Muitas vezes, me pego falando com repórteres sobre o papel da auditoria interna em relação aos riscos, especialmente na cibersegurança. Recentemente, um repórter me perguntou sobre um novo relatório investigativo da Comissão de Valores Mobiliários dos Estados Unidos (SEC, na sigla em inglês), “Cyber-Related Frauds Perpetrated Against Public Companies”. O relatório descreve as investigações de nove empresas de capital aberto que foram vítimas de fraude cibernética.
Em cada caso estudado pela SEC, os funcionários foram levados a enviar grandes quantias para contas bancárias controladas por fraudadores. Alguns dos golpes continuaram por meses e, muitas vezes, foram detectados somente após a intervenção da polícia ou de outras partes externas. As nove empresas transferiram um total de quase US $ 100 milhões para os criminosos, sendo a maior parte desse valor irrecuperável, de acordo com a SEC.
Como resultado de sua investigação, a SEC alertou as empresas públicas a considerar as ciberameaças ao implementar controles contábeis internos. É um bom conselho. Mas, como auditores internos, sabemos que a preparação para a cibersegurança não é um problema apenas na hora de implementar os controles contábeis. É uma faceta de importância vital para o gerenciamento de riscos todos os dias, em todas as partes das organizações que servimos.
Iniciativas como o Mês Nacional de Conscientização sobre Cibersegurança de outubro causaram progressos importantes para melhorar a conscientização sobre as ciberameaças, mas há uma grande diferença entre a conscientização sobre a cibersegurança e a preparação para a cibersegurança. Em muitas de nossas organizações, há lacunas em nossa preparação. Por exemplo, mais de 90% dos participantes da pesquisa North American Pulse of Internal Audit de 2018 do Audit Executive Center do The IIA disseram que sua organização tinha um plano de continuidade de negócios, mas, quando se tratava de ciberataques, muitos desses planos ofereciam pouco além de uma falsa sensação de segurança. Apenas um quarto dos participantes da pesquisa disse que seus planos forneciam procedimentos claros e específicos para responder a um ciberataque e 17% dos entrevistados relataram que seus planos de continuidade não incluíam qualquer procedimento de resposta.
Como auditores internos, reconhecemos a importância dos controles preventivos e de detecção, que ajudam a proteger nossas organizações contra ciberataques. Contudo, mais cedo ou mais tarde, esses controles falharão. Até mesmo os controles mais elaborados falham de vez em quando e há um forte consenso entre os especialistas de que é uma questão de “quando”, e não “se” nossas organizações passarão por um ataque bem-sucedido. A prevenção e a detecção são importantes, mas também precisamos ajudar a garantir que, após um ataque, nossas organizações possam se recuperar de maneira eficiente, eficaz e rápida.
A ciber-resiliência leva em conta a capacidade da organização de operar durante um ataque e de se adaptar e se recuperar após o ataque. Ela permite que nossas empresas entreguem os resultados pretendidos, apesar de eventos cibernéticos adversos. Mas fazer a transição da cibersegurança para a real ciber-resiliência não será fácil. Mudanças na cultura nunca são fáceis, e mudanças que combinem as áreas de segurança da informação, continuidade de negócios e resiliência são especialmente assustadoras. É por isso que a ciber-resiliência exige “todos a bordo” e merece a atenção de todas as três linhas de defesa.
Em algumas empresas, há uma opinião de que os problemas de cibersegurança devam residir no domínio dos especialistas em TI e segurança, com a auditoria interna oferecendo pouco mais do que suporte. Mas parte do escopo da auditoria interna deve ser avaliar a cibercultura da organização e ajudar a construir uma cultura que tenha perspicácia cibernética. De acordo com o Global Technology Audit Guide (GTAG) do The IIA, “Avaliando o Risco de Cibersegurança”, a auditoria interna desempenha um papel crucial na avaliação dos riscos de cibersegurança de uma organização, ao considerar:
- Quem tem acesso às informações mais valiosas da organização?
- Quais ativos são os alvos mais prováveis de ciberataques?
- Quais sistemas causariam a interrupção mais significante, se fossem comprometidos?
- Quais dados, se obtidos por partes não autorizadas, causariam perda financeira ou competitiva, consequências jurídicas ou danos à reputação da organização?
- A administração está preparada para reagir em tempo hábil no caso de um incidente de cibersegurança?
Os riscos de cibersegurança estão crescendo incansavelmente e as possíveis consequências vão muito além do domínio da TI. De acordo com um relatório do Council of Economic Advisors, as atividades cibernéticas maliciosas custaram entre US$ 57 bilhões e US$ 109 bilhões à economia dos EUA em 2016. Os riscos reputacionais podem ser ainda maiores do que os riscos financeiros. Nas palavras do Chief Information Security Officer global da Societe Generale, Stéphane Nappo, “são necessários 20 anos para construir uma reputação e alguns minutos de incidentes cibernéticos para arruiná-la”.
As Normas Internacionais para a Prática Profissional de Auditoria Interna do The IIA exigem que os chief audit executives reportem periodicamente à alta administração e ao conselho questões significantes de riscos e controle. A frequência e o conteúdo desses relatórios devem depender da importância das informações a serem comunicadas e da urgência das ações a serem tomadas pela alta administração e/ou pelo conselho. Se você, como a maioria dos auditores internos, trabalha em uma organização que não possui procedimentos claros e específicos para responder e se recuperar de ciberataques, talvez seja hora de aumentar a frequência e o conteúdo das comunicações sobre as ciberameaças e suas possíveis consequências. Os riscos são altos demais para serem ignorados.
O relatório recente da SEC deve servir como mais um lembrete dos controles internos relativos à cibersegurança. Este risco sempre presente deve estar sempre no nosso radar, mas quando a SEC fala, devemos dobrar a nossa cobertura de cibersegurança.
Aguardo suas opiniões sobre este importante assunto.
Divulgação:
Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos semanais para a InternalAuditor.org sobre assuntos e tendências relevantes para a profissão de auditoria interna.
(fonte: https://global.theiia.org)
Tradução: IIA Brasil
Revisão Técnica da Tradução: Jose Antonio Tiro Rodriguez, CIA.