Empresas brasileiras têm falsa sensação de segurança online, alerta PwC

Mais de um terço das empresas brasileiras (37%) sofreu algum tipo de crime econômico nos últimos dois anos, segundo revela a Pesquisa Global de Crimes Econômicos de 2014, divulgada esta semana pela empresa de consultoria e auditoria PwC Brasil. O estudo foi realizado com 132 companhias que atuam no País e traz um diagnóstico sobre a segurança financeira das organizações.

Mais do que um alerta às empresas, esse percentual evidencia a importância da TI como ferramenta integrante de uma estratégia que seja capaz de mitigar riscos internos e externos. A pesquisa mostra que os principais crimes ocorridos foram desapropriação de ativos (72%), fraudes na área de compras (44%), corrupção e suborno (28%), fraude contábil (25%) e, em último lugar, o cibercrime (17%). Além disso, 74% dos respondentes acreditam que essas fraudes aconteceram graças à existência de oportunidades e brechas nas estruturas internas.

O estudo, produzido a cada dois anos, mostra que entre 2012 e 2013 o prejuízo resultante desses crimes foi maior em relação aos dois anos anteriores, apesar da queda registrada incidência dessas fraudes.  Além disso, um diagnóstico sobre o perfil dos agentes envolvidos com esses atos verificou que a maioria são funcionários internos (64%), sendo a maior parte pertencente a cargos de alta e média gerência.

Quando pensamos em cibercrime, consequentemente relacionamos com segurança de redes e sistemas. Porém, essas outras fraudes também permeiam o âmbito da TI, afinal, é muito raro encontrar hoje algum tipo de informação de uma empresa que não passe por um sistema ou solução. Como evidencia o diretor de tecnologia da área de forense da PwC, Fernando Carbone, há hoje uma gama de soluções de análise de fraudes internas disponíveis, como data analytics, ferramentas de correlação de informações financeiras, prevenção de perdas (DLP), entre outras, que podem ser aplicadas para barrar uma série de crimes e fraudes envolvidos com negócios.

“A ideia é saber como usar esses recursos de forma a endereçar esses problemas e não só colocar um recurso no ar e achar que a empresa está protegida. É a maneira como você vai tratar esse big data que hoje é gerado por uma infinidade de software de controle, pegar esse mundo de informações e conseguir estudá-lo para enxergar episódios de comportamento estranho dentro da companhia”, afirma Carbone.

Cibercrime

Ao observar os números específicos sobre a incidência de crimes online nas organizações brasileiras, a PwC registrou uma queda de 32% para 17% em relação à pesquisa anterior. Esses números podem até gerar um estranhamento, afinal, a impressão é de que mais casos sobre crimes e violações a redes e sistemas e roubos de dados têm vindo à tona na mídia.

Isso levou a empresa de consultoria e auditoria à uma investigação mais profunda, com base em pesquisas internas e outros dados divulgados no mercado. As conclusões da PwC sobre os números de cibercrime são alarmantes, já que indicam uma falsa sensação de segurança por parte das companhias, conforme ressaltou Leonardo Lopes, diretor da PwC Brasil e especialista em compliance.

A própria mudança no perfil dos ataques ocorrida nos últimos anos têm contribuído para isso, uma vez que as ameaças tornaram-se muito mais sofisticadas e difíceis de serem identificadas. Alguns índices levados em consideração no estudo mostram que enquanto um atacante leva cerca de algumas horas para invadir a rede de uma empresa, sua detecção é realizada em média dois anos depois e, na maioria dos casos, feita por parceiros.

O caso da varejista americana Target, que envolveu vazamento de informações de 110 milhões de cartões de crédito, dá uma dimensão do cenário. Os vetores das ameaças cibernéticas não são mais externos, mas também podem vir de dentro das empresas. “Tudo indica que o roubo de informações da Target envolve a ação de um grupo extremamente organizado que trabalhou meses ou anos para que o ataque acontecesse, e a forma como ele ocorreu mostra que obrigatoriamente tinha alguém interno que conhecia toda a infraestrutura e ajudou no desenvolvimento desse malware”, acrescenta Fernando Carbone.

Muitas companhias possuem soluções que permitem identificar algo fora da normalidade e sinais de riscos e ameaça mas, mais do que ferramentas, o especialista evidencia a necessidade de construção de uma estratégia de uso das mesmas, aproveitando os dos dados coletados por elas. E essa estratégia deve partir dos cargos de gerência para os outros níveis, de forma a promover a educação e conscientização de todos os colaboradores.

Fonte:Informationweek