Segurança da informação para a prevenção e combate de fraudes

A fraude corporativa é um câncer que existe em praticamente todas as organizações. O percentual e a maneira como cada organização é afetada variam de pesquisa para pesquisa, mas são números sempre  altos. A Kroll Advisory, em recente trabalho, indica que 74% das empresas latino-americanas são afetadas por fraudes corporativas. Mas, se sua organização é afetada pela fraude, esse percentual pouco importa. Para você, esse percentual se torna 100%. Sua organização é o que existe de mais importante.

Para ser efetiva no combate à fraude, é mandatório que a organização considere o processo de segurança da informação. Esse processo é um elemento eficiente em função dos controles que ele exige e, quando bem gerenciado, possibilita que organização minimize o risco de fraude.

A fraude corporativa tem duas características que interagem diretamente com o processo de segurança da informação:

Informação é o elemento chave para a fraude

Todas as fraudes precisam da informação para serem realizadas. Desde um roubo de um material físico  até um vazamento criminoso de informação para o concorrente. A informação é um recurso que possibilita que a fraude seja realizada. O processo de segurança da informação tem por objetivo garantir a proteção da informação e dos recursos dela.

São as pessoas que realizam as fraudes

Chamamos de fraudes corporativas porque queremos limitar as fraudes que acontecem no ambiente da organização. Mas todas as fraudes são realizadas por pessoas que compõem uma das dimensões da segurança da informação.

O processo de segurança da informação está estruturado por dimensões que, por sua vez, possuem controles. A Norma NBR ISO/IEC 27002:2005 possui 133 controles, dos quais cerca de 50 indicam a necessidade de participação das áreas de negócio e da direção executiva da organização. Se nós estamos tratando de fraude corporativa, significa o envolvimento da organização como um todo. Bem, como significa que devemos tratar a informação da organização, independentemente do ambiente em que ela esteja: ambiente de tecnologia (computadores, smartphones, máquinas fotográficas, recursos de tele-conferência, redes virtuais) ou ambiente convencional (papel, comportamento pessoas, lixo físico).

Alguns controles do processo de segurança da organização são de excelência crítica para o combate à fraude corporativa:

Identificação, autenticação e autorização do usuário

O usuário precisa ter identificação única, intransferível e válida apenas enquanto o ele está ativo no ambiente da informação. Muitas fraudes acontecem com o uso de identificação de usuário que já não trabalha mais para a organização, seja funcionário ou prestador de serviço. O uso da identificação do usuário por outro usuário deve ser proibido e exemplarmente punido.

A autenticação do usuário deve ser robusta. Atualmente, as organizações têm condições de implantar a autenticação biométrica para o acesso à informação. Outras maneiras seguras podem ser alcançadas com o uso de senha mais cartão ou token.

Cada informação precisa ter o seu gestor da informação, que normalmente será da área de negócio. Um usuário só poderá ter acesso à informação se esse gestor autorizar o acesso. A vulnerabilidade para a fraude normalmente acontece quando, ao longo do tempo, o acesso à informação não é revisto periodicamente. Usuários são transferidos de áreas organizacionais e carregam para sempre acessos anteriores. Um prato cheio para a fraude.

Registro do que acontece no ambiente e gestão sobre estes registros

Os acessos realizados pelo usuário devem ser registrados bem como as alterações realizadas nas informações. Tudo o que acontece no ambiente de tecnologia ou convencional e diz respeito à informação deve ser registrado. Porém, o registro é apenas meia ponte. A outra metade é a gestão inteligente desses registros. Eles precisam ser estudados e analisados para identificar comportamento estranho ou para servirem de orientação após uma ocorrência. Vale a pena salientar que a recuperação desses registros deve ser de fácil construção. Com esses registros, pode-se ter ações preventivas contra a fraude, como ações de busca de evidências de como a fraude aconteceu.

Gestão de recursos e dependência operacional

O processo de segurança da informação exige que exista uma gestão de recursos e uma identificação de dependência. Em situações (ainda) sem fraude, isso aparece muito explícito quando elaboramos um plano de continuidade de negócio: ao definir os grupos de trabalho, identifica-se que um determinado funcionário faz praticamente tudo. E evidentemente não se tem nada documentado, tornando a dependência da organização nesse recurso extremamente perigosa.

Controles implantados exigem novos controles

Ao se implantar um controle, é necessária uma avaliação para identificar as novas ameaças e os novos graus de risco que esse controle implantado gerou. Um controle de acesso físico foi automatizado: ótimo! Mas, se um funcionário perde o crachá, qual o risco de uma ação de má fé ocorra?

Gestão de riscos

A gestão de riscos deve ser executada periodicamente e sempre em relação aos recursos de informação. Caso contrário, o processo de segurança da informação não será um processo, e será apenas uma bela foto parada no tempo.

Gestão de incidentes

Incidente é qualquer acontecimento que ponha em risco um recurso de informação. A organização precisa ter uma estrutura para que relatos de incidentes possam ser registrados pelos usuários sem que os mesmos sofram constrangimentos. Essa gestão de incidentes será reforçada quando a organização possuir um canal seguro de comunicação do usuário com a organização, de maneira que ele possa registrar situações que colocam em risco a organização, novamente, sem sofrer constrangimento.

Outras ações para o combate à fraude corporativa são necessárias e não estão diretamente ligadas à informação da organização: processo de contratação de recurso, clima organizacional, valores da organização, exemplo dos executivos-gestores e confiança do usuário na organização. Todos devem ser cuidados e bem gerenciados.

O processo de segurança da informação oferece uma estrutura para minimizar a ocorrência de fraudes. Implantar e manter esse processo exige dedicação de recursos financeiros, de tempo e de pessoas. Não existe segurança da informação grátis. Mas a fraude é grátis para existir, porém custa caro para a organização a sua consequência: financeira, de imagem e de não conformidade com os regulamentos e padrões éticos que a organização deveria seguir.

Fonte: iMasters – Por Edilson Fontes

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *