10 formas con las que el CFO puede reducir el riesgo de la seguridad informática.

10 maneiras pelas quais o CFO pode reduzir o risco de segurança de TI

Na era digital de hoje, a segurança dos dados essenciais aos negócios não é responsabilidade exclusiva da equipe de tecnologia. Uma violação ou a exploração de uma vulnerabilidade afeta todas as áreas da organização, portanto, o que poderia ter sido considerado uma responsabilidade de TI no passado agora pode ser visto como um ônus para toda a organização. Cada vez mais, os cenários de baixo nível acrescentam perspectiva financeira e conhecimento especializado aos esforços da empresa, fortalecendo e aprimorando os recursos de proteção e resposta.

A segurança de TI mal gerenciada é um problema de risco financeiro que afeta o sucesso ou até mesmo a sobrevivência da empresa, pois uma violação de dados pode levar a altos custos decorrentes de um impacto na continuidade dos negócios, perda de informações, penalidades por gerenciamento inadequado, serviços profissionais para remediação e consequências de longo prazo, como afetar as relações com os clientes e a reputação da empresa, tornando-se inevitavelmente um passivo que exige o envolvimento dos CFOs latino-americanos. Como um exemplo rápido, os CFOs agora estão gerenciando as consequências financeiras e supervisionando as relações com os investidores após uma violação de dados. Um estudo recente do Ponemon Institute1 revelou que o preço das ações de uma empresa cai em média 5% após uma violação de segurança cibernética.

Em alguns casos, os ataques tiveram consequências desastrosas para a lucratividade das empresas. Em 2016, um funcionário do departamento financeiro de uma empresa multinacional foi vítima de um tipo de ataque que explorava vulnerabilidades em processos. Os criminosos cibernéticos enviaram um e-mail para o funcionário e se fizeram passar pelo CEO da empresa. Eles exigiram que o funcionário transferisse milhões de dólares para uma conta bancária no exterior para uma aquisição falsa. A organização acabou perdendo tantos milhões que acabou com seus lucros durante todo o ano.

As empresas, os ativos e os recursos estão dinamicamente conectados à Internet e todos os participantes, dispositivos, processos e seres humanos estão suscetíveis a serem examinados em busca de vulnerabilidades. As técnicas, estratégias e alvos de ataque estão evoluindo e se expandindo rapidamente, tanto com táticas montadas externamente quanto com aquelas que usam nossos funcionários e/ou ativos internos como “operador” ou escalador.

Uma vez desconectado, um CFO que não esteja envolvido na definição e no monitoramento de estratégias de prevenção e proteção pode ser considerado uma vulnerabilidade.

Apesar desses riscos, muitos líderes de TI não acreditam que os CFOs estejam fazendo o suficiente para proteger os dados, a postura de segurança e, em última análise, o futuro de suas organizações. É por isso que a Ricoh criou 10 maneiras pelas quais os CFOs podem se alinhar melhor com as equipes, criar sinergias com a TI e reduzir drasticamente os riscos.

10 atividades por meio das quais o CFO (e, de fato, todo C-level) reforça a postura de segurança de TI:

Envolva-se na compreensão das possibilidades da segurança de TI: como CFO, é importante ter uma compreensão geral dos princípios e do escopo da tecnologia nessa área. Você deve aproveitar o conhecimento tecnológico que aprendeu circunstancialmente ao longo dessas décadas de interação com a TI. Também é importante permitir que o CIO explique e compartilhe informações interessantes sobre o conhecimento de sua estratégia atual de segurança de TI, quais dispositivos e serviços profissionais de segurança eles utilizam e quanto investem anualmente. Esse será o início das práticas de otimização e aprimoramento em várias áreas.

Esquematize com o CIO como toda a organização armazena, modifica e descarta os dados: se são privados, confidenciais, comerciais, legais ou financeiros; onde são gerados, como são transportados, onde são armazenados, onde e quando é feito o backup, quantas cópias externas existem, como são verificados quanto a modificações ou adulterações não autorizadas e todas as perguntas lógicas que podem ser derivadas do ângulo C, inclusive como os arquivos em papel são gerenciados, ou os membros da equipe financeira deixam documentos confidenciais sem supervisão em seus escritórios? Eles mantêm arquivos em papel em diferentes locais, como diferentes oficinas ou instalações de processamento?

Implementação da tecnologia de automação financeira: as equipes financeiras geralmente dependem de processos manuais, baseados em papel. No entanto, isso pode colocar sua segurança em risco. O CFO está ensinando a tecnologia de automação para otimizar seus processos e proteger melhor seus dados. De acordo com o CFO Sentiment Study 20182, mais de 50% dos CFOs planejam aumentar seu investimento em tecnologia de automação financeira este ano. Com essas soluções, é possível armazenar todos os seus arquivos em um sistema centralizado e seguro. Isso também reduz a dependência de documentos que podem se perder e permite que você estabeleça controles de segurança para seus documentos. Manter todos os dados financeiros em um único repositório também facilita a localização das informações pelos funcionários. Além disso, oferece visibilidade sob demanda, o que o ajuda a tomar decisões sobre perdas e a manter auditorias detalhadas.

Identifique os recursos humanos que têm acesso a essas informações, alinhe-os com os processos e considere que todas as ferramentas permitem acesso adicional aos ativos. Defina um perfil que especifique os direitos de leitura e/ou gravação e/ou modificação e/ou cópia e/ou exclusão e outros. No nível do CFO, é aconselhável revisar os processos financeiros e identificar gargalos e usuários relacionados que possam ser colocados em risco. Por exemplo, seus processos de pagamento dependem de um grande volume de pontos de contato? Quanto mais etapas e pessoas estiverem envolvidas em um processo, maior será a probabilidade de erros e vazamento de dados. Controle quem pode acessar os dados: A tecnologia de gerenciamento de direitos digitais (DRM) permite que você crie políticas sobre quem pode ou não acessar os dados. Ela criptografa arquivos para que somente usuários autorizados possam acessá-los. Ela também aplica políticas de segurança a desktops, smartphones e outros dispositivos. Isso permite que os funcionários acessem arquivos e aplicativos com segurança, independentemente de seu dispositivo ou local. Isso aumenta a produtividade dos funcionários, pois eles não precisam estar no escritório para visualizar dados financeiros e colaborar com outras pessoas.

Reconsidere o básico: não se esqueça de que detalhes pequenos e simples podem fazer uma grande diferença. Na segurança de TI, muitos (a grande maioria) dos ataques são gerados por meio de vulnerabilidades básicas, que são conhecidas ou poderiam ter sido evitadas apenas com boas práticas e políticas, como: usar senhas fortes, alterá-las regularmente, atribuir usuários corretamente, restringir a instalação de aplicativos, proteger sistemas operacionais e aplicativos com portas de conexão desnecessárias, antivírus/anti-malware e muitos outros que não exigem grandes suposições para serem implementados.

Premissa: é importante classificar uma premissa específica para a área de segurança de TI e monitorar sua aplicação e implementação corretas, pois às vezes essa seção é confundida com a premissa geral de TI e emergências ou eventos comerciais podem interrompê-la ou atrasá-la. De acordo com a Forreste3 , as organizações com melhor segurança de TI sofrem 6,8 menos violações do que as demais. Elas também gastaram mais de US$ 5 milhões em custos de violação. Trabalha com o CIO para decidir como gastar em privacidade de dados, segurança cibernética e tecnologia. Também mantém os investidores, o conselho de administração e outras partes interessadas informados sobre os esforços de segurança cibernética.

Auditoria: a maioria dos dispositivos e sistemas tem uma função de monitoramento, e ativar esses sistemas e verificar ou automatizar a verificação de acesso, atividade e registros facilita a localização do rastro de atividades maliciosas. O escopo tecnológico nesse sentido é amplo, e há até mesmo soluções no setor em que não importa quais dispositivos na rede de comunicação (operadora obrigatória) atuam como sensor e detector de invasores conhecidos ou suspeitos.

Atuar nos cálculos de risco e perda financeira: é importante que um recurso com experiência em exercícios de risco e ROI seja capaz de comparar, em uma base sólida, a probabilidade e a extensão dos possíveis impactos com o custo de evitá-los e priorizar decisões e ações antes, durante e depois de um ataque.

Contrate um parceiro tecnólogo com experiência na análise da situação atual e no desenvolvimento de estratégias e soluções de prevenção, contenção e correção. É claro que, nesse processo de aumento da segurança das informações, é essencial que os CFOs encontrem um parceiro comercial com um longo histórico de consultoria em questões de digitalização e segurança. Nesse sentido, os Serviços Avançados da Ricoh podem ajudar qualquer organização a criar soluções de conteúdo e fluxo de trabalho altamente eficientes que garantam que os funcionários obtenham as informações de que precisam quando precisam, ao mesmo tempo em que mantêm suas informações e sua organização seguras. Os especialistas da Ricoh também podem ajudar a automatizar, otimizar e garantir o cuidado adequado das informações em processos empresariais vitais.

Compartilhe a responsabilidade e os benefícios: crie campanhas para distribuir e explicar as políticas, com o objetivo de aumentar a conscientização e sensibilizá-los para a importância de estarem sempre protegidos, considerando que nossos funcionários e suas informações pessoais também correm o risco de sofrerem crimes cibernéticos. Faça com que eles se beneficiem desses esforços e investimentos e construam juntos um ambiente mais seguro.

Concluindo, a maioria dos C-levels da organização entende que compartilha a responsabilidade de gerenciar a segurança de sua área, mas exercê-la plenamente sem estabelecer processos e autorizações que diminuam a fluidez e a agilidade da organização é um desafio constante que pode ser reduzido se os líderes da organização concordarem com essa questão. Dessa forma, eles podem entender e projetar em conjunto maneiras convenientes de gerar, transmitir e armazenar informações, gerenciar dados de clientes, diferenciar comunicações e canais fictícios. O CFO tem a oportunidade de assumir uma função proativa na proteção dos dados de sua organização. A primeira etapa é examinar seus processos atuais em busca de ineficiências e falhas de segurança. Em seguida, trabalhe com o CIO para determinar qual tecnologia pode minimizar seus riscos e, ao mesmo tempo, aumentar a produtividade da equipe.

Para mais informações, favor entrar em contato com:

Edgar Matamoros

Gerente de soluções de serviços de TI

Edgar.Matamoros@ricoh-la.com

1 | https://www.centrify.com/media/4772757/ponemon_dat...

2 | https://s3.amazonaws.com/new.ax.production/knowled...

3 | https://www.centrify.com/media/4594046/stop-the-br...