Confirp Notícias

Sequestro de dados: é mais caro investir em segurança ou pagar o resgate?

Antes de falar sobre os riscos e custos relacionados a sequestro de dados, uma primeira questão a ser respondida é: o que é ransomware? Ransomware é um tipo de ataque cibernético, no qual é implantado um “malware”, que nada mais é do que um vírus, em servidores e máquinas ligadas à internet. Nesses tipos de ameaça, hackers jogam “iscas”, mais conhecidas como “Phishing”, enviados por e-mail e que, se abertos pela vítima, infectam a rede com o malware.

Por sua vez, ele age travando o acesso dos usuários ao banco de dados hospedados nas redes infectadas, culminando no sequestro dessas informações, que só são liberadas pelos criminosos mediante o pagamento de um resgate, que, geralmente, é em criptomoedas, que impedem o rastreamento dos responsáveis pelo ataque.

O que fazer se o sequestro de dados acontecer comigo?

Ao entender o funcionamento, o primeiro passo é ter um plano de ação para mitigar uma crise gerada por um ataque como esse, que geralmente acontece em fins de semanas ou feriados, exatamente por serem dias em que as respostas costumam demorar mais. Também é importante ter uma equipe de TI treinada para conter a crise e tentar recuperar as informações sequestradas sem a necessidade de pagamento do resgate, o que nem sempre é possível.

“Uma das recomendações é que sejam suspensos os trabalhos e manipulações dos arquivos contidos na rede infectada, pois toda e qualquer modificação e/ou exclusão de arquivos pode atrapalhar o diagnóstico dos erros, a investigação e uma eventual correção desses dados feitas pela equipe de suporte de TI”, explica Marco Lagoa, CEO e co-founder da Witec IT Solutions, empresa especializada em tecnologia.

Check-up periódico

Assim como se precisa fazer um check-up periódico para manter a saúde em dia, o diagnóstico de TI, mais conhecido como “GAP analysis”, tem a mesma finalidade, que é manter a tecnologia de sua empresa atualizada, garantindo o compliance em relação à legislação vigente, especificamente em relação à Lei Geral de Proteção de Dados (LGPD) e, principalmente, mantendo seu negócio seguro e evitando o sequestro de dados.

O CEO da Witec IT Solutions recomenda: “O ataque ransomware tem que ser tratado como um problema certo e iminente. Um dia ele vai acontecer e é só uma questão de quando e se sua empresa estará preparada ou não. Então, é muito importante ter os processos de resposta já mapeados e todos os seus backups em dia e com um tempo de restauração aceitável, sem que cause um prejuízo para a empresa. Além disso, dependendo da empresa e se as informações contidas no banco de dados são muito críticas e sensíveis, é fundamental ter uma apólice de seguro que possa cobrir eventuais prejuízos no caso de um ataque”.

Esse processo envolve ações de planejamento, levantamento e análise das informações e diagnóstico de possíveis erros ou falhas na segurança e recomendação de ações para uma melhoria constante.

Além de buscar ativamente a correção de possíveis falhas, ter um processo de “GAP Analysis” implementado em sua empresa irá trazer outras vantagens, como corrigir constantemente hardwares e softwares defasados e falhas na segurança digital. Também é preciso ter processos bem definidos, mapeamento de dados, maturidade da TI, políticas de segurança bem estabelecidas, senhas complexas, plano de continuidade e rotinas de backup off-site feitas em datas centers em nuvem. Atualmente, existem grandes players de mercado que podem oferecer esse serviço de forma segura e que cabe no bolso.

Melhor prevenir do que remediar

A velha máxima de que prevenir é melhor que remediar vale muito em relação a segurança das empresas. Exemplo de prevenção é a Confirp Consultoria Contábil, que vem investindo pesado na segurança de dados, por ser uma empresa de contabilidade e tratar de dados sensíveis de seus clientes.

“Nossa preocupação é muito grande com o tema segurança da informação e faz parte de nossa história, já investimos muitos milhões nessa área. Mas, atualmente, estamos em um processo de renovação de Firewall e construção de um site Disaster Recovery (DR)”, explica Júlio Rodrigues, diretor de tecnologia da Financeiro24Horas.com, empresa de tecnologia do Grupo Confirp.

Ele complementa que com esse processo, caso ocorra a invasão ou qualquer outro desastre que impossibilite o acesso aos servidores (ou site como chamam), outro espaço com os mesmos dados defasados por um período pré-determinado pela empresa assume, sem riscos de comprometimentos de informações graves.

Ainda nessa linha, empresas especializadas em segurança de redes e computadores explicam a necessidade das áreas de TI tomarem uma série de ações a fim de garantir que as soluções de segurança utilizadas possam prover o respaldo necessário à boa execução do trabalho dos colaboradores.

Dentre as ações recomendadas estão:

Utilizar uma solução de firewall com recursos de VPN, que permite bloquear ataques e acessos internos e externos indevidos;
Monitoramento dos acessos dos colaboradores a recursos externos à empresa, tais como sites, aplicativos e etc;
Proteção do computador, utilizando soluções de antivírus e EDR, que previnem a ação de códigos maliciosos para roubo e sequestro de dados;
Auditar e controlar a manipulação de documentos, evitando o vazamento de informações com uma solução de DLP;
Autenticação e autorização para acesso a recursos internos, como softwares de ERP, CRM, intranet, banco de dados e entre outros.

Um ponto importante é que em tempos que cresce o home office, é necessário que ajustes sejam feitos para manter o grau de segurança que eles possuíam quando estavam trabalhando localmente. Ou seja, os mesmos controles citados anteriormente devem ser mantidos e ações adicionais devem ser tomadas. Dentre elas as mais importantes são:

Adotar método de acesso aos recursos internos da empresa de forma segura, utilizando para isso recursos tecnológicos, como VPN com recurso para garantir acesso apenas de dispositivos confiáveis.;
Adotar duplo fator de autenticação para garantir a identificação do usuário;
Com o computador fora da empresa, a mesma não pode evitar roubos ou perdas. Para que as informações dentro do dispositivo não sejam comprometidas é necessário utilizar uma solução de criptografia de disco;
O comportamento do colaborador deve ser monitorado para que a empresa saiba se ele está em conformidade com a política de segurança da empresa, e também para saber se o mesmo está exercendo suas funções dentro do horário para o qual foi contratado, garantindo, assim, sua produtividade. Existem ferramentas voltadas à análise de comportamento de usuários;
A saúde do computador precisa ser monitorada constantemente para que a equipe técnica possa tomar ações de forma proativa.

Vale ressaltar que esses controles não devem ficar limitados ao computador (desktops e notebooks). Devem abranger dispositivos móveis, como smartphones, tablets e etc. Porém, o principal desafio da equipe de tecnologia e segurança da informação será definir processos adequados para um ambiente tão descentralizado.

Uma ação normalmente negligenciada pelas empresas é fornecer treinamentos de conscientização sobre Segurança da Informação a todos os colaboradores, promovendo uma mudança de hábito em todos a fim de permitir que não sejam mais vítimas fáceis de bandidos virtuais, passando a reconhecer sites, links maliciosos e atividades e atitudes suspeitas.

Fazer um backup em nuvem é mais barato do que pagar o resgate

Já ouviu falar em backup do backup? Pode soar estranho, mas isso existe e chama-se “backup redundante”. Essa é uma poderosa ferramenta que poderá te salvar de um eventual sequestro de dados. “Ter um backup reserva e sempre atualizado significa que, se o seu banco de dados for sequestrado, ao invés de ter que pagar o resgate para voltar a ter acesso às suas informações, é possível simplesmente restaurar as informações salvas no backup. Parece simples, mas uma parcela ínfima de empresas se preocupa com isso atualmente”, finaliza Marco Lagoa.

Seguros dos dados também é solução para não sofrer sequestro de dados

Uma alternativa importante para as empresas em relação ao tema é adquirir seguros, que garantam ressarcimentos em relação ao sequestro de dados. A sócia da Camillo Seguros, Cristina Camillo, explica que esses são os seguros de proteção de dados. Um exemplo é o CyberEdge da AIG, líder de mercado.

Ela conta que é fundamental que as empresas tenham controles de segurança estabelecidos para prevenir este tipo de ataque. Cyber segurança deve ser tratada como parte da estratégia de gerenciamento de riscos das empresas.

“Contudo, quando um ataque já se materializou, a companhia deve buscar assistência especializada para investigação e resposta ao incidente. Antes do evento, a companhia deve se preocupar em estabelecer controles de segurança coerentes com seu perfil de risco e segmento de atuação. O seguro é uma boa ferramenta para transferir o risco residual de um evento desta natureza se materializar”, finaliza Cristina Camillo.

Compartilhe este post:

Entre em contato!

Leia também:

Muda Cadastro de Obras de Construção Civil em São Paulo

A prefeitura de São Paulo estabeleceu os procedimentos para inscrição de obras no Cadastro de Obras de Construção Civil executadas no território do município de São Paulo e sobre o registro dos documentos fiscais relativos aos materiais incorporados ao imóvel e às subempreitadas já tributadas pelo ISS, por meio do Sistema Eletrônico da Construção Civil (SISCON), em relação aos serviços descritos nos subitens 7.02, 7.04, 7.05 e 7.15 da Lista de Serviços (veja quadro abaixo). As pessoas obrigadas ao Cadastro de Obras de Construção Civil deverão promover sua inscrição a partir de 16.11.2016. Resumo das alterações: Obras executadas no território do Município de São Paulo – Novos procedimentos para empresas de construção civil – Somente se houver dedução de materiais ou subempreitadas: 1) Sobre o “Cadastro de Obras de Construção Civil” na PMSP: a)A inscrição da obra no “Cadastro de Obras de Construção Civil” já pode ser feita desde 16/11/2016 (IN SF/SUREM nº 24/2016, art. 3º, c/c art. 12, inciso I). b) Somente será obrigatória a indicação do número do “Cadastro de Obras” nas NFTS, e nas NFS-e emitidas pelos subempreiteiros a partir de 1º.02.2017 (IN SF/SUREM nº 24/2016, art. 7º, c/c art. 12, inciso II). 2) Sobre o SISCON (Sistema Eletrônico da Construção Civil) e o preenchimento das NFS-e: a) A partir de 1°.04.2017, caberá ao prestador de serviços,antes da emissão da NFS-e informar no SISCON os documentos fiscais que comprovem as deduções de (IN SF/SUREM nº 24/2016, art. 6º, I, c/c art. 12, III): a.1) subempreitadas já tributadas pelo ISS; a.2) materiais incorporados ao imóvel, com a identificação do número do Cadastro de Obras de Construção Civil. b) A partir de 1°.04.2017caberá ao prestador de serviços emitir a NFS-e para os serviços prestados (IN SF/SUREM nº 24/2016, art. 6º, II, c/c art. 12, III): b.1) informando o número de inscrição do Cadastro de Obras de Construção Civil; b.2) selecionando os documentos fiscais tratados na letra “a” acima (NF de subempreitada e materiais) e os respectivos valores de dedução. Importante: O cadastramento das obras de construção civil somente será obrigatório se nelas forem prestados os serviços de construção civil sujeitos às deduções de subempreitadas e materiais (previstas no artigo 31, inciso I, do Decreto 53.151/2012). Caso não haja dedução de materiais e/ou subempreitadas, não é necessário o Cadastro da Obra nem os procedimentos abaixo relacionados. Cadastro de obras de construção civil As obras de construção civil serão identificadas, para efeitos fiscais, pelo respectivo número do Cadastro de Obras de Construção Civil. A inscrição da obra no Cadastro de Obras de Construção Civil deverá ser promovida por uma das seguintes pessoas: a) responsável pela obra; b) sujeito passivo do IPTU referente ao imóvel objeto do serviço; c) representante autorizado por um dos sujeitos referidos nas letras “a” e “b” acima. O Cadastro de Obras de Construção Civil será formado pelos seguintes dados: I – identificação do declarante; II – data de início da obra; III – tipo de obra: construção, reforma ou demolição; IV – endereço da obra; V – número da inscrição no Cadastro Imobiliário Fiscal ou número do Certificado de Cadastro de Imóvel Rural – CCIR, emitido pelo Instituto Nacional de Colonização e Reforma Agrária – INCRA; VI – número da matrícula no Cadastro Específico do INSS – CEI; VII – enquadramento da obra como Habitação de Interesse Social – HIS, se caso; VIII – enquadramento da obra no Programa Minha Casa, Minha Vida – PMCMV, se caso; IX – número do alvará ou do processo administrativo que fundamentou a construção, reforma ou demolição; X – obra realizada por meio de consórcio de construção civil, se caso, XI – outras informações descritas no “Manual Cadastro de Obras de Construção Civil” (link). Sistema Eletrônico da Construção Civil – SISCON O SISCON destina-se ao registro dos documentos fiscais relativos aos materiais incorporados ao imóvel e às subempreitadas já tributadas pelo ISS, nos termos do disposto no art. 31 do Regulamento do ISS. Caberá ao prestador de serviços: I – previamente à emissão da NFS-e informar, no SISCON, os documentos fiscais que comprovem as deduções de: a)subempreitadas já tributadas pelo ISS; b)materiais incorporados ao imóvel, com a identificação do número de inscrição no Cadastro de Obras de Construção Civil. II – emitir a NFS-e para os serviços prestados: a)informando o número de inscrição da obra no Cadastro de Obras de Construção Civil; b)selecionando os documentos fiscais tratados no inciso I e as respectivas parcelas de dedução. Da emissão da nota fiscal de tomador de serviço (NFTS) A emissão da Nota Fiscal Eletrônica do Tomador/Intermediário de Serviços – NFTS, com base em documento comprobatório da prestação de serviços, e a emissão da NFS-e pelos subempreiteiros deverão ser realizadas com a identificação do número de inscrição no Cadastro de Obras de Construção Civil. Somente poderão ser registradas no SISCON as subempreitadas devidamente representadas por NFS-e ou NFTS emitidas em conformidade com essas novas regras. Excepcionalmente, as NFS-e e NFTS de subempreitadas emitidas antes de 1º/02/2017 poderão ser registradas no SISCON sem a identificação do número de inscrição no Cadastro de Obras de Construção Civil. Os documentos comprobatórios utilizados no registro dos materiais dedutíveis e na emissão da NFTS devem permanecer arquivados à disposição da administração tributária até que tenha transcorrido o prazo decadencial ou prescricional. O que NÃO pode ser deduzido? De acordo com o artigo 31, § 6°, do Regulamento do ISS-SP/2012 (Decreto nº 53.151/2012) e com base nas “Planilhas de Fiscalização” da Prefeitura de São Paulo, não são dedutíveis as notas fiscais com as seguintes características: Nota Fiscal que não conste o local da obra; Nota Fiscal emitida com data posterior à data da emissão da NFS-e; Nota Fiscal irregular (material) – ex.: nota ao consumidor; Material que não se agrega à obra (exs.: divisórias, persianas, ar-condicionado, carpetes, instalações de equipamentos de informáica etc.); Ferramentas, equipamentos de proteção, andaimes; Fretes, carretos, insumos; Locação de máquinas, equipamentos, caçambas e outros; Nota Fiscal irregular (subempreitada) – ex.: empresa de fora do município sem NFTS; Nota Fiscal de Serviços não dedutíveis (todos aqueles não enquadrados no itens 7.02, 7.04, 7.05 e 7.15); NFS-e ou NFTS sem indicação dosdocumentos fiscais que comprovem as deduções de materiais e subempreitadase sem informação do número do Cadastro da Obra. Os subitens acima da Lista de Serviços correspondem a: Subitem

Ler mais

Mudanças no PIS/Cofins poderá trazer demissões

Em matéria veiculada no SBT Brasil no último dia 25 de agosto, o diretor executivo da Confirp Consultoria Contábil, Richard Domingos fez uma dura análise sobre os possíveis impactos de mudanças na contribuição do PIS/Cofins que estão sendo especuladas pelo Governo Federal. Veja matéria sobre o PIS/Cofins na íntegra no Portal do SBT Segundo a reportagem: “Pela proposta, que ainda não foi enviada ao Congresso, o PIS e a Cofins dariam lugar à Contribuição para a seguridade Social (CSS). As empresas que pagam imposto tendo como base o lucro presumido sairiam de uma alíquota de 3,65% para 9,25%. De acordo com um estudo do Instituto Brasileiro de Planejamento e Tributação, o Governo Federal deve aumentar a arrecadação anual em até 50 bilhões de reais com a unificação dos impostos”. Segundo Domingos, os impactos dessa alteração de alíquota, da forma com que foi apresentada poderão ser devastadores para empresas, isso porque tornarão ainda mais pesada a carga tributária, podendo ocasionar fechamentos e até mesmo aumento da inadimplência. “O aumento da carga tributária fará com que algumas empresas ou demitam funcionários ou até deixem de pagar impostos”, afirmou na reportagem. A Receita Federal se defende afirmando que a proposta está sendo elaborada com o objetivo de simplificar o sistema tributário e resultar na manutenção da arrecadação desses tributos nos níveis atuais. De acordo com o órgão, a formulação leva em conta quatro princípios debatidos com vários setores econômicos, entidades representativas e parlamentares: simplificação, neutralidade econômica, ajustamento de regimes diferenciados (reduzir ou eliminar incentivos a determinados setores) e isonomia no tratamento a pequenas empresas. Contudo, enquanto não houver esclarecimentos dessas medidas por parte do Governo e apresentação efetiva da proposta, o que se tem por meio de cálculos do Instituto Brasileiro de Planejamento e Tributação é que mais uma vez que será onerado será o empresário.

Ler mais

Simples Nacional: resultado final das solicitações de opção

Para opção pelo Simples Nacional em 2020, foram realizadas 674.474 solicitações, sendo 218.266 deferidas, 54.299 canceladas pelo próprio contribuinte e 401.909 serão processadas, sendo o resultado final previsto para ser divulgado no dia 13/02. As solicitações que não possuírem pendências terão o seu pedido deferido, passando a empresa a ser optante pelo regime a partir de 01/01/2020. Aquelas que possuírem pendências com um ou mais de um ente federado (União, Estado, Distrito Federal e Municípios) terão seus pedidos indeferidos, somente podendo realizar nova opção em Janeiro do próximo ano. Os Termos de Indeferimento serão emitidos pela administração tributária de cada ente federativo que identificou a existência da pendência. O termo relativo a pendências na Secretaria Especial da Receita Federal do Brasil (RFB) ou na Procuradoria-Geral da Fazenda Nacional será emitido pela RFB e encaminhado por meio do Domicílio Tributário Eletrônico do Simples Nacional (DTE-SN) ou poderá ser consultado na funcionalidade de acompanhamento a partir do dia 13 de fevereiro de 2020. Com informações da Assessoria de Imprensa da Receita Federal do Brasil

Ler mais

Dinheiro extra – Declarar Imposto de Renda (DIRPF) sem ser obrigado pode garantir restituição

No início de março iniciou o período de entrega da Declaração de Imposto de Renda Pessoa Física (DIRPF), que pode causar muitas preocupações para os contribuintes. Contudo, o que poucos sabem, é que pode ser interessante declarar mesmo não estando enquadrado nos casos de obrigatoriedade, isso quando ocorrem retenções que podem ser restituídas. Assim, apesar da grande maioria dos contribuintes detestarem a ideia de ter que elaborar a DIRPF 2023 (ano base 2022), a entrega poderá garantir uma renda extra. “Muitas vezes os contribuintes tiveram valores tributados, com isso se torna interessante a apresentação da declaração, pois pegarão esses valores de volta como restituição, reajustados pela Taxa de Juros Selic“, explica Richard Domingos, diretor executivo da Confirp Consultoria Contábil. Entenda melhor O contribuinte que recebeu rendimentos tributáveis cuja soma ficou abaixo da faixa de corte da receita (R$ 28.559,70) deve levar em conta se teve Imposto de Renda (DIRPF) Retido na Fonte por algum motivo, caso isso ocorra, possivelmente ele poderá ter verbas de restituição. Um exemplo de como isto pode ocorrer é quando a pessoa recebe um valor mais alto em função de férias, outro caso pode ser o recebimento de valores relativos à rescisão trabalhista, ele pode observar isto em seu informe de rendimento. Outro caso é o contribuinte que trabalhou por três meses em uma empresa com retenção na fonte, esse não atingiu o valor mínimo para declarar, entretanto, terá valores a restituir. “Caso o contribuinte não declare, perderá um valor que é dele por direito, sendo que o governo não lhe repassará mais este dinheiro. O caso mais comum são pessoas que perderam emprego ou iniciaram em um novo no meio do período e que tiveram retenção na fonte no período“, explica o diretor da Confirp. Outros casos que são interessantes declarar Também é interessante o contribuinte apresentar a contribuição, mesmo não sendo obrigado, quando guardou dinheiro para realizar uma compra relevante, como a de um imóvel. Isso faz com que ele tenha uma grande variação patrimonial, o que pode fazer com que o Governo coloque em suspeita o fato de não haver declaração, colocando o contribuinte na malha fina. Como declarar? Sobre com declarar, segundo os especialistas da Confirp, o contribuinte deverá baixar e preencher o programa do DIRPF 2023 no site da Receita Federal [https://www.gov.br/receitafederal/pt-br]. Poderá ser feito o envio da declaração completa ou simplificada. A melhor opção dependerá da comparação entre o desconto simplificado que substitui as deduções legais e corresponde a 20% do total dos rendimentos tributáveis. Após o preenchimento da declaração com as informações, verifique no Menu “Opção pela Tributação” qual a melhor forma para apresentação. Dentre as despesas que podem ser restituídas estão: Contribuições para a Previdência Social da União, dos Estados, do Distrito Federal e dos Municípios; Despesas médicas ou de hospitalização, os pagamentos efetuados a médicos de qualquer especialidade, dentistas, psicólogos, fisioterapeutas, terapeutas ocupacionais, fonoaudiólogos, hospitais, e as despesas provenientes de exames laboratoriais, serviços radiológicos, aparelhos ortopédicos e próteses ortopédicas e dentárias; Previdência Privada [PGBL] cujo limite será de 12% do total dos rendimentos tributáveis no ano; Importâncias pagas em dinheiro a título de pensão alimentícia em face das normas do Direito de Família, quando em cumprimento de decisão judicial ou acordo homologado judicialmente ou por escritura pública, inclusive a prestação de alimentos provisionais; Despesas escrituradas em livro caixa, quando permitidas; Dependentes Despesas pagas com instrução (educação) do contribuinte, de alimentandos em virtude de decisão judicial e de seus dependentes; Despesas com aparelhos ortopédicos e próteses ortopédicas pernas e braços mecânicos, cadeiras de rodas, andadores ortopédicos, palmilhas e calçados ortopédicos, e qualquer outro aparelho ortopédico destinado à correção de desvio de coluna ou defeitos dos membros ou das articulações; Seguro saúde e planos de assistências médicas e odontológicas.

Ler mais