Gestão Recursos Humanos Crimes digitais: o inimigo na mesa ao lado Quem está preparado para evitar os chamados crimes digitais, que já ocupam a segunda posição da lista de crimes econômicos mais identificados, atrás apenas do roubo de ativos? Sabia que muitos casos de fraudes na rede são descobertos por acaso, e que as redes sociais representam um perigo nem sempre fácil de identificar? Se sua resposta for sim, talvez fique surpreso em saber que quatro entre dez empresas se dizem incapazes de detectar ou enfrentar crimes cibernéticos ou eletrônicos. Outras nem sabem se são vítimas... [ Por Joana Gonçalves revista@supervarejo.com.br ] Disseminação de vírus, envio de spams, downloads ilegais de mídias, phishing e pharming, roubo de informações pessoais, invasão de privacidade... A lista de práticas criminosas cometidas com o uso do computador, internet e/ou dispositivos eletrônicos não para de crescer. Os crimes digitais já ocupam o segundo lugar no ranking de crimes econômicos no País. Buscando entender como se dão os ataques, os danos por eles causados e como as empresas estão preparadas para enfrentálos, a PwC Mundial saiu a campo para ouvir 3.877 profissionais em 72 países. O resultado é surpreendente: muitas organizações, aqui e lá fora, ainda não se deram conta dos riscos. Um dos principais vilões detectados pelo estudo é a internet. As corporações podem estar perdendo muito dinheiro e reputação pelo mau uso de sua rede de computadores. Algumas nem sabem disso. A 6ª Pesquisa Global sobre Crimes Econômicos 2011 registrou 115 respondentes no Brasil, de diversos segmentos da economia, sendo mais da metade executivos seniores. E acionou o alerta: cada vez mais dependentes de tecnologia, as corporações nunca estiveram tão despreparadas para lidar com os riscos que esses ataques oferecem como agora. A pesquisa aponta que faltam comprometimento e seriedade da alta administração, afinal mais da metade das empresas admitiu que seus CEOs e diretoria não adotam processos de verificação de ameaças de crimes digitais ou os adotam de modo não formal, apenas para fins específicos. No mundo, esse percentual é de. Os crimes econômicos, em geral, são um problema grave e em escala crescente, que afeta organizações em todo o mundo. Nenhum setor está imune. Um terço dos entrevistados do Brasil relatou ter regis 218 SuperVarejo julho 2012
julho 2012 SuperVarejo 219 shutterstock
Gestão Recursos Humanos trado ocorrência do problema em suas dependências nos últimos 12 meses, nove pontos percentuais a mais que na pesquisa anterior, em 2009. 32% foram crimes digitais. Dos 3.877 respondentes globais, 34% admitiram ter sido vítimas de crimes econômicos, contra 30% de antes. No ranking geral encabeçado pelo Quênia (com 66% nos últimos 12 meses), o Brasil está na média. E adivinhe só quem exibe o menor índice de ataques? Japão, com 6%. O que preocupa os pesquisadores é que a cada ano as companhias brasileiras parecem menos atentas à questão: 1 não souberam dizer se suas organizações sofreram alguma fraude nos últimos 12 meses, índice cinco pontos percentuais acima do resultado anterior. O maior desconhecimento do que anda ocorrendo nos computadores da empresa vem da parte dos executivos seniores, com mais da metade dos respondentes. Isso é coisa de TI Tamanho descaso pode ser devido ao fato de a cúpula achar que tecnologia/segurança digital é negócio para a área de TI resolver. Essa visão míope pode deixar a empresa ainda mais suscetível a ataques, como explica o gerente sênior da PwC Brasil, Fernando Cevallos, especialista em prevenção e detecção de fraudes. Em seu entender, faz toda a diferença o modo como a área de RH atua para que os funcionários entendam as políticas de segurança da companhia. O cuidado envolve também questões de conformidade legal e regulatórias, além das medidas de segurança físicas das instalações e equipamentos. Se não avaliarem a questão de segurança digital sob todos os ângulos, as organizações ficarão vulneráveis. A alta gestão precisa entender os riscos para poder lidar com eles de modo eficaz, reforça o executivo. No ranking dos crimes econômicos mais identificados, os crimes digitais ocupam, aqui, o segundo lugar, atrás apenas do roubo de ativos (68,4%): obteve 32% das menções, contrastando com o quarto lugar do resultado global (23%). Ainda segundo o gerente sênior da PwC Brasil, a maior exposição na mídia pode ter despertado a consciência dos executivos para esse tipo de fraude e provocado um aumento dos controles nas empresas. Isso, por sua vez, pode ter levado à detecção de um número maior de casos. Outro fator, segundo ele, é que quase todos os elementos de uma empresa hoje em dia têm uma dimensão cibernética, o que pode ter feito muitos respondentes reclassificarem alguns tipos de crimes mais tradicionais em que houve uso de computadores, dispositivos eletrônicos ou da internet para realizálos. Danos à marca Entre as brasileiras vítimas de crimes econômicos nos últimos 12 meses, a esmagadora maioria (84%) relata ter sofrido de uma a dez ocorrências no período, contra o percentual de 68% das empresas globais. Os prejuízos financeiros dessas fraudes apresentam níveis preocupantes: 8% das atingidas no Brasil e no mundo BRASIL 2011 2009 2007 2005 Roubos de ativos Crimes eletrônicos* Corrupção e suborno Vazamento de info. privilegiadas* Fraude contábil Lavagem de dinheiro 68% 87% 68% 32% 18% 16% 11% CUSTOS CRIMES ECONÔMICOS Menos de US$ 100 mil De US$ 100 mil a US$ 5 milhões De 5 milhões a US$ 100 milhões De US$ 100 milhões a US$ 1 bilhão Não sabe 7% 27% 13% 8% 9% 0% 59% 3 1 6% *NÃO SEGMENTADOS NAS EDIÇÕES ANTERIORES sofreram perdas superiores a US$ 5 milhões. No Brasil, admitiram prejuízos de US$ 100 milhões a US$ 1 bilhão. As consequências dos crimes econômicos, em geral, não se restringem aos custos financeiros diretos: a marca pode sair seriamente arranhada de um episódio de fraude, gerando perdas em seu valor de mercado, interromper as operações ou resultar em grandes problemas legais. Os pesquisadores perguntaram sobre o tipo de dano não financeiro sofrido, ou seja, que impacto o crime econômico teve na reputação/marca, no preço das ações, na BR 47% 39% 3% 48% 7% 1% 6% motivação dos funcionários, nas relações comerciais e nas relações com órgãos reguladores. Das brasileiras vítimas de fraudes, 24% apontaram impacto significativo na motivação dos funcionários (28% no mundo), 16% nas relações comerciais e 11% nas relações com órgãos reguladores. Na edição anterior, de 2009, a perda de motivação dos funcionários era identificada como principal impacto não financeiro dos crimes econômicos em geral, com 3 das respostas, e os danos à reputação apareciam em seguida, com 24%. Desta vez, 63% dos respondentes brasileiros se disseram mais temerosos com os danos à reputação ( no mundo). Já as perdas financeiras aparecem como terceira preocupação no Brasil (atrás da interrupção de serviços) e quinta no relatório global. Temerosas em relação à reputação, as companhias precisam mostrar que são seguras, para conquistar vantagem competitiva, aconselha o executivo da PwC Brasil. Fernando Cevallos destaca como uma das grandes falhas das empresas a falta de agilidade no combate a esse tipo de problema esperam acontecer para reagir. Uma proteção eficaz contra crimes econômicos exige a obtenção da maior 220 SuperVarejo julho 2012
BR AMÉRICA LATINA MERCADOS EMERGENTES PREOCUPAÇÃO QUANTO AOS EFEITOS NEGATIVOS DOS CRIMES DIGITAIS Danos à reputação Interrupção dos serviços Perda financeira Roubo de IP com dados Riscos regulatórios Roubo ou perda de informações pessoais Custo de investigação e controle de dados 63% 50% 48% 42% 32% 29% 17% 2 34% 20% 46% 42% 31% 34% 31% 3 22% 18% quantidade possível de informações sobre o perfil dos criminosos. É preciso adotar uma conduta mais ativa e transparente, recorrendo a meios legais contra os criminosos e divulgando suas ações em relação a ameaças e incidentes, orienta. De olho na rede social Considerando a ameaça crescente dos crimes digitais, é preocupante verificar que 37% das brasileiras não promoveram qualquer tipo de treinamento em segurança digital no período avaliado. No mundo, o cenário é ainda pior: 42%. Aliás, a maioria dos respondentes não tem, ou não sabe se tem um plano de resposta a crises cibernéticas em vigor, comenta o gerente. Os treinamentos presenciais, considerados mais eficazes por 70% dos brasileiros, são minoria, em virtude dos custos e do tempo que demanda dos funcionários. Orientação por email/cartazes/banners lidera no Brasil (42%) e no mundo (). O treinamento é importante especialmente para a geração jovem, que usa mais as redes sociais e compartilha informações de modo indiscriminado e sem noção dos riscos. Impressiona o fato de que a maioria ainda não atentou para os riscos das redes sociais à segurança. 64% no Brasil e 60% no mundo admitiram não estarem atentas a essas mídias ou cientes desse procedimento. Embora não figurem como origem de crimes digitais, mídias sociais como Facebook, Twitter e LinkedIn podem ser usados para coletar informações sobre um indivíduochave na organização ou até para instalar arquivos malintencionados no computador dele, de modo a facilitar a prática do crime. Dos que declaram adotar medidas para monitorar as mídias sociais, 80% disseram que monitoram o tráfego eletrônico interno e externo, inclusive de páginas da web (em comparação a 8 no mundo); 73% afirmaram que os contratos dos funcionários mencionam o uso adequado de informações e documentações internas (62% no mundo); 71% revelaram que realizam programas de treinamento interno para os funcionários sobre o uso apropriado da internet (37% no mundo). MONITORAMENTO DE MÍDIAS SOCIAIS BRASIL AMÉRICA LATINA MERCADOS EMERGENTES Sim Não Não sabem 44% 3 20% julho 2012 SuperVarejo 221
Gestão Recursos Humanos Proteção em cinco passos Conheça bem com quem você se relaciona funcionários, fornecedores, parceiros, intermediários. Envolva as equipes de TI, auditoria interna e cúpula no combate aos crimes econômicos. Atribua a liderança do combate aos crimes digitais ao CEO da empresa, que deve conhecer bem o problema e ser capaz de infundir na cultura corporativa a consciência sobre os riscos digitais. Reavalie com regularidade a segurança e pontos de vulnerabilidade a qualquer tipo de fraude. Os crimes digitais evoluem rapidamente; adote procedimentos de proteção flexíveis, rápidos e de fácil adaptação. compensas, e usa essas informações em benefício próprio. Pode, ainda, apropriar se de informações do departamento de contas a pagar, configura um fornecedor fictício e passa a receber dinheiro da empresa. Em outros casos, o funcionário compartilha informações confidenciais com seus amigos ou contatos em redes sociais, tornandoas públicas; ou, ainda, acessa a conta de email de um colega e envia mensagens de assédio a outros funcionários (cyberbullying). O especialista da PwC Brasil explica que talvez haja dúvidas sobre a classificação dos exemplos acima como crimes estritamente digitais ou como formas de crimes econômicos, em que o computador e a internet são apenas meios para se atingir um fim. No entanto, o que nossa pesquisa mostra é que discutir se eles se encaixam em uma definição de crime digital realmente é o que menos importa. Esses exemplos demonstram claramente que a ameaça não vem apenas do departamento de TI, mas de todos os departamentos da organização. Cevallos diz isso porque chamou sua atenção a percepção dos entrevistados quanto à origem das ameaças digitais: 44% creem que as fraudes têm origem tanto externa como interna, 24% acham que têm origem interna e, para outros 24%, a ameaça é apenas externa. Dos que acreditam que as ameaças são exclusivamente internas, 53% apontam justamente o departamento de TI como de alto risco, fernando cevallos,, da pwc: ameaça de crime digital não vem apenas do departamento de TI Quem é e onde está o delinquente Mais de 70% dos respondentes citaram que o caso mais sério de fraude foi cometido por alguém de dentro da empresa (no mundo, 56%). A pesquisa, então, traçou o perfil do típico praticante de crimes econômicos no Brasil: funcionário sem nível gerencial (67%) ou da gerência média (30%); apenas 4% integram a gerência executiva. Tem menos de 40 anos (74%); e está empregado há menos de cinco anos (44%). Esse perfil difere um pouco do observado na pesquisa global, já que dos fraudadores internos em todo o mundo fazem parte da média gerência, 39% não têm cargo de gerência e 18% estão na alta administração. O perfil do fraudador interno se assemelha ao global no que se refere à idade, gênero e escolaridade predominantes: homens na faixa entre 31 e 40 anos, com nível superior completo. Já em relação ao tempo de serviço, há ligeira predominância no Brasil de funcionários com mais tempo de casa: um terço tem de 6 a 10 anos de empresa; no mundo, há mais fraudadores na faixa entre 1 e 5 anos. Geralmente descontente com a empresa, o funcionário se apodera de informações confidenciais a que não deveria ter acesso, como salários, bônus e outras reseguido de operações (52%), departamento financeiro () e vendas e marketing (33%). Além de maior domínio da tecnologia, os profissionais de TI geralmente têm acesso sem restrições à rede de dados da empresa, o que pode levar alguns funcionários malintencionados a acessar sistemas e apagar registros que poderiam ser identificados em auditoria. Entretanto, fica claro que nada na pesquisa leva a crer que esta seja a área onde mais ocorrem os crimes digitais. Descobertas por acaso A pesquisa também revelou outro dado curioso: no Brasil, o principal método de detecção de fraudes é o acaso, o que demonstra falta de conhecimento e controle das empresas sobre o problema. E há clara tendência de piora: em 2007, nenhum caso foi descoberto por acidente; dois anos depois, 13% das detecções foram acidentais. Este ano, o índice subiu para 18%. No mundo, o acaso é o sexto método da lista, com apenas 8%. Por aqui, o segundo método de detecção mais eficaz são as notificações de transações suspeitas (16%), seguidas por auditoria interna rotineira, denúncias internas e pelo sistema de denúncias formal (todas com 13%). Em 2009, a auditoria interna e a denúncia interna informal eram os métodos de detecção mais eficazes. Fontes desta matéria PwC Brasil: (11) 36742000 divulgação 222 SuperVarejo julho 2012