A fraude corporativa é um câncer que existe em praticamente todas as organizações. O percentual de organizações e a maneira como cada organização é afetada, variam de pesquisa para pesquisa, mas sempre os percentuais são altos. A Kroll Advisory, em recente trabalho indica que 74% das empresas latinas americanas são afetadas por fraudes corporativas. Mas, se sua organização é afetada pela fraude, este percentual pouco importa. Para você este percentual se torna 100%. Sua organização é o que existe de mais importante.
Para ser efetiva no combate a fraude é mandatório que a organização considere o processo de segurança da informação. Este processo é um elemento eficiente/eficaz em função dos controles que ele exige e quando bem gerenciado possibilita que a organização minimize o risco de fraude.
A fraude corporativa tem duas características que interagem diretamente com o processo de segurança da informação:
a) Informação é o elemento chave para a fraude
Todas as fraudes precisam da informação para ser realizadas. Desde um roubo de um material físico até um vazamento criminoso de informação para o concorrente. A informação é um recurso que possibilita que a fraude seja realizada. O processo de segurança da informação tem por objetivo garantir a proteção da informação e dos recursos de informação.
b) São as pessoas que realizam as fraudes
Chamamos de fraudes corporativas porque queremos limitar as fraudes que acontecem no ambiente da organização. Mas todas as fraudes são realizadas por pessoas que compõem uma das Dimensões da Segurança da Informação.
O Processo de Segurança da Informação está estruturado por Dimensões que por sua vez possuem controles. A Norma NBR ISO/IEC 27002:2005 possui 133 controles, dos quais cerca de 50 indicam a necessidade de participação das áreas de negócio e da direção executiva da organização. Se nós estamos tratando de fraude corporativa, significa o envolvimento da organização como um todo. Bem, como significa que devemos tratar a informação da organização, independente do ambiente em que ela esteja: ambiente de tecnologia (computadores, smart phones, maquinas fotográficas, recursos de tele conferência, redes virtuais) ou ambiente convencional (papel, comportamento de pessoas, lixo físico).
Alguns controles do Processo de Segurança da Organização são de excelência crítica para o combate à fraude corporativa:
a) Identificação, autenticação e autorização do usuário
O usuário precisa ter identificação única, intransferível e válida apenas enquanto o usuário está ativo no ambiente da informação. Muitas fraudes acontecem com o uso de identificação de usuário que já não trabalha mais para a organização, seja funcionário ou prestador de serviço. O uso da identificação do usuário por outro usuário deve ser proibida e exemplarmente punido.
A autenticação do usuário deve ser robusta. Atualmente as organizações têm condições de implantar a autenticação biométrica para o acesso à informação. Outras maneiras seguras podem ser alcançadas com o uso de senha mais cartão ou token.
Cada informação precisa ter o seu Gestor da Informação, que normalmente será da área de negócio. Um usuário só poderá ter acesso à informação se este Gestor autorizar este acesso. A vulnerabilidade para a fraude, normalmente acontece quando ao longo do tempo o acesso à informação não é revisto periodicamente. Usuários são transferidos de áreas organizacionais e carregam para sempre acessos anteriores. Um prato cheio para a fraude.
b) Registro do que acontece no ambiente e gestão sobre estes registros
Os acessos realizados pelo usuário devem ser registrados, bem como, as alterações realizadas nas informações. Tudo que acontece no ambiente de tecnologia ou convencional e diz respeito à informação deve ser registrado. Porém, o registro é apenas meia ponte. A outra metade é a gestão inteligente desses registros. Eles precisam ser estudados e analisados para identificar comportamento estranho ou para servirem de orientação após uma ocorrência. Vale a pena salientar que a recuperação desses registros deve ser de fácil construção. Com estes registros podem-se ter ações preventivas contra a fraude como ações de busca de evidências de como a fraude aconteceu.
c) Gestão de recursos e dependência operacional
O Processo de Segurança da Informação exige que exista uma gestão de recursos e uma identificação de dependência. Em situações (ainda) sem fraude, isto aparece muito explícito quando elaboramos um Plano de Continuidade de Negócio: ao definir os grupos de trabalho identifica-se que um determinado funcionário faz praticamente tudo. E evidentemente não se tem nada documentado, tornando a dependência da organização neste recurso extremamente perigosa.
d) Controles implantados exigem novos controles
Ao se implantar um controle, é necessária uma avaliação para identificar as novas ameaças e os novos graus de risco que este controle implantado gerou. Um controle de acesso físico foi automatizado: ótimo! Mas, se um funcionário perde o crachá, qual o risco de uma ação de má fé ocorra?
e) Gestão de Riscos
A Gestão de Riscos deve ser executada periodicamente e sempre, em relação aos recursos de informação. Caso contrário o Processo de Segurança da Informação não será um processo e será apenas uma bela foto parada no tempo.
f) Gestão de incidentes
Incidente é qualquer acontecimento que ponha em risco um recurso de informação. A organização precisa ter uma estrutura para que relatos de incidentes possam ser registrados pelos usuários sem que os mesmos sofram constrangimentos. Esta Gestão de Incidentes será reforçada quando a organização possui um canal seguro de comunicação do usuário com a organização de maneira que ele posso registrar situações que colocam em risco a organização, novamente, sem sofrer constrangimento.
Outras ações para o combate a fraude corporativa são necessárias e não estão diretamente ligadas à informação da organização: processo de contratação de recurso, clima organizacional, valores da organização, exemplo dos executivos-gestores e confiança do usuário na organização. Todos devem ser cuidados e bem gerenciados.
O Processo de Segurança da Informação oferece uma estrutura para minimizar a ocorrência de fraudes. Implantar e manter este processo exige dedicação de recursos financeiros, de tempo e de pessoas. Não existe segurança da informação grátis. Mas, a fraude é grátis para existir, porém custa caro para a organização a sua consequência: financeira, de imagem e de não conformidade com os regulamentos e padrões éticos que a organização deveria seguir.