A rápida expansão do trabalho remoto e as tensões que a pandemia do Covid-19 trouxe às pessoas estão ajudando a criar novas oportunidades para cibercriminosos, além de questões relacionadas à privacidade de dados e outros riscos regulatórios e legais. De acordo com um relatório preparado pela banca global Mayer Brown, a repentina adesão ao home office aumenta o risco de que sistemas e dados críticos das empresas possam ser expostos pela ampliação do acesso remoto e pela maior dificuldade das empresas para responder efetivamente a incidentes cibernéticos.
Segundo informações da empresa de segurança Proofpoint, o volume acumulado de phishs (iscas recebidas por e-mail) relacionadas ao coronavírus já representa a maior coleção de tipos de ataques com base em um único tema já visto pela equipe da empresa. Tecnologias como criptografia, ferramentas de segurança de terminais, conexões de rede privada virtual e ferramentas de proteção contra perda de dados podem ajudar a reduzir o risco cibernético. Mas, as configurações incorretas associadas a uma rápida implantação; ou à falta de treinamento dos funcionários nesses novos dispositivos e sistemas podem criar vulnerabilidades para os criminosos cibernéticos explorarem.
De acordo com o Mayer Brown, em algumas organizações o aumento do uso de dispositivos pessoais pelos funcionários apresenta seu próprio conjunto de riscos devido à capacidade potencialmente reduzida deles e das empresas de proteger esses dispositivos. O aumento da conectividade pode criar novos riscos, na medida em que sistemas críticos são cada vez mais acessados de fora da rede da empresa.
As equipes de Conformidade e Auditoria nas companhias também podem enfrentar novas dificuldades ao concluir suas avaliações remotamente. A coleta e o armazenamento de evidências pela auditoria podem ser desafiadores sem a possibilidade de viajar e adentrar os prédios dos clientes. Isso pode dificultar a preparação das demonstrações financeiras por conta da incapacidade de coletar determinados dados. Alguns reguladores estão fornecendo orientação para as empresas sobre essas questões. De acordo com o Mayer Brown, o Financial Reporting Council (FRC) do Reino Unido publicou orientações em meados de março e está mantendo ligações semanais com as grandes empresas de auditoria do Reino Unido. A SEC norte-americana também emitiu orientações sobre como continuará o monitoramento aos participantes do mercado, incluindo a publicação de uma carta temporária de “não-ação”. “As empresas se beneficiarão de ficar a par desses desenvolvimentos regulatórios, além de tomar medidas práticas para reduzir o risco de conformidade”, diz o relatório da banca global. As empresas podem considerar a possibilidade de disponibilizar arquivos críticos, como documentos de processo e manuais de conformidade para o pessoal-chave das áreas de Compliance e Auditoria com as configurações de acesso apropriadas. Aqui no Brasil, empresas de capital aberto têm prorrogado suas assembleias-gerais ordinárias, ou as estão realizando de forma online.
Além dos processos internos, as empresas devem prever que os seus fornecedores também vão enfrentar seus próprios desafios nesse período. Por exemplo, investigações de incidentes podem sofrer atrasos se uma firma contratada para realizar uma investigação forense não conseguir acessar remotamente as máquinas comprometidas. O que pode atrasar os seus processos internos junto aos reguladores.
Onde eles estão?
O roubo de informações internas foi o incidente que mais afetou organizações globais em 2019, de acordo com a pesquisa Global Fraud and Risk Report, encomendada pela consultoria especializada em riscos Kroll. Dos 588 executivos sêniores pesquisados (com participação no apontamento de riscos da empresa), 39% dizem que esse tipo de incidente afetou significativamente a empresa no ano passado. Na sequência, vem o vazamento de informações e o dano reputacional de relacionamentos com terceiros (de qualquer natureza), com 29% de citações. As fraudes praticadas por agentes externos (28%) e agentes internos, além de decisões judiciais negativas e mídias sociais contrárias (todos com 27%), fecham o ranking dos incidentes mais comuns e que mais afetaram as corporações, de acordo com a pesquisa. Corrupção e suborno e lavagem de dinheiro foram mencionadas por 23% e 16% dos respondentes, respectivamente.
Os maiores problemas estão em casa
A pesquisa da Krol aponta que são os funcionários da empresa, mais do que qualquer outra entidade, os principais responsáveis por fraudes e vazamentos de informações internas. O que não chega a surprender. De acordo com a Kroll, a pesquisa revela que esse grupo é responsável pela maior parte do roubo de dados e de fraudes internas nas empresas (44% e 45% dos incidentes citados são, respectivamente, perpetrados por funcionários). Além disso, os funcionários são uma fonte significativa de danos à reputação e a principal fonte de incidentes de suborno e corrupção. Para a consultoria, esse último ponto serve como um lembrete: embora as regulamentações contra suborno e corrupção geralmente se concentrem em terceiros, em geral, esses incidentes exigem um participante de dentro da organização. “Apenas 13% dos vários tipos de incidentes abordados nessa pesquisa foram cometidos por atores desconhecidos. Em muitos desses casos, o percentual dos incidentes com terceiros estava em um dígito baixo.
O fato de não serem os principais perpetradores de incidentes de riscos, não deve tirar dos terceiros o foco de atenção que as áreas de Riscos e Compliance têm lhes atribuído nos últimos anos. De acordo com o relatório, terceiros representam a principal causa de danos à reputação. Danos à reputação sempre foram um risco de trabalhar com terceiros, mas esse risco foi aumentado hoje, por conta da maior sensibilidade do público à reputação por associação, quando um influenciador contratado pela marca, faz alguma “besteira” e isso acaba respingando nas marcas que o apoiam. Um fornecedor que viola as leis do trabalho infantil, um membro do conselho envolto em alegações não resolvidas de assédio sexual… Todos esses relacionamentos podem, rapidamente, converter-se em crises corporativas completas. “Por isso, para proteger a reputação de uma organização, seus líderes devem analisar um quadro mais completo de informações sobre as práticas comerciais, operações, posição na comunidade e relacionamentos pessoais e comerciais de suas contrapartes”, diz o relatório da Kroll. “Nossa pesquisa mostra que a maioria das organizações expandiu seus processos tradicionais de due diligence financeira e jurídica para incluir essas preocupações mais amplas relacionadas à reputação”, segue o relatório.
Terceiros também são a principal fonte de problemas decorrentes de sanções e tarifas, demonstrando os efeitos negativos dessas políticas. O acesso aos dados internos e as instalações da empresa que lhes é concedido, também permitem que os terceiros sejam a principal causa de falsificação, bem como autores importantes de roubo de dados e de propriedade intelectual.
O que é mais importante
Embora o roubo de informações internas seja o incidente mais citado, é o vazamento de dados o que mais preocupa os executivos consultados pela pesquisa. Para 50% deles, esse é um tipo de risco que demanda alta prioridade para ser combatido. Na sequência, aparece o roubo de propriedade intelectual, tido como risco de alta prioridade para 43%; e o roubo de informações internas, de alta prioridade para 41% dos respondentes.
Embora o alto grau de uso e dependência de tecnologias digitais tornem alguns tipos de riscos mais prováveis, ou mesmo, endêmicas em alguns tipos de incidentes. Para os analistas da Kroll, a conclusão é clara: como aconteceu em outras atividades dentro das empresas, os silos que isolavam os sistemas e ativos digitais foram quebrados. Mais do que nunca, a segurança cibernética precisa ser integrada à estratégia geral de gerenciamento de riscos de uma organização.
Projeto piloto
Com o objetivo de tornar mais acessível o compartilhamento de boas práticas para o fortalecimento da transparência, do combate à corrupção e do trabalho de auditoria entre as unidades de controle interno nos estados e municípios, a Secretaria de Controle e Transparência do Espírito Santo apresentou o piloto do projeto de Repositório Digital de Conhecimento. A ferramenta foi apresentada no início de março, durante a 34ª Reunião Técnica do Conaci, entidade que congregas as unidades de controle interno do País, que aconteceu em Vitória.
O Repositório permite a preservação, o acesso remoto, o gerenciamento, a busca, a recuperação e o reuso da produção intelectual das instituições da área de controle interno em todo o País. Entre os documentos que serão disponibilizados no Repositório para consulta estão decisões em Processos Administrativos de Responsabilização e relatórios de auditoria. “A nossa intenção é criar um círculo virtuoso do conhecimento”, disse o presidente do Conaci e Controlador-Geral de Belo Horizonte, Leonardo Ferraz.
O Repositório utiliza a ferramenta DSpace, pacote de software de código aberto que permite a captura de conteúdo em qualquer formato (vídeo, texto, áudio de dados) e a busca dos conteúdos por meio de pesquisas temáticas. A plataforma é totalmente gratuita e utilizada por mais de três mil instituições em todo o mundo. No Brasil, 110 organizações já aderiram à solução, incluindo a Controladoria-Geral da União. Além de elaborar o projeto, a Secretaria de Controle e Transparência do ES vai fornecer a infraestrutura tecnológica para o projeto-piloto, com o apoio do Instituto de Tecnologia da Informação e Comunicação do Estado.
Publicado originalmente na edição 28 da revista LEC: “Os vários riscos do vírus”
Imagem: Freepik
