Publicado em 1º de novembro de 2022, por Milaim Abduraimi

O conselho de administração deve entender e estar ciente dos principais riscos relacionados a ciberataques.

Muitos fatores mudaram o cenário de riscos com que as organizações estão lidando, e entre os principais estão as mudanças na tecnologia. Alguns exemplos de riscos relativos à tecnologia que as empresas encaram incluem a proliferação de tecnologia, o fenômeno do big data e a maior variedade de dados em geral, o número de dispositivos que podem ser conectados e utilizados em trocas de dados, acesso digital exigido por terceiros ou outros stakeholders externos e, sem dúvida, o maior desafio — ciberataques.

Não restam dúvidas de que a cibersegurança é um risco importante a ser considerado pelas organizações atualmente. Imagine um ciberataque contra os principais processos automatizados de sua organização, que deixe seus sistemas inoperantes e interrompa a infraestrutura crítica e os serviços vitais? E se os cibercriminosos capturarem dados relacionados a funcionários, propriedade intelectual, qualidade e segurança dos produtos, planejamento estratégico ou dados financeiros e pedirem uma grande quantia para impedir que os dados sejam publicados ou destruídos? Há muitas maneiras pelas quais os ciberataques podem acontecer e destruir organizações.

Naturalmente, nem todas as organizações são iguais, nem enfrentam ou toleram o mesmo risco. As organizações devem estabelecer seus objetivos, identificar os riscos internos e externos que enfrentam para atingir esses objetivos e estabelecer planos – com base na avaliação de riscos – para orientar os esforços para alcançá-los.

A governança eficaz exige que o conselho de administração identifique e gerencie todos os riscos ao definir metas e estratégias. Portanto, o conselho de administração deve entender e estar ciente dos principais riscos relacionados aos ciberataques. O conselho de administração e a alta administração são os responsáveis finais pelo gerenciamento eficaz dos riscos de cibersegurança e pela tomada de medidas para mitigar os mesmos riscos. Além disso, para ser eficaz, o gerenciamento de riscos deve permitir que os riscos de cibersegurança sejam capturados e comunicados em tempo hábil em toda a organização.

O conselho, a alta administração e os stakeholders precisam dos serviços independentes, objetivos e competentes de avaliação da atividade de auditoria interna, para verificar se os controles das operações de cibersegurança são bem projetados e executados com eficiência. Embora a função tenha um papel muito importante no gerenciamento de riscos, a auditoria interna, assim como o risco, é muitas vezes mal compreendida. A profissão, às vezes, tem sido vista de forma negativa, muitas vezes vista como um órgão de policiamento que prefere pegar alguém fazendo algo errado do que trabalhar proativamente para ajudar. A auditoria interna pode ajudar a organização alertando a gestão sobre novos riscos de cibersegurança, bem como riscos de cibersegurança que não tenham sido devidamente mitigados, e fornecendo recomendações para uma resposta adequada aos riscos. Para poder ajudar as organizações a lidar com a cibersegurança, a auditoria interna precisa garantir que haja recursos, conhecimentos, habilidades e competências suficientes relacionados às tendências em tecnologia da informação e cibersegurança.

Quando a gestão captura e comunica tempestivamente os riscos significativos relacionados à cibersegurança em toda a organização e emprega políticas, processos, ferramentas e pessoal para garantir que os recursos de informação de uma organização sejam devidamente protegidos contra muitos tipos de ataques, a auditoria interna deve avaliar a adequação e pontualidade da resposta ao risco. A auditoria interna também deve determinar se a aceitação dos riscos de cibersegurança está de acordo com o apetite/tolerância a risco da organização e se é comunicada em toda a organização.

Os riscos de ataques como ransomware, phishing, hacking, ameaças internas e vazamento de dados – dependendo da importância e da sensibilidade dos dados – podem ser muito perigosos e ter um enorme impacto nas organizações. Quando as observações do trabalho de auditoria mostrarem a falta ou fraqueza dos controles contra esses riscos, e quando o risco puder prejudicar seriamente a organização, o CAE deve agir imediatamente e comunicar oralmente a observação ou informação à alta administração e ao conselho. A equipe de auditoria pode, então, preparar um relatório provisório. No entanto, antes de comunicar a observação "perigosa" à alta administração e ao conselho, a equipe de auditoria deve primeiro se comunicar com a parte que conhece e é responsável pela atividade sob revisão.

Dependendo da magnitude dos riscos, alguns exemplos de controles fracos de cibersegurança incluem a falta de um software antivírus e de proteção contra malware; uma incapacidade de recuperar dados; falta de firewalls de rede e segurança de acesso a dados; e falta de software de criptografia para uso de dispositivos de armazenamento portáteis.

Caso os gerentes responsáveis pela implantação de ações corretivas relacionadas a uma observação de auditoria não estejam tomando medidas quanto ao risco – e caso seja inaceitável de acordo com o apetite a risco da organização –, o caso deve ser escalado para o conselho de administração.
 

Copyright © 2022 de The Institute of Internal Auditors, Inc. (“The IIA”).  
Todos os direitos reservados.  
   
Foi obtida permissão do detentor dos direitos autorais, The IIA, 1035 Greenwood Blvd., Suíte 401, Lake Mary, FL 32746, EUA, para publicar esta reprodução, que é igual ao original em todos os aspectos materiais, a menos que aprovada como alterada. 
   
Este documento foi traduzido por INSTITUTO DOS AUDITORES INTERNOS DO BRASIL em 07 DE NOVEMBRO DE 2022.