Segurança em Informática voltar

OS PREJUÍZOS

A Informática é o centro nevrálgico da empresa. Qualquer pequeno

problema no(s) servidor(es) corporativo(s) ou em algum servidor
departamental pode paralisar vários ou mesmo todos os departamentos
da empresa. Quanto maior o grau de integração dos sistemas, quanto
maior o volume e a complexidade dos negócios, maior será a dependência
em relação à Informática.

Graus de severidade. Podemos classificar os prejuízos decorrentes de

problemas com segurança em graus de severidade, conforme a
abrangência dos danos e as providências tomadas para retornar à
normalidade:

INSIGNIFICANTES - casos em que o problema ocorre, é detectado e

corrigido sem maiores repercussões. São problemas isolados, sem
nenhuma repercussão na estrutura computacional da empresa. O maior
prejuízo é a despesa com a mão de obra alocada, ou algum suprimento

desperdiçado. Um exemplo é a presença de vírus em um computador, que

é prontamente detectado e exterminado. Certamente é necessário um
grande investimento em segurança para que os problemas possam ser
prontamente resolvidos e os prejuízos minimizados;

PEQUENOS - o problema ocorre, existe uma pequena repercussão na

estrutura computacional e organizacional da empresa (atrasos, bloqueio
de sistema, perdas de movimentação, etc.), e o problema é resolvido. Um
exemplo é a perda dos dados corporativos, a recuperação via backup da
posição anterior e a necessidade de redigitação da movimentação de um
dia. Ou, então, a destruição física, acidental ou proposital, de um servidor
corporativo, com a necessidade de substituição emergencial, mas sem
perda dos dados. Os prejuízos são restritos ao âmbito da empresa, sem
repercussões nos seus negócios e sem interferências com seus clientes;

MÉDIOS - o problema ocorre, provoca repercussão nos negócios da

empresa e interfere com os seus clientes, mas a situação consegue ser
resolvida de maneira satisfatória, normalmente com um grande esforço e
com maior ou menor desgaste interno e externo da empresa. Exemplos:
erros graves no faturamento, perda de dados sem backup;
GRANDES - repercussões irreversíveis de caráter interno ou externo,
com perda total de dados, prejuízo financeiro irrecuperável, perda de
clientes, perda de imagem e posição no mercado;

CATASTRÓFICOS - prejuízos irrecuperáveis, que podem dar origem a

processos judiciais e falência da empresa.

O que causa muita preocupação é que, via de regra, o tipo de erro não
tem relação com o grau deseveridade dos prejuízos. A perda total de um
servidor corporativo (incêndio, queda de escombros, etc.)

pode, se houver backups atualizados, causar um prejuízo equivalente

apenas ao valor do conserto ou substituição da máquina, ao passo que um
pequeno erro de programação (um if mal posicionado ou um comentário
em uma linha de programa que deveria estar ativa, erros de fácil
correção) podem, facilmente, provocar prejuízos catastróficos.

Prejuízos em função do tempo. Quando ocorre algum problema que

provoque uma paralisação, os prejuízos menos importantes são
percebidos imediatamente. Outros, normalmente os maiores, somente
serão percebidos posteriormente, e será muito difícil, ou mesmo
impossível, repará-los.

Problemas de segurança com graus de severidade INSIGNIFICANTE e

PEQUENO somente causam prejuízos imediatos, tais como:

 Paralisação das atividades normais da empresa .

 Danos materiais, variáveis conforme o problema ocorrido .
 Sobrecarga na estrutura da empresa, que deve mobilizar os seus
recursos, normalmente exíguos, para a tentativa de recuperação
dos problemas decorrentes do erro
 Atritos internos em função da responsabilização pelo erro.

Normalmente problemas com grau de severidade MÉDIO causam poucos

prejuízos a médio e longo prazos, que são:

 Desvio nos objetivos da empresa

 Perda de mercado
 Perda de imagem
 Perda de credibilidade
 Desânimo e perda de funcionários
 Atritos internos extremamente sérios e atritos externos em função
da responsabilização pelo erro
Problemas com grau de severidade GRANDE e CATASTRÓFICO
certamente causam os supra citados prejuízos a médio e longo prazo,
podendo causar :

 encerramento das atividades da empresa

 Pendências com a Justiça para seus diretores e funcionários.

A queda na eficiência dos negócios da empresa após um acidente sério

com informática é drástica. Nas ordenadas, temos a eficiência da
empresa; nas abcissas, o intervalo em dias após o evento.

É óbvio que, em certos casos extremamente sérios, a eficiência cai a zero

imediatamente após o acidente.

Custos da reposição de informações. Podem ocorrer prejuízos altíssimos

em caso de problemas sérios, considerando, entre outros, alocação de
recursos humanos adicionais, busca de documentos, redigitação das
informações, reconstrução do local e reposição de hardware e software,
multas, etc.

Multas. Além de todos os demais prejuízos, também existem multas

pesadas!

A Instrução Normativa da SRF n. 068/95 de 27/12/95, baseada na Lei n.

8.218/91 e a Portaria n. 13 de 28/12/95 da Secretaria da Receita Federal
exigem a preservação dos arquivos magnéticos e prevêem a aplicação de
multa de 5% sobre o valor das operações comerciais, fiscais e contábeis
aos contribuintes que omitirem ou prestarem informações incorretas em
arquivos magnéticos.

É exigido (transcrito do catálogo "Segurança em Informática" da

ACECO):

Preservação dos arquivos magnéticos: todas as pessoas jurídicas (com

exceção das fiscalizadas pelo Banco Central), com patrimônio líquido
acima de 2 milhões de UFIRs (aproximadamente R$ 1,7 milhões no final
de 1995) e que utilizem computadores (próprios ou através de terceiros),
devem

preservar seus arquivos magnéticos durante o período decadencial de

guarda de documentação contábil e fiscal, previsto na legislação
tributária.

Descrição dos arquivos magnéticos a serem preservados: Contabilidade,

Fornecedores/Clientes, Documentos Contábeis/Fiscais, Controle de
Estoque/Registro de Inventário, Correção Monetária de Balanço e
Controle Patrimonial, Folha de Pagamento, Relação Insumos/Produtos,
Cadastro de

Pessoas Físicas e Pessoas Jurídicas aplicado aos arquivos fornecidos,

Tabelas de Códigos aplicados aos arquivos fornecidos.

Outras informações:

A apresentação dos arquivos magnéticos é feita mediante Termo de

Intimação Fiscal, portanto não há periodicidade para o envio dos
arquivos à Secretaria da Receita Federal.

Os arquivos magnéticos para a fiscalização devem ser apresentados nos

formatos descritos detalhadamente na Portaria n. 13.

A preservação dos arquivos magnéticos à disposição da fiscalização

começou em 1994, através da SRF 65/93. A Portaria n. 13 apenas
reformatou a apresentação dos arquivos magnéticos.

A obrigatoriedade da entrega dos arquivos não dispensa a emissão de

livros prevista na legislação comercial e fiscal.

Exemplos de multa:

Os arquivos magnéticos que continham informações sobre

faturamento/saídas de mercadorias dos últimos 3 anos foram destruídos
por sabotagem ou incêndio, e portanto não foram apresentados.

Cálculo da multa: supondo que o faturamento durante os últimos 3 anos

foi de 100 milhões, a multa será de 5 milhões por omissão das informações
solicitadas.

Os arquivos magnéticos que continham dados sobre as compras (entrada

de mercadoria) dos últimos 5 anos não puderam ser apresentados.
Supondo que as compras foram 50 milhões durante os últimos 5 anos, a
multa será de 2,5 milhões.

Como se pode ver, a questão da Segurança em Informática não é

meramente conceitual ou acadêmica.

Trata-se de uma questão estratégica que, se negligenciada, pode causar

todo e qualquer tipo de dano à

empresa.