tomada de decisao

Riscos de cibersegurança para profissionais

Que riscos correm os profissionais em matéria de cibersegurança?

Business Adviory
30/09/2020
tomada de decisao

Introdução

A digitalização tornou-se uma parte essencial dos negócios nos últimos anos; a pandemia do COVID-19 forçou os relutantes e mesmo os que não estavam treinados para tal a utilizarem a tecnologia, uma vez que o uso desta se tornou uma parte essencial da vida quotidiana para os profissionais e as suas famílias. 

Eficiência passou a significar receber e rever documentos em telemóveis e tablets. Com os profissionais a trabalharem longas horas e com deadlines muito curtos, trabalhamos hoje em dia com dados transmitidos e acessíveis através de e-mail e outros sistemas; guardamos os principais dados, rascunhos e diferentes versões em computadores e servidores. A partir desses mesmos sistemas, acedemos a data rooms e servidores de dados dos clientes – para trabalhos de auditoria, due diligences e outros assuntos profissionais.

Durante a recente quarentena e mesmo com a continuação do trabalho a partir de casa, tem sido extremamente valioso ter os dados em sistemas Cloud e capacidade de acesso remoto aos mesmos. Como poderíamos ter concluído auditorias e outros compromissos com clientes sem acesso remoto aos dados dos clientes ou sem efetuar download de dados para dispositivos pessoais? Sem tecnologia, teria sido possível participar em discussões de grupo, apresentar webinars ou realizadas reuniões de equipa? Tudo isto já expôs as empresas ao risco de violação dos dados; trabalhar a partir de casa só agravará o risco se não forem tomadas precauções.

Não se engane – sem segurança digital adequada, o risco de cibersegurança existe, mesmo trabalhando no escritório, uma vez que o download, armazenamento e transmissão de dados continuarão a acontecer por meio digital.

 

 

Os escritórios de Advogados estão sujeitos ao risco digital?

A reposta está em algumas perguntas rápidas.

  • A empresa recebe, envia ou armazena dados digitalmente?
  • A empresa lida com dados que possam ser do interesse de outros? Acordos de Aquisições & Fusões, questões de direitos de autor, questões tributárias, questões relacionadas com divórcios e acordos familiares, entre muitos outros?
  • O litígio, interesse comercial ou posição competitiva dos clientes podem ser afetados se ocorrer uma violação de dados?

Os compromissos de confidencialidade com o cliente ou a ética profissional dos colaboradores da empresa seria comprometida se a empresa fosse hackeada?

 

As empresas mais ativas digitalmente e que lidam com dados sensíveis são alvos muito atrativos para cyber attacks.

 

Empresas de Contabilidade e Consultoras também correm risco

Além das questões que se aplicam aos escritórios de Advogados, existem riscos adicionais que podem surgir nas seguintes situações:

  • Tratamento de dados de auditoria e resultados financeiros das empresas clientes;
  • Tratamento de dados de auditoria, fiscalidade e dados relativos a payroll das empresas, dos seus parceiros ou dos seus negócios; dados esses que os clientes pretendem, por norma, manter confidenciais;
  • Projetos confidenciais relativos a fusões e aquisições, definição de estratégias, avaliações e imparidades das empresas – informações às quais o mercado e os concorrentes gostariam de ter acesso;

Os escritórios de advogados, escritórios de auditoria e fiscalidade e consultores são alvos lucrativos para os hackers, devido à natureza dos seus negócios. Sejam dados financeiros, de estratégia, fusões e aquisições, tributação direta ou indireta, conformidade legal e regulamentar, questões pessoais ou litígios, essas práticas profissionais lidam com um grande volume de dados sensíveis e confidenciais. A litigância e a arbitragem acontecem, cada vez mais, online. Perder ou expor esses dados pode atrair riscos financeiros, legais ou reputacionais, bem como problemas pessoais para o cliente.

 

O erro mais comum

A falta de consciência seguida da falta de reconhecimento são problemas fundamentais – é importante estar ciente de que o risco digital pode ocorrer de inúmeras maneiras. Por isso, é importante superar a falsa confiança de que “só acontece aos outros” – não se pode cometer o erro de se presumir que nós não somos atraentes para um hacker.

O próximo conjunto de erros gira em torno da suposição de que algumas rotinas e medidas de proteção básicas protegem as empresas na totalidade – passwords, firewalls, antivírus, anti-malwares – é óbvio que é melhor adotar algumas destas práticas do que nenhumas. Contudo, não protegem, por si só, de forma adequada. As regras, políticas e práticas subjacentes podem levar a que o benefício associado não seja tão significativo; a forma de utilização e transmissão dos dados pode abrir os sistemas da empresa aos hackers.

O outro erro é achar que a verificação feita uma vez ao sistema, continua válida ao longo dos tempos. Tal como os exames de saúde não dão garantias permanentes e devem ser repetidos ao longo dos anos, também uma verificação dos sistemas deve ser feita com essa regularidade, ou até mais frequentemente, para as empresas mais vulneráveis neste aspeto.

 

Consciencialização, aceitação, solidez e consistência devem fundamentar a abordagem das empresas à proteção de riscos digitais.

Perceber que até os sistemas mais sofisticados têm vulnerabilidades. A porta de entrada do problema pode ser algo fora do comum, tal como aconteceu com a empresa “Target”, que foi “hackeada” através de uma vulnerabilidade do seu fornecedor de gestão de utilitários.

 

Transformação digital

Aqueles que já deram início à sua jornada de transformação digital estão a colher os benefícios dos seus investimentos, necessitando, contudo, de assegurar a manutenção desta transformação. Aqueles que não deram ainda início a este processo precisam urgentemente de se atualizar, tendo em conta o ritmo implacável da transformação digital em todo o mundo.

 

O desafio  

Sem planos para lidar com os risos associados de cyber attack, a transformação digital fica incompleta. Adotar tecnologia nas operações da empresa não faz com que, por si só, os riscos de ocorrência de um cyber attack fiquem resolvidos – de facto, a adoção da tecnologia cria e aumenta o risco associado. A transformação digital engloba riscos de cibersegurança e a sua consequente resolução; contudo, a resolução destes riscos não acontece por si só, sendo necessário adotar, de forma consciente, medidas de segurança para que a transformação ocorra de forma holística.

À medida que as práticas profissionais percorrem o caminho da transformação digital, os riscos de cibersegurança associados também devem ser tratados. Estas medidas são geralmente relegadas para segundo plano devido a:

  • Falta de consciência por parte dos decisores;
  • Prazos de entrega de projetos distorcidos;
  • Falsa sensação de segurança devido à prática de ações superficiais, apenas por rotina;
  • Orçamento limitado alocado a este tema, com foco principal apenas nos produtos de IT, software e serviços.

Se a cibersegurança não fizer parte das discussões entre os líderes da empresa, qualquer programa de transformação digital pode aumentar exponencialmente o risco do negócio.

 

Porque é que a cibersegurança é relevante para todos?

Com base no Relatório Global de Riscos de 2019 e 2020 do Fórum Económico Mundial, os riscos de cibersegurança encontram-se entre os 10 principais riscos globais em termos de probabilidade e impacto. A riqueza está sempre sujeita aos riscos do crime e sendo os dados o novo ouro, estão sujeitos a roubo, uso indevido e eventuais pedidos de resgate – precisando, por isso, de ser protegidos contra esses riscos. Um equívoco comum é pensar que as empresas pequenas e desconhecidas nunca são um alvo deste tipo de ataques. Na realidade nem todos os cyber attacks têm um target definido – muitos deles ocorrem de forma similar à pesca comercial, uma vez que a pessoa é apanhada na rede, os hackers avançam para a fase seguinte de roubo, pedido de resgate ou eliminação dos dados.

 

Lidar com o risco

A cibersegurança deve ser abordada de forma estratégica, tendo em conta os interesses comerciais das empresas no longo prazo. Investimentos resultantes de ações mitigantes reativas a incidentes ou de forma ad-hoc revelam-se ineficazes e onerosos a longo prazo. Com isto em vista, a cibersegurança deve ser tratada como um desafio do negócio e ser parte integrante das reuniões e discussões dos líderes e Conselhos de Administração.

 

Abordagem

Diferentes organizações têm diferentes necessidades relativas aos seus negócios e estão, por esse motivo, em fases distintas de maturidade em matéria de cibersegurança.

Dada a importância da confidencialidade e integridade nas empresas do setor jurídico, de contabilidade e de consultoria, é importante analisar de que forma os dados e documentos dos clientes são recebidos, transmitidos, partilhados, armazenados, acedidos, arquivados e eliminados.

Direito ao acesso, alteração e transmissão de informação e dos dados são essenciais e precisam de controlo adequado. É fundamental mapear o arquivo dos documentos legais, financeiros ou corporativos mais importantes.

Fatores chave para implementar um programa de gestão de risco relativo à cibersegurança incluem as seguintes etapas:

  • Análise GAP e avaliação de vulnerabilidade;
  • Análise de riscos relevantes no contexto da prática profissional;
  • Adoção de medidas curativas e preventivas;
  • Framework e política de gestão do risco associado à cibersegurança;
  • Formação;
  • E, acima de tudo, criar a cultura certa em relação ao risco de cibersegurança.

O processo pode demonstrar que muitas das crenças existentes estavam erradas e que existia uma falsa sensação de segurança; contudo, no final, deve também ser um processo que proporcione conforto à empresa. Mais importante, é um processo que deve criar a disciplina necessária para implementar uma política e processos robustos.

 

Conclusão

O COVID-19 colocou o mundo inteiro numa situação sem precedentes e vai mudar a forma como os serviços serão prestados no futuro. Tecnologia, algum trabalho a partir de casa e acessos remotos são características essenciais à nova realidade.

Neste cenário torna-se imperativo considerar o risco de cibersegurança e a proteção dos dados como uma componente principal na condução de práticas profissionais e na prestação de serviços. Os profissionais farão bem em avaliar o risco de cibersegurança associado à nova abordagem ao trabalho e deverão considerar aplicar medidas que permitam reduzir o risco de cibersegurança para níveis aceitáveis.

 

Aviso Legal:

As opiniões expressas neste documento podem não se aplicar à sua entidade, negócio, ativo ou circunstância. Deve procurar aconselhamento profissional e adotado um julgamento independente em relação ao conteúdo do artigo e aos temas relacionados. Além disso, as opiniões expressas neste documento não são um indicador necessário de nossa abordagem para qualquer atribuição ou situação específica de avaliação. 

Texto traduzido e adaptado de artigo original da Crowe Índia.