Auditoria Interna, Auditoria Contínua e Data Analytics

Como criptografar pen drive e manter seus dados seguros? Aprenda a encriptar arquivos e proteger seus dados pessoais e privacidade.

Após a criptografia, só quem tem a chave de acesso consegue acessar os arquivos e descriptografá-los. Um exemplo disso ocorreu na operação Lava-Jato, onde a nem mesmo a Polícia Federal conseguiu acesso aos dados criptografados no notebook de Marcelo Odebrecht, sem as chaves de acesso que foram entregues posteriormente.

Nos EUA foi preciso a intervenção da justiça americana para que o FBI pudesse ter acesso aos dados criptografados no iphone de criminosos.

A LGPD exigirá que as empresas protejam dados pessoais sensíveis com anonimização e/ou criptografia. As empresas já estão enfrentando danos de imagem decorrentes do vazamento de informações pessoais de seus clientes.

Pen Drive SanDisk

A San Disk é uma das marcas mais conhecidas de pen drive. A marca tem um aplicativo oficial de criptografia: SanDisk SecureAccess. Trata-se de um programa para criptografar arquivos diretamente no pen drive.

Basta fazer o download neste link e salvar o aplicativo no seu pendrive SanDisk (só funciona se o programa estiver salvo no pen drive da marca SanDisk).

Depois de abrir o SanDisk SecureAccess, o programa apresenta um passo a passo para criação de um cofre (vault) dentro do pendrive. Você terá que criar uma senha de acesso que será digitada todas as vezes que você quiser “abrir” o cofre e acessar os arquivos criptografados.

Como criptografar um arquivo? Depois de digitar a senha, é só arrastar o arquivo para dentro do cofre. Como criptografar uma pasta inteira? É só arrastar a pasta para dentro do cofre! Fácil!

Use o VeraCrypt para criptografar disco e pen drives de qualquer marca

Mas como criptografar hd, ou criptografar pen drive de outras marcas? O Veracrypt é uma solução open source (gratuita) que funciona muito bem! O download pode ser feito neste link. Também existe uma versão portable (não precisa instalar, e roda direto de um pen drive) que pode ser baixada neste link.

No Veracrypt também é possível criar “cofres” ou arquivos que podem ser salvos em qualquer lugar: pen drive, disco, rede, pasta ftp etc.. Mas a opção mais interessante é criar um volume criptografado: formatar o pendrive inteiro. Os dados só ficarão acessíveis após digitar a senha e montar o volume.

Se você perder seu pendrive (ou se ele for roubado), ninguém conseguirá acessar os arquivos.

No processo de criptografia, o Veracrypt pede que você movimente o mouse aleatoriamente. Isso é para criar entropia (associar os movimentos aleatórios do mouse com os números aleatórios necessários para o processo de criptografia).

Aplicativos de mensagem

Como criptografar uma mensagem? Os aplicativos de mensagem (Whatsapp, Telegram) já oferecem a criptografia de ponta a ponta. Isto significa que entre você e o destinatário, a mensagem trafega pela internet de modo incompreensível (criptografado). Apenas emissor e receptor detém as chaves criptográficas para entender a mensagem.

Roubo de Identidade

Infelizmente se alguém assume a identidade do receptor ou do emissor essa segurança é quebrada.

Você pode reduzir este risco:

Utilizando a autenticação de dois fatores (2FA);
Reduzindo o tempo de bloqueio de tela;
Associando a sua biometria (impressão digital cadastrada no celular);
Removendo o backup automático.

Backup Inseguro

O backup do Whatsapp no Google Drive não é criptografado. Ou seja, mesmo que as mensagens sejam protegidas, não adianta guardar uma cópia insegura no Google Drive.

Alternativas

Existem alternativas mais seguras como o Keybase e o OpenKeyChain.

Código de Ética e Conduta é conjunto de normas e princípios que devem ser seguidos por todas as entidades da empresa: colaboradores, prestadores de serviço e fornecedores.

As regras precisam ser formalmente definidas, publicadas e divulgadas. Garantir que as normas são conhecidas e entendidas é o primeiro passo.

A Comunicação Interna tem papel fundamental neste processo e pode auxiliar na criação e divulgação de material informativo. Podem ser usados murais, folders, comunicados por e-mail, artigos na intranet, eventos e palestras.

Uma vez que o assunto é conhecido e entendido, a incidência de desvios “por falta de conhecimento” diminui, e as situações realmente relevantes e propositais são reconhecidas e tratadas com o rigor necessário.

O código de ética deve ser parte de algo maior: um programa de Integridade e Compliance. O programa deve reger todas as frentes: definição e revisão de normas, monitoramento contínuo, identificação de desvios, responsabilização, mapear a causa raiz, recomendar correções no processo e acompanhar os planos de ação.

Canal de Conduta

Canal de Conduta é um conjunto de meios de comunicação onde as denúncias possam ser registradas de forma organizada, imparcial e se necessário de forma anônima. Pode ser uma linha telefônica, um e-mail, ou um formulário em um site.

Um protocolo único de registro da manifestação é útil para acompanhamento das ações de investigação e envio de respostas ao denunciante.

Algumas companhias optam por terceirizar este serviço para empresas especializadas. Estas empresas já possuem expertise, sistemas e infraestrutura para atendimento imediato e escalável. Se a demanda aumenta, o SLA é renegociado e assumido.

Apuração de Denúncias

A denúncia é apenas o começo de um processo maior de apuração. O relato deve ser encarado de forma imparcial e tratado a princípio como um “suposto” acontecimento. O relatante precisa fornecer um mínimo de informações como:

Data do evento;
Local;
Pessoas envolvidas;
Descrição do ocorrido.

Infelizmente algumas pessoas podem tentar usar denúncias falsas para prejudicar terceiros. Outros objetivos podem ser tratar insatisfações com RH, problemas de gestão ou assuntos administrativos. A experiência do investigador permite diferenciar os casos fake de denuncias reais.

Após a analise preliminar, é necessário somar evidências mais robustas como imagens de câmera, registros e logs de transações em sistemas.

O acesso às bases de dados, SQL, ferramentas de auditoria e análise de dados (Galvanize ACL Analytics, IDEA, Arbutus) e ferramentas forenses (Encase, Nuix) complementam a busca por evidências sistêmicas. As ferramentas forenses permitem resgatar provas mesmo quando houve intenção de destruição (apagar arquivos, destruir o HD) ou mascaramento (esteganografia, criptografia).

A Microsoft dispõe de ferramentas como o Search Content e Advanced e-Discovery para buscas em caixas de e-mail, skype, teams, sharepoint e outras ferramentas do Office365. Ambas são encontradas no Security and Compliance Center – um portal dedicado para GRC.

Aos poucos, a Microsoft têm inserido ferramentas para LGPD, que já são usadas para o GDPR fora do Brasil. Por exemplo, lá é possível criar regras de classificação da informação e prevenção de vazamento de dados (DLP).

Tão importante quanto a tecnologia, o profundo conhecimento dos processos da empresa, estatística e de auditoria contábil permitem melhor entendimento do acontecido e obtenção de evidências consistentes.

As evidências devem ser preservadas adequadamente em um “laboratório”, segregado da rede corporativa, quando possível. Também há situações em que um tabelião precisa registrar uma ata notatorial para garantir a validade legal.

Medidas Disciplinares

Uma vez confirmada a conduta indevida, os atores devem ser responsabilizados.

Sanção disciplinar é a responsabilização pela conduta inadequada. Deve ser razoável e proporcional à situação identificada. Além da gravidade, deve-se verificar se há reincidência do colaborador. Quanto maior a reincidência, há mais indícios de que a ação foi intencional e premeditada.

Alguns exemplos de medidas disciplinares são:

Advertência verbal;
Advertência por escrito;
Suspensão;
Demissão;
Demissão por justa causa.