Confirp Notícias

Sequestro de dados: é mais caro investir em segurança ou pagar o resgate?

Antes de falar sobre os riscos e custos relacionados a sequestro de dados, uma primeira questão a ser respondida é: o que é ransomware? Ransomware é um tipo de ataque cibernético, no qual é implantado um “malware”, que nada mais é do que um vírus, em servidores e máquinas ligadas à internet. Nesses tipos de ameaça, hackers jogam “iscas”, mais conhecidas como “Phishing”, enviados por e-mail e que, se abertos pela vítima, infectam a rede com o malware.

Por sua vez, ele age travando o acesso dos usuários ao banco de dados hospedados nas redes infectadas, culminando no sequestro dessas informações, que só são liberadas pelos criminosos mediante o pagamento de um resgate, que, geralmente, é em criptomoedas, que impedem o rastreamento dos responsáveis pelo ataque.

O que fazer se o sequestro de dados acontecer comigo?

Ao entender o funcionamento, o primeiro passo é ter um plano de ação para mitigar uma crise gerada por um ataque como esse, que geralmente acontece em fins de semanas ou feriados, exatamente por serem dias em que as respostas costumam demorar mais. Também é importante ter uma equipe de TI treinada para conter a crise e tentar recuperar as informações sequestradas sem a necessidade de pagamento do resgate, o que nem sempre é possível.

“Uma das recomendações é que sejam suspensos os trabalhos e manipulações dos arquivos contidos na rede infectada, pois toda e qualquer modificação e/ou exclusão de arquivos pode atrapalhar o diagnóstico dos erros, a investigação e uma eventual correção desses dados feitas pela equipe de suporte de TI”, explica Marco Lagoa, CEO e co-founder da Witec IT Solutions, empresa especializada em tecnologia.

Check-up periódico

Assim como se precisa fazer um check-up periódico para manter a saúde em dia, o diagnóstico de TI, mais conhecido como “GAP analysis”, tem a mesma finalidade, que é manter a tecnologia de sua empresa atualizada, garantindo o compliance em relação à legislação vigente, especificamente em relação à Lei Geral de Proteção de Dados (LGPD) e, principalmente, mantendo seu negócio seguro e evitando o sequestro de dados.

O CEO da Witec IT Solutions recomenda: “O ataque ransomware tem que ser tratado como um problema certo e iminente. Um dia ele vai acontecer e é só uma questão de quando e se sua empresa estará preparada ou não. Então, é muito importante ter os processos de resposta já mapeados e todos os seus backups em dia e com um tempo de restauração aceitável, sem que cause um prejuízo para a empresa. Além disso, dependendo da empresa e se as informações contidas no banco de dados são muito críticas e sensíveis, é fundamental ter uma apólice de seguro que possa cobrir eventuais prejuízos no caso de um ataque”.

Esse processo envolve ações de planejamento, levantamento e análise das informações e diagnóstico de possíveis erros ou falhas na segurança e recomendação de ações para uma melhoria constante.

Além de buscar ativamente a correção de possíveis falhas, ter um processo de “GAP Analysis” implementado em sua empresa irá trazer outras vantagens, como corrigir constantemente hardwares e softwares defasados e falhas na segurança digital. Também é preciso ter processos bem definidos, mapeamento de dados, maturidade da TI, políticas de segurança bem estabelecidas, senhas complexas, plano de continuidade e rotinas de backup off-site feitas em datas centers em nuvem. Atualmente, existem grandes players de mercado que podem oferecer esse serviço de forma segura e que cabe no bolso.

Melhor prevenir do que remediar

A velha máxima de que prevenir é melhor que remediar vale muito em relação a segurança das empresas. Exemplo de prevenção é a Confirp Consultoria Contábil, que vem investindo pesado na segurança de dados, por ser uma empresa de contabilidade e tratar de dados sensíveis de seus clientes.

“Nossa preocupação é muito grande com o tema segurança da informação e faz parte de nossa história, já investimos muitos milhões nessa área. Mas, atualmente, estamos em um processo de renovação de Firewall e construção de um site Disaster Recovery (DR)”, explica Júlio Rodrigues, diretor de tecnologia da Financeiro24Horas.com, empresa de tecnologia do Grupo Confirp.

Ele complementa que com esse processo, caso ocorra a invasão ou qualquer outro desastre que impossibilite o acesso aos servidores (ou site como chamam), outro espaço com os mesmos dados defasados por um período pré-determinado pela empresa assume, sem riscos de comprometimentos de informações graves.

Ainda nessa linha, empresas especializadas em segurança de redes e computadores explicam a necessidade das áreas de TI tomarem uma série de ações a fim de garantir que as soluções de segurança utilizadas possam prover o respaldo necessário à boa execução do trabalho dos colaboradores.

Dentre as ações recomendadas estão:

Utilizar uma solução de firewall com recursos de VPN, que permite bloquear ataques e acessos internos e externos indevidos;
Monitoramento dos acessos dos colaboradores a recursos externos à empresa, tais como sites, aplicativos e etc;
Proteção do computador, utilizando soluções de antivírus e EDR, que previnem a ação de códigos maliciosos para roubo e sequestro de dados;
Auditar e controlar a manipulação de documentos, evitando o vazamento de informações com uma solução de DLP;
Autenticação e autorização para acesso a recursos internos, como softwares de ERP, CRM, intranet, banco de dados e entre outros.

Um ponto importante é que em tempos que cresce o home office, é necessário que ajustes sejam feitos para manter o grau de segurança que eles possuíam quando estavam trabalhando localmente. Ou seja, os mesmos controles citados anteriormente devem ser mantidos e ações adicionais devem ser tomadas. Dentre elas as mais importantes são:

Adotar método de acesso aos recursos internos da empresa de forma segura, utilizando para isso recursos tecnológicos, como VPN com recurso para garantir acesso apenas de dispositivos confiáveis.;
Adotar duplo fator de autenticação para garantir a identificação do usuário;
Com o computador fora da empresa, a mesma não pode evitar roubos ou perdas. Para que as informações dentro do dispositivo não sejam comprometidas é necessário utilizar uma solução de criptografia de disco;
O comportamento do colaborador deve ser monitorado para que a empresa saiba se ele está em conformidade com a política de segurança da empresa, e também para saber se o mesmo está exercendo suas funções dentro do horário para o qual foi contratado, garantindo, assim, sua produtividade. Existem ferramentas voltadas à análise de comportamento de usuários;
A saúde do computador precisa ser monitorada constantemente para que a equipe técnica possa tomar ações de forma proativa.

Vale ressaltar que esses controles não devem ficar limitados ao computador (desktops e notebooks). Devem abranger dispositivos móveis, como smartphones, tablets e etc. Porém, o principal desafio da equipe de tecnologia e segurança da informação será definir processos adequados para um ambiente tão descentralizado.

Uma ação normalmente negligenciada pelas empresas é fornecer treinamentos de conscientização sobre Segurança da Informação a todos os colaboradores, promovendo uma mudança de hábito em todos a fim de permitir que não sejam mais vítimas fáceis de bandidos virtuais, passando a reconhecer sites, links maliciosos e atividades e atitudes suspeitas.

Fazer um backup em nuvem é mais barato do que pagar o resgate

Já ouviu falar em backup do backup? Pode soar estranho, mas isso existe e chama-se “backup redundante”. Essa é uma poderosa ferramenta que poderá te salvar de um eventual sequestro de dados. “Ter um backup reserva e sempre atualizado significa que, se o seu banco de dados for sequestrado, ao invés de ter que pagar o resgate para voltar a ter acesso às suas informações, é possível simplesmente restaurar as informações salvas no backup. Parece simples, mas uma parcela ínfima de empresas se preocupa com isso atualmente”, finaliza Marco Lagoa.

Seguros dos dados também é solução para não sofrer sequestro de dados

Uma alternativa importante para as empresas em relação ao tema é adquirir seguros, que garantam ressarcimentos em relação ao sequestro de dados. A sócia da Camillo Seguros, Cristina Camillo, explica que esses são os seguros de proteção de dados. Um exemplo é o CyberEdge da AIG, líder de mercado.

Ela conta que é fundamental que as empresas tenham controles de segurança estabelecidos para prevenir este tipo de ataque. Cyber segurança deve ser tratada como parte da estratégia de gerenciamento de riscos das empresas.

“Contudo, quando um ataque já se materializou, a companhia deve buscar assistência especializada para investigação e resposta ao incidente. Antes do evento, a companhia deve se preocupar em estabelecer controles de segurança coerentes com seu perfil de risco e segmento de atuação. O seguro é uma boa ferramenta para transferir o risco residual de um evento desta natureza se materializar”, finaliza Cristina Camillo.

Compartilhe este post:

Entre em contato!

Leia também:

Ata de Reunião Anual é obrigação societária para empresas

Até 30 de abril, as sociedades limitadas são obrigadas a aprovarem suas contas e deliberarem sobre o balanço patrimonial e resultados econômicos do exercício de 2013, emitindo a chamada Ata de Reunião Anual. Essa deve ser registrada nas Juntas Comerciais e Cartórios de Títulos e Documentos. Procedimento que faz com que os administradores se eximam de responsabilidades pessoais por perdas e danos perante os outros sócios e perante terceiros. Apesar de ter se tornado fundamental, muitas empresas ainda não realizam essa obrigação, que atinge a grande maioria das organizações formais do país e está entre as novas exigências do Novo Código Civil, em vigor desde 2003. “A Ata de Assembleia ou Ata de Reunião visa dar funcionalidade ao Código Civil no que diz respeito à demonstração de boa-fé da Sociedade Limitada em trazer à público a situação contábil de uma empresa”, explica o diretor-executivo da Confirp Consultoria Contábil, Richard Domingos. Neste sentido, muitas instituições financeiras, empresas de economia mista, entre outras, vêm incluindo nos seus registros, a obrigatoriedade da apresentação deste documento para efetivo cadastro ou participação de contratos comerciais. “É muito importante a realização desta assembleia no prazo legal, caso isto não ocorra é constituído violação à lei, e pode sujeitar os administradores da sociedade a importantes reflexos no campo da responsabilidade pessoal pelas obrigações sociais. Além disto, as empresas que não o fizerem podem ser prejudicadas em negócios que pretendam fazer”, avalia Domingos. Ainda segundo Domingos, não há uma ata de reunião padrão. Para cada caso será analisado o Contrato Social da empresa a fim de elaborar a ata e após levar a registro público para ganhar a publicidade dos atos.

Ler mais

Aprovação de contas de administradores é coisa séria e poderia ter evitado o escândalo das Lojas Americanas!

Com o advento dos problemas nas demonstrações contábeis das Lojas Americanas, que vieram a público em janeiro de 2023, deu para entender o quanto as demonstrações contábeis de uma empresa podem afetar o mercado, reforçando a importância da aprovação de contas de administradores de sociedades limitadas. Pelas demonstrações financeiras os fornecedores calculam os limites de crédito para fornecimento de prazos, as instituições financeiras determinam limites de créditos, os sócios visualizam os resultados e a capacidade de distribuir dividendos. Todas as informações relacionadas nas demonstrações financeiras devem representar fielmente o que ocorreu na gestão operacional, econômica e financeira de seus administradores e é fundamental que sejam aprovadas pelos sócios cotistas da companhia, incluindo os que exercem papel de capitalistas (aqueles que não participam da administração do negócio). E é na Reunião Anual de Quotistas, que deve acontecer até 30 de abril de cada ano, que as contas (balanço patrimonial e resultados econômicos obtidos no ano anterior) devem ser deliberada e aprovadas, sendo documentada através de uma Ata que deve seguir para arquivamento na Junta Comercial ou Cartório de Títulos e Documentos da Pessoa Jurídica. Essa obrigação alcança todas as Sociedades Limitadas com dois ou mais sócios (não optantes pelo simples nacional). Sendo uma ação primordial para segurança dos administradores de uma empresa, sendo que a Ata é um procedimento que faz com que os administradores se eximam de responsabilidades pessoais por perdas e danos perante os sócios e terceiros. Apesar de ter se tornado fundamental, muitas empresas ainda não realizam essa obrigação, que atinge a grande maioria das organizações formais do país e está entre as novas exigências do Novo Código Civil, em vigor desde 2003. “A Ata de Assembleia ou Ata de Reunião visa dar funcionalidade ao Código Civil no que diz respeito à demonstração de boa-fé da Sociedade Limitada em trazer à público a situação contábil de uma empresa”, explica o diretor-executivo da Confirp Contabilidade, Richard Domingos. Neste sentido, muitas instituições financeiras, empresas de economia mista, entre outras, vêm incluindo nos seus registros, a obrigatoriedade da apresentação deste documento para efetivo cadastro ou participação de contratos comerciais. “É muito importante a realização desta assembleia no prazo legal, caso isto não ocorra é constituído violação à lei, e pode sujeitar os administradores da sociedade a importantes reflexos no campo da responsabilidade pessoal pelas obrigações sociais. Além disto, as empresas que não o fizerem podem ser prejudicadas em negócios que pretendam fazer”, avalia Richard Domingos. Ainda segundo o diretor da Confirp Contabilidade, não há uma ata de reunião padrão. Para cada caso será analisado o Contrato Social da empresa a fim de elaborar a ata e após levar o registro. “Os prejuízos causados pelos administradores das Lojas Americanas no mercado, fará com haja uma mudança no comportamento dos credores (fornecedores, debenturistas, instituições financeiras, dentre outros), buscando colocar no polo passivo de eventuais inadimplência, os administradores que não tiverem suas contas aprovadas em reunião pelos cotistas. Assim esse documento sai do rol de uma simples “obrigação” e passa a ser um papel vital para “proteção” dos administradores sócios ou não sócios”, conclui.

Ler mais

Feriados antecipados – E se as empresas precisarem trabalhar?

Muitas cidades estão antecipando feriados para a próxima semana, buscando combater os impactos do aumento de casos de COVID-19. Contudo, algumas empresas estão se vendo no meio de uma verdadeira armadilha, pois precisarão trabalhar mesmo que em home office e se encontram diante de um impasse trabalhista. Esses casos ocorrem em diversas situações, como é o caso de empresas de contabilidade (que precisam calcular os tributos dos clientes), empresas aduaneiras, dentre outras. Segundo o consultor trabalhista da Confirp Consultoria Contábil, Daniel Raimundo dos Santos, a situação é complexa. “Essa antecipação de feriados não foi opcional, então as empresas devem todas aderir aos mesmos para fazer jus ao seu objetivo final, que é evitar o trânsito de pessoas nos transportes coletivos, dentre outros espaços públicos, enfim, o ficar em casa”, alerta Daniel dos Santos. “Contudo, ocorre que as empresas que não tiverem como antecipar os feriados, devido a toda uma responsabilidade que tenha, como prazo e obrigações, terão que atuar mesmo que em home office, mas pagarão a remuneração de seus empregados com o adicional de 100% (no mínimo) de hora exta, por estarem trabalho em feriado, ou fazer o acordo individual de banco de horas para gozar este dia em outro”, complementa o consultor da Confirp. Com isso as empresas se encontram mais uma vez em uma situação muito complexa e sem muita chance de se planejar diante de uma situação emergencial. Os especialistas alertam que esse tipo de ação e complexidade é fruto de uma falta de uma organização nacional sobre o tema, no qual as decisões são feitas de forma descoordenada, prejudicando quem atua na ponta que já é o mais prejudicado na crise. Mas o que fazer se tiver que trabalhar? Segundo o advogado trabalhista Mourival Boaventura Ribeiro, da Boaventura Ribeiro Advogados: “algumas empresas não irão aderir ao feriado em função da especificidade das atividades. Neste cenário, venho orientando-os a checar a norma coletiva para checar se existe previsão, posto que o artigo 611a da CLT, prevê a possibilidade de troca de feriados, não havendo, tenho recomendado a elaboração de termo com anuência dos funcionários”. Os dois especialistas na área concordam em um ponto, mais uma vez as empresas vivem uma situação inusitada, mas independentemente disso é preciso ter estratégia e suporte especializado nessa hora, minimizando os riscos existentes nesses casos.

Ler mais

10 passos para as empresas sobreviverem à crise atual

Muitos empresários estão desesperados com o momento que atravessando, buscando alternativas para seus negócios sobreviverem à diminuição de movimentação e vendas em função da crise gerada pelo coronavírus (COVID 19). Um fato é certo, as empresas que não se estruturarem imediatamente para esse momento terão muito mais chances de fechar as portas. “Ter planejamento e estratégias sempre é um diferencial para as empresas, mas isso se evidência ainda mais em períodos de crise como atual. Assim, se a empresa já projetou possíveis cenários para o futuro e estratégias, já deu um bom passo para sobrevivência. Caso ainda não tenha feito, ainda é tempo”, avalia o diretor executivo da Confirp Consultoria Contabil, Richard Domingos, especialista em gestão de empresas. Para que as empresas sobrevivam ao cenário atual, Richard Domingos elaborou dez passos para salvar uma empresa em época de CRISE! PLANEJAR CENÁRIOS Desenvolver um planejamento com base nas perspectivas de faturamento para os próximos seis meses, buscando no mínimo três cenários para adequação da empresa. Desses três cenários se deve escolher o mais provável e seguir com as ações, medindo a cada dia e semana se o cenário previsto está sendo realizado, e tomando ações a partir dessa medição. Ou seja, cada cenário deve propor gatilhos a serem acionados quando se chega a um patamar preestabelecido nesses marcadores. Planejar nesse momento é fundamental para diminuir erros ou a emoção na tomada de decisão. Tomar decisão sobre pressão já é um erro a ser corrigido. Outro ponto, estamos em um momento anormal e, portanto, as decisões a serem tomadas não devem ser normais. ADEQUAR PROCESSO PRODUTIVO E COMERCIAL Com base nos cenários levantados, promover o volume de produção para cada projeção ou cenário proposto (horas necessárias de mão de obra, matérias primas, mercadorias etc.). Isso vale tanto para empresas industriais e comerciais, como para prestadoras de serviços; ADEQUAÇÃO DOS CUSTOS E DESPESAS PARA A REALIDADE VIVIDA Com base nos cenários propostos, é evidente que os custos e despesas deverão ser revistos, mas isso deve ser feito de forma inteligente. Muitos contratos preveem multas ou prazos de aviso prévio, outros são essenciais ao processo produtivo. Deve-se entender quem são os fornecedores estratégicos, propor uma adequação momentânea com base nos cenários propostos para adequação dos gastos da empresa. Em vez de demitir funcionários sumariamente, entendido o volume de produção ou comercialização do cenário escolhido, pode-se alternativamente negociar a jornada de trabalho com redução de salário momentâneo, cancelar novas vagas ou não prorrogar contratos determinados. Tudo isso pode ser feito junto, além de queimar banco de horas e utilizar saldo de férias a serem gozadas. FORMALIZAÇÕES A EMPREGADOS E FORNECEDORES Definidas as ações que devem ser tomadas, é fundamental a formalização das negociações feitas. Isso vale para uma repactuação de jornada de trabalho, passando por aditamento de contratos e rescisões contratuais. É fundamental que tudo esteja bem detalhado para evitar processos futuros, reivindicando diferenças deixadas de serem pagas. RENEGOCIAÇÃO DE DÍVIDAS É fundamental adequar as dívidas e financiamentos da empresa para os cenários desenhados, buscando períodos de carência, redução de juros e extensão nos prazos de pagamento. PREPARAR-SE PARA MUDANÇA CONSTANTE Como diz o provérbio popular: “é preciso estar com um olho no peixe e outro no gato”. Não dá para prever o que vai acontecer, mas é possível medir diariamente para onde estamos indo e as metas estabelecidas. Essa leitura deve permitir uma visão de onde se está e onde se quer chegar, se as coisas continuarem da forma que está. Então, mudar é algo que não pode ser um desafio. ADMINISTRAÇÃO DO CAIXA Pior que vender é vender e não receber. O controle do caixa é fundamental nesse momento. A cobrança vira uma área fundamental na empresa. As negociações têm que ser rápidas para cortar fornecimento imediato em determinados casos que podem levar a empresa a sucumbir. Gestão de créditos e pagamentos é uma arte que tem que ser feita a todo instante. Não pagar algo não quer dizer que o “algo” deixou de existir. Muitas empresas financiarão tributos, mas não se pode deixar de lembrar que esses débitos continuam lá e uma hora terá que ser pago. Portanto, ainda que a estratégia seja manter no caixa esse dinheiro, ele deve ser separado do fluxo mensal para não o queimar em políticas de preço ou em despesas. TRANSPARÊNCIA COM TODOS OS COLABORADORES O empresário precisa ter um canal direto com todos os seus empregados para que todos saibam do que está acontecendo e o que se espera nesse momento. Mas essa não é uma missão que apenas o empresário precisa ter: agora é uma missão para todos. Portanto, é hora do RH agir com estratégia, baseado nas diretrizes montadas pela alta gestão. PRODUTOS, MERCADORIA E SERVIÇO DO MOMENTO Ter a sensibilidade do momento e do produto fornecido. Tem que se adequar rapidamente ao que o mercado busca e valoriza nesse momento de crise. De nada adianta produzir e comprar mercadoria para revenda, se ninguém vai comprar. Os produtos e serviços devem ser pensados e direcionados para linha de frente em momentos de crise. CONTROLE É fundamental ter controle: controle da operação, controle emocional e controle de tudo que puder nesse momento. É fato que com controle na mão a leitura do momento fica mais fácil, permitindo repensar os caminhos a serem adotados a cada instante.

Ler mais