escritorio contabilidade sao paulo

Confirp Notícias

Sequestro de dados: é mais caro investir em segurança ou pagar o resgate?

Antes de falar sobre os riscos e custos relacionados a sequestro de dados, uma primeira questão a ser respondida é: o que é ransomware? Ransomware é um tipo de ataque cibernético, no qual é implantado um “malware”, que nada mais é do que um vírus, em servidores e máquinas ligadas à internet. Nesses tipos de ameaça, hackers jogam “iscas”, mais conhecidas como “Phishing”, enviados por e-mail e que, se abertos pela vítima, infectam a rede com o malware.

Por sua vez, ele age travando o acesso dos usuários ao banco de dados hospedados nas redes infectadas, culminando no sequestro dessas informações, que só são liberadas pelos criminosos mediante o pagamento de um resgate, que, geralmente, é em criptomoedas, que impedem o rastreamento dos responsáveis pelo ataque.

O que fazer se o sequestro de dados acontecer comigo?

Ao entender o funcionamento, o primeiro passo é ter um plano de ação para mitigar uma crise gerada por um ataque como esse, que geralmente acontece em fins de semanas ou feriados, exatamente por serem dias em que as respostas costumam demorar mais. Também é importante ter uma equipe de TI treinada para conter a crise e tentar recuperar as informações sequestradas sem a necessidade de pagamento do resgate, o que nem sempre é possível.

“Uma das recomendações é que sejam suspensos os trabalhos e manipulações dos arquivos contidos na rede infectada, pois toda e qualquer modificação e/ou exclusão de arquivos pode atrapalhar o diagnóstico dos erros, a investigação e uma eventual correção desses dados feitas pela equipe de suporte de TI”, explica Marco Lagoa, CEO e co-founder da Witec IT Solutions, empresa especializada em tecnologia.

Check-up periódico

Assim como se precisa fazer um check-up periódico para manter a saúde em dia, o diagnóstico de TI, mais conhecido como “GAP analysis”, tem a mesma finalidade, que é manter a tecnologia de sua empresa atualizada, garantindo o compliance em relação à legislação vigente, especificamente em relação à Lei Geral de Proteção de Dados (LGPD) e, principalmente, mantendo seu negócio seguro e evitando o sequestro de dados.

O CEO da Witec IT Solutions recomenda: “O ataque ransomware tem que ser tratado como um problema certo e iminente. Um dia ele vai acontecer e é só uma questão de quando e se sua empresa estará preparada ou não. Então, é muito importante ter os processos de resposta já mapeados e todos os seus backups em dia e com um tempo de restauração aceitável, sem que cause um prejuízo para a empresa. Além disso, dependendo da empresa e se as informações contidas no banco de dados são muito críticas e sensíveis, é fundamental ter uma apólice de seguro que possa cobrir eventuais prejuízos no caso de um ataque”.

Esse processo envolve ações de planejamento, levantamento e análise das informações e diagnóstico de possíveis erros ou falhas na segurança e recomendação de ações para uma melhoria constante.

Além de buscar ativamente a correção de possíveis falhas, ter um processo de “GAP Analysis” implementado em sua empresa irá trazer outras vantagens, como corrigir constantemente hardwares e softwares defasados e falhas na segurança digital. Também é preciso ter processos bem definidos, mapeamento de dados, maturidade da TI, políticas de segurança bem estabelecidas, senhas complexas, plano de continuidade e rotinas de backup off-site feitas em datas centers em nuvem. Atualmente, existem grandes players de mercado que podem oferecer esse serviço de forma segura e que cabe no bolso. 

Melhor prevenir do que remediar

A velha máxima de que prevenir é melhor que remediar vale muito em relação a segurança das empresas. Exemplo de prevenção é a Confirp Consultoria Contábil, que vem investindo pesado na segurança de dados, por ser uma empresa de contabilidade e tratar de dados sensíveis de seus clientes.

“Nossa preocupação é muito grande com o tema segurança da informação e faz parte de nossa história, já investimos muitos milhões nessa área. Mas, atualmente, estamos em um processo de renovação de Firewall e construção de um site Disaster Recovery (DR)”, explica Júlio Rodrigues, diretor de tecnologia da Financeiro24Horas.com, empresa de tecnologia do Grupo Confirp.

Ele complementa que com esse processo, caso ocorra a invasão ou qualquer outro desastre que impossibilite o acesso aos servidores (ou site como chamam), outro espaço com os mesmos dados defasados por um período pré-determinado pela empresa assume, sem riscos de comprometimentos de informações graves.

Ainda nessa linha, empresas especializadas em segurança de redes e computadores explicam a necessidade das áreas de TI tomarem uma série de ações a fim de garantir que as soluções de segurança utilizadas possam prover o respaldo necessário à boa execução do trabalho dos colaboradores.

Dentre as ações recomendadas estão:

  • Utilizar uma solução de firewall com recursos de VPN, que permite bloquear ataques e acessos internos e externos indevidos;
  • Monitoramento dos acessos dos colaboradores a recursos externos à empresa, tais como sites, aplicativos e etc;
  • Proteção do computador, utilizando soluções de antivírus e EDR, que previnem a ação de códigos maliciosos para roubo e sequestro de dados;
  • Auditar e controlar a manipulação de documentos, evitando o vazamento de informações com uma solução de DLP;
  • Autenticação e autorização para acesso a recursos internos, como softwares de ERP, CRM, intranet, banco de dados e entre outros.

Um ponto importante é que em tempos que cresce o home office, é necessário que ajustes sejam feitos para manter o grau de segurança que eles possuíam quando estavam trabalhando localmente. Ou seja, os mesmos controles citados anteriormente devem ser mantidos e ações adicionais devem ser tomadas. Dentre elas as mais importantes são:

  • Adotar método de acesso aos recursos internos da empresa de forma segura, utilizando para isso recursos tecnológicos, como VPN com recurso para garantir acesso apenas de dispositivos confiáveis.;
  • Adotar duplo fator de autenticação para garantir a identificação do usuário;
  • Com o computador fora da empresa, a mesma não pode evitar roubos ou perdas. Para que as informações dentro do dispositivo não sejam comprometidas é necessário utilizar uma solução de criptografia de disco;
  • O comportamento do colaborador deve ser monitorado para que a empresa saiba se ele está em conformidade com a política de segurança da empresa, e também para saber se o mesmo está exercendo suas funções dentro do horário para o qual foi contratado, garantindo, assim, sua produtividade. Existem ferramentas voltadas à análise de comportamento de usuários;
  • A saúde do computador precisa ser monitorada constantemente para que a equipe técnica possa tomar ações de forma proativa.

Vale ressaltar que esses controles não devem ficar limitados ao computador (desktops e notebooks). Devem abranger dispositivos móveis, como smartphones, tablets e etc. Porém, o principal desafio da equipe de tecnologia e segurança da informação será definir processos adequados para um ambiente tão descentralizado.

Uma ação normalmente negligenciada pelas empresas é fornecer treinamentos de conscientização sobre Segurança da Informação a todos os colaboradores, promovendo uma mudança de hábito em todos a fim de permitir que não sejam mais vítimas fáceis de bandidos virtuais, passando a reconhecer sites, links maliciosos e atividades e atitudes suspeitas.

Fazer um backup em nuvem é mais barato do que pagar o resgate

Já ouviu falar em backup do backup? Pode soar estranho, mas isso existe e chama-se “backup redundante”. Essa é uma poderosa ferramenta que poderá te salvar de um eventual sequestro de dados. “Ter um backup reserva e sempre atualizado significa que, se o seu banco de dados for sequestrado, ao invés de ter que pagar o resgate para voltar a ter acesso às suas informações, é possível simplesmente restaurar as informações salvas no backup. Parece simples, mas uma parcela ínfima de empresas se preocupa com isso atualmente”, finaliza Marco Lagoa.

Seguros dos dados também é solução para não sofrer sequestro de dados

Uma alternativa importante para as empresas em relação ao tema é adquirir seguros, que garantam ressarcimentos em relação ao sequestro de dados. A sócia da Camillo Seguros, Cristina Camillo, explica que esses são os seguros de proteção de dados. Um exemplo é o CyberEdge da AIG, líder de mercado.

Ela conta que é fundamental que as empresas tenham controles de segurança estabelecidos para prevenir este tipo de ataque. Cyber segurança deve ser tratada como parte da estratégia de gerenciamento de riscos das empresas. 

“Contudo, quando um ataque já se materializou, a companhia deve buscar assistência especializada para investigação e resposta ao incidente. Antes do evento, a companhia deve se preocupar em estabelecer controles de segurança coerentes com seu perfil de risco e segmento de atuação. O seguro é uma boa ferramenta para transferir o risco residual de um evento desta natureza se materializar”, finaliza Cristina Camillo.

Compartilhe este post:

Sequestro de dados saiba mais

Entre em contato!

Leia também:

side view male hacker with gloves laptop

Golpe da restituição de Imposto de Renda e malha fina – veja como evitar

Novamente temos uma fraude de ocasião na praça, agora é a vez dos golpistas utilizarem a restituição de Imposto de Renda Pessoa Física 2022 ou malha fina como isca para roubar dados ou mesmo dinheiro das pessoas. Interessante observar que esse golpe começou mesmo antes do fim do prazo da entrega dessa declaração, mas tem se intensificado. “Mais uma vez os criminosos se aproveitam do desconhecimento e da vontade de receber ganhos extras, nesse caso dos contribuintes que anualmente tem parte dos ganhos retidos pela Receita Federal. Eles prometem simplicidade na obtenção do dinheiro e celeridade, é uma armadilha bem tentadora”, afirma o advogado especialista em fraudes, Afonso Morais, CEO da Morais Advogados Associados. Na maioria dos casos os golpistas enviam um link malicioso por e-mail, SMS, WhatsApp e Telegram para os contribuintes. O assunto da mensagem pode ser “Saque Imediato” ou alguma outra vertente do tema. Dentro da mensagem uma mensagem genérica busca atrair o o usuário à clicar no link , que pode ser “Chave de Acesso”. Esse link geralmente é malicioso, comprometendo a máquina utilizada com um vírus. “Lógico que existem outras vertentes desse crime relacionado a restituição de imposto de renda, existindo até mesmo pessoas e empresas que prometem antecipar o valor sem garantias o que faz com que o contribuinte aceite criando uma grande dívida ou mesmo tendo que pagar para receber o valor. São muitos os roteiros para enganar a população”, alerta Afonso Morais. Em relação ao tema, o diretor executivo da Confirp Consultoria Contábil, Richard Domingos, explica que hoje o sistema da Receita Federal é muito avançado e o acesso a praticamente todos os dados é feito por meio de login se senha.   “O caminho correto para obtenção é no Portal e-CAC, com acesso seguro por meio do Gov . br ou por certificado digital. A Receita Federal não envia esse tipo de mensagens para as pessoas. Além de mensagens de restituição, também é importante ficar atento às mensagens que falam que caiu na malha fina ou que existem débitos. São muitas as fraudes relacionadas ao tema atualmente”, explica Richard Domingos.   Também é importante saber que o procedimento da restituição não envolve envio por e-mail, SMS ou qualquer outra ferramenta. Em relação a antecipações de valores também é ficar atento. “Sempre que se busca por linhas de crédito é fundamental que se busco por instituições registradas pelo Banco Central. É fundamental checar o histórico das instituições. Duvide sempre de ‘oportunidade únicas’ e sempre avalie muito bem quanto terá que pagar e as taxas envolvidas nesse tipo de negociação”, explica Afonso Morais. Outro ponto de alerta é que não se deve enviar nunca dados para terceiros ou por meio de mensagens. A Receita irá depositar as restituições diretamente na conta bancária informada no ato de entrega da declaração do Imposto de Renda.  

Ler mais

Alteração dos prazos de envio de eventos ao eSocial

Os eventos não periódicos e periódicos possuem um prazo “geral” estabelecido no Manual de Orientação do eSocial – MOS, respectivamente nos itens 9.4 e 9.6.1: o dia 7 do mês subsequente ao mês de referência do evento. Esse prazo se repete para cada um dos eventos em que é aplicável, no item “Prazo de envio”, como por exemplo: S-1200, S-1210, S-1299, S-2205, S-2206, etc. Contudo, durante o período de implantação do eSocial, o prazo de envio desses eventos será dilatado, passado para o dia 15 (quinze) do mês subsequente ao de referência do evento, iniciando-se na competência maio/2019, cujo vencimento passará para o dia 15/06/2019. Entende-se por período de implantação, para fins da alteração do prazo geral de envio dos eventos para o dia 15, as competências nas quais o empregador/contribuinte já está obrigado ao eSocial, enquanto não houver a substituição da GFIP como forma de recolhimento do FGTS. Na primeira competência em que o recolhimento do FGTS se fizer pela nova guia GRFGTS, o prazo retornará ao definido no MOS: dia 7. A alteração em questão refere-se, tão somente, ao prazo de envio dos eventos ao eSocial e não impacta o vencimento de qualquer tributo, contribuição ou depósito ao FGTS, cujos vencimentos permanecem aqueles definidos em lei (por exemplo, o prazo de recolhimento do FGTS mensal mantém-se no dia 7 do mês seguinte ao da competência, antecipando-se no caso de o vencimento cair em dia não útil). Os empregadores deverão observar os prazos legais de vencimento inclusive durante o período de implantação do eSocial. EXCEÇÕES Excetuam-se da regra geral todos os prazos especiais previstos no MOS, que já eram estipulados com vencimento próprio. Por exemplo, o evento de admissão (S-2200 ou S2190) deverá ser informado até o dia anterior ao do início da prestação dos serviços; deverão ser observados os prazos dos eventos de afastamentos por doença (S-2230); e o prazo para o envio do desligamento (S-2299) permanece até o décimo dia após a data da rescisão. No caso dos eventos de remuneração e de fechamento de folha, excetua-se da regra geral de prazo o evento referente ao período de apuração anual (13º salário), caso em que deve ser transmitido até o dia 20 do mês de dezembro do ano a que se refere. Nos dois casos, antecipa-se o vencimento para o dia útil imediatamente anterior quando não houver expediente bancário. Os prazos para os eventos de tabela, embora não tenham vencimento fixado, acompanham os eventos aos quais se relacionam. Por exemplo, o evento S-1005 deve ser enviado antes do S-2200 e do S-1200 que o referenciam; por sua vez, o S-1200 deve ser enviado antes do fechamento da folha (S-1299). Desta forma, os prazos para os eventos de tabela também estão modificados, ainda que de forma reflexa. A alteração do prazo também não atinge os empregadores domésticos, uma vez que a guia de recolhimento (DAE) é emitida com vencimento que obedece aos prazos de recolhimento do FGTS, Contribuição Social e retenção do Imposto de Renda. Mantém-se o vencimento no dia 07 do mês seguinte ao da competência (ou dia útil imediatamente anterior, quando não houver expediente bancário), o que será espelhado no DAE. Fonte – Portal eSocial

Ler mais
Imposto de renda

Orçamento de 2018 não prevê correção da tabela do IRPF, informa Receita

Pelo que tudo indica, ainda não será neste ano que haverá o reajuste da tabela do IRPF, proporcionando assim que mais pessoas sejam obrigadas a realizar a declaração de imposto de renda. Pelo menos é o que indica o orçamento aprovado para 2018. Faça seu IRPF com a Confirp! Sem correção há três anos, a tabela do Imposto de Renda Pessoa Física (IRPF) passará mais um ano sem reajuste, informou hoje (11) a Receita Federal. Para este ano, a faixa de isenção continuará em vigor apenas para quem recebe até R$ 1.903,98. De acordo com cálculos do Sindicato Nacional dos Auditores Fiscais da Receita Nacional (Sindifisco Nacional), se a correção pela inflação oficial pelo Índice Nacional de Preços ao Consumidor Amplo (IPCA) tivesse sido aplicada todos os anos, a defasagem acumulada da tabela do Imposto de Renda entre 1996 e 2017 não teria chegado a 88,4%. De acordo com o Sindifisco Nacional, se toda a defasagem tivesse sido reposta, a faixa de isenção para o Imposto de Renda seria aplicada para quem ganha até R$ 3.556,56. O desconto por dependente subiria de R$ 2.275,08 para R$ 4.286,28 por ano. O valor deduzido com gastos de educação chegaria a R$ 6.709,90, contra R$ 3.561,50 atualmente. Em nota, o Sindifisco Nacional informou que a defasagem de quase 90% da tabela do Imposto de Renda achata a renda do trabalhador. “Se a faixa de isenção atual chega aos contribuintes que ganham até R$ 1.903,98, corrigida, livraria todo assalariado que ganha até R$ 3.556,56 de reter imposto na fonte. Representa dizer que essa diferença de R$ 1.652,58 pune as camadas de mais baixa renda. Importante lembrar que a tabela do IRPF não é reajustada desde 2016 [ano-base 2015]”, destacou a entidade. Para a entidade, o achatamento só não foi maior porque o IPCA de 2017 ficou em 2,95%, um dos valores mais baixos em 20 anos. A Receita informou que não comentará os cálculos do Sindifisco Nacional. Com informações de Wellton Máximo – Repórter da Agência Brasil.  

Ler mais
eSocial

eSocial – Novas Mudanças no Cronograma

 No mês de junho, mais uma vez, o cronograma do eSocial sofreu alterações em sua implantação para algumas empresas. Com isso, ocorreram alterações para diversas empresas, como a do chamado GRUPO 1, que faturaram em 2016 acima de R$ 78 milhões são as que estão mais avançadas nas fases de implantação. Essas, por exemplo, tiveram a alteração do recolhimento a Guia da Previdência Social – GPS que passou agora para abril/2019 pelo DARF gerado pelo DCTFWeb, centralizando nele o recolhimento do INSS sobre a folha de pagamento, serviços tomados e a compensação de retenção de INSS sobre as notas fiscais, o salário família e maternidade. A próxima mudança expressiva que acontecerá para esse grupo será a substituição da Guia de Recolhimento do FGTS e Informações à Previdência Social– GFIP e da Guia de Recolhiento Rescisório do FGTS – GRRF, a partir da competência agosto/2019. As empresas com faturamento inferior a R$ 78 milhões e não enquadradas como Simples Nacional, do chamado GRUPO 2 já estão enviando as informações da folha de pagamento ao eSocial desde janeiro/2019 e aquelas que faturaram acima de R$ 4,8 milhões em 2016 também tiveram a substituição da GPS pelo DARF do DCTFWeb. A próxima alteração que ocorrerá será a substituição da GPS para as demais empresas deste grupo (faturamento inferior a R$ 4,8 milhoes) que acontecerá em outubro/2019 para recolhimento em novembro/2019, e por fim a substituição da GFIP e GRRF que acontecerá na competência novembro/2019. Empresas optantes pelo Simples Nacional Essas empresas que são do GRUPO 3 iniciaram o envio das informações ao eSocial como cadastro da empresa em janeiro/2019 e dos vínculos (empregados, sócios e estagiários) e suas alterações a partir de abril/2019. Já a folha de pagamento que teria seu envio pelo eSocial a partir da competência JULHO/2019 foi prorrogado para 2020. Veja abaixo detalhes do cronograma do eSocial, que foi publicada pela portaria nº 716 de 04 de julho de 2019 – D.O.U. 05/07/2019:

Ler mais
Solicite sua
Proposta
CONFIRP
Visão geral de privacidade

Este site usa cookies para que possamos oferecer a melhor experiência de usuário possível. As informações de cookies são armazenadas em seu navegador e executam funções como reconhecê-lo quando você retorna ao nosso site e ajudar nossa equipe a entender quais seções do site você considera mais interessantes e úteis.