quinta-feira, 22 de novembro de 2012

MINIMIZE A FRAUDE COM A SEGURANÇA DA INFORMAÇÃO

A fraude é um câncer organizacional. Se os gestores não decidirem combate-la, ela pode acabar com a organização. Todas as organizações sofrem algum tipo de fraude, independente do seu porte ou do tipo de negócio.

Existem disponíveis várias estatísticas e estudos, mas em média estima-se que entre 2% e 5% é quanto as organizações e as nações sofrem por causa da fraude. E fraude é prejuízo na certa, abate diretamente do faturamento da organização.

Para que uma fraude aconteça são necessários dois elementos básicos: informação e a ação do criminoso.

Sem informação o criminoso não consegue agir. Nesta perspectiva é que a segurança da informação minimiza as fraudes. Um processo de segurança da informação profissional e realizado com seriedade mantém o acesso a informação estritamente permitido apenas para aqueles usuários que precisam da informação e são autorizados para este acesso. Grande parte das fraudes acontece porque o criminoso tem acesso a informações que não deveria ter acesso.

Outro forte controle de segurança da informação é a segregação de funções. Em um processo qualquer um mesmo usuário não deve fazer uma atividade e controlar esta atividade. Continuando, a segurança da informação exige a existência e o monitoramento das ações de cada usuário. Isto é, teremos rastreabilidade das ações que ajudará numa eventual investigação, caso os controles preventivos não tenham sido suficientes para evitar o ato criminoso.

A correta destruição de mídia de informação (discos, computadores e papéis) é um controle efetivo para que a informação não chegue a pessoas que não deveriam ter acesso à informação.

Em resumo, cada organização deve ter implantado um Processo de Segurança da Informação que deve contemplar várias dimensões:

- Políticas e normas

- Gestão de risco dos recursos de informação

- Acesso à informação

- Classificação do sigilo da informação

- Continuidade do negócio no que depende de informação

- Copias de segurança da informação

- Conscientização e treinamento do usuário

- Resiliência operacional da informação

- Gestão de incidentes

- Ambiente físico dos recursos de informação

- Desenvolvimento e aquisição de sistemas, e

- Proteção técnica.

Estas dimensões são validadas para toda organização, independente do seu tipo de negócio e do seu porte. O que será diferente será a maneira como os controles serão desenvolvidos e implantados, bem como a rigidez destes controles.

Se sua organização não possui uma abordagem estruturada para a segurança da informação, comece o quanto antes. Um fato é realidade: sem segurança da informação, a fraude existe, cresce e a Organização só faz perder.



Fonte da postagem