No primeiro semestre de 2023, a Deloitte divulgou o estudo Riding the Wave – Hot Topics for IT Internal Audit, um amplo levantamento sobre as tendências para auditorias internas de TI em empresas. Realizado pela consultoria desde 2012, a pesquisa foi baseada em um questionário on-line preenchido por Chefes de TI e de Auditoria Interna, além de contar com insights e perspectivas qualitativas a partir de entrevistas com profissionais de auditoria interna de TI, CIOs, CISOs, CTOs e líderes empresariais de diversos setores.
Para discutir os resultados desse estudo, a ABBC – Associação Brasileira de Bancos convidou dois representantes da Deloitte, que compartilharam os principais destaques voltados ao cenário do setor financeiro.
Na abertura da apresentação, Christian Sudbrack, sócio de Risk Advisory e especialista em gestão de riscos corporativos e auditoria interna, explicou que, assim como nas edições anteriores, o estudo reafirmou que as novas tecnologias, como IoT, serviços móveis, biometria e as migrações para estruturas em nuvem, continuam sendo os principais pontos geradores de novos riscos para as corporações. Isso implica em uma necessidade crescente de atualizar os planos de auditoria com maior frequência.
O especialista destacou que muitos ataques cibernéticos nas empresas pesquisadas ocorrem por meio da captura de credenciais, tanto de fontes externas quanto internas. Outro ponto importante mencionado foi a falta de segurança nos dispositivos pessoais dos colaboradores, frequentemente utilizados no trabalho, mas sem o mesmo nível de proteção dos equipamentos corporativos. Isso resulta em um aumento significativo dos riscos associados ao uso de novas tecnologias.
Além disso, há uma atenção redobrada para o atual cenário econômico mundial, no qual as empresas precisam estar muito atualizadas com as novas tecnologias para se manterem competitivas, ao mesmo tempo em que devem garantir um nível máximo de segurança nessa jornada. “O passo da evolução tecnológica também tem sido cada vez mais curto, o que representa um desafio comum em diversos segmentos corporativos”, disse Sudbrack.
Durante a apresentação, os representantes da Deloitte compartilharam as principais mudanças recentes no ambiente tecnológico mundial mapeado no estudo Riding the Wave – Hot Topics for IT Internal Audit
Ataques cibernéticos
Na amostragem dos dados de ataques cibernéticos, o Brasil apareceu na pesquisa da Deloitte como um dos países com maior frequência, registrando 31,5 bilhões em apenas um ano, o que corresponde a 24% do total na América Latina.
Luiz Mannucci, Gerente sênior de Risk Advisory na Deloitte, explicou que 91% das organizações participantes do estudo relataram ter sofrido algum tipo de ataque em seus ambientes digitais – um aumento em relação aos 88% da pesquisa anterior. O tipo de ataque mais mencionado é o ransomware, um software malicioso (malware) que visa bloquear o acesso a dados ou sistemas de computadores e dispositivos móveis, geralmente através de criptografia, exigindo um resgate financeiro para restaurar o acesso do usuário.
Os especialistas da Deloitte mostraram a frequência dos ataques cibernéticos pelo mundo
Nas auditorias realizadas pela Deloitte, foram identificam muitas deficiências nas estratégias de combate a esse tipo de ataque, como falta de segmentação de redes OT e TI, capacidade de monitorar uploads anômalos, ausência de ferramentas modernas para fornecer acessos remotos, planos de resposta a incidentes e backups redundantes.
Os associados acompanharam o trecho do estudo sobre os desafios comuns de segurança que tornam as organizações suscetíveis a Ransomware
Para enfrentar essa realidade, Sudbrack ressaltou ser essencial que cada instituição adote frameworks de controles de segurança em cibersegurança e que os auditores de TI conduzam testes de perímetros necessários para seus ambientes em relação aos ataques ransomware. Outro ponto vital é que a organização tenha uma visão de risco mapeada. “O que observamos atualmente nos conselhos de administração são discussões de alto nível sobre gerenciamento de risco. Muitas vezes, o próprio CEO não tem o conhecimento necessário para contribuir plenamente. Portanto, os gestores de TI precisam criar seus planos de auditoria e TI com o suporte de um relatório de gestão de risco elaborado, proporcionando uma visão sistêmica e abrangente sobre a segurança da organização”, disse.
Os representantes da Deloitte apresentaram as necessidades das Diretorias e dos Conselhos de Administração das empresas pesquisadas sobre o tema cibersegurança
A pesquisa também ressaltou a importância da gestão de talentos, evidenciando a preocupação das empresas em encontrar profissionais altamente qualificados em auditoria de TI, diante da rápida proliferação de novos dispositivos e sistemas em todo o mundo, que tem exigido uma grande variação nas abordagens de auditoria. Nesse contexto, a contratação de profissionais para realizar auditorias internas torna-se extremamente crítica para as empresas, levando-as a buscar soluções criativas, como a colaboração com empresas terceirizadas e a utilização de auditores convidados.
Para a Deloitte, a busca por profissionais de alto impacto na área é uma realidade, mas, que mesmo sem eles, toda empresa precisa colocar como prioridade planos de auditoria e de cibersegurança que sejam capazes de prevenir, detectar, responder e ser resiliente aos ataques cibernéticos.
Para acessar a pesquisa completa da Deloitte, clique no botão abaixo.
Baixe o estudo Riding the Wave – Hot Topics for IT Internal Audit
