Confirp Notícias

Sequestro de dados: é mais caro investir em segurança ou pagar o resgate?

Antes de falar sobre os riscos e custos relacionados a sequestro de dados, uma primeira questão a ser respondida é: o que é ransomware? Ransomware é um tipo de ataque cibernético, no qual é implantado um “malware”, que nada mais é do que um vírus, em servidores e máquinas ligadas à internet. Nesses tipos de ameaça, hackers jogam “iscas”, mais conhecidas como “Phishing”, enviados por e-mail e que, se abertos pela vítima, infectam a rede com o malware.

Por sua vez, ele age travando o acesso dos usuários ao banco de dados hospedados nas redes infectadas, culminando no sequestro dessas informações, que só são liberadas pelos criminosos mediante o pagamento de um resgate, que, geralmente, é em criptomoedas, que impedem o rastreamento dos responsáveis pelo ataque.

O que fazer se o sequestro de dados acontecer comigo?

Ao entender o funcionamento, o primeiro passo é ter um plano de ação para mitigar uma crise gerada por um ataque como esse, que geralmente acontece em fins de semanas ou feriados, exatamente por serem dias em que as respostas costumam demorar mais. Também é importante ter uma equipe de TI treinada para conter a crise e tentar recuperar as informações sequestradas sem a necessidade de pagamento do resgate, o que nem sempre é possível.

“Uma das recomendações é que sejam suspensos os trabalhos e manipulações dos arquivos contidos na rede infectada, pois toda e qualquer modificação e/ou exclusão de arquivos pode atrapalhar o diagnóstico dos erros, a investigação e uma eventual correção desses dados feitas pela equipe de suporte de TI”, explica Marco Lagoa, CEO e co-founder da Witec IT Solutions, empresa especializada em tecnologia.

Check-up periódico

Assim como se precisa fazer um check-up periódico para manter a saúde em dia, o diagnóstico de TI, mais conhecido como “GAP analysis”, tem a mesma finalidade, que é manter a tecnologia de sua empresa atualizada, garantindo o compliance em relação à legislação vigente, especificamente em relação à Lei Geral de Proteção de Dados (LGPD) e, principalmente, mantendo seu negócio seguro e evitando o sequestro de dados.

O CEO da Witec IT Solutions recomenda: “O ataque ransomware tem que ser tratado como um problema certo e iminente. Um dia ele vai acontecer e é só uma questão de quando e se sua empresa estará preparada ou não. Então, é muito importante ter os processos de resposta já mapeados e todos os seus backups em dia e com um tempo de restauração aceitável, sem que cause um prejuízo para a empresa. Além disso, dependendo da empresa e se as informações contidas no banco de dados são muito críticas e sensíveis, é fundamental ter uma apólice de seguro que possa cobrir eventuais prejuízos no caso de um ataque”.

Esse processo envolve ações de planejamento, levantamento e análise das informações e diagnóstico de possíveis erros ou falhas na segurança e recomendação de ações para uma melhoria constante.

Além de buscar ativamente a correção de possíveis falhas, ter um processo de “GAP Analysis” implementado em sua empresa irá trazer outras vantagens, como corrigir constantemente hardwares e softwares defasados e falhas na segurança digital. Também é preciso ter processos bem definidos, mapeamento de dados, maturidade da TI, políticas de segurança bem estabelecidas, senhas complexas, plano de continuidade e rotinas de backup off-site feitas em datas centers em nuvem. Atualmente, existem grandes players de mercado que podem oferecer esse serviço de forma segura e que cabe no bolso.

Melhor prevenir do que remediar

A velha máxima de que prevenir é melhor que remediar vale muito em relação a segurança das empresas. Exemplo de prevenção é a Confirp Consultoria Contábil, que vem investindo pesado na segurança de dados, por ser uma empresa de contabilidade e tratar de dados sensíveis de seus clientes.

“Nossa preocupação é muito grande com o tema segurança da informação e faz parte de nossa história, já investimos muitos milhões nessa área. Mas, atualmente, estamos em um processo de renovação de Firewall e construção de um site Disaster Recovery (DR)”, explica Júlio Rodrigues, diretor de tecnologia da Financeiro24Horas.com, empresa de tecnologia do Grupo Confirp.

Ele complementa que com esse processo, caso ocorra a invasão ou qualquer outro desastre que impossibilite o acesso aos servidores (ou site como chamam), outro espaço com os mesmos dados defasados por um período pré-determinado pela empresa assume, sem riscos de comprometimentos de informações graves.

Ainda nessa linha, empresas especializadas em segurança de redes e computadores explicam a necessidade das áreas de TI tomarem uma série de ações a fim de garantir que as soluções de segurança utilizadas possam prover o respaldo necessário à boa execução do trabalho dos colaboradores.

Dentre as ações recomendadas estão:

Utilizar uma solução de firewall com recursos de VPN, que permite bloquear ataques e acessos internos e externos indevidos;
Monitoramento dos acessos dos colaboradores a recursos externos à empresa, tais como sites, aplicativos e etc;
Proteção do computador, utilizando soluções de antivírus e EDR, que previnem a ação de códigos maliciosos para roubo e sequestro de dados;
Auditar e controlar a manipulação de documentos, evitando o vazamento de informações com uma solução de DLP;
Autenticação e autorização para acesso a recursos internos, como softwares de ERP, CRM, intranet, banco de dados e entre outros.

Um ponto importante é que em tempos que cresce o home office, é necessário que ajustes sejam feitos para manter o grau de segurança que eles possuíam quando estavam trabalhando localmente. Ou seja, os mesmos controles citados anteriormente devem ser mantidos e ações adicionais devem ser tomadas. Dentre elas as mais importantes são:

Adotar método de acesso aos recursos internos da empresa de forma segura, utilizando para isso recursos tecnológicos, como VPN com recurso para garantir acesso apenas de dispositivos confiáveis.;
Adotar duplo fator de autenticação para garantir a identificação do usuário;
Com o computador fora da empresa, a mesma não pode evitar roubos ou perdas. Para que as informações dentro do dispositivo não sejam comprometidas é necessário utilizar uma solução de criptografia de disco;
O comportamento do colaborador deve ser monitorado para que a empresa saiba se ele está em conformidade com a política de segurança da empresa, e também para saber se o mesmo está exercendo suas funções dentro do horário para o qual foi contratado, garantindo, assim, sua produtividade. Existem ferramentas voltadas à análise de comportamento de usuários;
A saúde do computador precisa ser monitorada constantemente para que a equipe técnica possa tomar ações de forma proativa.

Vale ressaltar que esses controles não devem ficar limitados ao computador (desktops e notebooks). Devem abranger dispositivos móveis, como smartphones, tablets e etc. Porém, o principal desafio da equipe de tecnologia e segurança da informação será definir processos adequados para um ambiente tão descentralizado.

Uma ação normalmente negligenciada pelas empresas é fornecer treinamentos de conscientização sobre Segurança da Informação a todos os colaboradores, promovendo uma mudança de hábito em todos a fim de permitir que não sejam mais vítimas fáceis de bandidos virtuais, passando a reconhecer sites, links maliciosos e atividades e atitudes suspeitas.

Fazer um backup em nuvem é mais barato do que pagar o resgate

Já ouviu falar em backup do backup? Pode soar estranho, mas isso existe e chama-se “backup redundante”. Essa é uma poderosa ferramenta que poderá te salvar de um eventual sequestro de dados. “Ter um backup reserva e sempre atualizado significa que, se o seu banco de dados for sequestrado, ao invés de ter que pagar o resgate para voltar a ter acesso às suas informações, é possível simplesmente restaurar as informações salvas no backup. Parece simples, mas uma parcela ínfima de empresas se preocupa com isso atualmente”, finaliza Marco Lagoa.

Seguros dos dados também é solução para não sofrer sequestro de dados

Uma alternativa importante para as empresas em relação ao tema é adquirir seguros, que garantam ressarcimentos em relação ao sequestro de dados. A sócia da Camillo Seguros, Cristina Camillo, explica que esses são os seguros de proteção de dados. Um exemplo é o CyberEdge da AIG, líder de mercado.

Ela conta que é fundamental que as empresas tenham controles de segurança estabelecidos para prevenir este tipo de ataque. Cyber segurança deve ser tratada como parte da estratégia de gerenciamento de riscos das empresas.

“Contudo, quando um ataque já se materializou, a companhia deve buscar assistência especializada para investigação e resposta ao incidente. Antes do evento, a companhia deve se preocupar em estabelecer controles de segurança coerentes com seu perfil de risco e segmento de atuação. O seguro é uma boa ferramenta para transferir o risco residual de um evento desta natureza se materializar”, finaliza Cristina Camillo.

Compartilhe este post:

Entre em contato!

Leia também:

Programa PAC/PJ ajuda empresas a cumprirem obrigações tributárias

Receita Federal iniciou no dia 20 de julho de 2021, o PAC/PJ para ajudar pessoas jurídicas no cumprimento de suas obrigações tributárias, evitando, assim, riscos fiscais. A iniciativa inédita propõe ações prévias de orientação para incentivar a conformidade tributária, ou seja, criar oportunidades para as empresas se adequarem à legislação, cumprindo suas obrigações espontaneamente, sem que haja a necessidade da instauração de procedimentos de fiscalização e litígios que demorarão para serem resolvidos. No PAC/PJ, a área de Fiscalização da Receita Federal orienta as empresas sobre as informações que devem constar na Escrituração Contábil Fiscal (ECF) 2021 bem antes do fim do prazo de entrega, 30/09. Pessoas jurídicas, com registro de transmissão sem dados na ECF do exercício 2020, foram previamente comunicadas sobre dados representativos de receitas e de movimentação financeira, informações que devem constar na ECF/2021, evitando, dessa forma, erros no preenchimento da escrituração e possibilitando a correta apuração de tributos, como objetivo de diminuir a exposição da empresa a ações de fiscalização, malhas ou outros controles fiscais. A partir de cruzamentos automatizados com a base de dados da Receita Federal referentes ao ano calendário 2020, prestados pela própria pessoa jurídica (NF-e, escriturações do Sped) e por terceiros (DIRF, Decred, e-Financeira), foram expedidas 45.012 Comunicações de Dados a Escriturar na ECF 2021, informando às empresas destinatárias, as receitas auferidas no ano de 2020 superiores a R$ 1.000,00 e/ou recebimento de recursos em contas correntes bancárias superiores a R$ 10.000,00. Cada uma dessas empresas já recebeu, em sua Caixa Postal – cujo acesso se faz com certificado digital no e-CAC – dados disponíveis nas bases da Receita Federal, individualizando os valores relativos aos quatro trimestres de 2020, a saber: Notas fiscais eletrônicas (modelo 55) Decred (informações de repasse por cartão de crédito) Escrituração Fiscal Digital das Contribuições (valores de receita bruta) Escrituração Fiscal Digital ICMS/IPI (valores de receita, com algumas deduções) DIRF (pagamentos declarados por terceiros) Movimentação bancária (recursos movimentados a crédito, excluindo-se operações indicadas) Além desses valores, foi indicada a lista de contas correntes, por banco e agência, para facilitar a verificação dos interessados diretamente nas instituições. Com tais informações, as empresas poderão verificar suas informações e entregar a ECF em 2021 com integridade. A ECF é uma das principais obrigações tributárias acessórias, na qual as pessoas jurídicas apuram o IRPJ e a CSLL, além de prestar outras informações fiscais e econômicas de interesse da RFB, inclusive subsidiando a formulação de políticas públicas. A ECF é de preenchimento anual e, em relação aos fatos geradores ocorridos no ano de 2020, o prazo de entrega é até o último dia útil do mês de setembro de 2021, nos termos da Instrução Normativa RFB nº 2.039, de 2021. A seguir, a distribuição das pessoas jurídicas por Unidade da Federação: UF Total de PJ % Acre 108 0,2% Alagoas 503 1,1% Amapá 58 0,1% Amazonas 625 1,4% Bahia 2.384 5,3% Ceará 1.758 3,9% Distrito Federal 1.090 2,4% Espírito Santo 502 1,1% Goiás 1.940 4,3% Maranhão 854 1,9% Mato Grosso 1.487 3,3% Mato Grosso do Sul 817 1,8% Minas Gerais 4.469 9,9% Paraná 2.257 5,0% Paraíba 796 1,8% Pará 1.292 2,9% Pernambuco 1.375 3,1% Piauí 427 0,9% Rio de Janeiro 3.082 6,8% Rio Grande do Norte 687 1,5% Rio Grande do Sul 2.179 4,8% Rondônia 421 0,9% Roraima 83 0,2% Santa Catarina 1.313 2,9% São Paulo 13.913 30,9% Sergipe 345 0,8% Tocantins 247 0,5% Brasil 45.012 100,0% Fonte – Receita Federal do Brasil

Ler mais

PRONAMPE: Empresas encontram dificuldades para obter linha

As microempresas e as empresas de pequeno porte possuem uma nova linha de crédito para socorrer as finanças em meio à crise do Covid-19, com a sanção da Lei nº 13.999/2020 pelo Governo Federal, que estabelece o Programa Nacional de Apoio às Microempresas e Empresas de Pequeno Porte (PRONAMPE). Contudo, segundo informações passadas por clientes da Confirp Consultoria Contábil, as empresas estão encontrando dificuldade para obter essas linhas junto aos bancos. “Já recebemos alguns contatos de clientes que informam que procuraram as agências bancárias e foram informados que os bancos ainda não adaptaram seus sistemas a esta linha. Assim as empresas precisam aguardar”, explica o diretor executivo da Confirp Consultoria Contábil Richard Domingos. Com isso, esta linha vem enfrentando as que outras que já foram criadas pelo governo estão encontrando. “O Governo Federal já apresentou várias medidas visando minimizar os impactos trabalhistas e tributários nesse período de dificuldade, sendo, muitas empresas não possuem dinheiro em caixa e vão precisar de recursos para manter as portas abertas e ter fluxo de caixa. Contudo, infelizmente esse dinheiro ainda não está chegando para essas empresas, o que faz com que muitas organizações estejam em verdadeiro desespero, sem fôlego financeiro”, alerta o diretor executivo da Confirp Consultoria Contábil, Richard Domingos. Segundo o diretor, o problema é que os valores até chegam às instituições financeiras, mas esbarram na falta de informação dos empresários e nas dificuldades criadas pelas instituições em liberar esses créditos, em função do medo que calote. “Enfim, as linhas existem há algum tempo, entretanto não chega a quem realmente precisa, o que faz com que a vida das empresas se complique”, analisa Domingos. Sobre o Pronampe O programa objetiva o desenvolvimento e o fortalecimento dessas organizações com linhas que cobram taxas de juros anual máximas igual à taxa Selic, acrescida de 1,25% sobre o valor concedido, os valores são abaixo dos oferecidos comumente pelo mercado. “As taxas cobradas são realmente muito interessantes, agora é preciso ver se essa linha realmente chegará às empresas. Em linhas oferecidas anteriormente observamos muitas dificuldades dos administradores conseguirem a liberação do crédito junto às instituições financeiras”, alerta o diretor tributário Richard Domingos. O PRONAMPE é destinado às microempresas (ME) e às empresas de pequeno porte (EPP) que tiveram receita bruta total no exercício de 2019 de até R$ 4.800.000,00. Os microempreendedores individuais (MEI) também estão incluídos. Nesse grupo estão também as empresas do Lucro Presumido e do Lucro Real, desde que se enquadrem no limite de faturamento. Valor do crédito Essa linha permite que as empresas tomem créditos de até 30% da receita bruta anual calculada com base no exercício de 2019, se a empresa tiver menos de 1 ano de funcionamento, o limite do empréstimo será de até 50% do seu capital social ou a até 30% da média de seu faturamento mensal apurado desde o início de suas atividades, o que for mais vantajoso. Assim, uma empresa que teve Receita Bruta no ano de 2019 de R$ 100.000,00 o Limite do financiamento (30%) será de R$ 30.000,00. E o prazo para pagamento será de 36 meses. Segundo a lei que criou o PRONAMPE, não há previsão de carência para começar a pagar as parcelas, de modo que os bancos poderão adotar suas políticas contratuais de concessão de empréstimos. “Ponto importante é que em um primeiro momento as empresas possuem menos de três meses para a contratação desse financiamento, sendo que os bancos participantes poderão formalizar operações de crédito até três meses após a 19 de maio, prorrogáveis por mais três meses”, explica o diretor da Confirp. Para obter essa linha os gestores de empresas deverão procurar uma das instituições financeiras participantes, que são: Banco do Brasil S.A.; Caixa Econômica Federal; Banco do Nordeste do Brasil S.A.; Banco da Amazônia S.A.; bancos estaduais e as agências de fomento estaduais; cooperativas de crédito e os bancos cooperados; instituições integrantes do sistema de pagamentos brasileiro; plataformas tecnológicas de serviços financeiros (fintechs); organizações da sociedade civil de interesse público de crédito, e demais instituições financeiras públicas e privadas autorizadas a funcionar pelo Banco Central do Brasil. As exigências que as empresas precisarão cumprir para obter a linha são: garantia pessoal do solicitante em montante igual ao empréstimo contratado, acrescido dos encargos; para os casos de empresas constituídas e em funcionamento há menos de um ano, a garantia pessoal poderá alcançar até 150% do valor contratado, mais acréscimos. Condições de contratação: Segundo a lei, as ME e EPP que contratarem as linhas de crédito do PRONAMPE terão que concordar com as seguintes condições: assumirão contratualmente a obrigação de fornecer informações verídicas e de preservar o quantitativo de empregados em número igual ou superior ao verificado em 19 de maio, no período compreendido entre a data da contratação da linha de crédito e o sexagésimo dia após o recebimento da última parcela da linha de crédito; o não atendimento a qualquer das obrigações mencionadas implicará o vencimento antecipado da dívida pela instituição financeira; fica vedada a celebração do contrato de empréstimo de que trata a referida lei com empresas que possuam condenação relacionada a trabalho em condições análogas às de escravo ou a trabalho infantil; os recursos recebidos no âmbito do PRONAMPE servirão ao financiamento da atividade empresarial nas suas diversas dimensões e poderão ser utilizados para investimentos e para capital de giro isolado e associado, não podendo ser a destinação para distribuição de lucros e dividendos entre os sócios. “A recomendação para empresas é que busquem essa linha em caso de real necessidade, lembrando que esse é um compromisso que deve ser planejado pelas empresas, sendo que impactará no caixa do negócio no futuro”, explica Richard Domingos. O diretor da Confirp complementa que considerando a enorme burocracia exigida pelos bancos na hora de contratar um empréstimo (garantias, regularidade tributária, saúde financeira, finalidade do empréstimo, limites, carência, prazos etc.), pode ser interessante para quem tenha interesse buscar empresa especialista em negociação com bancos e organização de empresas para obtenção de empréstimos e financiamentos.

Ler mais

Entenda o programa de parcelamento de débitos do Governo Federal

Foi publicada ontem a regulamentação para empresas e pessoas físicas aderirem ao novo Refis, ou Programa Especial de Regularização Tributária (PERT) que engloba débitos tributários vencidos até 30 de abril de 2017. Procure a Confirp para aderir ao PERT com toda a segurança Na publicação estabelece que o programa de parcelamento de débitos poderá ser feito em até 180 meses e terá como maior desconto previsto o abatimento de 90% nos juros e 50% nas multas. “Será uma ótima alternativa para que tem dívidas com o Governo, poderão aderir ao PERT, pessoas físicas e jurídicas, de direito público ou privado, inclusive aquelas que se encontrarem em recuperação judicial”, diretor executivo da Confirp Consultoria Contábil, Richard Domingos. O diretor acrescenta que o PERT abrange os débitos de natureza tributária e não tributária, inclusive os que foram objetos de parcelamentos anteriores rescindidos ou ativos, em discussão administrativa ou judicial, ou provenientes de lançamento de ofício efetuados após a publicação desta Medida Provisória, desde que o requerimento seja efetuado até o dia 31 de outubro de 2017. Detalhes do parcelamento “Outro ponto interessante é que o PERT abrangerá os débitos indicados pelo sujeito passivo, na condição de contribuinte ou responsável. Ou seja, não precisarão estar incluídos todos os débitos, apenas o que o contribuinte optar”, complementa Domingos. Há a previsão de três modalidades de adesão ao parcelamento de débitos com a Receita e dois com a Procuradoria-Geral da Fazenda Nacional. Mas ponto muito importante é que o projeto possibilita a utilização de prejuízos fiscais para o pagamento dos débitos. Cuidados ao aderir Para que deseja aderir, a Confirp Consultoria Contábil recomenda, que o primeiro passo deve ser realizar um levantamento dos débitos tributários que possuem, seguido de uma análise das melhores formas de pagamento. “É comum que, na pressa de ajustar a situação tributária, os executivos de empresas ou mesmo pessoas físicas realizem a adesão por impulso. O problema é que a falta de planejamento faz com que se opte por valores que não se consiga honrar no passar dos meses, não acabando assim com os problemas ainda maiores, sendo que três meses sem pagar o parcelamento leva a empresa para a dívida ativa”, alerta o diretor da Confirp. Outro erro comum é não inserir todos os débitos existentes no parcelamento, o que faz com que a empresa pense que ajustou todas as pendências, contudo, não sendo isso uma verdade. Para tanto é necessária uma análise minuciosa da situação tributária da empresa antes da adesão. “Muitas vezes existem ‘defuntos’ de tempos passados que os executivos nem tem em mente. Dentre as novidades do novo parcelamento está o fato de que o critério utilizado pela Receita no parcelamento é a data de vencimento do tributo, e não o seu período de apuração”, finaliza Domingos.

Ler mais

DME – obrigação fiscaliza movimentação de valores de dinheiro em espécie

Logo no início de 2018 mais uma obrigação assessória passa a fazer parte da vida dos brasileiros, com a entrada em vigor da Declaração de Operações Liquidadas com Moeda em Espécie (DME), para fatos geradores ocorridos a partir de 01 de janeiro. Conheça a Confirp e os benefícios aos clientes As informações deverão ser prestadas mediante acesso ao serviço “Apresentação da DME”, disponível no e-CAC (Centro Virtual de Atendimento ao Contribuinte) no site da RFB (http://rfb.gov.br), através de Certificado Digital. Mas, para entender melhor sobre o tema, a Confirp detalhou os principais pontos relacionados: Quem deverá apresentar? Pessoas físicas ou jurídicas residentes ou domiciliadas no Brasil que no mês de referência tenha recebido valores em espécie (dinheiro) em montante igual ou superior a R$ 30.000,00, independente se se tratar de mais de uma pessoa física ou Jurídica, ou o mesmo valor equivalente em outra moeda, cuja liquidação total ou parcial se dê em moeda em espécie, relativamente às operações realizadas com uma mesma pessoa Jurídica ou física, nas operações liquidadas. Não sendo aplicável às instituições financeiras e nem as instituições autorizadas a funcionar pelo Banco Central do Brasil. Quais informações devem constar na DME? Identificação completa da pessoa física ou jurídica que efetuou o pagamento; Código do bem ou direito objeto da alienação ou cessão ou serviço ou operação que gerou o recebimento em espécie; O valor da alienação ou cessão ou do serviço ou da operação, em real; O valor liquidado em espécie, em real; A moeda utilizada na operação e; A data da operação Quais penalidades? A não apresentação da DME ou sua apresentação fora do prazo fixado ou com incorreções ou omissões sujeita o declarante às seguintes multas: Na apresentação extemporânea: R$ 500,00 (quinhentos reais) por mês ou fração se o declarante for pessoa jurídica em início de atividade, imune ou isenta, optante pelo Simples Nacional, ou que na última declaração apresentada tenha apurado o Imposto sobre a Renda com base no lucro presumido; R$ 1.500,00 (mil e quinhentos reais) por mês ou fração se o declarante for pessoa jurídica não incluída na opção anterior, e R$ 100,00 (cem reais) por mês ou fração se pessoa física; e Não apresentação ou apresentação com informações inexatas ou incompletas ou com omissão de informações: 3% (três por cento) do valor da operação a que se refere à informação omitida, inexata ou incompleta, não inferior a R$ 100,00 (cem reais), se o declarante for pessoa jurídica; ou 1,5% (um inteiro e cinco décimos por cento) do valor da operação a que se refere a informação omitida, inexata ou incompleta, se o declarante for pessoa física. Qual o prazo de apresentação? A DME deverá ser apresentada até o último dia útil do mês imediatamente subsequente ao mês do recebimento dos valores em espécie.

Ler mais