Aldo Andretta, Jornal i online
Pesquisas recentes mostram que os perímetros das organizações estão se expandindo e a preocupação amplia-se em decorrência do aumento da prática de crimes cibernéticos, o que traz vários desafios para as organizações e também para os profissionais que atuam com Prevenção à Fraudes e Segurança Cibernética, que precisam estar diariamente atualizados.
Tenho explorado com certa frequência o tema de fraudes e segurança cibernética, não só por ser objeto do meu trabalho, mas por entender que o tema tem ganho extrema relevância no mundo corporativo e merecem uma atenção redobrada dos responsáveis pela abordagem deste assunto. Vamos ver alguns pontos importantes que gostaria de trazer para essa discussão.
As organizações e, consequentemente as áreas competentes precisam sempre estar atentas quando a questão é fraude, quer seja por sua saúde financeira, quer seja por sua reputação. Nada de novo até então! Mas quem milita neste universo sabe o quão complexo é a tratativa dessa temática e, por mais que se faça um excelente trabalho algumas fraudes acabam sendo executadas. Sim, a criatividade do fraudador é de ser profundamente estudada.
Essa complexidade se dá em razão dos esforços preciso para a criação e manutenção dos mecanismos de Prevenção à Fraude. Isso depende do tamanho da organização, da complexidade dos processos, das tecnologias aplicadas ao negócio e até mesmo dos riscos que são assumidos, com seus devidos controles compensatórios. Somado a isso, há uma grande gama de tipos de fraude que a organização pode sofrer, sendo que a estratégia pode ser mais ou menos complexa, dependendo da área de atividade e da atratividade.
Por exemplo, vamos citar dois casos de medidas preventivas que podem ser adotadas pelas empresas. Quando falamos de corrupção, organizações precisam mapear os processos críticos, criar mecanismos de verificação de seus contratos com organismos públicos, ser informada dos contatos com agentes públicos, monitorar os pagamentos realizados de forma minuciosas, entre outras medidas. Já quando falamos de uma fraude de desembolso de despesas, pode-se contratar ferramentas de mercado que fazem todo um trabalho de inteligência artificial para identificar potenciais casos de fraudes.
Para chegar a estas medidas às áreas de Prevenção logicamente adota como parâmetro o histórico interno, a avaliação de dados, que é de suma importância, a experiência dos profissionais, metodologia adequada e referências de mercado. E neste último ponto que gostaria de explorar neste texto.
Quando pensamos em referências de mercado podemos citar o benchmark que podemos fazer com organizações do mesmo ramo de atividade ou que sofreram com algum tipo de problema. Daqui surge a questão de que a empresa pode não querer expor eventual fragilidade ou não conhecemos o colega que está na cadeira responsável por fraude na organização, que esteja disposto a fazer a narrativa do ocorrido. Materiais noticiados pela imprensa servem, mas vejo com certa restrição, pois nem sempre os pormenores são revelados e a interpretação pode ser feita de maneira equivocada.
Outro modo de se obter as referências de mercado são as pesquisas publicadas por órgãos referenciados e consultorias, que até então são voltadas a fraudes internas e trazem dados importantes sobre as fraudes, metodologias de detecção, prevenção e quais são as tendências sobre o tema.
Uma das mais importantes é a Report to Nation, da ACFE (Association Certified of Fraud Examiners), publicada a cada dois ano, sendo que última edição foi publicada recentemente (https://acfepublic.s3.us-west-2.amazonaws.com/2022+Report+to+the+Nations.pdf), trazendo um perfil do fraudador, como a fraude ocorre, como ela é identificada, quanto tempo dura e qual o custo para as organizações.
Outra publicada recentemente é a Pesquisa Global sobre Fraudes e Crimes Econômicos 2022, elaborada pela Consultoria PWC (https://www.pwc.com.br/pt/estudos/servicos/consultoria-negocios/2022/GECS_2022.pdf), que traz como novidade o crescimento dos crimes cibernéticos, mostrando a grande preocupação das organizações em relação a este tema.
Tal pesquisa nos mostra que há um efeito da Pandemia de Covid-19 sobre estes resultados. O Primeiro ponto é que o roubo de ativos diminuiu, logicamente porque as pessoas tiveram acesso restrito aos ativos da empresa. E isso é positivo! Mas dois outros chamam a atenção: 29% das organizações respondente dizem ter sofrido um novo crime, sendo ele o cibernético e fraude de consumidor, ou seja, praticado por agentes externos.
Por falar em agentes, antes tínhamos destaques a colaboradores das organizações, de diversos níveis hierárquicos, seguido do conluio entre colaboradores e fornecedores. Na atual pesquisa temos nas três primeiras posições outros agentes, como Hackers (31%), Consumidor (29%) e Crime organizado com (28%). Para se ter uma ideia dessas mudanças, em 2020 a posição dos fraudadores externos era consecutivamente Consumidor (26%), Hackers (24%) e Fornecedor/Provedor (19%). Ou seja, uma mudança significativa no cenário.
Os dados apresentados estão em linhas com outras pesquisas de mercado. A da Ernest Young (https://assets.ey.com/content/dam/ey-sites/ey-com/pt_pt/topics/forensic-integrity-services/pdf/ey-global-integrity-report-2022.pdf), traz como maior preocupação das empresas o risco cibernético que saltou de 20% em 2020, para 27% neste ano.
O estudo da KPMG (https://d335luupugsy2.cloudfront.net/cms/files/69324/1638906654perfil-fraudador-brasil.pdf), traz que aumentou as apurações de fraudes relacionadas ao vazamento de dados/informação, o que reflete a preocupação com a Legislação de Proteção de Dados Pessoais. Também, traz que as apurações de crimes cibernéticos, que já está à frente de fraude que sempre está presente nos manuais, que é a de apurações financeiras.
Estes resultados trazem algumas consequências. A área responsável pela prevenção à fraude, quer, seja uma específica para tratar do tema, Compliance, Auditoria ou Controlo Interno, têm que se aproximar de sobremaneira da área de Cibersegurança, não só para o entendimento dos tipos de crimes aos quais está sujeita a organização, mas também para conhecimento dos mecanismos de controlo e monitoramento. E aqui podemos ter uma troca muito saudável, pois a área de Cibersegurança pode receber contributos para melhorias de seus controlos.
E para que isso ocorra de maneira efetiva é preciso que os profissionais busquem novos conhecimentos, que são de fundamental importância. As organizações devem não só apoiar a busca destes conhecimentos, mas também deve promover uma integração entre as áreas de controle e tecnologia, pois somente assim haverá sinergia em busca da identificação e mitigação dos riscos.
Outro ponto de fundamental importância e, que tem que ser trabalhado de maneira constante é a instrução dos funcionários quanto aos riscos cibernéticos. Os fraudadores cibernéticos se utilizam de inúmeras técnicas para conseguir atrair a atenção das pessoas e, se estas não estiverem preparadas para o reconhecimento dessas ameaças, todo o planejamento cairá por terra.
Além disso, há uma preocupação adicional com o clima organizacional e a insatisfação dos funcionários. Criminosos digitais ficam atentos a esta situação e tentam aproveitar dessa insatisfação, para conseguir uma via rápida de entrada nos sistemas das organizações, que é a abordagem destes funcionários para tentar comprar credenciais de acesso ao sistema, facilitando a prática do ataque de Ransonware (pedido de resgate para desbloqueio de acesso aos sistemas e dados da organização).
Para a mitigação destes riscos, necessários se faz a aplicação de medidas como acessos por duplo fator de autenticação nas credenciais de acesso e, fazer um monitoramento constante dos ambientes, a fim de que qualquer ameaça seja identificada e tratada de maneira rápida e efetiva. Nesse sentido é importante ter uma equipa especializada ou contar com um parceiro que atue com estre tipo de trabalho.
Ainda, deve-se contar com um parceiro que faça o monitoramento do submundo da internet (Dark Web e Deep Web), surface (navegadores utilizados comumente, como Chrome, Mozila, etc), redes sociais e aplicativos de mensagens, a fim de que sejam identificadas ameaças prévias contra a organização.
Ter uma boa estrutura de análise de dados também é requisito para que se faça uma boa prevenção a fraudes, pois por estudos de engenharia de dados, inteligência artificial e machine learning para estudos de identificação de anomalias nos sistemas das organizações.
Por último, ressalto que as organizações devem olhar para o desenvolvimento das tecnologias aplicadas ao negócio, avaliando os riscos desde sua concepção, utilizando o conceito como o Security By Desing e a modelagem de ameaças, que vão olhar as vulnerabilidades dos produtos e as possibilidades de fraudes desde o nascimento do produto.
Com a evolução da tecnologia pelo mundo, cada vez mais a Prevenção à Fraudes se mostra importante e ganha contornos vitais para a perenidade da empresa, não só pelas questões de prevenção em si, mas para que garanta que a empresa tenha a sua rentabilidade preservada e consequentemente sua perenidade.
Espero ter dado meu contributo para segurança cibernética de todos!