Segurança em Informática

OS PREJUÍZOS

A Informática é o centro nevrálgico da empresa. Qualquer pequeno problema no(s) servidor(es) corporativo(s) ou em algum servidor departamental pode paralisar vários ou mesmo todos os departamentos da empresa. Quanto maior o grau de integração dos sistemas, quanto maior o volume e a complexidade dos negócios, maior será a dependência em relação à Informática.

Graus de severidade. Podemos classificar os prejuízos decorrentes de problemas com segurança em graus de severidade, conforme a abrangência dos danos e as providências tomadas para retornar à normalidade:

INSIGNIFICANTES - casos em que o problema ocorre, é detectado e corrigido sem maiores repercussões. São problemas isolados, sem nenhuma repercussão na estrutura computacional da empresa. O maior prejuízo é a despesa com a mão de obra alocada, ou algum suprimento

desperdiçado. Um exemplo é a presença de vírus em um computador, que é prontamente detectado e exterminado. Certamente é necessário um grande investimento em segurança para que os problemas possam ser prontamente resolvidos e os prejuízos minimizados;

PEQUENOS - o problema ocorre, existe uma pequena repercussão na estrutura computacional e organizacional da empresa (atrasos, bloqueio de sistema, perdas de movimentação, etc.), e o problema é resolvido. Um exemplo é a perda dos dados corporativos, a recuperação via backup da posição anterior e a necessidade de redigitação da movimentação de um dia. Ou, então, a destruição física, acidental ou proposital, de um servidor corporativo, com a necessidade de substituição emergencial, mas sem perda dos dados. Os prejuízos são restritos ao âmbito da empresa, sem repercussões nos seus negócios e sem interferências com seus clientes;

MÉDIOS - o problema ocorre, provoca repercussão nos negócios da empresa e interfere com os seus clientes, mas a situação consegue ser resolvida de maneira satisfatória, normalmente com um grande esforço e com maior ou menor desgaste interno e externo da empresa. Exemplos: erros graves no faturamento, perda de dados sem backup;

GRANDES - repercussões irreversíveis de caráter interno ou externo, com perda total de dados, prejuízo financeiro irrecuperável, perda de clientes, perda de imagem e posição no mercado;

CATASTRÓFICOS - prejuízos irrecuperáveis, que podem dar origem a processos judiciais e falência da empresa.

O que causa muita preocupação é que, via de regra, o tipo de erro não tem relação com o grau deseveridade dos prejuízos. A perda total de um servidor corporativo (incêndio, queda de escombros, etc.)

pode, se houver backups atualizados, causar um prejuízo equivalente apenas ao valor do conserto ou substituição da máquina, ao passo que um pequeno erro de programação (um if mal posicionado ou um comentário em uma linha de programa que deveria estar ativa, erros de fácil correção) podem, facilmente, provocar prejuízos catastróficos.

Prejuízos em função do tempo. Quando ocorre algum problema que provoque uma paralisação, os prejuízos menos importantes são percebidos imediatamente. Outros, normalmente os maiores, somente serão percebidos posteriormente, e será muito difícil, ou mesmo impossível, repará-los.

Problemas de segurança com graus de severidade INSIGNIFICANTE e

PEQUENO somente causam prejuízos imediatos, tais como:

Paralisação das atividades normais da empresa .
Danos materiais, variáveis conforme o problema ocorrido .
Sobrecarga na estrutura da empresa, que deve mobilizar os seus recursos, normalmente exíguos, para a tentativa de recuperação dos problemas decorrentes do erro
Atritos internos em função da responsabilização pelo erro.

Normalmente problemas com grau de severidade MÉDIO causam poucos prejuízos a médio e longo prazos, que são:

Desvio nos objetivos da empresa
Perda de mercado
Perda de imagem
Perda de credibilidade
Desânimo e perda de funcionários
Atritos internos extremamente sérios e atritos externos em função da responsabilização pelo erro

Problemas com grau de severidade GRANDE e CATASTRÓFICO certamente causam os supra citados prejuízos a médio e longo prazo, podendo causar :

encerramento das atividades da empresa
Pendências com a Justiça para seus diretores e funcionários.

A queda na eficiência dos negócios da empresa após um acidente sério com informática é drástica. Nas ordenadas, temos a eficiência da empresa; nas abcissas, o intervalo em dias após o evento.

É óbvio que, em certos casos extremamente sérios, a eficiência cai a zero imediatamente após o acidente.

Custos da reposição de informações. Podem ocorrer prejuízos altíssimos em caso de problemas sérios, considerando, entre outros, alocação de recursos humanos adicionais, busca de documentos, redigitação das informações, reconstrução do local e reposição de hardware e software, multas, etc.

Multas. Além de todos os demais prejuízos, também existem multas pesadas!

A Instrução Normativa da SRF n. 068/95 de 27/12/95, baseada na Lei n. 8.218/91 e a Portaria n. 13 de 28/12/95 da Secretaria da Receita Federal exigem a preservação dos arquivos magnéticos e prevêem a aplicação de multa de 5% sobre o valor das operações comerciais, fiscais e contábeis aos contribuintes que omitirem ou prestarem informações incorretas em arquivos magnéticos.

É exigido (transcrito do catálogo "Segurança em Informática" da ACECO):

Preservação dos arquivos magnéticos: todas as pessoas jurídicas (com exceção das fiscalizadas pelo Banco Central), com patrimônio líquido acima de 2 milhões de UFIRs (aproximadamente R$ 1,7 milhões no final de 1995) e que utilizem computadores (próprios ou através de terceiros), devem

preservar seus arquivos magnéticos durante o período decadencial de guarda de documentação contábil e fiscal, previsto na legislação tributária.

Descrição dos arquivos magnéticos a serem preservados: Contabilidade, Fornecedores/Clientes, Documentos Contábeis/Fiscais, Controle de Estoque/Registro de Inventário, Correção Monetária de Balanço e Controle Patrimonial, Folha de Pagamento, Relação Insumos/Produtos, Cadastro de

Pessoas Físicas e Pessoas Jurídicas aplicado aos arquivos fornecidos, Tabelas de Códigos aplicados aos arquivos fornecidos.

Outras informações:

A apresentação dos arquivos magnéticos é feita mediante Termo de Intimação Fiscal, portanto não há periodicidade para o envio dos arquivos à Secretaria da Receita Federal.

Os arquivos magnéticos para a fiscalização devem ser apresentados nos formatos descritos detalhadamente na Portaria n. 13.

A preservação dos arquivos magnéticos à disposição da fiscalização começou em 1994, através da SRF 65/93. A Portaria n. 13 apenas reformatou a apresentação dos arquivos magnéticos.

A obrigatoriedade da entrega dos arquivos não dispensa a emissão de livros prevista na legislação comercial e fiscal.

Exemplos de multa:

Os arquivos magnéticos que continham informações sobre faturamento/saídas de mercadorias dos últimos 3 anos foram destruídos por sabotagem ou incêndio, e portanto não foram apresentados.

Cálculo da multa: supondo que o faturamento durante os últimos 3 anos foi de 100 milhões, a multa será de 5 milhões por omissão das informações solicitadas.

Os arquivos magnéticos que continham dados sobre as compras (entrada de mercadoria) dos últimos 5 anos não puderam ser apresentados. Supondo que as compras foram 50 milhões durante os últimos 5 anos, a multa será de 2,5 milhões.

Como se pode ver, a questão da Segurança em Informática não é meramente conceitual ou acadêmica.

Trata-se de uma questão estratégica que, se negligenciada, pode causar todo e qualquer tipo de dano à

empresa.

voltar