-
Auditoria Independente
Avaliação de controles internos e características operacionais para alinhar às boas práticas de governança
-
Consultoria Contábil
Foco em instrumentos financeiros e contratos de seguros, cumprimento de requisitos e mudanças regulatórias
-
Consultoria Financeira
Especialidade técnica e soluções tecnológicas para identificar oportunidades operacionais e de negócios
-
Auditoria Interna
Avaliação de gestão de riscos e controles internos, incluindo aspectos socioambientais para elevar a performance
-
Serviços Atuariais
Soluções eficazes para auxiliar o mercado de transferência de riscos com normas para provisões e solvência
-
Modelagem de Riscos
Predição com estatística e machine learning aplicados à gestão de riscos
-
Soluções em Tecnologia
Otimização de processos e controles, atendimento de requerimentos regulatórios e melhor eficiência operacional
-
Open Banking
Integração dos aspectos de governança e tecnologia para o processo de adesão e manutenção junto ao Bacen
-
PIX
Inovação e inclusão no sistema de meios de pagamento
-
Gestão eficiente da cadeia de suprimentos hospitalar
Consolidação, redução de custos de aquisições, padronização e otimização do processo de compras
-
Auditoria interna hospitalar
Solução de data analytics para execução de auditoria interna focada no setor da saúde, garantindo maior agilidade e precisão na tomada de decisões
-
RN 443 – Implantação geral e emissão de PPA
Maiores controles internos e gestão de riscos para fins de solvência das operadoras de planos de assistência à saúde
-
RN 452 – Apoio da estruturação da auditoria interna de compliance
Avaliação de resultados das operadoras de saúde para assegurar conformidade legal em seus processos
-
Relatório SOC 2
Com Relatório SOC, certificação e parecer independente é possível agregar credibilidade aos beneficiários do setor de saúde sobre os processos internos e controles
-
Energia e tecnologia limpa
Soluções para para geradores, investidores ou concessionárias prestadoras de serviços públicos que desejam investir no mercado de energia sustentável.
-
Petróleo e Gás
Auxiliamos sua empresa na procura de opções de financiamento, gerenciamento de risco e na criação de legitimidade local para operar.
-
Mineração
Construção de força de trabalho com mais mobilidade, entendimento das alterações da legislação e elaboração de processos para gerenciar riscos de corrupção.
Os fatores que motivam os funcionários e outros insiders a comprometer a rede de computadores de uma organização foram exacerbados pela pandemia. A mudança para trabalhar remotamente criou ainda mais oportunidades para violações de segurança, muitas vezes resultando em acesso não autorizado ou compartilhamento de informações de laptops, telefones celulares, armazenamento em nuvem e outras tecnologias.
As organizações devem ser diligentes na redução de ameaças internas durante esses tempos desafiadores, aplicando uma abordagem proativa, considerando o equilíbrio entre segurança e privacidade.
Aumento de ameaças internas
As organizações precisam de um esforço mais abrangente para combater as ameaças internas devido ao aumento de incidentes. Houve um salto de 47% nas ameaças internas nos últimos dois anos, de acordo com um estudo conduzido pelo The Ponemon Institute, uma organização líder em pesquisas de segurança.
Os motivos para o aumento acentuado variam de insiders cada vez mais encorajados, que pretendem cometer furto, fraude e espionagem, a funcionários negligentes que permitem divulgações acidentais por meio de senhas fracas, golpes de phishing ou dispositivos comprometidos.
“Devido à situação da Covid-19, com muitas pessoas trabalhando em casa, aumenta a possibilidade de vazamento de dados”, disse o diretor de privacidade e segurança cibernética da Grant Thornton, Derek Han.
Embora os hackers recebam mais atenção em ataques cibernéticos, a maioria das ameaças internas são resultado de funcionários, contratados e terceiros baixando a guarda. Eles se enquadram em três categorias:
- Negligentes
62% dos incidentes de ameaças internas são causados por funcionários negligentes, precipitados ou inconscientes.
- Comprometidos
23% dos incidentes de ameaças internas são resultados de concessões, com credenciais internas roubadas e vendidas, levando ao roubo de identidade e sabotagem.
- Maliciosos
14% de todos os incidentes de ameaças internas estão ligados a pessoas internas com intenção criminosa, cujos motivos foram roubos, fraudes ou espionagens.
A exploração de ameaças internas foi auxiliada por uma variedade de ferramentas, incluindo criptografia (que permite o anonimato), criptomoedas (que permitem que as transações ocorram sem serem rastreadas) e sites de comércio dark web. Os trabalhadores remotos podem, inadvertidamente, agravar o problema.
“Existem alguns veículos para as pessoas esconderem sua identidade e roubarem, venderem ou trocarem por informações”, disse Han. “Além disso, a informação reside na nuvem. São informações acessíveis de qualquer lugar, e quando os limites ficam confusos, é mais fácil para as pessoas acessarem as informações”. Compreender os indicadores que podem levar a ameaças internas pode ajudar as organizações a detectar problemas em potencial e prevenir incidentes antes que eles ocorram.
As transformações digitais são onipresentes hoje e a internet tem permitido que os invasores cibernéticos roubem dados valiosos das organizações com mais facilidade. Os dark websites e o software The Union Router (Tor) fornecem uma plataforma para conectar compradores e vendedores online, além de negociar dados. Os cibercriminosos estão cada vez mais se esforçando para procurar pessoas internas vulneráveis que lhes darão o que precisam de boa vontade, além de procurar maneiras de se infiltrar nos sistemas.
Fator humano
Enquanto o comportamento humano é o ímpeto para ameaças internas, a maioria das organizações confia na tecnologia para detectar e prevenir ataques. O problema com essa abordagem é que as organizações geralmente reagem a um ataque depois que ele ocorre.
Um programa de ameaças internas totalmente desenvolvido deve ser centrado no ser humano desde o início. Deve envolver os funcionários por meio de treinamento, transparência e comunicação. Ele também deve aproveitar o comportamento humano e as ferramentas de análise para identificar possíveis vulnerabilidades humanas e prevenir uma possível violação antes que aconteça. Envolve os funcionários no processo.
“É uma mudança de cultura. Está fazendo as pessoas sentirem que estão envolvidas na organização”, disse Rohan Singla, gerente sênior de Risk Advisory Services da Grant Thornton. “Está transformando os funcionários do elo mais fraco para o elo mais forte em uma organização”. O estabelecimento de uma estrutura de programa de ameaças internas requer o envolvimento de toda a organização, começando com o endosso do CEO. Inclui informações de TI, recursos humanos, jurídico e treinamento e conscientização de funcionários.
Ao envolver os funcionários para identificar e ajudar a prevenir ameaças internas, a organização desenvolve um aliado poderoso. Com a ajuda do uso de tecnologia e análises para identificar e prever vulnerabilidades humanas em potencial, a organização tem um programa de ameaças internas mais completo.
Obviamente, uma organização precisa encontrar um equilíbrio cuidadoso entre incentivar a participação dos funcionários e, ao mesmo tempo, monitorar seu comportamento. É por isso que o treinamento, a conscientização e a comunicação, bem como a avaliação dos riscos à privacidade, são tão importantes.
Implementação do programa de ameaças internas
Ameaças internas são um risco-chave de segurança cibernética que resultou em ataques cibernéticos significativos com danos financeiros e de reputação. Para realmente garantir consistência e conformidade, as organizações devem implementar um programa de ameaças internas projetado para a sustentabilidade.
A implementação eficaz do programa normalmente envolve três pilares principais:
As organizações avaliam os requisitos regulamentares, padrões da indústria e melhores práticas que se aplicam aos seus dados de alto valor. Em seguida, avaliam suas ferramentas de proteção de dados, soluções, riscos e preparação dos funcionários.
As organizações implementam as mudanças identificadas durante a avaliação, incluindo políticas, procedimentos, governança, equipes, treinamento e ferramentas. Também implementam e integram tecnologia para produzir e rastrear indicadores de ameaças internas.
As organizações gerenciam e monitoram seus programas, incluindo a opinião dos funcionários, conscientização, conformidade e treinamento, relatórios sobre métricas de desempenho e risco. As organizações também ajustam os programas com base no feedback e em auditorias independentes regulares.
“Para monitorar ameaças internas, as organizações precisam procurar comportamentos e tendências ao longo dos meses. Eles precisam de dados substanciais e evidências para mostrar o que, onde e quando os funcionários podem ter feito algo errado”, disse Singla. As violações podem não ser intencionais, portanto, as organizações precisam conversar com os funcionários e ajudá-los a compreender os problemas e riscos.
Desafios do local de trabalho remoto
A execução de um programa proativo de ameaças internas encontrará desafios no ambiente pandêmico de hoje, onde muitos funcionários trabalham homeoffice. Já é difícil promover uma cultura de trabalho entre os funcionários em uma videochamada, muito menos tentar implementar um programa novo ou aprimorado de ameaças internas.
Mas, com funcionários trabalhando em locais remotos com laptops, dispositivos móveis e conexões com a Internet, as chances de violações graves de segurança aumentam.
À medida que os perímetros de segurança tradicionais definidos por firewalls estão desaparecendo, torna-se essencial para as organizações abordar proativamente as ameaças internas, onde o limite de confiança e o comportamento humano continuam a mudar.
Como a Grant Thornton pode auxiliar sua empresa?
Conte com os nossos especialistas para identificar as melhores estratégias para avaliar e fortalecer as estruturas de segurança contra de riscos cibernéticos do seu negócio.