Você pode não se recordar do nome Edward Snowden, mas com certeza viu nos noticiários o que ele fez, e tem tudo a ver com segurança da informação contábil. Edward foi responsável por vazar documentos sobre programas de vigilância dos EUA. Alguns desses documentos mostraram que milhões de emails e ligações de brasileiros foram monitorados. Inclusive a ex-presidente Dilma Roussef foi alvo das espionagens.

Quando falamos em segurança da informação em geral associamos aos riscos de invasão de sistemas por hackers. Apesar de incluir essa situação, a segurança da informação contábil é bem mais abrangente e refere-se a toda a organização.

Em primeiro lugar precisamos ter em mente que quando falamos em informação estamos nos referindo a um conjunto de dados dentro de um contexto, pois só assim tem um significado. Em geral essas informações são o bem mais valioso da empresa. São desde informações financeiras, segredos comerciais, arquivos confidenciais, dentre outros.

Por isso, precisamos dedicar esforços para proteger esses dados. Pequenas atitudes podem evitar sérios problemas:

• Bloquear o computador ao sair do escritório (dica: clicar simultaneamente nas teclas windows e L);
• Não deixar senhas salvas no navegador de internet;
• Não esquecer documentos confidenciais sobre a mesa;
• Ter atenção ao que diz em conversas de corredor;

Como você pode perceber não se trata apenas da informática.

Problemas enfrentados

Para termos uma ideia da gravidade quando falamos em segurança da informação contábil, e que pequenas ações fazem muita diferença, vamos falar sobre o caso do Pacific Bank.

Em 1978 os bancos usavam “códigos de transferência”  para enviar dinheiro para dentro ou fora do banco. Com esse código em mãos, através de uma simples ligação você podia solicitar uma transferência de fundos sem ir ao banco.

Na sala de transferência só eram permitidas pessoas autorizadas, contudo, um reparador de computador chamado Stanley Mark Rifkin estava na sala de transferência da Security Pacific National Bank arrumando um hardware quando percebeu que o código foi escrito em um pedaço de papel e colocado na parede.

Rifkin memorizou o código, foi até o saguão do banco e usou um telefone público para ligar para a sala de transferência onde estava. Ele se identificou como sendo do Departamento Internacional e solicitou mais de 10 milhões de dólares a serem transferidos para uma conta em outro banco. Na época, esse foi o maior assalto a banco na história americana.

O que podemos concluir? Sabe aquele post-it colado em seu monitor com seus logins e senhas de acesso? Já está na hora de memorizar essas informações e se desfazer desses papéis.

Numa visão geral, de acordo com a 10ª Pesquisa Nacional de Segurança da Informação, realizada pela empresa Módulo, dos problemas enfrentados por empresas dos diversos setores do mercado que geraram perdas financeiras, o fator apontado como causa foi:

• 31% por vírus, spam e lixo informático;
  
• 12% por vazamento de informações, divulgação e roubo de senha;
• 8% por fraudes;
• 8% por roubo de notebooks;
• 7% por falhas na segurança física;
• 6% por erros e acidentes;

Identificando os principais problemas enfrentados pelas empresas no que diz respeito a segurança da informação, podemos propor melhorias para mitigar essas ocorrências.

Para isso, seu escritório pode começar por implementar uma política de segurança. Vejamos como:

ISO e a segurança da informação contábil

A sigla ISO refere-se à Organização Internacional para Padronização. Seu objetivo principal é aprovar normas internacionais em todos os campos técnicos, desde segurança de computadores até agricultura e saúde. No Brasil a ISO é representada pela ABNT.

As normas mais populares são a ISO 9000 que trata da Gestão da Qualidade, e a ISO 14000 que trata da Gestão Ambiental. Você já deve ter ouvido falar em uma delas.

Existe também a ISO 27000, que é o padrão para Gestão da Segurança da Informação. As diversas normas desta série (ISO 27001, ISO 27002, etc) tem funções específicas, mas todas tem como grande objetivo a criação, manutenção, melhoria, revisão, funcionalidade e análise de um Sistema de Gestão de Segurança da Informação (SGSI).

A ISO 27002 estabelece diretrizes e princípios gerais para implementar uma política de segurança, ou seja, essa política trará os processos de como funciona a sistemática da empresa, cuidados e detalhes de funcionamento para que sejam passados aos colaboradores da empresa. Por meio da ISO 27002 é que daremos início a implementação de uma política de segurança.

Contudo, por ser uma norma extensa e abrangente a qualquer organização, um estudo feito na região da Grande Florianópolis aponta alguns itens desta ISO como itens mínimos indicados a escritórios contábeis. Você poderá conferi-los ao final do texto.

Eles foram selecionados com base nos principais problemas e barreiras enfrentados para implementar uma política de segurança pelas empresas em geral, inclusive as contabilidades. Esses dados também foram levantados pela empresa Módulo.

• 55% deve-se a falta de conscientização dos executivos e usuários, que como um time nem sempre estão alinhados da importância da segurança da informação e tratam como uma ação que pode ser adiada;
• 28% pela falta de orçamento;
• 8% devido a funcionários sem treinamento. Além de não conhecer os procedimentos também não compreendem a necessidade de cumpri-los;

Itens como a mudança na rotina operacional e a falta de soluções específicas para cada necessidade também aparecem com percentuais menores.

Portanto, seguindo ao mínimo essas diretrizes, a contabilidade terá um nível de segurança da informação mais confiável e evitará alguns obstáculos. Como já havíamos dito você vai observar que grande parte destes itens não se refere à informática.

Pilares da segurança da informação

Também precisamos destacar algumas características essenciais, conhecidas como os cinco pilares da segurança da informação:

• Confidencialidade – É a garantia que somente pessoas autorizadas terão acesso à informação;
• Integridade – É a garantia de que a informação mantém características originais;
• Disponibilidade – É a garantia de que a informação estará pronta para o uso por pessoas autorizadas quando for necessário;
• Autenticidade – É a garantia de que a informação vem da fonte informada, ou seja, o autor da informação é realmente quem diz ser;
• Irretratabilidade ou não repúdio – É a garantia de que a pessoa não negue ter criado ou assinado a informação;

Para segurança da informação contábil, precisamos nos atentar a estes cinco pilares. Se pensarmos que atualmente grande parte das informações está armazenada em nuvem e tem sua origem em forma eletrônica, devemos ter cuidado ao escolher um sistema a ser utilizado nas contabilidades.

Você pode saber mais no nosso outro artigo: Benefícios do armazenamento em nuvem para escritórios contábeis

Itens mínimos da ISO 27002 para as contabilidades

Item 5.1 – Política de segurança da informação:

• Formalizar orientações sobre segurança da informação;

Item 8.2 – Segurança em recursos humanos:

• Durante a contratação certificar que os colaboradores estão cientes dos riscos ligados à informação;

Item 8.3 – Segurança em recursos humanos:

• No encerramento ou mudança de contratação definir responsabilidades claras, formalizando a devolução de ativos (informações) da organização e retirar os direitos de acesso às informações e recursos;

Item 9.1 – Segurança física e do ambiente:

• Impedir o acesso físico de não autorizados, aplicando controle de entrada ao local;

Item 9.2 – Segurança de equipamentos:

• Assegurar funcionamento dos equipamentos como computadores, energia elétrica e cabeamento de rede. Aplicar frequentemente manutenção assegurando a disponibilidade e integridade;

Item 10.3 – Gerenciamento das operações e comunicações:

• Analisar se o sistema terá capacidade para suprir necessidades futuras que virão com o crescimento da organização e certificar que o sistema possui atualizações frequentes e devidamente testadas;

Item 10.5 – Cópias de segurança:

• Criar cópias de segurança das informações com o objetivo de manter a integridade e disponibilidade;

Item 10.6 – Gerenciamento da segurança em redes:

• Coordenar e controlar as redes com o propósito de garantir o funcionamento da infraestrutura;

Item 10.10 – Monitoramento do uso do sistema:

• Submeter o uso das informações a controles de monitoramento para que possam ser analisadas futuramente;

Item 11 – Controle de acessos:

• Indicar os controles ligados ao sistema de informação, como registro de usuários, privilégios e controle de senhas.

E então? Você já tinha ouvido falar na ISO 27000? Conhecia o caso Pacific Bank? Conta pra gente aqui nos comentários!