Gerenciando riscos cibernéticos: O papel da Auditoria Interna
junho 28, 2023
Doron Rozenblum, sócio-gerente da Kreston-Ezra Yehuda-Rozenblum, foi recentemente apresentado no Accounting Today, compartilhando insights sobre por que a auditoria interna é a chave para o gerenciamento de riscos cibernéticos. Os incidentes cibernéticos, como interrupções de TI, violações de dados e ataques de ransomware, são o maior risco global. As violações de dados são particularmente preocupantes para as empresas, com os custos atingindo um recorde de US$ 4,4 milhões em 2022 e projetados para ultrapassar US$ 5 milhões em 2023. Outros riscos significativos incluem ataques de ransomware e falhas nas cadeias de suprimentos digitais ou nos serviços de nuvem. Os vetores relacionados à cibernética, incluindo ataques criminosos, erros humanos e falhas técnicas, podem causar graves interrupções nos negócios. Os hackers agora têm como alvo as cadeias de suprimentos digitais e físicas, representando uma ameaça maior para as pequenas e médias empresas, enquanto as grandes corporações investem mais em segurança cibernética.
O cenário em evolução dos riscos cibernéticos: Ameaças e tendências
No cenário digital, todas as empresas, independentemente do tamanho, estão vulneráveis a violações que podem prejudicar as operações, a reputação, a marca e os pipelines de receita. O cenário de risco cibernético em 2023 é diversificado e está em constante evolução, com previsão de que os custos do crime cibernético atinjam US$ 8 trilhões até 2023 e US$ 10,5 trilhões até 2025.
Os ataques de ransomware, principalmente por meio de phishing, representam a maior ameaça nos setores público e privado. Esses ataques não estão apenas aumentando em número, mas também em custos financeiros e de reputação. O phishing envolve hackers que enganam indivíduos para que compartilhem dados valiosos ou espalhem malware por meio de e-mails enganosos, muitas vezes se passando por indivíduos de alto escalão ou instituições confiáveis. O Business Email Compromise (BEC) é outro problema sério, geralmente associado ao phishing. Os invasores usam ferramentas de colaboração além do e-mail, como aplicativos de bate-papo e de mensagens móveis, para realizar seus esquemas. Os hackers frequentemente abusam da marca Microsoft em ataques de phishing, e os ataques de personificação da marca são preocupantes devido aos maus hábitos de segurança e à falta de conhecimento do usuário.
A fraude, especialmente o roubo de identidade, está se tornando uma tendência digital à medida que mais pessoas se envolvem em operações bancárias e compras on-line. Em 2022, os consumidores relataram ter perdido quase US$ 9 bilhões em fraudes, um aumento de 30% em relação ao ano anterior, com um número significativo de denúncias de roubo de identidade.
Fortalecimento do gerenciamento de riscos cibernéticos: Estratégias para a auditoria interna
As empresas enfrentam uma maior vulnerabilidade aos riscos cibernéticos devido ao seu tamanho, complexidade e interconexão. O uso de serviços em nuvem e da Internet das Coisas (IoT) cria novos vetores de ataque que são difíceis de proteger. Estratégias robustas de gerenciamento de riscos cibernéticos envolvendo todas as partes interessadas são cruciais para lidar com esses riscos.
Embora a inteligência artificial (IA) tenha potencial, ela também pode ser um vetor de ameaças. Os sistemas e plataformas de IA devem ser implementados com cautela devido ao potencial de suposições e conclusões imprecisas extraídas de fontes não confiáveis.
A auditoria interna evoluiu como uma defesa essencial contra os riscos cibernéticos. Ela vai além das áreas financeiras e inclui a segurança cibernética. Para auditar com eficácia os riscos cibernéticos, uma auditoria interna exige a compreensão das ameaças mais recentes, o conhecimento do ambiente de TI e da estrutura de segurança cibernética da organização, experiência em gerenciamento de riscos e análise de dados e colaboração com as funções de TI, gerenciamento de riscos e conformidade.
Uma abordagem baseada em riscos é necessária para uma auditoria interna sólida do risco cibernético. Os ativos e sistemas críticos devem ser identificados e protegidos, os controles existentes devem ser avaliados e as áreas de melhoria devem ser identificadas. O gerenciamento de riscos cibernéticos deve ser integrado à estratégia geral de gerenciamento de riscos da organização, e atualizações regulares sobre o perfil de riscos cibernéticos e ameaças emergentes devem ser fornecidas à diretoria e à gerência sênior. O gerenciamento da cadeia de suprimentos é outra área crítica que exige a avaliação das práticas de segurança cibernética dos vendedores e fornecedores.
Em conclusão, os riscos cibernéticos representam uma ameaça crescente para as organizações, e a auditoria interna desempenha um papel vital no gerenciamento desses riscos. A avaliação do cenário de riscos, a revisão dos controles internos e a utilização de ferramentas de análise de dados são fundamentais para um gerenciamento eficaz. Ao adotar uma abordagem colaborativa e baseada em riscos, a auditoria interna pode ajudar as organizações a navegar pelo cenário complexo e em evolução do risco cibernético.
Para obter mais informações, clique aqui.
