fbpx
Facebook Linkedin Whatsapp

Artigo

PUBLICAÇÃO

Segurança da Informação à Gestão financeira: 11 controles ISO 27001 aplicáveis à fraude Americanas

Postado por 

Segurança da Informação à Gestão financeira: 11 controles ISO 27001 aplicáveis à fraude Americanas

Olá! Seja bem-vindo a mais uma pílula de conhecimento do Blog do Studio. Como costuma dizer a colega Maria Eugênia, é chegada a hora de dar uma pausa entre uma resolução e outra, para que a mente oxigene um pouco. Vamos juntos?

No dia 26/01/2023, por sinal, ela nos agraciou com sua reflexão aqui no Blog do Studio, analisando os fatos ocorridos nas Americanas, e trazendo a realidade sobre a Governança e Gestão Financeira.

Agora, gostaria de aproveitar a rica reflexão para abordar o evento sob uma perspectiva, até o momento, pouco explorada pela mídia e, por que não, pela própria Academia: Segurança da Informação à Gestão Financeira na prevenção de fraudes.

Apenas para relembrar, estamos falando da megalomaníaca fraude contábil nos relatórios financeiros da grande varejista Americanas, ignorada pela auditoria de uma renomada Big Four*.

Antes de mais nada, vale reforçar que Segurança da Informação não é Tecnologia da Informação (TI).

A confusão, muitas vezes, vem do fato de que uma área de Segurança da Informação está em evidência graças à transformação digital e sua necessidade inerente à cibersegurança.

A cibersegurança consiste em segmentação específica da Segurança da Informação, sendo responsável, entre outras atividades, por definir os métodos e tecnologias que serão usados à proteção de dados dentro do ciberespaço.

Já a Segurança da Informação tem um significado mais amplo, pois trata da proteção de todos os dados de uma empresa (sigilosos ou não), estejam eles arquivados de forma digital ou física.

Segurança da Informação à Gestão financeira: 11 controles ISO 27001 aplicáveis à fraude Americanas

E o que a Segurança da informação tem a ver com e a Governança Corporativa e a Gestão Financeira na Fraude Americanas?

Considerando que a colega Maria Eugênia já se encarregou de descrever a ocorrência e conceituar a Governança Corporativa, temos de concordar que, uma vez compreendido o que é a Segurança da Informação, fica cada vez mais clara a necessidade de uma gestão integrada de riscos – ou, se preferirem, Controle Integrado –, capaz de promover a Asseguração e Cobrança.

A Segurança da Informação, com base em frameworks internacionais como a ISO 27001 e as demais normas da série, trazem controles para diversos temas relacionados, mas, o primordial para a verdadeira implementação é que a Segurança da Informação precisa estar alinhada ao negócio. E o negócio, em qualquer tipo de organização, precisa gerar lucros, caso contrário o negócio não se sustenta e, a médio ou longo prazo, os acionistas não verão o porquê de sua existência.

A Segurança da Informação é uma integrante da Segunda Linha de Defesa das organizações, e sugere controles que visam permitir a Confidencialidade, Integridade e Disponibilidade dos dados.

Pensando em uma estrutura de Governança, com a Gestão Financeira atuando nos eixos corporativos vertical ou transversal, a atuação da Segurança da Informação precisa garantir que os dados fornecidos estejam blindados com relação a fraude.

Dessa forma, é possível atribuir credibilidade aos dados e informações submetidos ao conhecimento e deliberação dos Diretores e Conselheiros de Administração, e, consequentemente, ao insumo que será, posteriormente, auditado (isto é, submetido à Terceira Linha de Defesa).

Segurança da Informação à Gestão financeira: 11 controles ISO 27001 aplicáveis à fraude Americanas

Na prática, como isso deve acontecer?

Partindo-se do referencial ISO 27.001:2013, tem-se no ANEXO A os controles e seus objetivos. Nele, encontramos distribuídos, em 11 domínios, 114 controles que podem ser utilizados para reduzir riscos de segurança.

Os domínios são:

  • A.5 – Política de Segurança;
  • A.6 – Organização da Segurança da Informação;
  • A.7 – Gestão de Ativos;
  • A.8 – Segurança do pessoal;
  • A.9 – Segurança Física e Segurança do Ambiente;
  • A.10 – Gestão de Comunicação e dos Processos Operacionais;
  • A.11 – Segurança de Acesso;
  • A.12 – Aquisição, Desenvolvimento e Manutenção do Sistema de Informação;
  • A.13 – Gestão de Incidentes de Segurança da Informação;
  • A.14 – Gestão de Continuidade de Negócio; e,
  • A.15 – Conformidade.

Invocando-se esses domínios de Segurança da Informação à Governança Corporativa e à Gestão Financeira das Americanas, é possível afirmar, apenas com base as notícias veiculadas na imprensa, que, se todos estivessem corretamente implementados naquela organização, além de testados e aprimorados mediante rodagem de um ciclo contínuo de monitoramento (PDCA), os riscos de fraude – ou seja, de edição, adulteração e/ou subtração de dados e informações financeiras relevantes – seriam significativamente menores.

Para facilitar o entendimento dessa afirmação, vale discorrer sobre cada um deles:

  • Políticas de segurança da informação – Este domínio promove orientação à Direção e apoio para a Segurança da Informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Através delas, as Americanas poderiam ter instituído, sob apoio formal da Alta Direção, Políticas de Segurança da informação que abrangessem todo o negócio e as regulamentações a que está sujeito, deixando claro que os dados tratados deveriam respeitar não apenas a confidencialidade e disponibilidade a quem de direito, mas, também, mantidos em íntegros (permitindo a conferência de quem os gerou, quando e onde, procedendo ao rastreamento cronológico de edições).
Segurança da Informação na Prevenção de Fraudes

Nessa linha, os dados recebidos e disponibilizados pelos Gestores e Executivos de Finanças e Contabilidade deveriam permanecer íntegros e confiáveis.

  • Segurança em recursos humanos – Por serem os humanos o elo mais fraco na tríade “pessoas, processos e sistemas”, este domínio visa assegurar que antes, durante e no encerramento e mudança da contratação, funcionários e partes externas entendam as suas responsabilidades e se estão em conformidade com os papéis para os quais eles foram selecionados.

Isso serve a que os colaboradores tenham consciência de seus deveres e responsabilidades com a integridade dos dados tratados, permitindo uma melhor transparência com relação às informações que alimentam e retroalimentam dados para as áreas Financeira e de Contabilidade. Sendo bem práticos, mais que uma questão moral, aqui tratamos de tentar garantir que as Americanas sejam compostas por colaboradores “éticos”, sensíveis e conscientes à necessidade de garantirem dados íntegros e confiáveis em todos os processos.

  • Gestão de ativos – Dos três itens tratados para este domínio na ISO 27001:2013, darei ênfase aqui ao tratamento de mídias de armazenamento. Independente de nos referirmos a informações faladas, escritas em papel ou digitais, a sua integridade precisa ser garantida por todos os colaboradores envolvidos, minimizando o risco de serem modificadas ao serem passadas do formato físico para o digital, ou mesmo que existam controles paralelos que, no formato físico ou digital, possam acabar burlando os oficiais (geralmente, sistematizados, com travas de acesso e alçadas de aprovação), dos quais devem ser extraídos os dados corretos aos registros contábeis.
  • Controle de acesso – Neste domínio, encontramos controles para os Requisitos do negócio: controle de acesso, gerenciamento de acesso do usuário, responsabilidades dos usuários e controle de acesso ao sistema e à aplicação. Portanto, limita o acesso à informação e aos recursos de processamento da informação, assegura acessos a sistemas e serviços, torna os usuários responsáveis pela proteção das suas informações de autenticação e previne o acesso não autorizado aos sistemas e aplicações.
    Bem aplicado nas Americanas, estes controles auxiliariam na evidenciação da “má-fé” na geração/adulteração de dados financeiros e contábeis, bem como a devida responsabilização de todos que tenham acesso aos sistemas e aplicações, inviabilizando, ou pelo menos coibindo, fraudes nos dados que compõem os registros contábeis.
  • Criptografia Controle que visa assegurar o uso efetivo e adequado da criptografia em prol da confidencialidade, autenticidade e/ou da integridade das informações. Portanto, evitando que informações que alimentam ou que são alimentadas por Gestores Financeiros, sejam modificadas indevidamente, por sujeitos desautorizados.
  • Segurança física e do ambiente – Áreas seguras e equipamentos, protegidos de acesso físico não autorizado, danos e interferências nos recursos de processamento das informações e nas informações da organização, impedindo perdas, danos, roubo ou comprometimento de ativos e interrupção das operações da organização. Nada mais é do que a garantia de que as informações financeiras e contábeis estejam sempre protegidas e não possam ser acessadas, muito menos alteradas, por quem não é de direito.
  • Segurança nas operações – Este domínio visa permitir a operação segura e correta dos recursos de processamento da informação. Através de registros de eventos, o controle gera evidências capazes de identificar qualquer falha na conciliação ou tentativa de realização de modificações indevidas. Assegurando a integridade dos sistemas operacionais, prevenindo a exploração de vulnerabilidades técnicas e minimizando o impacto das atividades de auditoria nos sistemas operacionais.

Portanto, garantiria às Americanas sistemas monitorados, íntegros e devidamente protegidos, e, portanto, dados fidedignos para realização da conciliação contábil e seus relatórios.

  • Segurança nas comunicações – Tem o propósito de assegurar a proteção das informações em redes e os recursos de processamento da informação que as apoiam, mantendo a Segurança da Informação transferida dentro da organização e com quaisquer entidades externas.
  • Aquisição, desenvolvimento e manutenção de sistemas – Tão importante quanto ter sistemas é assegurar que a Segurança da Informação é parte integrante de todo o ciclo de vida dos sistemas de informação – ou seja, que a Segurança da Informação está projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação, garantindo, destarte, que sistemas legados e de mercado tenham informações integras e o cruzamento de seus dados resultem em dados reais e seguros.
  • Conformidade com requisitos legais e contratuais – Evita violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer requisitos de segurança. Este domínio impõe que a segurança da informação esteja implementada e operada segundo as Políticas e Procedimentos da organização.
Segurança da Informação na Prevenção de Fraudes

Conclui-se, apenas algumas análises de controles existentes em framework de Segurança da Informação, que as informações fornecidas à Gestão Financeira e Contabilidade – e destas áreas ao nível estratégico e, finalmente, aos auditores, como última linha de defesa –, teriam sua integridade blindada e devidamente monitoradas, evitando incertezas sobre o que é recebido para análise e deliberação não apenas por meio digital, mas, qualquer outro tipo de fonte, inclusive a verbal. E inconformidades, necessariamente, seriam encontradas, documentadas e escaladas para os responsáveis, viabilizando a tomada de providências – correções imediatas e penalização dos culpados – em tempo hábil.

Nessa senda, os auditores externos poderiam trabalhar com dados exportados de sistemas, apoiados por controles e processos de Segurança da Informação, que minimizariam significativamente as chances de coleta e tratamento de amostras fraudulentas.

*Big Four: Delloitte, Ernst & Young (EY), KPMG e PricewaterhouseCooper (PwC). No caso das americanas estamos nos referindo à PwC, que está sediada em Londre (Inglaterra) e atua no Brasil desde 1915, considerada a maior concorrente da Delloitte (ou seja, ocupa a segunda posição no ranking de melhores empresas de contabilidade do mundo), está presente em 157 países.

Edson Costa

Edson Costa

É o DPO e Head de Segurança e Proteção de Dados Pessoais do Studio Estratégia. Também, é CEO e Fundador da ECCON, graduado em Engenharia Eletrônica pela Fundação Armando Alvares Penteado – FAAP, especialista em Governança, Risco e Compliance (GRC), Gestão e Tecnologia em Segurança da Informação (DM Business School e Faculdade Impacta de Tecnologia), certificado Data Protection Officer (DPO) pela EXIN, instrutor certificado pela EXIN ISFS, PDPE, PDPF e PDPP, Membro IBRASPD® e parceiro do Studio Estratégia para execução de serviços de implementação de Segurança da Informação e Proteção de Dados (GDPR e LGPD). Instrutor oficial da EXIN para certificação de profissionais como DPO. Até 2023, DPO (Terceirizado) de importantes e conceituadas empresas de pequeno, médio e grande porte, como GREENPEACE Brasil e HARALD Chocolates.
Veja mais postagens do autor

Uma resposta

  1. Pingback: A IA ChatGPT E A Segurança Da Informação - Studio Estratégia

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Categorias

NEWSLETTER STUDIO ESTRATÉGIA​

Digite seu endereço de e-mail para assinar nosso blog e receber notificações de novas publicações por e-mail.

Tags

administração púbilica adriana maués advocacia empresarial advocacia trabalhista advogada roberta volpato advogada vivian barbosa advogado compliance florianopolis advogado propriedade intelectual advogado propriedade intelectual florianópolis advogado thiago nielsen agenda 2030 agronegócio alta administração alta direção Alta Gestão ana carolina colnaghi Análise de Dados Analise de Dados ANPD antissuborno aplicativos Assédio Eleitoral assédio moral assédio sexual no trabalho auditoria auditoria de compliance autogestão Avaliação de riscos de compliance benefício emergencial

Entre em contato conosco

Quer saber mais sobre compliance?

ENVIAR SUA MENSAGEM

POSTAGENS RECENTES

E-BOOKS

SOBRE

  • Institucional
  • Diferenciais
  • Líderes das equipes
  • Vantagens e Benefícios
  • soGI
  • Parceiros

COMPLIANCE

  • Compliance
  • O que é compliance
  • Quando preciso?
  • Comunicação interna
  • Comunicação externa
  • Etapas
  • Due Diligence

COMPLIANCE E TECNOLOGIA

  • Inovação e Startups
  • Proteção e privacidade de dados
  • Palestras e treinamentos
  • Contato

STUDIO ESTRATÉGIA 2019 RUA ALMIRANTE ALVIM, Nº 595, CENTRO, FLORIANÓPOLIS/SC CEP: 88015-380

error: Conteúdo Protegido !!