Auditoria independente e a segurança cibernética

A polêmica relativa à alegada invasão de mensagens de magistrados e promotores da Lava Jato no Telegram, app até então apontado como inviolável por seus criadores, expõe novamente os riscos inerentes à segurança cibernética e os cuidados a serem adotados para se evitarem graves danos às empresas, ao mercado financeiro e à economia. Portanto, é inevitável encarar de frente o problema, que se apresenta como preocupação crescente de organizações das distintas áreas, em todo o mundo.

O tema merece atenção especial dos administradores de todas as empresas, que, independentemente de seu ramo de atividade, devido ao alto nível de dependência tecnológica hoje existente, estão cada vez mais vulneráveis a ataques cibernéticos. Nessa linha, os profissionais da auditoria independente precisam estar cada vez mais preparados para auditar adequadamente, na avaliação dos riscos, as possibilidades de invasão dos sistemas de informática de seus clientes.

A ação criminosa dos hackers pode ser muito nociva, em função do grau de informações que possam ser suprimidas e/ou alteradas e do nível de danos causados no sistema de informática da organização atacada. Há numerosos casos relatados em todo o mundo, há tempos, de saques e invasões de contas de correntistas de bancos, infiltração nos computadores de indústrias e até mesmo de organismos estatais, alguns altamente estratégicos e tidos como de alta segurança cibernética. É preocupante a sensação que às vezes se passa de que não há sistemas invioláveis.

Em 2018, por exemplo, segundo levantamento realizado pelo Gabinete de Segurança Institucional (GSI) da Presidência da República do Brasil, foram detectadas 20,5 mil notificações de incidentes computacionais em órgãos do governo, dos quais 9,9 mil foram confirmados. Isso significa média de mais de um por hora. Desde 2014, o número de ataques não fica abaixo de nove mil.

Em abril de 2018, utilizando um pequeno computador do tamanho de um cartão de crédito, que custa 30 dólares, um hacker invadiu os sistemas do Laboratório de Propulsão a Jato da Nasa e acessou informações sigilosas da poderosa agência espacial dos Estados Unidos. O problema foi relatado em junho de 2019. O mais grave é que as investigações revelaram que o criminoso permaneceu - pasmem! - dez meses atuando sem ser detectado e furtou 500 megabytes de dados (fonte: relatório divulgado pelo próprio laboratório, noticiado pela mídia em vários países).

Lamentavelmente, as ameaças cibernéticas continuam afetando organizações em todo o mundo. São muito graves os dados do Relatório Global 2017/2018 da Kroll, líder mundial em gestão de riscos e investigações corporativas, baseado em informações fornecidas por 540 executivos de todos os continentes, constatando que: 86% dos participantes afirmam ter enfrentado uma situação dessa natureza, contra 85% em 2016. No Brasil, 89% dos entrevistados afirmaram já ter sofrido ocorrências. Em nosso País, o crescimento do problema foi muito acentuado, pois, em 2016, atingia apenas 68% dos respondentes.

Nesse contexto de risco atual, os auditores independentes têm de se capacitar cada vez mais para fazer frente aos desafios presentes em seus serviços no tocante à segurança dos sistemas de tecnologia da informação das organizações auditadas.

Não é sem razão que as firmas associadas ao Ibracon - Instituto dos Auditores Independentes do Brasil investem, em média, 8% do faturamento em tecnologia, conforme revelou pesquisa da entidade. A categoria precisa estar cada vez mais preparada para atuar apropriadamente no campo minado dos riscos cibernéticos.