Minimize a Fraude com a Segurança da Informação
A fraude é um câncer organizacional. Se os gestores não decidirem combate-la, ela pode acabar com a organização. Todas as organizações sofrem algum tipo de fraude, independente do seu porte ou do tipo de negócio.
Existem disponíveis várias estatísticas e estudos, mas em média estima-se que entre 2% e 5% é quanto as organizações e as nações sofrem por causa da fraude. E fraude é prejuízo na certa, abate diretamente do faturamento da organização.
Para que uma fraude aconteça são necessários dois elementos básicos: informação e a ação do criminoso.
Sem informação o criminoso não consegue agir. Nesta perspectiva é que a segurança da informação minimiza as fraudes. Um processo de segurança da informação profissional e realizado com seriedade mantém o acesso a informação estritamente permitido apenas para aqueles usuários que precisam da informação e são autorizados para este acesso. Grande parte das fraudes acontece porque o criminoso tem acesso a informações que não deveria ter acesso.
Outro forte controle de segurança da informação é a segregação de funções. Em um processo qualquer um mesmo usuário não deve fazer uma atividade e controlar esta atividade. Continuando, a segurança da informação exige a existência e o monitoramento das ações de cada usuário. Isto é, teremos rastreabilidade das ações que ajudará numa eventual investigação, caso os controles preventivos não tenham sido suficientes para evitar o ato criminoso.
A correta destruição de mídia de informação (discos, computadores e papéis) é um controle efetivo para que a informação não chegue a pessoas que não deveriam ter acesso à informação.
Em resumo, cada organização deve ter implantado um Processo de Segurança da Informação que deve contemplar várias dimensões:
– Políticas e normas
– Gestão de risco dos recursos de informação
– Acesso à informação
– Classificação do sigilo da informação
– Continuidade do negócio no que depende de informação
– Copias de segurança da informação
– Conscientização e treinamento do usuário
– Resiliência operacional da informação
– Gestão de incidentes
– Ambiente físico dos recursos de informação
– Desenvolvimento e aquisição de sistemas, e
– Proteção técnica.
Estas dimensões são validadas para toda organização, independente do seu tipo de negócio e do seu porte. O que será diferente será a maneira como os controles serão desenvolvidos e implantados, bem como a rigidez destes controles.
Se sua organização não possui uma abordagem estruturada para a segurança da informação, comece o quanto antes. Um fato é realidade: sem segurança da informação, a fraude existe, cresce e a Organização só faz perder.
Edison Fontes, CISM, CISA, CRISC, Ms.
Núcleo Consultoria em Segurança
Seu mais recente livro: Políticas e normas para a segurança da informação, Editora Brasport, foi lançado neste ano de 2012.
