Conhecimento


Ricardo Gameroff
Sócio, Kreston BA Argentina, Argentina

Join Ricardo Gameroff on LinkedIn

Ricardo é um especialista em fraude, auditoria e risco com mais de duas décadas na Ernst & Young (EY), onde trabalhou como Sócio de Auditoria e Forense no Canadá, Chile e Argentina. Liderou grandes clientes nos sectores dos serviços públicos, retalho, indústria transformadora e mineiro, incluindo a Coca-Cola, a McDonald’s, a Siemens, a Fluor Daniels, entre outros. Ricardo é um Contador Público Certificado (CPA) nos Estados Unidos, Chile e Argentina, um Examinador de Fraude Certificado (CFE) e possui uma designação de MBA. É também professor universitário na Universidad de los Andes e autor de publicações sobre fraudes profissionais.


A auditoria interna na era das ciberameaças

Junho 10, 2024

Sector: Tecnologia, Media e Telecomunicações

Ricardo Gameroff, Managing Partner da Kreston BA Argentina e Global Audit Business Development Diretor da Kreston Global, destaca o papel crucial da auditoria interna no combate às ameaças cibernéticas. Seu artigo na revista Audit & Risk, publicação do Chartered IIA, discute como a evolução das práticas de auditoria interna aumenta a resiliência contra ameaças como ransomware, phishing, ataques BEC e falsificação de identidade de marca por meio de uma avaliação meticulosa de riscos e monitoramento proativo. Clica aqui para acederes à publicação completa ou lê o resumo abaixo.

A auditoria interna como instrumento de defesa

As auditorias internas sempre desempenharam um papel fundamental na mitigação dos riscos cibernéticos e na proteção dos activos organizacionais. Além disso, os recentes avanços nos processos de auditoria alargaram as suas capacidades para além dos métodos tradicionais. Agora, as equipas de auditoria interna podem tirar partido de tecnologias inovadoras para se adaptarem rapidamente à evolução das ciberameaças.

Principais recomendações para as equipas de auditoria interna:

  • Monitorização contínua: Utiliza ferramentas e análises automatizadas para monitorizar a atividade da rede, detetar anomalias e identificar potenciais violações de segurança em tempo real.
  • Reforça as competências em matéria de cibersegurança: Investe na formação contínua e no desenvolvimento profissional para te manteres a par das ameaças emergentes e das melhores práticas.
  • Integra a análise de dados: Utiliza a análise de dados para melhorar a avaliação dos riscos e detetar actividades suspeitas, analisando grandes conjuntos de dados para detetar padrões e anomalias.
  • Colabora com as equipas de TI e de segurança: Trabalha em estreita colaboração com os departamentos de TI e de segurança para compreender a infraestrutura e as vulnerabilidades de TI da organização, adaptando os procedimentos de auditoria ao perfil de risco.

Inteligência artificial ética

Uma forte compreensão da ética e uma cultura empresarial sólida são cruciais para proteger as organizações contra as ciberameaças. Além disso, as auditorias internas podem ajudar a administração a monitorizar e apoiar a cultura organizacional. Consequentemente, garante que todos os funcionários compreendem os comportamentos esperados em matéria de cibersegurança e ética. Isto promove uma boa tomada de decisões e reforça a governação e os controlos.

Com o aumento da IA na tomada de decisões e na automatização, é essencial garantir a transparência, a responsabilização e sistemas sem preconceitos. Além disso, os auditores internos podem ajudar na implementação de práticas éticas de IA, auditando os algoritmos de IA e garantindo a conformidade regulamentar. O envolvimento precoce em iniciativas de IA permite aos auditores aconselharem sobre os riscos e sugerirem soluções.

Componentes da preparação para o ciberespaço

A preparação é fundamental no combate às ciberameaças. A preparação da empresa para o ciberespaço envolve governação, estratégia, resposta a incidentes e formação dos trabalhadores.

  • Governação e estratégia: A auditoria interna deve apoiar e aconselhar sobre uma gestão eficaz da cibersegurança, ajudando a estabelecer políticas, procedimentos e estruturas de responsabilização claros. A definição de funções, responsabilidades e objectivos estratégicos alinhados com os objectivos empresariais é crucial.
  • Avaliação dos riscos: As avaliações regulares dos riscos ajudam a identificar e a dar prioridade aos riscos cibernéticos, permitindo uma afetação eficiente dos recursos e estratégias de atenuação específicas.
  • Resposta a incidentes: As organizações precisam de um plano formal de resposta a incidentes com equipas designadas e exercícios de formação regulares. As medidas pró-activas, como a monitorização da informação sobre ameaças e os sistemas de deteção de incidentes, são essenciais para respostas rápidas e eficazes.
  • Formação dos empregados: Educar os funcionários sobre as ciberameaças e as melhores práticas é vital, uma vez que o erro humano continua a ser uma causa comum de incidentes. A formação regular sobre phishing, segurança das palavras-passe, utilização segura da Internet e campanhas de sensibilização para a segurança fomenta uma cultura de vigilância.

Auditoria interna para prevenir incidentes

É difícil encontrar exemplos de auditorias internas que previnam incidentes de cibersegurança, uma vez que os “quase-acidentes” não são divulgados. No entanto, os ciberataques bem sucedidos põem frequentemente em evidência a forma como práticas de auditoria eficazes podem atenuar ou evitar violações.

Na indústria automóvel, a violação de dados da Tesla em 2023 afectou mais de 75 000 pessoas devido a um “trabalho interno” de dois antigos empregados. Este incidente sublinha a importância de uma formação abrangente dos funcionários, de controlos de acesso rigorosos, de auditorias regulares e de políticas de denúncia para detetar acessos não autorizados e comportamentos de risco.

No sector dos serviços financeiros, a violação de dados da Equifax, em março de 2017, que afectou quase 150 milhões de pessoas, resultou da exploração de vulnerabilidades dos sistemas informáticos por parte de atacantes. Além disso, embora os ataques externos sejam complexos de prevenir, as equipas de auditoria interna que se concentram em medidas robustas de cibersegurança, práticas de gestão de dados e controlos internos podem ajudar a detetar rapidamente as violações e garantir uma rápida mitigação e notificação dos danos.

A Mailchimp, um fornecedor de serviços de marketing por correio eletrónico, enfrentou várias violações de dados devido a ataques de engenharia social aos seus funcionários, o que resultou no comprometimento de contas de utilizadores e na exposição de dados de clientes. As auditorias internas devem garantir que os empregados recebem formação adequada em matéria de cibersegurança e avaliar a aplicação da autenticação de dois factores e de práticas de gestão da identidade. Além disso, devem ser implementadas políticas e sistemas para detetar e atenuar as vulnerabilidades de forma rápida e resolver prontamente as violações.

À medida que a tecnologia evolui rapidamente, o mesmo acontece com os riscos associados. A auditoria interna deve adaptar as suas práticas e utilizar os avanços tecnológicos, como a IA, a análise de dados e a aprendizagem automática, para identificar proactivamente potenciais vulnerabilidades e prever ameaças emergentes. As equipas de auditoria interna capazes de prever riscos futuros podem fornecer orientações valiosas à administração, posicionando a organização de forma óptima para responder aos inevitáveis ciberataques. Para mais informações sobre a implementação de protocolos de segurança cibernética na tua empresa, clica aqui.