-
Auditoria Independente
Avaliação de controles internos e características operacionais para alinhar às boas práticas de governança
-
Consultoria Contábil
Foco em instrumentos financeiros e contratos de seguros, cumprimento de requisitos e mudanças regulatórias
-
Consultoria Financeira
Especialidade técnica e soluções tecnológicas para identificar oportunidades operacionais e de negócios
-
Auditoria Interna
Avaliação de gestão de riscos e controles internos, incluindo aspectos socioambientais para elevar a performance
-
Serviços Atuariais
Soluções eficazes para auxiliar o mercado de transferência de riscos com normas para provisões e solvência
-
Modelagem de Riscos
Predição com estatística e machine learning aplicados à gestão de riscos
-
Soluções em Tecnologia
Otimização de processos e controles, atendimento de requerimentos regulatórios e melhor eficiência operacional
-
Open Banking
Integração dos aspectos de governança e tecnologia para o processo de adesão e manutenção junto ao Bacen
-
PIX
Inovação e inclusão no sistema de meios de pagamento
-
Gestão eficiente da cadeia de suprimentos hospitalar
Consolidação, redução de custos de aquisições, padronização e otimização do processo de compras
-
Auditoria interna hospitalar
Solução de data analytics para execução de auditoria interna focada no setor da saúde, garantindo maior agilidade e precisão na tomada de decisões
-
RN 443 – Implantação geral e emissão de PPA
Maiores controles internos e gestão de riscos para fins de solvência das operadoras de planos de assistência à saúde
-
RN 452 – Apoio da estruturação da auditoria interna de compliance
Avaliação de resultados das operadoras de saúde para assegurar conformidade legal em seus processos
-
Relatório SOC 2
Com Relatório SOC, certificação e parecer independente é possível agregar credibilidade aos beneficiários do setor de saúde sobre os processos internos e controles
-
Energia e tecnologia limpa
Soluções para para geradores, investidores ou concessionárias prestadoras de serviços públicos que desejam investir no mercado de energia sustentável.
-
Petróleo e Gás
Auxiliamos sua empresa na procura de opções de financiamento, gerenciamento de risco e na criação de legitimidade local para operar.
-
Mineração
Construção de força de trabalho com mais mobilidade, entendimento das alterações da legislação e elaboração de processos para gerenciar riscos de corrupção.
Apagão cibernético global:
gestão de mudanças e resiliência organizacional
Na última semana, o apagão cibernético global causado por problemas no serviço da CrowdStrike alertou as empresas sobre a relevância dos processos de segurança e resiliência cibernética.
Este caso lançou luz sobre assuntos importantes que as organizações devem considerar para aumentar sua capacidade de resposta a crises, minimizando o impacto de interrupções futuras.
Gestão de patches de atualização
O incidente recente destaca a importância da gestão de mudanças nas empresas, incluindo patches de atualização. A implementação de atualizações em sistemas críticos, ainda que de rotina e com o propósito de manter a segurança, devem ser avaliadas. Isso inclui a realização de testes em ambientes controlados e menos críticos antes da aplicada em produção, sempre que possível. Além de realizar atualizações de forma gradual para minimizar impactos.
Infelizmente, é comum que organizações se sintam seguras em relação aos processos geridos por fornecedores de soluções de tecnologia, muitas vezes realizando aplicação de atualizações em produção sem testes prévios e ignorando seus riscos. Trata-se de um dilema a ser gerenciado pelas organizações, dado que muitas atualizações são críticas e buscam mitigar riscos de segurança, mas essas mesmas atualizações podem trazer novas vulnerabilidades e causar danos consideráveis.
Avaliação de dependências de sistemas de terceiros
Outro ponto relevante é a potencial dependência de sistemas, pois é comum que as organizações tenham seus serviços suportados por soluções de mercado. Realizar uma Análise de Impacto nos Negócios (BIA) pode ajudar a identificar essas dependências em operações críticas e a avaliar os riscos associados a elas.
Identificar a criticidade de sistemas permite definir controles adequados, como redundância, sistemas alternativos e processo de gestão de atualização, diminuindo o potencial impacto de falhas de terceiros.
Planos de contingência
Para a resiliência organizacional, a implementação de um plano de contingência é essencial. Este plano deve incluir procedimentos sobre a recuperação de processos e sistemas críticos ou essenciais, alocação de recursos durante uma crise e comunicação com as partes interessadas.
A eficácia deste plano está conectada com a realização de testes regulares, monitoramento e atualizações para refletir mudanças no ambiente operacional e novas ameaças. No incidente da CrowdStrike, as organizações que possuíam planos de contingência foram potencialmente menos afetadas ou se recuperaram mais rapidamente.
Transparência e canais de comunicação
Além disso, a transparência e a comunicação durante uma crise são fundamentais. Durante uma crise, manter uma comunicação efetiva e a transparência são fundamentais para reduzir impactos.
No caso recente, a comunicação proativa da CrowdStrike e das empresas afetadas contribuiu para o gerenciamento das expectativas dos clientes e para a redução do risco de confiança. Por isso, as organizações devem planejar e estabelecer canais de comunicação adequados e planos de resposta a incidentes que incluam procedimentos para informar rapidamente as partes interessadas sobre a situação e as medidas tomadas com transparência.
Este apagão cibernético global nos ofereceu lições importantes. A capacidade de antecipar, preparar e responder de maneira eficaz a falhas de sistemas não é apenas uma prática recomendada de segurança cibernética, mas uma necessidade estratégica para a continuidade e o sucesso dos negócios no cenário digital atual.
Autor
Everson Probst
Líder de Cibersegurança na Grant Thornton Brasil
Como a Grant Thornton Brasil pode ajudar?
Conte conosco para oferecer soluções completas e equipes especializadas para atuar em prevenção, controle e resposta a incidentes de maneira abrangente a fim de proteger a sua empresa de ameaças cibernéticas.