Gerir os riscos cibernéticos: O papel da Auditoria Interna
Junho 28, 2023
Doron Rozenblum, Sócio-Gerente da Kreston-Ezra Yehuda-Rozenblum, foi recentemente apresentado no Accounting Today, partilhando ideias sobre o motivo pelo qual a auditoria interna é a chave para a gestão do risco cibernético. Os incidentes cibernéticos, como interrupções de TI, violações de dados e ataques de ransomware, são o maior risco global. As violações de dados são particularmente preocupantes para as empresas, com os custos a atingirem um valor recorde de 4,4 milhões de dólares em 2022 e com projecções que ultrapassam os 5 milhões de dólares em 2023. Outros riscos significativos incluem ataques de ransomware e falhas nas cadeias de abastecimento digitais ou nos serviços de computação em nuvem. Os vectores relacionados com a cibernética, incluindo ataques criminosos, erros humanos e falhas técnicas, podem causar graves perturbações nas empresas. Atualmente, os piratas informáticos visam tanto as cadeias de abastecimento digitais como físicas, representando uma maior ameaça para as pequenas e médias empresas, enquanto as grandes empresas investem mais em cibersegurança.
O panorama em evolução dos riscos cibernéticos: Ameaças e tendências
No panorama digital, todas as empresas, independentemente da sua dimensão, são vulneráveis a violações que podem pôr em risco as operações, a reputação, a marca e as receitas. O panorama do risco cibernético em 2023 é diversificado e está em constante evolução, prevendo-se que os custos da cibercriminalidade atinjam 8 biliões de dólares em 2023 e 10,5 biliões de dólares em 2025.
Os ataques de ransomware, sobretudo através de phishing, representam a maior ameaça tanto no sector público como no privado. Estes ataques estão a aumentar não só em número, mas também em custos financeiros e de reputação. O phishing implica que os hackers enganem os indivíduos para que partilhem dados valiosos ou espalhem malware através de mensagens de correio eletrónico enganosas, muitas vezes fazendo-se passar por indivíduos com cargos superiores ou instituições de confiança. O Business Email Compromise (BEC) é outro problema grave, frequentemente associado ao phishing. Os atacantes utilizam ferramentas de colaboração para além do correio eletrónico, como as aplicações de conversação e de mensagens móveis, para levar a cabo os seus esquemas. Os piratas informáticos abusam frequentemente da marca Microsoft em ataques de phishing, e os ataques de falsificação de identidade da marca são preocupantes devido a maus hábitos de segurança e à falta de conhecimento dos utilizadores.
A fraude, especialmente a usurpação de identidade, é uma tendência digital à medida que cada vez mais pessoas efectuam operações bancárias e compras em linha. Em 2022, os consumidores declararam ter perdido quase 9 mil milhões de dólares devido a fraudes, um aumento de 30% em relação ao ano anterior, com um número significativo de denúncias de roubo de identidade.
Reforçar a gestão do risco cibernético: Estratégias para a auditoria interna
As empresas enfrentam uma maior vulnerabilidade aos riscos cibernéticos devido à sua dimensão, complexidade e interligação. A utilização de serviços em nuvem e da Internet das Coisas (IoT) cria novos vectores de ataque que são difíceis de proteger. Para fazer face a estes riscos, é fundamental adotar estratégias sólidas de gestão dos riscos cibernéticos que envolvam todas as partes interessadas.
Embora a inteligência artificial (IA) tenha potencial, também pode ser um vetor de ameaça. Os sistemas e plataformas de IA devem ser implementados com precaução devido à possibilidade de se verificarem pressupostos incorrectos e conclusões retiradas de fontes não fiáveis.
A auditoria interna evoluiu como uma defesa fundamental contra os riscos cibernéticos. A segurança cibernética não se limita aos domínios financeiros. Para auditar eficazmente os riscos cibernéticos, uma auditoria interna requer a compreensão das ameaças mais recentes, o conhecimento do ambiente informático e do quadro de cibersegurança da organização, conhecimentos especializados em gestão do risco e análise de dados e colaboração com as funções de TI, gestão do risco e conformidade.
É necessária uma abordagem baseada no risco para uma auditoria interna sólida do risco cibernético. Os activos e sistemas críticos devem ser identificados e protegidos, os controlos existentes devem ser avaliados e devem ser identificadas as áreas a melhorar. A gestão dos ciber-riscos deve ser integrada na estratégia global de gestão de riscos da organização e devem ser fornecidas ao conselho de administração e aos quadros superiores actualizações regulares sobre o perfil dos ciber-riscos e as ameaças emergentes. A gestão da cadeia de abastecimento é outra área crítica que exige a avaliação das práticas de cibersegurança dos vendedores e fornecedores.
Em conclusão, os riscos cibernéticos representam uma ameaça crescente para as organizações e a auditoria interna desempenha um papel vital na gestão desses riscos. A avaliação do panorama de risco, a revisão dos controlos internos e a utilização de ferramentas de análise de dados são cruciais para uma gestão eficaz. Ao adotar uma abordagem colaborativa e baseada no risco, a auditoria interna pode ajudar as organizações a navegar no cenário complexo e em evolução do ciber-risco.
Para mais informações, clique aqui.
