Ricardo Gameroff

Sócio, Kreston BA Argentina, Argentina

Ricardo é um especialista em fraude, auditoria e risco com mais de duas décadas na Ernst & Young (EY), onde atuou como sócio de auditoria e perícia no Canadá, Chile e Argentina. Ele liderou grandes clientes nos setores de serviços públicos, varejo, manufatura e mineração, incluindo Coca-Cola, McDonald’s, Siemens, Fluor Daniels e outros. Ricardo é Contador Público Certificado (CPA) nos Estados Unidos, no Chile e na Argentina, Examinador de Fraudes Certificado (CFE) e possui uma designação de MBA. Ele também é professor universitário na Universidad de los Andes e autor de publicações sobre fraude ocupacional.

Auditoria interna na era das ameaças cibernéticas

junho 10, 2024

Ricardo Gameroff, sócio-gerente da Kreston BA Argentina e diretor de desenvolvimento de negócios de auditoria global da Kreston Global, enfatiza o papel crucial da auditoria interna no combate às ameaças cibernéticas. Seu artigo na revista Audit & Risk, publicação do Chartered IIA, discute como as práticas de auditoria interna em evolução aumentam a resiliência contra ameaças como ransomware, phishing, ataques de BEC e falsificação de identidade de marca por meio de uma avaliação meticulosa de riscos e monitoramento proativo. Clique aqui para acessar a publicação completa ou leia o resumo abaixo.

Auditoria interna como uma ferramenta defensiva

As auditorias internas sempre desempenharam um papel fundamental na redução dos riscos cibernéticos e na proteção dos ativos organizacionais. Além disso, os recentes avanços nos processos de auditoria expandiram seus recursos para além dos métodos tradicionais. Agora, as equipes de auditoria interna podem aproveitar tecnologias inovadoras para se adaptar rapidamente às ameaças cibernéticas em evolução.

Principais recomendações para as equipes de auditoria interna:

Monitoramento contínuo: Use ferramentas automatizadas e análises para monitorar a atividade da rede, detectar anomalias e identificar possíveis violações de segurança em tempo real.

Aprimore as habilidades de segurança cibernética: Invista em treinamento contínuo e desenvolvimento profissional para acompanhar as ameaças emergentes e as práticas recomendadas.

Integrar a análise de dados: Use a análise de dados para melhorar a avaliação de riscos e detectar atividades suspeitas, analisando grandes conjuntos de dados em busca de padrões e anomalias.

Colaborar com as equipes de TI e de segurança: Trabalhe em estreita colaboração com os departamentos de TI e segurança para entender a infraestrutura e as vulnerabilidades de TI da organização, adaptando os procedimentos de auditoria ao perfil de risco.

Inteligência artificial ética

Uma sólida compreensão da ética e uma cultura corporativa robusta são fundamentais para proteger as organizações contra ameaças cibernéticas. Além disso, as auditorias internas podem ajudar a gerência a monitorar e apoiar a cultura organizacional. Consequentemente, isso garante que todos os funcionários entendam os comportamentos esperados em relação à segurança cibernética e à ética. Isso promove uma boa tomada de decisões e fortalece a governança e os controles.

Com o aumento da IA na tomada de decisões e na automação, é essencial garantir transparência, responsabilidade e sistemas livres de preconceitos. Além disso, os auditores internos podem ajudar na implementação de práticas éticas de IA, auditando os algoritmos de IA e garantindo a conformidade regulatória. O envolvimento precoce em iniciativas de IA permite que os auditores aconselhem sobre os riscos e sugiram soluções.

Preparação cibernética dos componentes

A preparação é fundamental no combate às ameaças cibernéticas. Estabelecer a preparação cibernética da empresa envolve governança, estratégia, resposta a incidentes e treinamento de funcionários.

Governança e estratégia: A auditoria interna deve apoiar e aconselhar sobre o gerenciamento eficaz da segurança cibernética, ajudando a estabelecer políticas, procedimentos e estruturas de responsabilidade claros. É fundamental definir funções, responsabilidades e objetivos estratégicos alinhados às metas comerciais.

Avaliação de riscos: Avaliações regulares de risco ajudam a identificar e priorizar os riscos cibernéticos, permitindo a alocação eficiente de recursos e estratégias de mitigação direcionadas.

Resposta a incidentes: As organizações precisam de um plano formal de resposta a incidentes com equipes designadas e exercícios de treinamento regulares. Medidas proativas, como monitoramento de inteligência contra ameaças e sistemas de detecção de incidentes, são essenciais para respostas rápidas e eficazes.

Treinamento de funcionários: Educar os funcionários sobre ameaças cibernéticas e práticas recomendadas é vital, pois o erro humano continua sendo uma causa comum de incidentes. O treinamento regular sobre phishing, segurança de senhas, uso seguro da Internet e campanhas de conscientização sobre segurança promove uma cultura de vigilância.

Auditoria interna para prevenção de incidentes

É difícil encontrar exemplos de auditorias internas que evitem incidentes de segurança cibernética, pois os “quase acidentes” não são divulgados. No entanto, os ataques cibernéticos bem-sucedidos geralmente destacam como as práticas de auditoria eficazes podem atenuar ou evitar violações.

No setor automotivo, a violação de dados da Tesla em 2023 afetou mais de 75.000 pessoas devido a um “trabalho interno” de dois ex-funcionários. Esse incidente ressalta a importância de um treinamento abrangente dos funcionários, controles de acesso rigorosos, auditorias regulares e políticas de denúncia para detectar acesso não autorizado e comportamento de risco.

No setor de serviços financeiros, a violação de dados da Equifax em março de 2017, que afetou quase 150 milhões de pessoas, foi resultado de invasores que exploraram vulnerabilidades do sistema de TI. Além disso, embora seja complexo evitar ataques externos, as equipes de auditoria interna que se concentram em medidas robustas de segurança cibernética, práticas de gerenciamento de dados e controles internos podem ajudar a detectar violações rapidamente e garantir a rápida mitigação e notificação dos danos.

A Mailchimp, fornecedora de serviços de marketing por e-mail, enfrentou várias violações de dados devido a ataques de engenharia social contra seus funcionários, resultando no comprometimento de contas de usuários e na exposição de dados de clientes. As auditorias internas devem garantir que os funcionários recebam treinamento adequado em segurança cibernética e avaliar a implementação da autenticação de dois fatores e práticas de gerenciamento de identidade. Além disso, as políticas e os sistemas devem estar em vigor para detectar e atenuar as vulnerabilidades de forma rápida e resolver prontamente as violações.

À medida que a tecnologia evolui rapidamente, o mesmo acontece com os riscos associados. A auditoria interna deve adaptar suas práticas e utilizar os avanços tecnológicos, como IA, análise de dados e aprendizado de máquina, para identificar proativamente possíveis vulnerabilidades e prever ameaças emergentes. As equipes de auditoria interna capazes de prever riscos futuros podem fornecer orientações valiosas à gerência, posicionando a organização de forma ideal para responder aos inevitáveis ataques cibernéticos. Para obter mais informações sobre a implementação de protocolos de segurança cibernética em sua empresa, clique aqui.

A crise da dívida argentina de 2025 se aproxima: O orçamento de déficit zero de Milei pode evitá-la?

A Argentina enfrenta um desafio significativo de dívida em 2025, com mais de US$ 14 bilhões em vencimentos e reservas negativas. Explore como a estratégia fiscal do governo, o apoio internacional e as políticas pró-investimento visam evitar a inadimplência e garantir a estabilidade econômica.

Investir na Argentina: a próxima corrida do ouro para investidores estrangeiros?

Investir na Argentina pode estar mais próximo do que você imagina. No entanto, o investimento estrangeiro direto aumentou 122,5% em 2022. Explore o motivo com Ricardo Gameroff.

Conhecimento