Cibercriminosos tendem a navegar primeiro para onde o dinheiro está, ou seja, informações pessoais de identidade, propriedades intelectuais ou dados financeiros. Coincidentemente, muitas dessas coisas também criam um problema de compliance.

Publicado em 27 de abril de 2022 por Brian Tremblay.

Tem sido uma jornada interessante. Passei 15 anos na profissão de auditoria, entre auditoria externa e interna, inclusive no nível CAE. Trabalhei em todos os tipos de indústrias, empresas e departamentos de auditoria, que variavam em tamanho e forma. Eu achei que estivesse preparando adequadamente líderes seniores e membros do conselho sobre como gerenciar os riscos e oportunidades que o trabalho da minha equipe gerava. Eu acreditava que tínhamos riscos globais críticos, como cibersegurança, bem definidos, controlados e gerenciados. Embora eu não diga que estava errado, eu diria que agora eu estou mais bem informado sobre os riscos e métodos de como abordar o tema cibernético.

Dois anos atrás, comecei a trabalhar em uma empresa de cibernética que é apaixonada por pesquisar riscos cibernéticos relacionados a aplicações críticas para os negócios. A empresa se concentra especialmente em riscos cibernéticos que ameaçam as ferramentas de planejamento de recursos empresariais, sistemas de gestão de recursos humanos e ferramentas de relacionamento com o cliente. Coincidentemente, essas não são as únicas tecnologias que impulsionam os negócios das nossas empresas, também são tecnologias que estão no escopo dos regulamentos de compliance. 

Duas áreas focais onde nós conduzimos pesquisas são: Descobertas de bugs (pensar nas vulnerabilidades do software, configurações inseguras, etc.) e pesquisa de ameaças (por exemplo, quem está hackeando e o que eles estão procurando).

Então, o que nossa pesquisa de ameaças nos diz que você precisa saber?

•  Aplicações críticas para os negócios estão sob ataque, e a pesquisa mostra que os ataques se originaram de cerca de 20 países durante nosso período de observação.
•  Embora empresas como aquela onde eu trabalho encontrem problemas e ajudem os fornecedores de software a corrigi-los ou fornecer soluções para os mesmos, elas não encontram todos e vemos invasões “à solta” que ainda não foram detectadas. Vimos evidências de vulnerabilidades sendo exploradas por mais de três meses antes de serem detectadas pelos pesquisadores.
•  Em média, desde o momento em que o fornecedor de software publica um patch até o momento em que as invasões estão ativamente ocorrendo, são 72 horas. Três dias. O uso de lançamentos de patches como pontapé inicial para agentes de ameaças que exploram tecnologias foi surpreendente para mim.
•  Um dos primeiros movimentos de cibercriminosos e hackers é conceder a si próprios acesso de administrador ou admin, o que significa que podem fazer o que quiserem, quando quiserem, às vezes fora da visão dos logs.
•  Às vezes, corrigem a vulnerabilidade. Sim, você leu certo. Eles a corrigem. A linha de pensamento deles é de que eles estão protegendo seu “território” de outras partes, ou querem que as organizações acreditem que já resolveram o problema.
•  Agentes de ameaças nocivos tendem a navegar primeiro para onde o dinheiro está, ou seja, informações pessoais de identidade (ou PII), propriedades intelectuais, seus dados financeiros, etc. Coincidentemente, muitas dessas coisas também criam um problema de compliance, pois estão ignorando controles (como SOX) ou acessando e extraindo dados protegidos, resultando em um problema de privacidade de dados (como GDPR, CCPA, etc.).

O que tudo isso significa para a auditoria interna? Bem, em suma, significa muito.

De acordo com o North American Pulse of Internal Audit de 2022 do The IIA, 85 % do CAEs consideram a cibersegurança um risco alto ou muito alto em suas organizações. No entanto, esses mesmos líderes planejam alocar apenas 11% de seu plano de auditoria para riscos de cibersegurança no próximo ano.

Tive o prazer de falar com muitos líderes da auditoria interna e muitos deles indicaram que, embora sintam o impacto da violação de um aplicativo crítico para o negócio, não acreditam que a probabilidade seria tão alta. A pesquisa indica o contrário.

A triste realidade que enfrentamos frequentemente é que olhamos para controles básicos de bloqueio e defesa, como gestão de mudanças, patches, etc., sem realmente avaliar os riscos. No que se refere à gestão de patches, eu me esforçava para entender como a empresa organiza os patches. Isso é feito em uma cadência normal? Há um período de blackout, em que não liberam patches (como no fechamento do ano), que esteja criando riscos desproporcionais? Como reagem a um dia zero? A maioria das empresas não se dedica a patches apenas 72 horas após a liberação de um patch.

Por mais que queiramos fingir que riscos cibernéticos e de compliance sejam tópicos separados, riscos cibernéticos criam riscos de compliance. Tendo em vista que uma das primeiras ações dos invasores é conceder acesso e privilégios de administrador, um controle de teste trimestral não funciona mais.

Por fim, nos últimos messes, a SEC propôs não uma, mas duas novas regras com períodos de comentários abertos em andamento. Enquanto a primeira (publicada em 09 de fevereiro) tem um escopo mais restrito, tanto em aplicabilidade quanto em expectativas, a mais recente, que foi publicada em 9 de março, é muito mais abrangente. Como pode ser visto na folha informativa disponibilizada pela SEC, essa regra proposta, se adotada, requereria divulgações periódicas, entre outras coisas:

• Políticas e procedimentos de um registrante, para identificar e gerenciar riscos de cibersegurança.
• O papel da gestão na implantação de políticas e procedimentos de cibersegurança.
• Experiência em cibersegurança do conselho de administração, se houver, e sua supervisão do risco de cibersegurança.
• Atualizações sobre incidentes materiais de cibersegurança cibernética reportados anteriormente.

Quer gostemos ou não, estejamos prontos ou não, parece que não podemos mais pisar em ovos quanto ao tema do risco cibernético. A onda não está vindo, ela já está praticamente aqui.

Copyright © 2022 de The Institute of Internal Auditors, Inc. (“The IIA”).  
Todos os direitos reservados.  
   
Foi obtida permissão do detentor dos direitos autorais, The IIA, 1035 Greenwood Blvd., Suíte 401, Lake Mary, FL 32746, EUA, para publicar esta reprodução, que é igual ao original em todos os aspectos materiais, a menos que aprovada como alterada. 
   
Este documento foi traduzido por INSTITUTO DOS AUDITORES INTERNOS DO BRASIL em 04 DE MAIO  DE 2022.