Quando a Optus, o Medibank e o credor não bancário Latitude Financial sofreram ataques cibernéticos separados nos últimos anos, milhões de australianos sentiram as consequências: dados pessoais roubados, serviços interrompidos e semanas de incerteza. Cada violação levantou a mesma questão incómoda: como é que isto pode continuar a acontecer?
Dizem frequentemente aos australianos que o crime cibernético é inevitável. As empresas armazenam grandes quantidades de dados. Os sistemas são complexos. Os atacantes são sofisticados. As violações parecem ser uma questão de “quando”, e não de “se”.
Como resultado, as respostas tendem a concentrar-se na tecnologia: firewalls, encriptação, atualizações de software e formação de pessoal. Tudo isso é importante. Mas o risco cibernético não é apenas um problema técnico. É também um problema de governação.
Nossa pesquisa sugere que muitas empresas já possuem uma linha de defesa mais silenciosa contra ataques, embora muitas pessoas raramente pensem nisso: os auditores, um tipo especializado de contador financeiro.
Descobrimos que os auditores que trabalharam anteriormente com uma empresa que sofreu uma violação cibernética tornam-se muito mais vigilantes com todos os seus outros clientes. Essa experiência muda a forma como questionam sistemas, controles e riscos, mesmo em empresas que nunca foram hackeadas.
Faça as perguntas difíceis
Por trás de cada sistema empresarial existe um conjunto de decisões: quem é responsável, como os riscos são monitorizados, se os avisos são acionados e se os controlos funcionam na prática. É aqui que entram os auditores.
Os auditores são profissionais independentes que examinam se os sistemas de relatórios financeiros e os controles internos de uma empresa estão funcionando como deveriam. Os controles internos são verificações e processos que ajudam a prevenir erros, fraudes ou falhas de sistema.
Os auditores não escrevem códigos nem gerenciam servidores. Mas levantam questões difíceis sobre como os sistemas são concebidos, quem os supervisiona e se a gestão compreende os riscos.
À medida que as empresas se tornam mais digitais, os sistemas financeiros e de TI tornam-se profundamente interligados. Uma falha em um pode afetar rapidamente o outro.
O que fizemos e o que encontramos
Nossa pesquisa examinou mais de 2.800 empresas nos Estados Unidos durante um período de 16 anos. Rastreamos o que aconteceu depois que o cliente de um auditor sofreu uma violação cibernética e como essa experiência afetou o trabalho do auditor com outros clientes.
O padrão era claro. Os auditores que lidaram com um cliente violado tornaram-se mais duros em outros lugares. Descobrimos que eles tinham 21% mais probabilidade de identificar deficiências graves nos sistemas e controles de seus outros clientes.
Não foram decisões aleatórias ou defensivas. As deficiências estavam frequentemente relacionadas com a supervisão tecnológica e os controlos de acesso, áreas estreitamente relacionadas com o risco cibernético.
Igualmente importante, quando estes auditores emitiram um atestado de saúde limpo (o que significa que não identificaram problemas de controlo significativos), essas empresas tiveram menos probabilidades de sofrer uma violação cibernética posteriormente. Suas avaliações limpas eram mais confiáveis.
Uma mentalidade mais dura
Também entrevistamos auditores que trabalharam com clientes inadimplentes. Suas respostas revelaram uma mudança de mentalidade. Um nos disse:
No passado, dizíamos: tudo que vinha do sistema, “está tudo bem, porque vem do sistema”. Agora sempre perguntamos: “isso é realmente preciso?”
Outros descreveram passar mais tempo testando controles, questionando suposições de gerenciamento e envolvendo especialistas de TI mais cedo. Viver numa divisão tornou os riscos tangíveis, em vez de abstratos.
Como disse um entrevistado, a experiência de uma violação torna-se algo que “pode ser repassado a diferentes clientes”.
Lições para a Austrália
Embora o nosso estudo utilize dados dos EUA, as implicações são altamente relevantes para a Austrália.
A Austrália sofreu algumas das violações cibernéticas de maior visibilidade do mundo nos últimos anos. O crime cibernético é uma das ameaças que mais cresce para as empresas australianas.
Os reguladores estão respondendo. A Comissão Australiana de Valores Mobiliários e Investimentos informou aos conselhos de administração que a resiliência cibernética é agora uma responsabilidade central da governação. A Autoridade Australiana de Regulamentação Prudencial exige que as instituições financeiras demonstrem práticas robustas de segurança da informação.
Há outra razão local pela qual isto é importante. As maiores empresas cotadas da Austrália são amplamente auditadas por empresas globais como PwC, Deloitte, EY e KPMG. Estas empresas partilham metodologias e lições além-fronteiras.
Isso significa que os insights obtidos com violações no exterior podem influenciar a prática de auditoria na Austrália antes que a próxima crise chegue.
Outra dimensão do risco cibernético
Os auditores não são especialistas em segurança cibernética e a responsabilidade ainda recai sobre a administração e os conselhos de administração das empresas.
Mas os auditores trazem ceticismo, independência e uma perspectiva de todo o sistema que falta a muitas organizações internamente. Seu trabalho geralmente é feito silenciosamente, muito antes de os consumidores sentirem o impacto de uma violação.
Para os investidores também há um sinal. As empresas auditadas por auditores com experiência em violações, especialmente quando esses auditores fazem uma avaliação limpa, têm estatisticamente menos probabilidade de serem hackeadas posteriormente. A qualidade da auditoria é outra dimensão do risco cibernético.
À medida que as ameaças cibernéticas aumentam, a profissão de auditoria pode ser forçada a evoluir ainda mais. Para as empresas australianas, esse desenvolvimento poderá ser oportuno. Com a frágil confiança pública e o crescente escrutínio regulamentar, aprender com as violações passadas, mesmo aquelas no estrangeiro, pode ajudar a prevenir a próxima violação de grandes volumes de dados no nosso país.
Este artigo foi republicado de The Conversation. Foi escrito por: Charlene Chen, Universidade Macquarie
Leia mais:
Charlene Chen não trabalha, presta consultoria, possui ações ou recebe financiamento de qualquer empresa ou organização que se beneficiaria com este artigo e não revelou nenhuma afiliação relevante além de sua nomeação acadêmica.
