Confirp Notícias

Sequestro de dados: é mais caro investir em segurança ou pagar o resgate?

Antes de falar sobre os riscos e custos relacionados a sequestro de dados, uma primeira questão a ser respondida é: o que é ransomware? Ransomware é um tipo de ataque cibernético, no qual é implantado um “malware”, que nada mais é do que um vírus, em servidores e máquinas ligadas à internet. Nesses tipos de ameaça, hackers jogam “iscas”, mais conhecidas como “Phishing”, enviados por e-mail e que, se abertos pela vítima, infectam a rede com o malware.

Por sua vez, ele age travando o acesso dos usuários ao banco de dados hospedados nas redes infectadas, culminando no sequestro dessas informações, que só são liberadas pelos criminosos mediante o pagamento de um resgate, que, geralmente, é em criptomoedas, que impedem o rastreamento dos responsáveis pelo ataque.

O que fazer se o sequestro de dados acontecer comigo?

Ao entender o funcionamento, o primeiro passo é ter um plano de ação para mitigar uma crise gerada por um ataque como esse, que geralmente acontece em fins de semanas ou feriados, exatamente por serem dias em que as respostas costumam demorar mais. Também é importante ter uma equipe de TI treinada para conter a crise e tentar recuperar as informações sequestradas sem a necessidade de pagamento do resgate, o que nem sempre é possível.

“Uma das recomendações é que sejam suspensos os trabalhos e manipulações dos arquivos contidos na rede infectada, pois toda e qualquer modificação e/ou exclusão de arquivos pode atrapalhar o diagnóstico dos erros, a investigação e uma eventual correção desses dados feitas pela equipe de suporte de TI”, explica Marco Lagoa, CEO e co-founder da Witec IT Solutions, empresa especializada em tecnologia.

Check-up periódico

Assim como se precisa fazer um check-up periódico para manter a saúde em dia, o diagnóstico de TI, mais conhecido como “GAP analysis”, tem a mesma finalidade, que é manter a tecnologia de sua empresa atualizada, garantindo o compliance em relação à legislação vigente, especificamente em relação à Lei Geral de Proteção de Dados (LGPD) e, principalmente, mantendo seu negócio seguro e evitando o sequestro de dados.

O CEO da Witec IT Solutions recomenda: “O ataque ransomware tem que ser tratado como um problema certo e iminente. Um dia ele vai acontecer e é só uma questão de quando e se sua empresa estará preparada ou não. Então, é muito importante ter os processos de resposta já mapeados e todos os seus backups em dia e com um tempo de restauração aceitável, sem que cause um prejuízo para a empresa. Além disso, dependendo da empresa e se as informações contidas no banco de dados são muito críticas e sensíveis, é fundamental ter uma apólice de seguro que possa cobrir eventuais prejuízos no caso de um ataque”.

Esse processo envolve ações de planejamento, levantamento e análise das informações e diagnóstico de possíveis erros ou falhas na segurança e recomendação de ações para uma melhoria constante.

Além de buscar ativamente a correção de possíveis falhas, ter um processo de “GAP Analysis” implementado em sua empresa irá trazer outras vantagens, como corrigir constantemente hardwares e softwares defasados e falhas na segurança digital. Também é preciso ter processos bem definidos, mapeamento de dados, maturidade da TI, políticas de segurança bem estabelecidas, senhas complexas, plano de continuidade e rotinas de backup off-site feitas em datas centers em nuvem. Atualmente, existem grandes players de mercado que podem oferecer esse serviço de forma segura e que cabe no bolso.

Melhor prevenir do que remediar

A velha máxima de que prevenir é melhor que remediar vale muito em relação a segurança das empresas. Exemplo de prevenção é a Confirp Consultoria Contábil, que vem investindo pesado na segurança de dados, por ser uma empresa de contabilidade e tratar de dados sensíveis de seus clientes.

“Nossa preocupação é muito grande com o tema segurança da informação e faz parte de nossa história, já investimos muitos milhões nessa área. Mas, atualmente, estamos em um processo de renovação de Firewall e construção de um site Disaster Recovery (DR)”, explica Júlio Rodrigues, diretor de tecnologia da Financeiro24Horas.com, empresa de tecnologia do Grupo Confirp.

Ele complementa que com esse processo, caso ocorra a invasão ou qualquer outro desastre que impossibilite o acesso aos servidores (ou site como chamam), outro espaço com os mesmos dados defasados por um período pré-determinado pela empresa assume, sem riscos de comprometimentos de informações graves.

Ainda nessa linha, empresas especializadas em segurança de redes e computadores explicam a necessidade das áreas de TI tomarem uma série de ações a fim de garantir que as soluções de segurança utilizadas possam prover o respaldo necessário à boa execução do trabalho dos colaboradores.

Dentre as ações recomendadas estão:

Utilizar uma solução de firewall com recursos de VPN, que permite bloquear ataques e acessos internos e externos indevidos;
Monitoramento dos acessos dos colaboradores a recursos externos à empresa, tais como sites, aplicativos e etc;
Proteção do computador, utilizando soluções de antivírus e EDR, que previnem a ação de códigos maliciosos para roubo e sequestro de dados;
Auditar e controlar a manipulação de documentos, evitando o vazamento de informações com uma solução de DLP;
Autenticação e autorização para acesso a recursos internos, como softwares de ERP, CRM, intranet, banco de dados e entre outros.

Um ponto importante é que em tempos que cresce o home office, é necessário que ajustes sejam feitos para manter o grau de segurança que eles possuíam quando estavam trabalhando localmente. Ou seja, os mesmos controles citados anteriormente devem ser mantidos e ações adicionais devem ser tomadas. Dentre elas as mais importantes são:

Adotar método de acesso aos recursos internos da empresa de forma segura, utilizando para isso recursos tecnológicos, como VPN com recurso para garantir acesso apenas de dispositivos confiáveis.;
Adotar duplo fator de autenticação para garantir a identificação do usuário;
Com o computador fora da empresa, a mesma não pode evitar roubos ou perdas. Para que as informações dentro do dispositivo não sejam comprometidas é necessário utilizar uma solução de criptografia de disco;
O comportamento do colaborador deve ser monitorado para que a empresa saiba se ele está em conformidade com a política de segurança da empresa, e também para saber se o mesmo está exercendo suas funções dentro do horário para o qual foi contratado, garantindo, assim, sua produtividade. Existem ferramentas voltadas à análise de comportamento de usuários;
A saúde do computador precisa ser monitorada constantemente para que a equipe técnica possa tomar ações de forma proativa.

Vale ressaltar que esses controles não devem ficar limitados ao computador (desktops e notebooks). Devem abranger dispositivos móveis, como smartphones, tablets e etc. Porém, o principal desafio da equipe de tecnologia e segurança da informação será definir processos adequados para um ambiente tão descentralizado.

Uma ação normalmente negligenciada pelas empresas é fornecer treinamentos de conscientização sobre Segurança da Informação a todos os colaboradores, promovendo uma mudança de hábito em todos a fim de permitir que não sejam mais vítimas fáceis de bandidos virtuais, passando a reconhecer sites, links maliciosos e atividades e atitudes suspeitas.

Fazer um backup em nuvem é mais barato do que pagar o resgate

Já ouviu falar em backup do backup? Pode soar estranho, mas isso existe e chama-se “backup redundante”. Essa é uma poderosa ferramenta que poderá te salvar de um eventual sequestro de dados. “Ter um backup reserva e sempre atualizado significa que, se o seu banco de dados for sequestrado, ao invés de ter que pagar o resgate para voltar a ter acesso às suas informações, é possível simplesmente restaurar as informações salvas no backup. Parece simples, mas uma parcela ínfima de empresas se preocupa com isso atualmente”, finaliza Marco Lagoa.

Seguros dos dados também é solução para não sofrer sequestro de dados

Uma alternativa importante para as empresas em relação ao tema é adquirir seguros, que garantam ressarcimentos em relação ao sequestro de dados. A sócia da Camillo Seguros, Cristina Camillo, explica que esses são os seguros de proteção de dados. Um exemplo é o CyberEdge da AIG, líder de mercado.

Ela conta que é fundamental que as empresas tenham controles de segurança estabelecidos para prevenir este tipo de ataque. Cyber segurança deve ser tratada como parte da estratégia de gerenciamento de riscos das empresas.

“Contudo, quando um ataque já se materializou, a companhia deve buscar assistência especializada para investigação e resposta ao incidente. Antes do evento, a companhia deve se preocupar em estabelecer controles de segurança coerentes com seu perfil de risco e segmento de atuação. O seguro é uma boa ferramenta para transferir o risco residual de um evento desta natureza se materializar”, finaliza Cristina Camillo.

Compartilhe este post:

Entre em contato!

Leia também:

Licença paternidade: veja o que muda com ampliação da duração

Já foi aprovada a lei que possibilita a ampliação da duração da “licença-paternidade” por mais 15 dias, da além dos 5 dias já garantidos pela Constituição Federal, o que totaliza 20 dias. Leia também estes artigos e saiba mais: {Enquadramento no Simples Nacional}: Guia Completo Para Microempresas; Simples Nacional: Como Funciona; Simples Nacional: veja as tabelas e o caminho da descomplicação Mas o que realmente muda com essa nova lei e qual o impacto para trabalhadores e empresas? Tenha todas as informações trabalhistas para melhores decisões, seja cliente Confirp! Na verdade, neste primeiro momento nada muda, pois a lei ainda necessita de regulamentação e enquanto isso, nenhum aspecto do tratado possui validade. E mesmo após a regulamentação é importante que se entenda que essa prorrogação da “licença-paternidade” é facultativa e aplica-se somente às empresas que fizerem a adesão ao Programa Empresa Cidadã, que está em vigor desde 1º/01/2010. Efetivamente, a lei terá efeito para um grupo limitado de empresas sendo que a pessoa jurídica tributada com base no lucro real é que ao aderir ao Programa poderá deduzir do IRPJ (Imposto de Renda Pessoa Jurídica) devido, em cada período de apuração, o total da remuneração da empregada e do empregado pago nos dias de prorrogação de sua licença-maternidade e de sua licença-paternidade, vedada a dedução como despesa operacional. Veja mais sobre a mudança na licença-paternidade Programa Empresa Cidadã O Programa Empresa Cidadã foi criado pela Lei nº 11.770/2008, regulamentado pelo Decreto nº 7.052/2009 e pela Instrução Normativa SRF nº 991/2010, e está em vigor desde 1º.01.2010. O Programa Empresa Cidadã permite prorrogar: a)por 60 (sessenta) diasa duração da licença-maternidade (além dos 120 dias normais), o que totaliza 180 dias (6 meses); b)por 15 (quinze) diasa duração da licença-paternidade (além dos 5 dias normais) o que totaliza 20 dias (entrará em vigor a partir do ano seguinte à regulamentação). O Programa é “facultativo” e aplica-se somente para os empregados e as empregadas de empresas que fizerem a adesão. Quem tem direito à prorrogação das licenças-maternidade e paternidade A prorrogação das licenças-maternidade e paternidade, será garantida: a)à empregada da pessoa jurídica que aderir ao referido programa, desde que a requeira até o final do 1º mês após o parto, e será concedida imediatamente após a fruição da licença-maternidade; b)ao empregado da pessoa jurídica que aderir ao programa, desde que a requeira no prazo de 2 dias úteis após o parto e comprove participação em programa ou atividade de orientação sobre paternidade responsável. A prorrogação das licenças-maternidade e paternidade será garantida também, na mesma proporção, à empregada e ao empregado que adotarem ou obtiverem guarda judicial para fins de adoção de criança. Durante o período de prorrogação da licença-maternidade, a empregada terá direito à remuneração integral, nos mesmos moldes devidos no período de percepção do salário-maternidade pago pelo Regime Geral de Previdência Social (RGPS). O empregado, por sua vez, durante o período de prorrogação da licença-paternidade, terá direito à remuneração integral.

Ler mais

Bloco K do Sped Fiscal – Confirp realiza palestra gratuita

A Confirp Contabilidade realizará uma palestra gratuita sobre Bloco K do Sped Fiscal no próximo dia 20 de mais, da 8h30 às 13 horas, em seu auditório, no Bairro Jabaquara.

Ler mais

Governo Dória abandona empresários em plena pandemia

O cenário é preocupante para empreendedores e administradores de empresas do Estado de São Paulo, em função da crise atual já são projetados muitos fechamentos de empresas e perdas de empregos. Contudo, o que mais preocupa são as faltas de medidas para auxiliar as empresas, mesmo diante os longos períodos de obrigatoriedade de fechamento de empresas. Hoje se tem uma grande revolta por parte de empresários em relação ao governador João Dória (PSDB), e suas medidas para o combate da pandemia do novo coronavírus (Covid-19), o principal problema não é o adiamento propriamente dito, mas a falta de ações para a proteção das empresas pelo estado e municípios. “Em grande parte dos estados brasileiros os governos estão proporcionando ações de auxílios às empresas, mas, especificamente São Paulo não se tem nenhum auxílio desenvolvido as empresas e não se tem projeção que isso ocorra. O cenário é preocupante devido a necessidade de fôlego para as empresas sobreviverem”, explica Robson Nascimento, consultor tributário da Confirp Consultoria Contábil. Segundo levantamento feito pelo especialista, grande parte dos estados brasileiros já possibilitaram alternativas fiscais para as empresas – 19 no total (veja quadro abaixo). Essas vão de parcelamentos a adiamentos de pagamentos, e são formas de as empresas criarem fôlego para atravessar o momento. As empresas, principalmente do Simples Nacional, também possuem algumas alternativas por causa de medidas que foram tomadas Receita Federal (adiamento do pagamento) e outras estão em análise no Congresso Nacional, principalmente em relação a proteção de emprego. Contudo, em São Paulo nada foi apresentado à iniciativa privada para manutenção das empresas, dos empregos e da renda. “Não discutimos a importância do isolamento social como uma das principais armas no combate a COVID. Apenas é preciso ter claro o papel do Estado para salvar a existência das empresas. É também para isso que todos pagamos impostos, são nesses momentos que o Estado tem que entrar em campo”, explica Robson Nascimento. Ao intervir na atividade econômica, o Estado deve trazer as contras-partidas para não permitir o desequilíbrio das relações afetadas. O governador de São Paulo esquece que a máquina pública só funciona porque a iniciativa privada, composta por milhões de empresas, a mantem em pé. Com isso essa falta de ação preocupa, lembrando que sequer estão sendo prorrogados no estado os vencimentos dos tributos para as empresas que foram impedidas de funcionar e, para piorar, não foi dilatado prazo para entrega de obrigações acessórias que servem para que o Governo cobre seus tributos. “É indiscutível que a preservação da vida venha em primeiro lugar em todas as ações, só não se pode esquecer que saúde e economia são coisas diferentes, e que uma não exclui a necessidade da outra, cada uma tem sua importância, e que todas as ações devem convergir para os mesmos objetivos, a manutenção da vida com a qualidade mínima que cada indivíduo necessita para viver com dignidade”, finaliza o consultor da Confirp. ESTADOS QUE CONCEDEM PARCELAMENTOS COM DESCONTOS DE MULTA E JUROS ARA SOCORRER OS CONTRIBUINTES UF ICMS/ISS Programa Período Legislação AC REFIS-ISS Fato Gerador até 31/12/2020 LC 104/21 AC REFIS/2021 Fato Gerador até 30/06/2020 Decreto 7793/21 AL ICMS/Prorrogação De março/21 para 20/07/21 De abril/21 para 20/08/21 De maio/21 para 20/09/21 De junho/21 para 20/10//21 IN SEF 09/21 AM Parcelamento (3 parcelas) Fev/21 a abril/21 Decreto 43470/21 BA Liquida Salvador Fevereiro/21 parcelado em 2 x Decreto 20199/21 CE ISS Prorrogação De 30/04 para 30/06 De 31/05 para 30/07 De 30/06 para 31/08 Decreto 14953/21 DF REFIS-DF 2020 Fato Gerador até 31/12/2018 (ICMS/ISS/IPTU/IPVA/ITBI) LC 976/2020 GO Facilita-GO Prorrogação Fato Gerador até 31/12/2020 IN GSE 1489/21 MA Parcelamento ICMS Fato Gerador até 31/07/2020 MP 329/2020 MG Prorrogação Vencimento fev/21 Agência de Minas MS ISS Prorrogação De 15/04 para 15/06 De 25/04 para 25/06 Decreto 14682/21 PA PRI Belém Fato Gerador até 31/12/2020 Decreto PMB 100120/21 PE ISS Recife De 20/04 para 20/07 De 20/05 para 20/09 De 21/06 para 22/11 Portaria 30/21 PE ICMS/Parcelamento Fato Gerador até 31/08/2020 LC 449/2021 PI ICMS/Parcelamento Fato Gerador até 31/12/2020 Lei 7493/2021 PR ISS Curitiba De 12/04 para 12/07 De 10/05 para 10/09 De 10/06 para 10/11 Decreto 625/21 PR Restabelecimento Parcelamento ICMS Cancelados entre 01/03/20 e 30/06/20 podem ser reparcelado entre 01/03/1 a 30/05/21 Decreto 6977/21 RJ ISS Niterói De 12/04 para 10/06 De 10/05 para 12/07 De 10/06 para 10/08 De 12/07 para 10/09 De 10/08 para 11/10 De 10/09 para 10/11 De 11/10 para 10/12 De 10/11 para 10/01 De 10/12 para 21/01 Resolução SMF 01/2021 RJ PEP/ICMS Fato Gerador até 31/08/2020 Decreto 47488/21 RN ICMS/Parcelamento Fato Gerador até 30/06/2020 Lei 10783/2020 ICMS Prorrogação Bares e Restaurantes Fato Gerador até Fevereiro/21 para 31/05/21 Decreto 30407/21 RO ICMS/Parcelamento Fato Gerador até 30/06/2020 Lei 4953/21 RR ISS Boa Vista REFIS Fato Gerador até 31/12/2020 Lei 2133/21 RR PEP/ICMS Fato Gerador até 31/08/2020 Decreto 30103/21 SE ICMS Prorrogação Bares e Restaurantes De 09/05 para 09/07 De 09/06 para 09/08 Portaria SEFAZ 83/21

Ler mais

economia real moedas e restituição de imposto de renda restituições

Recuperação de ICMS-ST pelos comerciantes atacadistas e varejistas

A possibilidade de recuperação de ICMS-ST pelos comerciantes atacadistas e varejistas que adquirem mercadorias com ICMS retido (pago) antecipadamente por substituição tributária (ST) é muito interessante para as empresas, podendo gerar um grande lucro nos negócios. Para entender melhor essa ação a Confirp Consultoria Contábil preparou um material especial sobre o tema: Recuperação do ICMS-ST: Os estabelecimentos atacadistas e varejistas (chamados de “contribuintes substituídos”) que adquirem mercadorias com ICMS retido por substituição tributária têm direito: (1) ao “ressarcimento do ICMS-ST” e (2) ao “crédito do ICMS da operação própria” (ICMS normal da compra) em algumas situações previstas na legislação do ICMS. De acordo com o artigo 269 do Regulamento do ICMS-SP/00, os comerciantes atacadistas e varejistas terão direito ao ressarcimento: a)do valor do ICMS retido em favor do Estado de São Paulo, referente a saída subsequente, quando promover saída destinada a outro Estado (a contribuintes ou não-contribuintes do ICMS); b)do valor do ICMS retido relativo ao fato gerador presumido não realizado, como por exemplo: baixa do estoque por perda, roubo, extravio, perecimento (inundação, incêndio, prazo de validade vencido etc.) entre outros (necessita de emissão de NF para baixa nos estoques; em alguns casos necessita também de Boletim de Ocorrência – roubo, extravio); c)do valor do ICMS retido relativo ao valor acrescido, referente à saída que promover ou à saída subseqüente amparada por isenção ou não-incidência (exportação, por exemplo); NOTA: Além das hipóteses acima, os varejistas/atacadistas também terão direito ao ressarcimento do valor do ICMS-ST retido a maior, correspondente à diferença entre a base da retenção e o valor da operação de saída realizada com consumidor final (ou seja, venda com preço inferior á base de cálculo da ST). Mas para isso é necessário ação judicial. Crédito do ICMS normal da compra Na hipótese da letra “a” acima (saída para outro Estado) o atacadista/varejista também terá direito ao aproveitamento do crédito do ICMS normal da compra (ICMS da “operação própria”). Procedimentos: Para fazer o “ressarcimento do ICMS-ST” e o “crédito do ICMS normal da compra” (ICMS da “operação própria”) o contribuinte substituído (atacadista/varejista) necessita seguir as instruções publicadas pela Secretaria da Fazenda de SP (SEFAZ/SP), através de Portarias CAT. Resumidamente, necessita: a)Possuir software específico para controle dos estoques, que permita gerar os arquivos eletrônicos (arquivos em formato “txt”) no leiaute exigido pelas normas da SEFAZ/SP; ou b)Contratar empresa especializada para fazer o ressarcimento do ICMS-ST. 4 – Normas: As normas que regulamentam o recuperação de ICMS-ST e o “crédito do ICMS normal da compra” (ICMS da “operação própria”), bem como o leiaute dos arquivos eletrônicos, são as seguintes: Norma/Método Período Observações Portaria CAT-17/1999 De 1º/07/1999 a 31/12/2015 Facultativamente, para quem já fazia o ressarcimento, o método dessa Portaria pode ser utilizado até 31/12/2016. Portaria CAT-158/2015 De 1º/01/2016 a 30/04/2018 Facultativamente, para quem já fazia o ressarcimento, o método dessa Portaria podeser utilizado até 31/12/2018. Portaria CAT-42/2018 A partir de 1º/05/2018 Para os contribuintes que nunca fizeram o ressarcimento do ICMS-ST (ou que estejam com o pedido pendente), o método dessa Portaria poderá retroagir aos últimos 5 anos. Forma de utilização dos créditos (ICMS a ressarcir): Após autorização do Fisco, o contribuinte substituído (atacadista/varejista) poderá utilizar os créditos do ICMS a ressarcir das seguintes formas (art. 20 da Portaria CAT-42/2018): a)Compensação escritural (dedução em “outros créditos” no Livro de Apuração do ICMS); b)Transferência para contribuinte substituto (fabricante/importador) do Estado de SP, desde que fornecedor (para pagamento de compras de mercadorias), ou para outro estabelecimento da mesma empresa (filial); c)Pedido de Ressarcimento (em dinheiro), com vistas a depósito em conta bancária do requerente, a ser realizado por substituto tributário, inscrito no Estado de SP, responsável por retenção do imposto de mercadorias envolvidas nas operações ensejadoras do crédito do ressarcimento, ou de outras mercadorias enquadradas na mesma modalidade de substituição; d)Liquidação de débito fiscal do estabelecimento ou de outro do mesmo titular (filial) ou, ainda, de terceiros; ou e)De outra forma, conforme estabelecido em regime especial (quando for o caso). 6. Indicação de empresa especializada em recuperação de ICMS-ST: A Confirp indica a “Set Empresarial”, empresa parceira, especializada em recuperação de ICMS-ST, telefone (11) 2347-0101, site www.setempresarial.com.br.

Ler mais