Os Centros de Serviços Compartilhados (CSCs) tornaram-se uma ferramenta abrangente e flexível para as empresas, sendo a principal plataforma de uso para organizações que possuem um grande número de funcionários. Os CSCs lidam com informações diversas e, muitas vezes, dados sensíveis. De acordo com pesquisa da Deloitte, 88% das organizações possuem funções de Finanças dentro do CSC, sendo prevalecentes os processos transacionais de Contas a Pagar e Contas a Receber. Em segundo lugar, com 63%, aparece o setor de Recursos Humanos com os processos de Gestão de RH e Folha de Pagamento.
Como as Centrais de Serviços possuem muitas informações pessoais, confidenciais e restritas de uma organização, o tratamento dos dados é rotina dentro dos CSCs. O risco desses dados serem comprometidos, seja de forma maliciosa ou não intencional, é maior, pois é exatamente o tipo de informação muito valorizada pelos criminosos cibernéticos.
Atualmente os dados são os principais ativos de uma organização ou indivíduo e sua perda ou vazamento pode acarretar em grandes prejuízos. Segundo a FortiGuard Labs, somente em 2020 no Brasil, foram registradas mais de 8,4 bilhões de tentativas de ataques cibernéticos. Já, de acordo com a TI Safe, entre março e junho do mesmo ano, houve um aumento de 460% nas tentativas de ataques hackers em empresas industriais brasileiras, tendo um pico de crescimento de 860% em dezembro.
Ataques cibernéticos sempre ocorreram, mas, desde o início da pandemia até o momento, eles se intensificaram. Isso aconteceu, pois, muitas organizações ficaram vulneráveis a partir da implementação do trabalho remoto, uma necessidade inicialmente emergencial, mas que segundo a consultoria Gartner, veio para ficar, sendo necessário uma adaptação das organizações a essa nova tendência, garantindo a segurança de suas informações.
Neste contexto, para manter as informações protegidas é essencial que a Segurança da Informação (SI) esteja presente no dia a dia das pessoas e na cultura das organizações.
Para mitigar o risco de modo a garantir a continuidade do negócio, existem princípios básicos que sustentam a segurança da informação: confidencialidade, que garante que somente pessoas autorizadas tenham acesso às informações; integridade, que se refere a consistência e confiabilidade das informações; disponibilidade, que visa garantir que a informação esteja sempre disponível para acesso legítimo; e autenticidade, que garante que a origem da informação veio da fonte anunciada, assim sendo possível confirmar sua autoria e originalidade. Estes princípios orientam a análise, o planejamento e a implementação e devem ser respeitados para garantir a seguridade da informação em sua organização e, consequentemente, em sua Central de Serviços Compartilhados.
Os princípios básicos da segurança permitem que organizações e áreas estabeleçam Políticas de Segurança da Informação (PSI), que devem ser promovidas a todos os colaboradores, clientes e fornecedores. Este ponto é importante, pois um estudo do Instituto Ponemon indica que uma das principais causas da exposição dos dados e das falhas na segurança, é justamente a falta de orientação.
CSCs também devem ter suas Políticas de Segurança bem definidas. Assim, algumas “boas práticas” devem ser adotadas, como gerenciar a disponibilização das informações de acordo com o nível de acesso e de perfil dos usuários, o que pode ser feito a partir da Gestão de Identidades e Acessos (IAM).
A Gestão de Identidades e Acessos é a disciplina que permite que os indivíduos certos acessem os recursos certos, nos momentos certos e pelos motivos certos. O IAM é fundamental para evitar violações causadas por roubo de dados maliciosos e perda acidental de dados.
No relatório desenvolvido pela GetApp, 50,7% das empresas entrevistadas relataram violação de dados ao longo de 12 meses, ao permitir que colaboradores tivessem acesso total a informações corporativas. Por outro lado, apenas 12,6% das empresas entrevistadas no mesmo estudo, relataram violação de dados ao limitarem o acesso dos funcionários apenas aos dados necessários para que realizassem suas tarefas. Ou seja, empresas que não realizam a Gestão de Identidades e Acessos têm quatro vezes mais probabilidade de sofrerem violação de dados.
Ao analisar as violações de dados sofridas por mais de 500 organizações pelo mundo, o estudo Cost of Data Breach 2020 da IBM, apontou que 80% dos incidentes investigados resultaram na exposição das informações de identificação pessoal (PII). O estudo mostra que contas comprometidas de funcionários e nuvens com configurações incorretas foram as causas mais comuns de violações maliciosas e também as mais caras, representando aproximadamente 40% dos incidentes. É importante ter consciência do cenário geral e dos reais riscos, principalmente com a entrada em vigor da nova Lei Geral de Proteção de Dados (LGPD) que prevê severas punições a vazamentos de dados pessoais.
Manter uma Gestão de Identidade e Acessos bem consolidada é fundamental à segurança das informações dos CSCs e para adequação aos parâmetros descritos na LGPD. Só a partir de sua implementação é possível responder: Quem tem acesso? A quais aplicações? Por qual motivo? Por quanto tempo?
A Criptografia também tem um papel importante. As informações que são trafegadas dentro do CSC, frequentemente passam por mais de um local antes de chegar ao seu destino final, sendo necessário criptografar as informações para que elas possam somente ser lidas e compreendidas pelas partes autorizadas.
Uma camada extra de segurança que deve ser adotada no CSC é a Autenticação Multifator (MFA). A combinação de mais de um método de autenticação além da senha do usuário, garante mais proteção para que a pessoa certa possa acessar os dados certos, ao mesmo tempo que protege as informações de usuários não aprovados.
Portanto, garantir um ambiente de CSC seguro vai além de manter o sigilo sobre questões confidenciais e estratégicas da empresa. É preciso implementar Políticas de Segurança, investir em soluções modernas e inovadoras de Autenticação, Criptografia e em Gestão de Identidades e Acessos. Alinhar a segurança da informação aos negócios, junto a iniciativas de conscientização para formar uma cultura de segurança dentro da organização, pode fazer toda diferença. Em conjunto, esses recursos ajudam a mitigar os riscos, evitando que os dados fiquem vulneráveis a ciberataques, preservando o principal ativo de uma organização: as informações.
Escrito por: André Dainez, Especialista em Segurança da Informação na Requestia.
Fonte: SSNews Edição 68
Esse e muitos outros conteúdos interessantes sobre o universo de CSC você encontra aqui no IEG Connection, e também em nossas edições da Revista Shared Services News! Clique aqui e confira como foi a última edição!