Equilibre o compliance e a prevenção de fraudes com estas dicas

Normas e estatutos no combate à fraude

Além das normas de segurança e privacidade de dados, existem normas que abordam a segurança e a prevenção de fraudes. Por exemplo, o Instituto Americano de Contadores Públicos Certificados (AICPA) e a Associação dos Examinadores de Fraude Certificados (ACFE) completaram investigações sobre fraude e publicaram relatórios e orientações sobre o tema, os quais atravessam a maioria dos mercados verticais. A Associação de Auditoria e Controle de Sistemas de Informação (ISACA) também fornece um amplo guia para auditores de TI que realizam testes para detectar brechas de segurança e fraude.

A AICPA definiu a fraude cibernética como "o ato intencional ou deliberado de privar outros de bens ou dinheiro, através de atos enganosos, tergiversação ou outros meios injustos, usando computadores ou outras tecnologias". Os auditores internos, auditores de TI e os contadores públicos certificados (CPAs) estão enfrentando cada vez mais os desafios de agentes de ameaças internos e externos. O mesmo se aplica aos profissionais de cibersegurança das áreas de TI. Segue uma lista com os padrões mais relevantes para os profissionais de segurança cibernética.

IMAGE HERE

Publicação Especial NIST (SP) 800-53. Essa norma fornece controles de segurança e privacidade para organizações e sistemas de informação federais. Ela é amplamente utilizada pelas agências do governo federal, estadual e local dos EUA. Também é uma das normas de referência dentro do setor privado. O documento está disponível para download gratuito no site do NIST. A norma está organizada de forma lógica e é fácil de seguir quando se prepara um plano de compliance contra fraudes.

NIST SP 800-83. Documento intitulado "Guia de prevenção e tratamento de incidentes com malware para desktops e laptops" que fornece orientação detalhada sobre problemas com malware. Essas estratégias de prevenção e mitigação de malware podem ser valiosas para os profissionais de TI. Embora não seja especificamente um documento de auditoria, sua orientação pode ser usada para identificar com sucesso potenciais eventos de fraude e mitigá-los de forma proativa. A evidência de tais esforços de identificação e mitigação pode ser importante durante a auditoria de uma empresa de TI.

ISO 27001 e 27002. A série ISO 27000 de normas de segurança da informação é amplamente utilizada. As duas normas mais importantes incluem a ISO 27001, Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos, e a ISO 27002, Tecnologia da Informação – Técnicas de segurança – Código de práticas para controles de segurança da informação. Esses benchmarks de segurança cibernética podem ser usados para abordar problemas de conformidade relacionados à fraude. A conformidade com as normas ISO 27001 e ISO 27002 implica uma análise e auditoria exaustivas das políticas, procedimentos e atividades administrativas de segurança cibernética. Em alguns casos, a empresa poder levar mais de um ano para obter conformidade com essas normas. O processo requer, muitas vezes, o auxílio de auditores e examinadores experientes e credenciados de acordo com as normas.

Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) de 1996. As Regras de Privacidade e Segurança da HIPAA são essenciais para as instituições de saúde que utilizam registros de saúde eletrônicos, como dados de pacientes. O cumprimento desse requisito é alcançado ao fornecer provas relevantes de apoio aos controles da Regra de Segurança através de uma auditoria.

Conselho de Exame de Instituições Financeiras Federais (FFIEC). Manual de Exame de Segurança da Informação e Ferramenta de Avaliação de Segurança Cibernética (CAT). A conformidade com esse requisito é alcançada através de uma auditoria detalhada. As instruções sobre como cumprir melhor tais requisitos estão delineadas no Programa de Trabalho de Auditoria de Segurança da Informação da FFIEC. A CAT oferece uma abordagem estruturada para avaliar o nível de preparo de uma instituição financeira para um evento de segurança cibernética.

Regulação estatal de fraude. A maioria dos estados americanos possuem regulamentos que abordam problemas de segurança e fraude. Embora a maioria dos regulamentos estatais se concentre em organizações financeiras e não financeiras, não especificamente em TI e segurança cibernética, vale a pena revisá-los para garantir que as iniciativas de segurança cibernética das áreas de TI estejam alinhadas.

Na maioria dos casos, é necessário um processo de validação como uma auditoria, seja ela interna ou externa, para garantir conformidade com normas e regulamentos específicos. A preparação para uma auditoria é imprescindível. É fundamental que os líderes de TI apresentem primeiro a documentação que assegure a conformidade com os controles de segurança e fraude. Em segundo lugar, eles devem fornecer uma demonstração de conformidade em tempo real, através de entrevistas de auditoria e demonstrações ao vivo. Finalmente, devem satisfazer as conclusões do relatório de auditoria e as ações recomendadas de acordo com os prazos estabelecidos.