem o Processo Organizacional de Segurança da Informação como a Base Preventiva para o combate a fraude e a minimização dos seus impactos. Vejamos:
a) No Brasil, 24% das companhias tiveram situações identificadas de fraudes econômicas e 64% das fraudes foram cometidas por pessoal interno.
b) Considerando o triângulo Racionalização (Desejo), Oportunidade e Pressão, a Oportunidade foi a primeira razão de se cometer a fraude, sendo responsável por 74%. Os outros dois elementos ficaram com 13% cada um.
c) Canal de Denúncia foi o meio que mais levou a descoberta de Fraude com 34%, Monitoração das Informações com 21% e Auditoria Interna com 17%.
d) Recomendações para o combate à fraude:
- Envolvimento e comprometimento da alta direção;
- Gerenciamento de riscos;
- Controles, políticas, normas, procedimentos e monitoramento;
- Continuidade das ações para a conformidade.
Considerando apenas estes destaques acima, o Processo Organizacional de Segurança da Informação é fundamental para a existência de controles que ajudem a combater a fraude.
A existência de oportunidade para se fazer a fraude, indica vulnerabilidade em controles de sistemas e fragilidade nos controles de segurança da informação. Por exemplo, se um usuário descobre que não existe uma boa trilha de auditoria (ninguém vai saber o que ele fez), ou se ele pode realizar ações utilizando identificação de outro usuário, ou se autorizações de acesso que deveriam ser cortados continuam válidos, estas fragilidades geram oportunidades para atos de fraudes.
Para monitorar as informações é necessária à existência de registros de rastreabilidade, é necessário que as identificações de usuários sejam efetivas, estes registros de rastreabilidade precisam ser confiáveis e ter a garantia da sua integridade.
O Canal de Denúncia precisa ter suas informações guardadas em um padrão de sigilo/segredo compatível com o que propõe. Os acessos a estas informações têm que ser rigorosamente controladas. É necessária a autorização adequada e o corte de acesso de usuários que não mais estejam exercendo a função.
Auditoria interna só vai ser possível desenvolver o seu trabalho se existirem as regras e os controles para que sejam identificados aquilo que não está em conformidade com as políticas e normas de segurança da informação. Somente poderá se acusar um usuário de fraude por usar a identificação de outro usuário, se existir um regulamento indicando que na organização a identificação é pessoal e intransferível.
Políticas e normas precisam existir de maneira compatível e de fácil compreensão para a organização e para os usuários desta organização. Avaliação de riscos é uma das Dimensões de Segurança da Informação, inclusive com uma norma especifica, a ISO/IEC 27005: 2008.
É bom lembrar que a recente Lei 12.737 de 2012, Tipificação Criminal de Delitos Informáticos, ao incluir no Código Penal o Artigo 154 A, exige a existência de “mecanismos de segurança”. Uma organização que não possui um Processo de Segurança da Informação terá dificuldade perante a justiça de provar várias ações que tenha sofrido de criminosos, se não possui controles adequados com o seu porte e tipo de negócio.
Considero o Processo Organizacional de Segurança da Informação a base para o combate de crimes econômicos na organização. Evidentemente existem outros tipos de ações. Mas, leia a pesquisa da PwC e tire as suas conclusões.