Confirp Notícias

Sequestro de dados: é mais caro investir em segurança ou pagar o resgate?

Antes de falar sobre os riscos e custos relacionados a sequestro de dados, uma primeira questão a ser respondida é: o que é ransomware? Ransomware é um tipo de ataque cibernético, no qual é implantado um “malware”, que nada mais é do que um vírus, em servidores e máquinas ligadas à internet. Nesses tipos de ameaça, hackers jogam “iscas”, mais conhecidas como “Phishing”, enviados por e-mail e que, se abertos pela vítima, infectam a rede com o malware.

Por sua vez, ele age travando o acesso dos usuários ao banco de dados hospedados nas redes infectadas, culminando no sequestro dessas informações, que só são liberadas pelos criminosos mediante o pagamento de um resgate, que, geralmente, é em criptomoedas, que impedem o rastreamento dos responsáveis pelo ataque.

O que fazer se o sequestro de dados acontecer comigo?

Ao entender o funcionamento, o primeiro passo é ter um plano de ação para mitigar uma crise gerada por um ataque como esse, que geralmente acontece em fins de semanas ou feriados, exatamente por serem dias em que as respostas costumam demorar mais. Também é importante ter uma equipe de TI treinada para conter a crise e tentar recuperar as informações sequestradas sem a necessidade de pagamento do resgate, o que nem sempre é possível.

“Uma das recomendações é que sejam suspensos os trabalhos e manipulações dos arquivos contidos na rede infectada, pois toda e qualquer modificação e/ou exclusão de arquivos pode atrapalhar o diagnóstico dos erros, a investigação e uma eventual correção desses dados feitas pela equipe de suporte de TI”, explica Marco Lagoa, CEO e co-founder da Witec IT Solutions, empresa especializada em tecnologia.

Check-up periódico

Assim como se precisa fazer um check-up periódico para manter a saúde em dia, o diagnóstico de TI, mais conhecido como “GAP analysis”, tem a mesma finalidade, que é manter a tecnologia de sua empresa atualizada, garantindo o compliance em relação à legislação vigente, especificamente em relação à Lei Geral de Proteção de Dados (LGPD) e, principalmente, mantendo seu negócio seguro e evitando o sequestro de dados.

O CEO da Witec IT Solutions recomenda: “O ataque ransomware tem que ser tratado como um problema certo e iminente. Um dia ele vai acontecer e é só uma questão de quando e se sua empresa estará preparada ou não. Então, é muito importante ter os processos de resposta já mapeados e todos os seus backups em dia e com um tempo de restauração aceitável, sem que cause um prejuízo para a empresa. Além disso, dependendo da empresa e se as informações contidas no banco de dados são muito críticas e sensíveis, é fundamental ter uma apólice de seguro que possa cobrir eventuais prejuízos no caso de um ataque”.

Esse processo envolve ações de planejamento, levantamento e análise das informações e diagnóstico de possíveis erros ou falhas na segurança e recomendação de ações para uma melhoria constante.

Além de buscar ativamente a correção de possíveis falhas, ter um processo de “GAP Analysis” implementado em sua empresa irá trazer outras vantagens, como corrigir constantemente hardwares e softwares defasados e falhas na segurança digital. Também é preciso ter processos bem definidos, mapeamento de dados, maturidade da TI, políticas de segurança bem estabelecidas, senhas complexas, plano de continuidade e rotinas de backup off-site feitas em datas centers em nuvem. Atualmente, existem grandes players de mercado que podem oferecer esse serviço de forma segura e que cabe no bolso.

Melhor prevenir do que remediar

A velha máxima de que prevenir é melhor que remediar vale muito em relação a segurança das empresas. Exemplo de prevenção é a Confirp Consultoria Contábil, que vem investindo pesado na segurança de dados, por ser uma empresa de contabilidade e tratar de dados sensíveis de seus clientes.

“Nossa preocupação é muito grande com o tema segurança da informação e faz parte de nossa história, já investimos muitos milhões nessa área. Mas, atualmente, estamos em um processo de renovação de Firewall e construção de um site Disaster Recovery (DR)”, explica Júlio Rodrigues, diretor de tecnologia da Financeiro24Horas.com, empresa de tecnologia do Grupo Confirp.

Ele complementa que com esse processo, caso ocorra a invasão ou qualquer outro desastre que impossibilite o acesso aos servidores (ou site como chamam), outro espaço com os mesmos dados defasados por um período pré-determinado pela empresa assume, sem riscos de comprometimentos de informações graves.

Ainda nessa linha, empresas especializadas em segurança de redes e computadores explicam a necessidade das áreas de TI tomarem uma série de ações a fim de garantir que as soluções de segurança utilizadas possam prover o respaldo necessário à boa execução do trabalho dos colaboradores.

Dentre as ações recomendadas estão:

Utilizar uma solução de firewall com recursos de VPN, que permite bloquear ataques e acessos internos e externos indevidos;
Monitoramento dos acessos dos colaboradores a recursos externos à empresa, tais como sites, aplicativos e etc;
Proteção do computador, utilizando soluções de antivírus e EDR, que previnem a ação de códigos maliciosos para roubo e sequestro de dados;
Auditar e controlar a manipulação de documentos, evitando o vazamento de informações com uma solução de DLP;
Autenticação e autorização para acesso a recursos internos, como softwares de ERP, CRM, intranet, banco de dados e entre outros.

Um ponto importante é que em tempos que cresce o home office, é necessário que ajustes sejam feitos para manter o grau de segurança que eles possuíam quando estavam trabalhando localmente. Ou seja, os mesmos controles citados anteriormente devem ser mantidos e ações adicionais devem ser tomadas. Dentre elas as mais importantes são:

Adotar método de acesso aos recursos internos da empresa de forma segura, utilizando para isso recursos tecnológicos, como VPN com recurso para garantir acesso apenas de dispositivos confiáveis.;
Adotar duplo fator de autenticação para garantir a identificação do usuário;
Com o computador fora da empresa, a mesma não pode evitar roubos ou perdas. Para que as informações dentro do dispositivo não sejam comprometidas é necessário utilizar uma solução de criptografia de disco;
O comportamento do colaborador deve ser monitorado para que a empresa saiba se ele está em conformidade com a política de segurança da empresa, e também para saber se o mesmo está exercendo suas funções dentro do horário para o qual foi contratado, garantindo, assim, sua produtividade. Existem ferramentas voltadas à análise de comportamento de usuários;
A saúde do computador precisa ser monitorada constantemente para que a equipe técnica possa tomar ações de forma proativa.

Vale ressaltar que esses controles não devem ficar limitados ao computador (desktops e notebooks). Devem abranger dispositivos móveis, como smartphones, tablets e etc. Porém, o principal desafio da equipe de tecnologia e segurança da informação será definir processos adequados para um ambiente tão descentralizado.

Uma ação normalmente negligenciada pelas empresas é fornecer treinamentos de conscientização sobre Segurança da Informação a todos os colaboradores, promovendo uma mudança de hábito em todos a fim de permitir que não sejam mais vítimas fáceis de bandidos virtuais, passando a reconhecer sites, links maliciosos e atividades e atitudes suspeitas.

Fazer um backup em nuvem é mais barato do que pagar o resgate

Já ouviu falar em backup do backup? Pode soar estranho, mas isso existe e chama-se “backup redundante”. Essa é uma poderosa ferramenta que poderá te salvar de um eventual sequestro de dados. “Ter um backup reserva e sempre atualizado significa que, se o seu banco de dados for sequestrado, ao invés de ter que pagar o resgate para voltar a ter acesso às suas informações, é possível simplesmente restaurar as informações salvas no backup. Parece simples, mas uma parcela ínfima de empresas se preocupa com isso atualmente”, finaliza Marco Lagoa.

Seguros dos dados também é solução para não sofrer sequestro de dados

Uma alternativa importante para as empresas em relação ao tema é adquirir seguros, que garantam ressarcimentos em relação ao sequestro de dados. A sócia da Camillo Seguros, Cristina Camillo, explica que esses são os seguros de proteção de dados. Um exemplo é o CyberEdge da AIG, líder de mercado.

Ela conta que é fundamental que as empresas tenham controles de segurança estabelecidos para prevenir este tipo de ataque. Cyber segurança deve ser tratada como parte da estratégia de gerenciamento de riscos das empresas.

“Contudo, quando um ataque já se materializou, a companhia deve buscar assistência especializada para investigação e resposta ao incidente. Antes do evento, a companhia deve se preocupar em estabelecer controles de segurança coerentes com seu perfil de risco e segmento de atuação. O seguro é uma boa ferramenta para transferir o risco residual de um evento desta natureza se materializar”, finaliza Cristina Camillo.

Compartilhe este post:

Entre em contato!

Leia também:

Domicílio Eletrônico do Cidadão Paulistano passa a ser obrigatório em fevereiro

A partir de fevereiro do próximo ano, as empresas do município de São Paulo deverão se adequar à necessidade de credenciamento ao Domicílio Eletrônico do Cidadão Paulistano (DEC), um canal de comunicação direta entre a Secretaria de Finanças Municipal e o contribuinte de tributos municipais. Quer fazer a contabilidade de sua empresa com toda segurança? Conheça a Confirp! Segundo a normativa, todas as pessoas jurídicas estabelecidas no Município de São Paulo deverão se credenciar no DEC até 10 de fevereiro e até 11 de março, se isso não ocorre serão credenciadas de ofício (pelo próprio Fisco). Importante saber que a inscrição de pessoa jurídica no CCM (Cadastro de Contribuintes Mobiliários) após esses prazos acarretará automaticamente o seu credenciamento no Domicílio Eletrônico do Cidadão Paulistano . As comunicações (Notificações, Despachos, Comunicados etc.) da Prefeitura de São Paulo por meio do DEC terão início em 11 de março, lembrando que é obrigatório o encaminhamento de notificação pelo Domicílio Eletrônico do Cidadão Paulistano nas hipóteses de aceite da Nota Fiscal de Serviços Eletrônica (NFS-e) pelo tomador ou intermediário dos serviços com responsabilidade tributária pelo recolhimento do ISS. “Com essa ferramenta os contribuintes terão algumas facilidades como ter acesso a quaisquer tipos de atos administrativos; encaminhar notificações e intimações e, expedir avisos em geral”, explica o diretor tributário da Confirp Contabilidade, Welinton Mota. Além, das questões já apresentadas, poderão ainda ser realizados por meio do Domicílio Eletrônico do Cidadão Paulistano , mediante uso de Certificado Digital: 1 – consulta de pagamento efetuado, situação cadastral, autos de infração, entre outras; 2 – remessa de declarações e de documentos eletrônicos, inclusive em substituição dos originais para fins de saneamento espontâneo de irregularidade tributária; 3 – apresentação de petições, defesa, contestação, recurso, contra razões e consulta tributária; 4 – recebimento de notificações, intimações e avisos em geral; 5 – outros serviços disponibilizados pela Secretaria Municipal de Finanças ou outros órgãos públicos conveniados.

Ler mais

eSocial – site apresenta novidades e confere maior acessibilidade ao sistema

Em meio a diversas discussões e opiniões sobre a reforma trabalhista que está em curso, outro ponto de impacto direto nas relações trabalhistas e na folha de pagamento das empresas é o Sistema de Escrituração Digital das Obrigações Fiscais, Previdenciárias e Trabalhistas (eSocial). A Confirp é fonte de informações dos principais jornais – seja hoje cliente, clique aqui! Quem já está se preparando para a realização do eSocial ou tem empregado doméstico notou que uma novidade a favor da transparência e acessibilidade foi lançada no mês passado. O novo portal do eSocial na internet passou a adotar a Identidade Padrão de Comunicação Digital (IDG) do governo federal e oferece um menu com mais funcionalidades para facilitar a navegação e o acesso às informações pelo público em geral. O IDG é um conjunto de diretrizes, orientações, padrões e modelos recomendados para adoção pelos sites governamentais. Para o usuário, significa encontrar um portal pensado e produzido para atender o público em geral, mais fácil de navegar e encontrar o conteúdo que procura. O novo portal traz conteúdo acessível, informação, serviços e notícias. Estão disponíveis no site informações sobre acesso ao eSocial, documentação técnica, legislação trabalhista, previdenciária e tributária, as novidades do sistema, além de orientações, manuais e seção de perguntas frequentes, para solucionar as principais dúvidas. Além disso, será implantado um canal de comunicação com o usuário, para resolução de dúvidas. Com a convergência ao padrão IDG, todos os entes partícipes do eSocial – Caixa Econômica Federal, Receita Federal, Ministério do Trabalho e Previdência Social – também podem gerir o site e adicionar informações. Segundo o chefe da Divisão do Sped, Clóvis Belbute Peres, “a implantação do novo sistema digital segue a lógica de outros países”. “A ideia é que todos os sites do governo federal tenham o mesmo layout de página, o que torna mais fácil o manuseio para os cidadãos”, diz Peres. O portal é compatível com todos os dispositivos móveis de acesso à internet, além de estar de acordo com as diretrizes de acessibilidade para pessoas com deficiência. Enquanto não se torna obrigatório o preenchimento deste módulo do Sped, é possível fazer sugestões à otimização desta e de outras áreas do sistema através de uma seção específica no Fale Conosco da Receita Federal, voltada principalmente à melhoria e simplificação dos sistemas. Há uma relação com os oito módulos em fase ainda inicial de implementação, e os contribuintes podem enviar mensagens ao Fisco. O próximo passo dentro do cronograma do projeto é a abertura do ambiente de testes do programa, prevista para julho deste ano, informa a Federação Nacional das Empresas de Serviços Contábeis e das Empresas de Assessoramento, Perícias, Informações e Pesquisas (Fenacon), que integra o Grupo de Trabalho Confederativo do eSocial. O diretor de Educação e Cultura da Fenacon, Hélio Donin Júnior, frisa que o novo site ainda não recepciona as informações do eSocial. Contudo o ambiente de testes do programa deverá ser aberto em julho deste ano. As empresas terão cerca de seis meses para se habituarem ao novo layout, já que a obrigatoriedade de envio das informações passa a valer em 2018. “Isso é muito bom, pois, com a queda de faturamento das empresas, retiramos um grande número delas do primeiro prazo, passando para o segundo, ou seja, somente em julho de 2018”, ressalta o diretornda Fenacon. Para promover a adaptação ao sistema, a entidade desenvolveu o Portal Árvore do Conhecimento, onde são disponibilizados vídeos com orientações sobre o uso da nova ferramenta. O início de 2018 pode se tornar uma dor de cabeça caso as empresas não estejam prontas para submeter grande parte das informações relativas aos trabalhadores. Conforme o consultor IOB da Sage Brasil, Sílvio Senne, “as empresas precisam dar mais atenção ao eSocial, principalmente as pequenas e médias, com vistas, principalmente, à adequação dos seus processos de trabalho à utilização da nova ferramenta”. Segundo Senne, o eSocial transmitirá informações on-line em grande quantidade e com alto grau de importância em relação ao cumprimento da legislação vigente, cujos detalhes deverão ser de total domínio dos profissionais da área, sempre objetivando não comprometer o andamento e o futuro dos negócios. A empresa líder em sistemas de gestão empresarial, pagamentos, contabilidade e emissão de notas fiscais realizará um webinar gratuito (on-line) no dia 9 de junho, a fim de apresentar as mudanças e o impacto que o eSocial trará às gestões empresariais, além de ressaltar os perigos de se adaptar no último instante. A partir de 1 de janeiro de 2018, a implantação do eSocial será obrigatória para todas as pessoas jurídicas com faturamento superior a R$ 78 mil, com exceção da transmissão das informações dos eventos referentes a Saúde e Segurança do Trabalhador (SST), que serão exigidos a partir de 1 de julho de 2018. A partir de 1 de julho de 2018, a implantação do eSocial será obrigatória para todas as demais pessoas jurídicas, com a mesma exceção citada acima, fazendo com que os eventos de SST sejam exigidos apenas a partir de 1 de janeiro de 2019. Ainda não há definição se haverá o tratamento diferenciado, simplificado ou favorecido a ser destinado às ME (Microempresas), EPP (Empresas de Pequeno Porte), ao pequeno produtor rural pessoa física e ao MEI (Microempreendedor Individual) que possui empregado. Se houver, terá de ocorrer a definição de como se dará. Mudanças governamentais alteram modelos de contabilidade Com a legislação tributária brasileira em constante mudança em busca da modernização dos processos e a necessidade das empresas de um posicionamento estratégicos sobre tributos e obrigações acessórias a serem cumpridas, o antigo “guarda-livros” cada vez mais dá lugar à contabilidade moderna. São muitas as novidades já implantadas pelo governo e outras ainda estão sendo ajustadas em função de sua complexidade. Dentre essas se destacam Nota Fiscal Eletrônica (NF-e), Escrituração Contábil Digital, Escrituração Contábil Fiscal, eSocial e Bloco K. “Muito se falou que a contabilidade das empresas ia mudar, todavia o que se viu foi o contador assumindo um papel totalmente diferente do passado e muito mais importante e estratégico. Hoje, mais

Ler mais

Presente de fim de ano – Dória aumenta o ICMS de alimentos, refeições, saúde e diversos outros setores

Para ajustar as contas do Estado de São Paulo em função da pandemia, o governo de João Dória já elegeu quem pagará as contas: os contribuintes e empresários. Recentemente a Secretaria da Fazenda do Estado publicou alguns ajustes que implicarão no aumento da ICMS para diversos setores. Serão centenas de setores impactados com esse aumento do ICMS que chega a até 207% (veículos usados). Veja alguns dos setores que serão impactados: alimentos, refeições, veículos novos e usados, TVs por assinatura, móveis, saúde e construção. E, segundo o diretor executivo da Confirp Consultoria Contábil, Richard Domingos, é certo que esse repasse será repassado aos consumidores. Para entender melhor: em 16 de outubro de 2020 o Estado de São Paulo publicou diversas normas alterando a legislação do ICMS, com a finalidade de aumentar a arrecadação. São medidas de ajuste fiscal e equilíbrio das contas públicas, em face da pandemia do Covid-19. “Os decretos 65.252/2020, 65.253/2020, 65.254/2020 e 65.255/2020 têm a finalidade de aumentar a arrecadação de impostos, para superar o rombo ocasionado pela crise. São medidas de ajuste fiscal para equilíbrio das contas públicas, em face da pandemia do Covid-19. Contudo, existem vários desses decretos que representarão aumentos desse tributo, complicando ainda mais as finanças das empresas”, explica o diretor executivo da Confirp Consultoria Contábil. Dentro das ações previstas pelos decretos estão prorrogação para até 31 de dezembro de 2022 do prazo final de determinados benefícios, a redução do percentual de alguns benefícios, aumento das alíquotas com mercadorias por dois anos, entre outros assuntos. “Com a mudança, a partir de janeiro, as alíquotas do ICMS desses produtos terão consideráveis elevações, tornando ainda mais pesadas cargas tributárias. Em situação de crise isso se mostra um novo complicador. Outro ponto é que certamente em muitos casos os referidos estabelecimentos repassarão esse aumento para o consumidor, encarecendo os preços desses produtos e serviços”, analisa Richard Domingos Essa majoração está prevista para vigorar por dois anos, ou seja, até 15 de janeiro de 2023, segundo os decretos, restando saber se daqui dois anos o governo vai publicar novo decreto restabelecendo as alíquotas anteriores, fato que ainda é incerto.

Ler mais

Simples Nacional Urgente – veja análise sobre possível mudança

Leia também e entenda tudo sobre Simples Nacional: {Enquadramento no Simples Nacional}: Guia Completo Para Microempresas Simples Nacional: Como Funciona Simples Nacional: veja as tabelas e o caminho da descomplicação ᗌ Como Abrir Empresa no Simples Nacional: guia completo Adesão ao Simples Nacional em 2023 vai até o fim do mês Empresas do Simples Nacional com débitos podem ser excluídas do regime O texto-base do projeto de lei que permite reajustes nos limites no enquadramento ao Simples Nacional, ou Supersimples, foi aprovado, por unanimidade, pelo Senado, no último dia 21 de junho, a lei tem reflexo direto para as pequenas e microempresas. Contudo, o Senado ainda precisará analisar destaques, em seguida a proposta seguirá para nova análise na Câmara, só para depois partir para sanção presidencial. Mas, o que significa essa mudança na prática? Segundo o texto, poderão aderir ao Simples Nacional as empresas de pequeno porte com receitas brutas de até R$ 4,8 milhões ao ano, desde que não haja outros impeditivos. Atualmente, o teto para participação dessas empresas no programa é de R$ 3,6 milhões anuais. No caso das microempresas, a proposta eleva de R$ 360 mil para R$ 900 mil o teto da receita bruta anual dos empreendimentos desta modalidade que quiserem aderir ao programa. Segundo o diretor executivo da Confirp Consultoria Contábil, Richard Domingos, apesar de não recuperar as perdas inflacionárias, a proposta se mostra viável. “Minha opinião sobre o assunto é que na forma que o projeto de lei fora encaminhado ao Senado, podendo aumentar o limite para até R$ 14,4 milhões dificilmente passaria, devido à necessidade de arrecadação que o Governo Federal, estados e municípios. Lembro que essa medida ensejará (seja qualquer o valor de aumento) em renúncia fiscal para todas esferas do governo”. Ainda segundo o diretor da Confirp, “com as alterações proposta no Senado as perspectivas de aprovação passaram de “improváveis” para “possível”, já que essas mudanças trouxeram as alterações para patamares realísticos diante da perda de arrecadação que tal proposta traz no momento que estamos vivendo”. Importante frisar, que mesmo que sejam aprovadas, as mudanças só entrarão em vigor em 2018. E que também foi alterado o limite de enquadramento do microempreendedor individual (MEI) de R$ 60 mil para R$ 72 mil de receita bruta anual. O aumento no teto do MEI já havia sido aprovado pela Câmara. Ajuste e necessidade de transição no Simples Nacional Segunda análise de Richard Domingos esse ajuste se faz necessário pois, se por um lado a criação do Simples Nacional foi positivo, por outro o tratamento diferenciado e favorecido nesses casos, também criou uma ‘trava de crescimento’. “Não há um regime transitório desse tipo de regime para os demais. Assim, o raciocínio é simples, se a empresa faturar em um ano um pouco mais que $3,6 milhões, no próximo ano fiscal terá uma carga tributária igual a uma empresa que fatura muito mais e se enquadra no Lucro Presumido ou Lucro Real. Isso leva muito empresários a repensarem seu crescimento ou partir para sonegação fiscal”, explica o diretor da Confirp. Outro ponto que deve ser considerado é o reajuste está muito abaixo ao inflacionário, desde a criação do Simples Nacional, a inflação acumulou mais de 77%, mas o limite de faturamento se mantinha o mesmo. Se a tabela do Simples fosse corrigida de acordo com a inflação, em abril de 2016 o valor máximo de faturamento passaria dos R$3,6 milhões para $6,3 milhões, segundo o Índice IPC-A “Ponto importante é que não acredito que apenas uma correção do limite do Simples Nacional seja uma saída para justiça fiscal no país, mas temos que ser realista, que não dá para se fazer muito em um governo transitório, com contas desajustadas e com os problemas políticos que enfrentamos. Todavia, não podemos nos iludir, o País precisa de uma enorme e profunda reforma tributária, passando pela redução da participação da arrecadação da União, transferindo essas receitas para os estados. As receitas devem estar próximas aonde é gastos os recursos”, conclui Richard Domingos.

Ler mais