Medidas da Segurança da Informação contra Fraudes Organizacionais

 

           Com o objetivo de impedir ameaças que se aproveitam da vulnerabilidade das informações das empresas, existem práticas que devem ser adotadas no processo de segurança da informação, essas práticas podem ser, preventivas, detectáveis ou corretivas:

 

• Logins/senhas de funcionários – todo funcionário deve possuir uma senha pessoal e intransferível tanto para acesso de computadores, celulares, e-mails, sistemas internos, dentre outros. Essa senha deve ser trocada frequentemente pelos usuários e a empresa deve ter medidas para cancelamento de senha quando o funcionário é desligado da empresa.

 

         O funcionário não deve escolher senhas de fácil acesso, como data de nascimento, números sequenciados e principalmente certificar-se de usar senhas diferentes para contas diferentes, a empresa deve limitar a tentativa de inserção de senhas quando ela é rejeitada e assegurar que o sistema criptografe as senhas, deixando-a ilegível para outros usuários, nunca se deve compartilhar senha com ninguém, incluindo colegas de trabalho, não é indicado usar computadores públicos que deixem a senha gravada e orienta-se quando o funcionário sair para breaks desligar o computador.

 

Autorizações de acesso – deve-se haver uma hierarquia nas permissões de acesso dos funcionários, visando alguns princípios básicos:

 

• Os usuários devem ser criados respeitando seu cargo, dando acesso ao funcionário somente às informações que sejam pertinentes as suas tarefas e que lhes permitam desempenhar o seu trabalho.

 

• As informações de alta confidencialidade devem ser monitoradas frequentemente e restrita a poucos funcionários.

 

• Existam bloqueios para que funcionários não tentem acessar informações que não são condizentes com sua função ou que sejam de propriedade de outros departamentos.

 

• Checar periodicamente se as permissões de acesso permanecem as  mesmas para os funcionários, verificando se não houve trocas de funcionários para outros departamentos ou promoções de cargo.

 

• Históricos de transações – é de grande importância manter um histórico do comportamento do usuário nos sistemas, gravando as alterações de informações, transações realizadas, datas e horários de acesso. Esse comportamento online deve ser frequentemente analisado, identificando fatores que podem dar indícios de fraudes, como: Acesso fora do horário comercial, alterações de informações sem autorização do gestor e transações que fogem da rotina. Essa pequena peça do quebra cabeça pode passar despercebida, mas quando analisada minuciosamente pode revelar intenções fraudulentas.

 

• Dependência informacional – é comum vermos empresas que centralizam tarefas em um único funcionário, gerando uma sobrecarga de responsabilidades relativas a uma determinada função e tornando a empresa dependente do funcionário para obtenção de informações, o que pode ser um motivador para atos fraudulentos.     

 

           É indicado que mais de uma pessoa tenha conhecimento sobre uma função e que as atividades realizadas por esse tipo de funcionário sejam conhecidas por meio de um job description que garanta a continuidade dessas atividades e um sistema automatizado que contemple o fluxo de trabalho desse cargo e armazene as informações transacionais do mesmo, para que sejam monitoradas frequentemente e compartilhadas para as partes interessadas, em caso de desligamento desse funcionário ou promoção do mesmo.

 

• Gerenciamento de risco na segurança da informação – a gestão de risco é um processo que contempla práticas para identificar os riscos, analisá-los e preveni-los em diversos âmbitos da organização, essa medida também deve levar em consideração os riscos no cenário da segurança da informação, levantando o grau de vulnerabilidade e possíveis ameaças da integridade da informação, a disponibilidade da informação, a credibilidade da informação e possíveis falhas de TI que afetam diretamente o andamento do trabalho, a gestão de riscos da segurança da informação também deve estudar os impactos e os prejuízos financeiros que esses incidentes podem provocar para determinar ferramentas neutralizadoras.

 

• Gestão de fragilidades – esse método garante que os funcionários comuniquem a empresa de eventuais quebras de seguranças descobertas, sem serem repreendidos por isso, permitindo que sejam tomadas atitudes corretivas e que a empresa aprenda com essas fragilidades.

 

Hoje no Brasil existe o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança o CERT.br, conforme definido em seu site ele é responsável por tratar, acompanhar, analisar e prover estatísticas sobre os incidentes de segurança em computadores que envolvam redes conectadas à Internet brasileira, ele age como ponto focal para registros de incidentes e apoio aos mesmos além de oferecer treinamentos e palestras para orientar os profissionais da área.

 

• Backups – diariamente funcionários perdem trabalhos importantes, pois se esquecem de salvar o documento, a segurança da informação orienta a fazer backups que são cópias de segurança dos sistemas internos das empresas, esse procedimento deve ser feito diariamente e deve garantir a empresa restaurar todas essas informações em caso de perdas, roubos ou falhas do computador.

 

As informações interligam empresas, fornecedores e clientes com o intuito de gerar vantagens competitivas. As empresas devem garantir a segurança e a credibilidade dessas informações para que as mesmas sejam utilizadas de forma útil, minimizando o risco das mesmas contribuírem ou facilitarem o cometimento de atos fraudulentos.

 

Fonte: TCC – Fraude nas Organizações Privadas Brasileiras

Material disponibilizado pelo Consultor Tributário Lucas Marques da Silva