Por: Sylvia Tsen, diretora executiva de Conhecimento, Operações e Tecnogia do IFAC
O crime cibernético ameaça diariamente a confiança e a transparência de negócios e governos. Como consumidores, contribuintes, fornecedores ou qualquer outro stakeholder, nós nos perguntamos se podemos confiar em uma organização para manter nossos dados em segurança. É crescente a expectativa da sociedade quanto à abertura sobre questões éticas a respeito de violações à segurança cibernética e como os dados pessoais são protegidos.
Desempenhando seu papel como protetores e depositários [de informações dos clientes], os contadores precisam se parte da solução quando se fala em cyber segurança, seja quando estão aconselhando seus clientes ou trabalhando em uma equipe financeira ou contábil, ou em uma função operacional ou estratégica mais abrangente.
O webinar sobre cyber segurança da IFAC – International Federation of Accounts – fornece inspirações interessantes sobre o que os profissionais contábeis devem ponderar no que se refere ao seu papel na segurança cibernética, inclusive quanto ao uso de suas habilidades e competências para proteger dados e informações, bem como para informar sobre programas controles de uma empresa quanto aos gerenciamento de riscos de segurança cibernética.
O horizonte da segurança cibernética está mudando rapidamente, já que as organizações armazenam mais dados e os hackers têm mais oportunidades de invadir sistemas. As consequências de violações, na forma de multas e de ações legais, e em última análise, de perda de clientes, são também mais significativas.
O 9º Estudo Anual do Custo do Crime Cibernético da Accenture e do Instituto Ponemon conclui que o roubo de informações é a consequência mais cara e imediata do crime cibernético (embora os dados não sejam os únicos alvos). Empresas não titubeiam ao segurar suas instalações, mas em várias instâncias estão expostas a perdas e danos em seus dados. Na melhor das hipóteses, dados roubados, sistemas invadidos e malware causam significativas disrupções operacionais. E na pior, resultam em danos à sua reputação.
A empresas precisam agir tendo como base o fato de que a sua segurança será comprometida. Para seus conselhos de diretores e de outros stakeholders, a segurança cibernética precisa ser tratada como um risco operacional significativo. Aqueles em posições de supervisão e gestão, portanto, precisam de mais informações sobre como as organizações administram a segurança cibernética como parte de seus programas de gestão de risco.
Levando em conta que a segurança cibernética é um risco operacional complexo e multifacetado, é importante envolver diretores e gestores para assegurar que as lideranças promovam uma abordagem abrangente, que introduza as questões de segurança cibernética em todas as tomadas de decisão e operações que envolvam as redes de informática e os dados da empresa.
Uma gestão holística, mais que uma abordagem fragmentada, é a única maneira efetiva de lidar com esse horizonte de negócios em constante transformação e com as violações que evoluem continuamente, além de riscos que riscos que abrangem pessoas, processos e tecnologia em toda a empresa. Envolver todos os níveis de uma organização ajuda a assegurar que haja estrutura compreendida por todos e que várias linhas de defesa possam coletivamente administrar e mitigar riscos à segurança cibernética de forma contínua.
Uma abordagem baseada em riscos proativa e pragmática envolve a identificação de brechas, direcionamento de recursos para lidar com as principais ameaças e a ampliação das atividades de segurança cibernética para além da prevenção, incluindo inteligência, detecção e responsividade. Os passos essenciais incluem entender os papéis e competências, bem como identificar, mitigar e monitorar áreas específicas tais como risco à privacidade ou segurança na nuvem. A identificação e a mitigação de riscos cibernéticos envolvem o mapeamento dos principais processos, sistemas e fluxos de informações, além da avaliação do plano de correção de riscos e os controles apropriados, bem como o monitoramento contínuo.
Quando se fala em lidar com brechas consideráveis em níveis de segurança cibernética, é importante identificar os mais importantes ativos de informação e colocar o básico em ordem. Para muitas organizações, isso quer dizer lidar com práticas fundamentais de segurança, incluindo firewalls de fronteira e gateways de internet; configuração segura; controle de acesso; proteção contra malware; e gerenciamento de patches. Controles básicos envolvem adequar-se a novos padrões e regulamentos, entendendo os pontos fracos dos sistemas existentes e identificando onde o investimento em tecnologias pode ajudar.
Dar suporte a negócios menores é uma oportunidade importante para as empresas contábeis fornecerem consultoria empresarial relevante. A consultoria de um profissional contábil pode ser importante para:
• Ajudar os clientes a avaliar suas práticas de governança e gestão de risco – negócios menores tendem a não ter uma gestão de riscos forte nem qualificação em controles. Contadores podem assegurar o adequado planejamento de situações de continuidade do negócio e de recuperação de desastres, particularmente em face de ameaças de ransomware*;
• Ajudar os clientes a quantificar os riscos e retorno dos investimentos com base no custo das violações, dados roubados e outros fatores que implicam em custo; e
• Ajudar a mitigar riscos com controles efetivos.
O ICAEW – Institute of Chartered Accountants in England and Wales – fornece dicas simples de cyber segurança para pequenas empresas. Para auxiliar contadores em termos de gestão de risco e certificação, o Sistema e Controles Organizacionais (SOC) do AICPA (American Institute of Certified Public Accountants) para a cyber segurança fornece bases para promover comunicações transparentes e consistentes sobre os esforços em prol da segurança cibernética de uma organização e para aumentar a confiança dos stakeholders em informações da gestão sobre os esforços de uma organização em prol da segurança cibernética.
O marco regulatório de prestação de contas sobre cyber segurança da AICPA, que é um elemento fundamental do SOC, inclui a descrição de critérios dos um programa corporativo de gestão de risco e dos componentes fundamentais de um relatório de certificação que englobe como os gestores descrevem seu programa de gestão de riscos e sua certificação quanto a efetividade operacional dos controles para o atingimento de objetivos de segurança cibernética, e o respectivo relatório do [AI]CPA.
O impacto sobre o conhecimento e as habilidades
Aumentar a relevância do papel dos contadores na segurança cibernética definitivamente requer conhecimentos relevantes, habilidades e experiência. As áreas de conhecimento e habilidades fundamentais para que possam efetivamente prestar serviços nas áreas de certificação e gestão de riscos à segurança cibernética incluem:
• Sistemas e tecnologias relevantes de TI, bem como habilidade de manter-se atualizados sobre as constantes mudanças desse ambiente;
• Entender processos e controles de TI e sua avaliação;
• Conhecimento e experiência relevante com marcos regulatórios de segurança cibernética;
• Conhecimento da indústria e do negócio da entidade que pretende atender, e se ela está sujeita a tipos específicos de riscos à segurança cibernética;
• Estabelecer e fazer parte de equipes multidisciplinares, incluindo, por exemplo, profissionais de segurança e auditoria.
O contador precisa ainda dispor de um alto grau de conhecimento e compromisso com a ética, para estar preparado para colocar em prática as ações necessárias caso haja algum tipo de violação, seja na sua empresa ou em uma à qual esteja assessorando.
Levando em conta a obrigação do contador de agir pelo interesse público, pode vir a ser necessário fazer algum tipo de pronunciamento público, tal como informar clientes que suas informações pessoais foram expostas. Se houver uma demanda do tipo ramson, pode vir a ser necessário buscar aconselhamento e suporte de especialistas.
Mais informações sobre como lidar com a segurança cibernética estão disponíveis no IFAC Gateway, incluindo recursos de membros do IFAC.
*tipo de software nocivo que restringe o acesso ao sistema infectado com uma espécie de bloqueio e cobra um resgate em criptomoedas para que o acesso possa ser restabelecido - Fonte: Wikipedia
Imagem: Gráficos de pngtree.com
Fonte: IFAC Global Knowledge - Technology