por Erick Matheus dos Santos*
As organizações estão sentindo o calor e a
pressão para inovar e criar maneiras de fazer com que seus negócios
permanecerem relevantes. Para as instituições financeiras, em particular, esta
situação é ainda mais presente devido à forte concorrência dos gigantes do setor,
bem como as startups "nascidas digitais".
Com o cenário regulatório em constante mudança,
equilibrar requisitos regulamentares e de conformidade complexos com esforços
para aumentar a eficácia e reduzir custos por meio da transformação digital,
exigirá processos de negócios mais inteligentes e que demandam atenção com a
segurança da informação.
As inovações permitem o acesso ideal do usuário
aos sistemas, garantindo a manutenção das medidas de segurança apropriadas.
Para um número crescente de organizações, usuários internos e externos estão
acessando sistemas de todo o mundo e de uma variedade de dispositivos. Isso
significa que as identidades desses usuários e seus acessos associados, em vez
da rede, estão formando o novo limite de segurança em torno da organização.
Essa mudança de paradigma destaca a importância
de acertar o gerenciamento de identidade e acesso (IAM), tanto para facilitar
os negócios quanto para ficar à frente dos requisitos de auditoria,
conformidade e regulamentação. Analisando a Instrução Normativa nº 001/2001,
temos o Princípio da Segregação de Funções, uma regra de controle interno para
evitar falhas ou fraudes na entidade, descentralizando o poder e estabelecendo
independência para as funções de execução operacional, custódia física e
contabilização da informação. Ela alerta que ninguém deve ter sob sua inteira
responsabilidade todas as fases inerentes a uma operação.
A informação tem um ciclo de vida de quatro
fases: manuseio, no qual dado é criado e manuseado; transporte, que são os
meios para o envio dos dados de um local a outro; armazenagem, onde o dado está
guardado/custodiado; e descarte, ou seja, quando se dá o ciclo final à
informação.
Analisando estas etapas, um dado pode ser vazado
como ato intencional em algumas dessas fases para obter algum ganho ou vantagem
e, em um ambiente competitivo, cujas mudanças de processo e tecnologia podem
impulsionar a organização a novos patamares ou causar riscos significativos e
possíveis impactos negativos, é crucial a adoção de medidas de segurança para
que dados não caiam nas mãos de alguém mal-intencionado em qualquer etapa do
seu ciclo de vida.
Cabe a adoção de procedimentos de segurança como
estratégia de prevenção de ataque cibernético, evitando o vazamento de
informações sigilosas das empresas. Portanto, para permanecer relevante e
permitir que a empresa tenha sucesso em um cenário em rápida mudança, mantendo
uma forte postura de risco e segurança, programas, processos, governança e
tecnologia de gerenciamento de identidade e acesso precisam ser alinhados.
Investir em uma equipe capacitada na
terceirização deste serviço que seja especializada, com profissionais que
tenham domínio do tema e que sejam capacitados para proteger seus dados, deve
ser levado em consideração num mundo cada vez mais digital e com empresas
ingressando para a cultura Data Driven.
*Erick Matheus dos Santos é
consultor sênior de auditoria interna e assessoria financeira da ICTS
Protiviti, empresa especializada em soluções para gestão de riscos, compliance,
auditoria interna, investigação, proteção e privacidade de dados.