a internet das coisas - icts · todas as coisas, ou ioe, e para promover e apoiar os negócios...
Post on 09-Nov-2018
217 Views
Preview:
TRANSCRIPT
A Internet das Coisas:O que é e por que a auditoria
interna deveria se preocupar
com isso?
InternalAudit, Risk, Business& TechnologyConsulting
Resumo Executivo
A Internet das Coisas (IoT) está evoluindo
rapidamente, com uma ampla variedade de
sistemas “inteligentes”, aplicações móveis,
dispositivos de comunicação pessoal e outras
plataformas que já estão interconectadas. A
empresa de pesquisas IDC projeta que haverá
30 bilhões de coisas conectadas até 2020.1 E
parafraseando a Forbes ao definir a IoT, se algo
puder ser conectado à Internet, é apenas uma
questão de tempo até que efetivamente seja.2
Em um mundo cada vez mais digital, os auditores
internos precisam ser observadores mais aguçados
de todas as mudanças tecnológicas que possam
potencialmente afetar a empresa e seu perfil de
risco — uma conclusão tirada da mais recente
rodada de entrevistas realizadas pela Protiviti para a
nossa mais recente edição da Internal Auditing
Around the World (Auditoria Interna Pelo Mundo).3
Conforme a IoT se expande e o mundo se torna
mais interconectado — e os dispositivos da IoT
coletam cada vez mais dados a partir de objetos,
máquinas e pessoas — organizações de todas as
indústrias enfrentarão novas oportunidades e
riscos. Questões relativas a privacidade, pirataria
e outros crimes cibernéticos, e o potencial de que
haja fracassos corporativos catastróficos devido à
enorme dependência da Internet são exemplos dos
riscos que os auditores internos e suas
organizações precisarão monitorar de perto no
cenário da IoT.
Este artigo técnico discute a emergência da IoT e
oferece uma visão geral das oportunidades e riscos
da IoT para as empresas, incluindo como a IoT poderá
potencialmente ajudar as organizações a mitigar seus
riscos. E o mais importante, ele apresenta várias
questões que os auditores internos deveriam tentar
responder em colaboração com a Administração e os
conselhos diretivos para que suas empresas estejam
bem posicionadas para tirar proveito das tecnologias
e capacidades da IoT e possam operar no futuro
mundo da “Internet de Todas as Coisas”. 4
1 “Connecting the IoT: The Road to Success,” IDC: http://www.idc.com/infographics/IoT.
2 “A Simple Explanation of The Internet of Things,’’ by Jacob Morgan, Forbes, May 2014: http://www.forbes.com/sites/jacobmorgan/2014/05/13/simple-explanation-
internet-things-that-anyone-can-understand/#3def0f206828.
3 “Internal Auditing Around the World,” Protiviti, July 2016: https://www.protiviti.com/US-en/insights/internal-auditing-around-world.
4 Cisco defines the IoE as “the intelligent connection of people, data, process and things.” For more information, see the “Internet of Everything FAQ,” Cisco:
http://ioeassessment.cisco.com/learn/ioe-faq.
protiviti.com The Internet of Things: What Is It and Why Should Internal Audit Care? · 1
A IoT é exatamente esse tipo de mudança
disruptiva. Os auditores internos devem, portanto,
estar preparados para identificar rapidamente os
sinais de mudança na IoT e qualquer relativa
implicação para o modelo de negócios ou os
objetivos estratégicos da organização.
A IoT é um ambiente no qual “coisas” — objetos,
animais ou pessoas — recebem identificadores únicos
na Internet e a capacidade de transferir dados em
rede sem a necessidade de interação entre humanos
ou entre humanos e computadores. A IoT tem evoluído
a partir da convergência de tecnologias sem fio ,
sistemas microeletromecânicos (MEMS) e a Internet.
U m importa nte fa ci l i ta d or d a IoT é o IP v6 , um
protocolo d e comunica çã o que forne ce uma
identi f icação e s istema de local ização para
computa d ore s na s re d e s e d ire ciona o trá fe go e m
tod a a Inte rne t . O IP v6 fo i d e se nvolvid o e m 1 9 9 9
pa ra substi tuir o IP v4 , pois os ma is d e 4 bi lhõe s d e
e nd e re ços d e IP d o IP v4 já t inha m sid o
e sse ncia lme nte e xa urid os .
O IPv6 permite utilizar 340 undecilhões de endereços.
Para colocar essa cifra monumental em contexto, isso
significa que um endereço de IP poderia ser atribuído a
cada átomo individual encontrado na superfície da Terra
— e, de acordo com algumas pessoas, ainda sobraria
uma quantidade suficiente de endereços para outros 100
planetas Terra.5
Resumindo, o IPv6 representa uma oportunidade para
tornar todas as coisas conectáveis. Porém, a IoT não
envolve apenas conectar e coletar dados a partir de
coisas como dispositivos e sistemas inteligentes sem
fio - uma categoria que hoje inclui todas as coisas, de
telefones celulares e monitores f itness a aparelhos
domésticos, prédios e automóveis.
A IoT é uma transição tecnológica crítica que é
essencial para o desenvolvimento de uma rede muito
maior e profundamente interconectada, a Internet de
Todas as Coisas, ou IoE, e para promover e apoiar os
negócios digitais.
Os principais componentes da IoT são:
1. Coleta de Dados: No coração da IoT estão os
sensores e atuadores que coletam, transmitem,
armazenam e atuam com base nos dados disponíveis
na fonte. Esses dispositivos variam em tamanho e
capacidade. Alguns possuem sistemas operacionais
(OS) ínfimos. Outros possuem robustos OS
instalados, incluindo Microsoft Windows e Google
Android.
2. Conectividade: A IoT não poderia existir sem a
interconexão de dispositivos e sensores. Bluetooth,
comunicação por campo de proximidade (NFC), Wi -
Fi e telefonia celular são tecnologias conhecidas
para possibilitar a conectividade. Surge no horizonte
o NB-IoT, um protocolo de bandas estreitas da IoT
baseado na atual tecnologia de telefonia celular. Ele
apoiará a qualidade do serviço ( QoS), assim como o
fator crítico de sucesso para qualquer
implementação da IoT: uma rede de longa distância
com baixo consumo de energia. O NB -IoT também
oferecerá segurança — algo que muitas plataformas
e protocolos de conectividade atuais carecem.
O que é a IoT?
5 “Are there enough IPv6 addresses for every atom on the surface of the Earth?,” StackExchange: http://skeptics.stackexchange.com/questions/22501/are-there-enough-
ipv6-addresses-for-every-atom-on-the-surface-of-the-earth.
2 · Protiviti
3. Pessoas e processos: Conforme a ume nta o
núme ro d e d isposi t ivos cone cta d os , ta mbé m
a ume nta rá a ne ce ssid a d e d e novos mé tod os
pa ra a d ministra r , inte rpre ta r e a tua r com ba se
nos monume nta is volume s d e d a d os que se rã o
ge ra d os e cole ta d os por a que le s d isposi t ivos .
O t ipo e a qua ntid a d e d os d a d os que sã o
cole ta d os proporciona m pe rce pçõe s
pote ncia lme nte pod e rosa s . A proposta d e va lor
por trá s d a IoT se ba se ia na id e ia d e que a
a çã o se rá a d ota d a com ba se ne sse s d a d os. Em
a lguns ca sos , a a çã o pod e rá se r ime d ia ta ; e m
outros , os d a d os pod e rã o se r a cumula d os a o
longo do tempo para prover anál ises de
te nd ê ncia s , mé tr ica s re la t iva s a vá ria s
popula çõe s , ou a ná l ise s pre d it iva s . É a qui que
pe ssoa s , proce ssos e a ge stã o d e r iscos
e xe rce rã o se u pa pe l . Os proce ssos d e ve m se r
proje ta d os pa ra ga ra ntir que a s a çõe s
ba se a d a s nos d a d os se ja m be m pla ne ja d a s ,
consiste nte s , e a l inha d a s com os obje t ivos
e stra té gicos e os protocolos d e ge stã o d e
r iscos . A ve rd a d eira prome ssa d a IoT e stá
nesse terceiro componente . A integração de
pe ssoa s e proce ssos na IoT é ne ce ssá ria pa ra
a jud a r a IoE (Inte rne t of Eve rything ) a e voluir .
Já há exemplos irrefutáveis de como o uso de
sensores conectados à Internet por empresas e
indústrias pode gerar percepções que criem valor
real. Um deles é a vaca “conectada”.
Para ajudar criadores de gado a aumentar a taxa de
sucesso da inseminação artificial em vacas, a
empresa japonesa de produtos eletrônicos Fujitsu
desenvolveu um sistema de pedômetros conectados
à Internet que contam os passos das vacas. Os
criadores de gado sabem que quando as vacas
aumentam significativamente sua atividade de
caminhar, isso é um sinal de estarem no seu período
fértil. Isso ajuda a identificar a janela de tempo
extremamente curta durante a qual uma vaca está
fértil — um período que costuma ocorrer à noite, e
por isso os criadores costumam perder essa
oportunidade.6
A Fujitsu reporta que a taxa de sucesso de uma
única tentativa de inseminação artificial para
uma vaca usando seu pedômetro é quase o
dobro da taxa verificada nas vacas que não
estão conectadas. Espera-se que o mercado de
“vacas e fazendas conectadas”, que inclui outras
“aplicações para vacas” como ordenha e
alimentação automatizadas, cresça para se
tornar uma indústria de $10,1 bilhões em 2021,
partindo dos $1,2 bilhões atuais.7
Exemplo do mundo real: a vaca “conectada”
6 “The Smart Home Is a Fantasy, but ‘Smart Cows’ Are Already Real,” by Arik Hesseldahl, Recode, April 2016: http://www.recode.net/2016/4/9/11586010/iot-internet-
ofthings-cows.
7 “Connected Cow and Farm Market (2016 — 2021),” Arcluster, 2016: https://arcluster.com/research/connected-cow-market-2016-2021/.
protiviti.com The Internet of Things: What Is It and Why Should Internal Audit Care? · 3
Por que a IoT é importante para a auditoria interna?Por que , especif icamente, a auditoria interna deveria
prestar muita atenção à IoT ? A emergente IoT representa
tanto um novo desafio para as empresas (discut imos os
r iscos da IoT a seguir neste documento), quanto uma
importante oportunidade para que auditores internos
ajudem suas empresas a l idar com a “curva de disrupção” e
encarar o desafio de forma confiante. E mbora as inovações
disrupt ivas possam no passado ter levado uma década ou
mais para transformar uma indústr ia, o período de tempo
decorrido até a disrupção tem sido bastante reduzido nos
últ imos anos — e cont inuará a se acelerar conforme a IoT , e
a IoE , evoluam. Monitorar esse r isco emergente é a lgo que
faz plenamente parte do escopo de responsabilidades da
auditoria interna — “ident i ficar as áreas de r isco
conhecidas e emergentes” fo i c lass if icada como a tarefa
número um em termos de escopo, à frente da garant ia de
segurança, por 85 por cento dos entrevistados na América
do Norte c i tados no re latório das partes interessadas
Global Inte rna l Audit Common Body o f Knowledge
(Conjunto Global de Conhecimentos Comuns para
Auditorias Internas) . 8
Os auditores internos reconhecem a necessidade de
melhorar seus conhecimentos e compreensão da IoT, de
acordo com as descobertas da pesquisa “2016 Internal Audit
Capabilities and Needs Survey” (Pesquisa de Capacidades e
Necessidades das Auditorias Internas de 2016), realizada
pela Protiviti . A IoT obteve a quinta colocação na categoria
“General Technical Knowledge” (“Conhecimentos Técnicos
Gerais”) como uma prioridade “que precisa ser aperfeiçoada”
para as auditorias internas, com uma pontuação geral de
competência de 2,6 (com 5 sendo o nível mais alto de
competência). 9
E ssa fo i a pr imeira vez que a IoT fo i inc luída na
pesquisa como uma área de conhecimentos técnicos; que
os auditores internos a tenham c lassi ficado como uma
área pr ioritária de aperfeiçoamento realça exatamente o
quão rapidamente a IoT está evoluindo e se tornando
uma questão de maior destaque para empresas de todas
as indústr ias .
U m m o t i v o p r e m e n t e p a r a q u e o s a u d i t o r es i n t e r n o s
m e l h o rem s u a s c o m p e t ên ci as n a I o T é a t e n d e r a o
c h a m ad o p a r a q u e a s s u m a m u m p a p e l m a i s
e s t r a t ég i co c o m o p a r c ei ros d e n e g ó c i o s d a s s u a s
e m p r e s as . A s p a r t e s i n t e r e s s ad a s e x p r e s s a ram s u a
a p r o v açã o , e a n e c e s s i d a d e , d e s s e t i p o d e p a p e l n o
r e l a t ór i o C o m m on B o d y o f K n o w l e d g e ( C B O K ) V o i c e
o f t h e C u s t o m e r S t a k e h o l d e r ( C o n j u n t o d e
C o n h e c im en t os C o m u n s ( C B O K ): V o z d a s P a r t e s
I n t e r e s s a d as C l i e n t e s ) d o T h e I n s t i t u t e o f I n t e r n a l
A u d i t o r s . 10 C o n s e l h o s a d m i n i s t r a t iv os e e x e c u t i vos
d e n í v e l s u p e r i o r d e c l a r aram e s p e c i f i came n t e q u e
e m b o ra o p a p e l d e g a r a n t i a d a s e g u r a n ça d a
a u d i t o r ia i n t e r n a s e j a a l g o p r e s u m i d o e c o n t i n u e a
s e r e s s e n c i a l , a p a r t i c i p a ção a t i v a d a a u d i t o r i a
i n t e r n a p a r a a v a l i ar o s r i s c o s e s t r a t ég i co s t a m b é m é
a l g o a l t a m en t e d e s e j á v el , d e s d e q u e h a j a a d e v i d a
c o m p e t ên c ia e c a p a c id a d e . E m t a l p a p e l , a a u d i t o r i a
i n t e r n a d e v e r i a s e t o r n a r u m a p r o m o t ora d a s
o p o r t u n i d a d e s d a I o T p a r a a e m p r es a a v a l i an d o a o
m e s m o t e m p o o s r i s c o s q u e e l a p o d e r e p r e s en t a r . A
a u d i t o r ia i n t e r n a t a m b é m p o d e r á a j u d a r a e m p r e s a a
e x p l o r a r a s m a n e i r as d e m i t i g a r o s r i s c o s d a I o T ,
d i s c u t i d a s e m m a i o r d e t a l h e a s e g u i r n e s t e
d o c u m e n t o .
8 “Relationships and Risk: Insights from Stakeholders in North America,” The IIA:https://global.theiia.org/iiarf/Pages/CBOK-Research-Resource-Library-Stakeholder-Study.aspx.
9 2016 Internal Audit Capabilities and Needs Survey Report, Protiviti, 2016: http://www.protiviti.com/en-US/Pages/IA-Capabilities-and-Needs-Survey.aspx.
10 “Voice of the Customer: Stakeholders’ Messages for Internal Audit,” The IIA: http://theiia.mkt5790.com/CBOK_2015_Voice_of_the_Customer/?webSyncID=d94260b3-
9025-d0ca-a42a-3166784abeb5&sessio:nGUID=b81e8927-4cad-137a-95dd-8216d5143661.
4 · Protiviti
Gráfico 1: The Internal Audit Continuum
Com relação à IoT, os auditores internos precisam
focar em criar valor em nível da “solução” nesse
contínuo, se tornando faci litadores da mudança
positiva e das melhores práticas internas
relativas a esse novo risco. Levar a l iderança de
pensamento em consideração, reunir -se com seus
pares de outras organizações para avaliar sua
exposição à IoT, e faci litar discussões relativas à
IoT com a administração sênior e o conselho
administrativo são apenas algumas maneiras através
das quais os auditores internos poderão ajudar a
empresa a desenvolver uma abordagem eficaz para a
gestão de riscos da IoT em toda a organização. Veja a
última seção deste documento para acessar uma lista
de questões e tópicos de discussão relativos à IoT que
auditores internos poderão usar para estimular o
diálogo com conselhos diretivos e a administração
executiva.
Opera
cional
Com
plia
nce
Fin
ance
iro
Superv
isão
Perc
epçã
oPre
vis
ão
Escopo
Abord
agem
Prevenção
PrevençãoDetecção
Solução
Processo de
Gestão de
Riscos para os
Negócios
DETECÇÃO PREVENÇÃO PREVENÇÃO SOLUÇÃO
• Reportar problemas,
recomendar
soluções
• Verificar a
conformidade com
relação à política
estabelecida
• Desempenho
de referência
dos processos
operacionais
com relação
às melhores
práticas
• Promover
ativamente a
conformidade dos
controles internos
• Ajudar finanças e
operações a
aprimorar os
controles internos
• Gestão de riscos
em toda a
empresa
• Facilitar a
mudança
positiva e as
melhores
práticas internas
protiviti.com The Internet of Things: What Is It and Why Should Internal Audit Care? · 5
A IDC proje ta re ce i ta s d e $1 ,7 tr i lhõe s pa ra o
e cossiste ma d a IoT e m 2 0 2 0 . 11 P or isso , a lé m d e
compre e nd e r os principa is r iscos a ssocia d os à IoT,
d iscutid os a se guir ne ste d ocume nto , os a ud itore s
inte rnos d e ve m re conhe ce r a s oportunid a d es que a
IoT ofe re ce pa ra a e mpre sa , le mbra nd o que d e ixa r
d e t ira r prove ito d a s oportunid a d e s d a IoT é um
risco por s i só . Essa s oportunid a d es ta lve z se ja m
inesperadas , e nunca antes imaginadas . O exemplo
d a “va ca cone cta d a ” d iscutid o a cima mostra como a
IoT pod e proporciona r d isrupçõe s posi t iva s e
inova çõe s pa ra uma ind ústr ia ba sta nte tra d ic iona l e
nã o d igi ta l — uma ind ústr ia que nã o e ra uma
ca nd id a ta óbvia pa ra e mpre ga r a te cnologia d a IoT
nos se us proce ssos .
Eis uma amostra das aplicações da IoT nas várias
indústrias:
• Tecnologia para produtos de consumo :
Sma rtphone s e ta ble ts , monitore s d e a t iv id a d e s
pe ssoa is e outros prod utos d e uso pe ssoa l ,
a pa re lhos d omé sticos inte l ige nte s e te rmosta tos
inte l ige nte s já e stã o a mpla me nte d isponíve is e
e m uso . Ama zon Da sh, o d isposi t ivo cone cta d o
v ia Wi -Fi que pe rmite a os usuá rios e ncome nd a r
nova me nte se u prod uto fa vori to a tra vé s d a
Ama zon com o a pe rta r d e um botã o , fo i nã o
a pe na s a d ota d o l i te ra lme nte d a noite pa ra o d ia ,
mas foi também logo “ hackeado ” pelos usuários
pa ra pe rmitir que f ize sse outra s coisa s , ta is
como pe d ir uma pizza ou cha ma r um U be r .
Atra vé s d a e xposiçã o a o r isco , surgiu uma
oportunid a d e pa ra a d a pta r e me lhora r o prod uto .
A Ama zon já e stá ofe re ce nd o um Da sh Button
conf igurá ve l que os consumid ore s pod e m usa r
pa ra se cone cta re m com uma a mpla ga ma d e
se rviços a t iva d os pe la IoT. 1 2 Esse é a pe na s um
e xe mplo d e como os próprios consumid ore s
e stã o impulsiona nd o o me rca d o d e te cnologia s
ativadas pela IoT, e o potencia l inexplorado que
i sso tud o ofe re ce .
• Electricity and utilities: A tecnologia de redes
elétricas inteligentes está provendo inteligência
na distribuição e oferecendo uma oportunidade de
mão dupla para enviar eletricidade de volta para a
rede, particularmente durante os períodos de pico
de consumo. A detecção automática de apagões
através de medidores inteligentes poderá
proporcionar reparos mais rápidos. Outros
avanços da IoT, tais como a capacidade de
programar aparelhos domésticos inteligentes para
que funcionem durante períodos de menor
consumo, estão ajudando a reduzir o consumo de
energia dos consumidores.
• Petróleo e gás: A tecnologia da IoT está ajudando as
empresas desse setor a incrementar sua eficiência
através dos avanços na monitoração da pressão,
temperatura e taxa de vazão, assim como na mensuração
de transferências, volume e integridade dos oleodutos.
Quais oportunidades a IoT oferece?
11 “Connecting the IoT: The Road to Success,” IDC: http://www.idc.com/infographics/IoT.
12 “Amazon Expands Dash Button Lineup With Programmable IoT Button,” by Megan Crouse, Manufacturing Net,May 13, 2016: http://www.manufacturing.net/
news/2016/05/amazon-expands-dash-button-lineup-programmable-iot-button.
6 · Protiviti
Sensores instalados em campo podem possibilitar
projeções inteligentes e ajudar as empresas a
otimizar a produção dos poços. Ao se tornarem
“empresas de tecnologia digital ,” as empresas de
petróleo e gás poderão melhorar ainda mais o
tempo de operação das plataformas de petróleo e
as taxas de recuperação de petróleo, reduzir os
derramamentos de óleo, incrementar a
produtividade dos funcionários, reduzir custos, e
muito mais. Por exemplo, uma empresa americana
prestadora de serviços para campos de petróleo
que emprega técnicas de perfuração avançadas,
que fazem uso intensivo de serviços e requerem
conhecimentos específ icos para sua operação e
manutenção, já está usando tecnologias
colaborativas, tais como comunicações unif icadas,
para prover orientações especializadas sob
demanda e uma solução mais rápida de problemas,
gerando menores custos e menos interrupções dos
negócios. 13
• Seguros: Aplicações geoespaciais poderão alertar
motoristas sobre potenciais condições climáticas
severas (e.g., tempestades de granizo), ajudando -os
a evitar danos aos seus veículos e a necessidade de
protocolar um pedido de seguro. Sensores
ambientais instalados nos locais de trabalho e
outros prédios e instalações já estão sendo usados
para detectar temperatura, fumaça, gases tóxicos,
mofo, movimentos de terremotos, e muito mais. 14
• Indústria automotiva: Automóveis a utônomos
pod erão a jud a r a re d uzir o trá fe go e a ume ntar a
se gura nça na s e stra das . Se nsores instala dos na s
e stra das pod erão a le rta r os motoristas d e
a utomóveis e quipados com se nsores sobre a
ocorrência d e chuva s , ge a d as e ge lo . A lguns
se nsores d e e stra das ta mbém pod erão me d ir a
e spe ssura d o ge lo , a na l isar a composição d a s
substâ ncias químicas pre se ntes na supe rf íc ie d a
e stra da que fora m usa d a s pa ra d e scongelar a v ia ,
e e ntã o re portar e ssa s informações pa ra os
d e partamentos d e tra nsporte pa ra que e le s
possa m me lhora r a a pl ica ção d e ta is substâ ncias
químicas .
• Serviços de saúde : O atendimento de pacientes é
uma aplicação óbvia para as tecnologias da IoT
— do agendamento de consultas e monitoração
de doenças como diabete, a garantir que a devida
dosagem dos medicamentos tenha sido
administrada. A indisponibilidade de
dispositivos médicos também poderá ser
reduzida através da monitoração e suporte
remotos. A tecnologia da IoT já está ajudando
hospitais a otimizar sua cadeia de suprimentos
reduzindo ao mesmo tempo os riscos: Armários
de suprimentos com leitores RFID embutidos e
antenas poderão registrar quem acessou o
estoque, o que eles retiraram e quando.
13 “ANew Reality for Oil & Gas:Complex Market Dynamics CreateUrgent Need for DigitalTransformation,” byRobert Moriarty, KathyO’Connell,Nicolaas Smit,Andy
Noronha and Joel Barbier, Cisco, April 2015: http://www.cisco.com/c/dam/en_us/solutions/industries/energy/docs/OilGasDigitalTransformationWhitePaper.pdf.
14 “5 Ways the IoT Will Transform the Insurance Industry,” by Robert Reiss, Forbes, Feb. 1, 2016: http://www.forbes.com/sites/robertreiss/2016/02/01/5-ways-the-iot-
will-transform-the-insurance-industry/#7b2bca3d72cb.
protiviti.com The Internet of Things: What Is It and Why Should Internal Audit Care? · 7
Considerando as potenciais oportunidades que a IoT
oferece, talvez o risco mais significativo associado à
IoT para as empresas seja que elas não atuem rápido o
suficiente, ou nem façam nada, para desenvolver e
alavancar as novas tecnologias e aplicações da IoT.
Porém, para ter sucesso no mundo da IoT as
organizações também devem estar cientes da, e
monitorar atentamente, sua exposição a riscos em
áreas tais como privacidade, continuidade dos negócios
e segurança.
Privacidade
Dados já estão sendo coletados das formas mais
variadas como nunca visto antes, a partir de mais
dispositivos e aplicações, e a uma taxa cada vez mais
rápida. Muitos desses dados podem ser associados a
grupos específicos de usuários, e geralmente
vinculados a indivíduos ou objetos singulares. Em um
ambiente mais interconectado como a IoT, é evidente
que muitos outros dispositivos estarão capturando
dados dos usuários para análise — e que os dados serão
muito mais ricos.
Quanto mais ricos forem os dados, mais valiosos eles
serão para as empresas — e para a atividade econômica
dos “hackers”. Atores mal -intencionados tentam roubar
muito mais do que apenas os dados financeiros dos
usuários; eles também desejam ter acesso a endereços de
e-mail, datas de nascimento, números de telefone, senhas
de suas contas pessoais, perguntas de segurança, e muito
mais, para que possam cometer fraudes e outros crimes.
Foram exatamente esses os tipos de dados pessoais que
foram comprometidos em uma enorme campanha de
pirataria lançada em 2014 e que almejou mais de meio
bilhão de usuários ativos do Yahoo. 15
As empresas que desenvolverem e usarem aplicações
e dispositivos no âmbito da IoT devem estar cientes
de como os dados que estiverem coletando,
analisando e compartilhando afetarão a privacidade
dos usuários. Elas devem compreender todo o ciclo
de vida dos dados e onde estão todos os riscos ao
longo desse processo. Elas também devem
implementar as devidas salvaguardas —
administrativas, físicas e técnicas — para reduzir os
riscos conhecidos a níveis aceitáveis. Os seguintes
aspectos dos dados deveriam ser todos
considerados:
• Coleta de dados. Compre ender os d a d os que e stã o
se nd o cole ta dos — a lguns d a d os sã o c la ra me nte
ma is se nsíveis d o que outros . Id e nti f icadores
únicos , ta is como informações e xclusivamente
pe ssoais , a ume ntam o pe rf i l d e r isco .
• Propriedade de dados. Compre e nder que m
possuirá os d a d os uma ve z que te nha m sid o
cole ta dos . De te rminar a propried ade d os d a d os nã o
costuma se r a lgo s imple s e fá c i l ; um ponto d e
pa rtida pod eria se r a pe rgunta “Qua l
e ntidade/indivíd uo re sponderá pe la s ra mif icações
d a d ivulga ção d e d a d os, se isso ocorre r?”
•Responsabilidade pela custódia. Em muitos casos, o
proprietário dos dados não é diretamente
responsável por proteger os dados, mas é em último
caso responsável por qualquer exposição. Programas
para identificar e monitorar provedores
terceirizados que administram dados sensíveis são
fundamentais em várias frentes, incluindo a IoT.
Riscos da IoT
15 “Yahoo Security Head Discusses Worst Hack in History,” by Jeff John Roberts, Fortune, Sept. 2016:http://fortune.com/2016/09/28/yahoo-breach-bob-lord/.
8 · Protiviti
• Retenção e divulgação de dados. Os padrões de
retenção de dados associados à IoT talvez não se jam
considerados , ou podem ser considerados de forma
di ferente com relação a outros t ipos de dados . Os
processos envolvendo a divulgação de dados , até
mesmo, ou especia lmente , para agências de apl icação
das le is , é um tópico interessante . Telefones ce lulares
costumam servir de hub para disposi t ivos
interconectados , e contêm uma enorme qual idade de
dados , inc luindo local izações , registros de chamadas ,
resultados de pesquisas , e tc . Pol í t icas c laras a esse
respei to poderão a judar a evi tar ambiguidade e
processos judic ia is .
Mitigação de riscos: gestão de identidades
No mundo da IoT, o uso da biometria poderá transformar a
gestão de identidades. Isso já está acontecendo. Por
exemplo, instituições financeiras estão oferecendo aos
usuários a capacidade de acessar seus sistemas através de
impressões digitais e reconhecimento de voz ou facial. A
empresa de softwares Nymi já desenvolveu uma nova
pulseira que pode verificar a identidade de um usuário
através de um EKG. O Touch ID, introduzido pela Apple,
acrescenta recursos biométricos aos seus dispositivos
móveis. Vários grandes bancos já estão usando a
tecnologia para identificar os usuários das suas aplicações
móveis.
Interrupção de serviço
Com sua ampla adoção, a IoT poderá criar novas
vulnerabilidades, geralmente inesperadas, onde não havia
nenhuma antes. As empresas ou indústrias que
dependerem muito das informações produzidas por
dispositivos da IoT precisarão prestar mais atenção do
que outras à disponibilidade da IoT. Essas empresas
poderão sofrer uma interrupção de seus serviços se os
dispositivos conectados com os quais elas contam não
funcionarem corretamente, ou forem desconectados ou
danificados, seja intencionalmente ou não. Isso será
especialmente crít ico para indústrias onde a segurança de
consumidores, funcionários, ou pacientes estiver em jogo,
tais como petróleo e gás, ou serviços de saúde.
Ataques DDoS - Distributed Denial of Service
Os ataques DDoS, nos quais agressores inundam a largura de banda ou
os recursos de um sistema alvo, tal como um servidor de rede, para
“derrubar” um serviço on-line (torná-lo indisponível para os usuários),
é um risco significativamente ampliado pela IoT. De fato, os ataques
DDoS associados à IoT já estão virando notícia. Bem recentemente, os
componentes infectados com malwares usados por uma fabricante
chinesa de produtos eletrônicos exerceram um papel importante em
um enorme ataque DDoS que retardou ou derrubou completamente
grandes sites de Internet nos EUA.16
Antes disso, em setembro de 2016, a OVH, uma empresa francesa de
hospedagem de dados na Internet, foi atingida por dois ataques DDoS
simultâneos devido à “botnets compostos de dispositivos da IoT
adulterados e capazes de lançar ataques [DDoS] em uma escala sem
precedentes.”17 Esses ataques DDoS ocorreram após uma gigantesca
campanha direcionada ao krebsonsecurity.com, o site de Internet do
jornalista especializado em segurança cibernética Brian Krebs, no início
daquele mesmo mês.18
Os 10 principais riscos da IoT
O Open Web Application Security Project (OWASP / Projeto
Aberto de Segurança em Aplicações Web) ajuda fabricantes,
desenvolvedores e consumidores a compreender melhor as
questões de segurança da IoT para que possam tomar
melhores decisões relativas à segurança ao construir,
implementar ou avaliar a tecnologia da IoT. 19
Abaixo há a lista do OWASP com os 10 principais riscos da
IoT, que as organizações poderão usar para avaliar seus
riscos específicos da IoT:
1. Interface de gerenciamento vulnerável
2. Autenticação/autorização insuficiente
3. Serviços de rede vulneráveis
4. Falta de criptografia de transporte/verificação da integridade
5. Questões de privacidade
6. Interface de nuvem vulnerável
7. Interface móvel vulnerável
8. Configurabilidade insuficiente da segurança
9. Softwares/firmwares vulneráveis
10. Segurança física insuficiente
16 “Chinese Firm Admits Its Hacked Products Were Behind Friday’s DDoS Attack,” by Michael Kan, Computerworld, Oct. 23, 2016: http://www.computerworld.com/
article/3134097/security/chinese-firm-admits-its-hacked-products-were-behind-fridays-ddos-attack.html.
17 “Armies of Hacked IoT Devices Launch Unprecedented DDoS Attacks,” by Lucian Constantin, InfoWorld, Sept. 2016: http://www.infoworld.com/article/3124215/
security/armies-of-hacked-iot-devices-launch-unprecedented-ddos-attacks.html.
18 “KrebsOnSecurity Hit With Record DDoS,” KrebsonSecurity blog, Sept. 2016: https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/.
19 For more details on OWASP’s IoT Project, visit: https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project.
protiviti.com The Internet of Things: What Is It and Why Should Internal Audit Care? · 9
A IoT não é apenas um cenário “E se?” para o futuro;
ela já está entre nós, e está crescendo dias após dias. Os
auditores internos precisam estar nas linhas de frente
ao lado da Administração, ajudando-os a preparar a
organização para encarar os novos desafios e riscos
resultantes dessa onda de mudanças tecnológicas
disruptivas.
A boa notícia é que muitas das estratégias para gerir o
desafio da IoT já existem e têm sido implementadas
para administrar outras atividades de segurança e
operacionais de uma organização. A principal diferença
para a auditoria interna pode estar no
reporte/agregação de riscos devido ao volume e à
dispersão geográfica da IoT.
Tendo isso em mente, a auditoria interna, em
colaboração com a empresa, deveria tentar responder
essas perguntas para desenvolver uma melhor
compreensão da IoT, e promover uma maior
conscientização em toda a organização sobre suas
potenciais oportunidades e riscos:
• Como a IoT tem sido implementada na
nossa organização atualmente? Q u e m a
d e t é m , o u s e u s c o m p o n e n t e s ? Q u a l é o
p o t e n c i a l i n v e n t á r i o d a I o T n a o r g a n i z a ç ã o ?
P o r e x e m p l o , a t e c n o l o g i a d a I o T f a z p a r t e
d o s p r o d u t o s q u e a e m p r e s a v e n d e , e l a f o i
i n s t a l a d a i n t e r n a m e n t e p a r a a d m i n i s t r a r
p r o c e s s o s , o u f o r n e c e d o r e s t e r c e i r i z a d o s
e s t ã o i m p l e m e n t a n d o a t e c n o l o g i a d a I o T
n a s s o l u ç õ e s d a e m p r e s a ?
• Já consideramos os riscos associados à nossa
presença na IoT?
Esse s r iscos já fora m qua nti f icados ou
controla dos? A e mpre sa te m e fe tivamente incluído
se u inve ntário d a IoT na s a va l iações d e r isco ma is
a mpla s? A e mpresa consid era a IoT a o a pl ica r
pol í t icas e prá ticas d e ge stã o d e d a d os e
privacidade e ao aval iar sua segurança?
• Sabemos quais dados são coletados,
armazenados e analisados?
Já a val iamos a s re la t ivas e pote nciais implica ções
le ga is , pa ra a privacidade e pa ra a se gura nça? P or
e xe mplo, se a te cnologia d a IoT f ize r pa rte d a s
ofe rtas d e soluçõe s d a e mpre sa, a e mpre sa te m
ce rte za d e e sta r e m conformidade com os a cord os
com cl ientes sobre a d ivulgação da potencial
ca ptura e compa rti lha mento d e informações?
• Já possuímos planos de contingência para as
coisas conectadas à Internet que forem
sequestradas ou modificadas para uso
indevido?
Já a va l ia mos a s re la t iva s e pote ncia is
implica çõe s le ga is , pa ra a priva cid a d e e pa ra a
se gura nça ? P or e xe mplo , se a te cnologia d a IoT
f ize r pa rte d a s ofe rta s d e soluçõe s d a e mpre sa ,
a e mpre sa te m ce rte za d e e sta r e m
conformid a d e com os a cord os com cl ie nte s
sobre a d ivulgação da potencia l captura e
compa rti lha me nto d e informa çõe s?
Encarando o Futuro
10 · Protiviti
• Em que medida terceiros estão atuando em nosso
nome com relação à tecnologia da IoT?
Já imple mentamos os d e vid os processos e
a cord os d e níve l d e se rviço ( SLAs) pa ra
monitorá-los a d e quadamente? Conforme
continuamos a e ste nder nossos processos
come rciais pa ra outros provedores d e
se rviços , ta is provedores tê m usa d o a s
te cnologias d a IoT e m nosso nome ? Se for o
ca so , e sta mos monitorando sua ut i l iza ção?
Esta mos c ie ntes d e a lgum componente, d o
ponto d e v ista d a IoT, que e le s possa m te r
a cre scentado? Alé m d isso , te mos monitorado
os dados que capturamos e entregamos
a tra vés d os nossos provedores d e se rviços
te rce ir izados?
• Que papel a IoT exer ce na nossa atual
estr atégi a como or gani zação? Como estamos
mensurando os êxitos relativos a todas as metas
associadas aos nossos objetivos estratégicos? Já
possuímos uma estratégia para a IoT? O conselho
administrativo já avaliou o potencial impacto da
IoT sobre os negócios? E quanto aos nossos
concorrentes? Em que situação eles se encontram?
• Qual será o risco de não considerarmos ou
alavancarmos as possibilidades da IoT?
Qua l se rá o r isco se ignorarmos a IoT? E se nã o
t ira rmos tod o proveito d a s ca pa cidades d e a ná l ise
d e d a d os d a IoT? Arriscamos nã o a lca nçar nossos
objet ivos e stra tégicos s imple smente por te rmos
fa lha d o e m re conhecer a e volução d e uma
pa isagem ra d icalme nte tra nsformada?
É particularmente importante que essa última
pergunta seja respondida por auditores internos e
suas organizações. Diferentes empresas usam, se
beneficiam de, ou são afetadas pela IoT de diferentes
maneiras. Para garantir que estejam cumprindo suas
responsabilidades, os auditores internos devem
avaliar não apenas os riscos representados pela IoT,
mas também o risco de deixar de agir para tirar
proveito da IoT, no contexto da empresa, dos seus
concorrentes e da sua indústria.
protiviti.com The Internet of Things: What Is It and Why Should Internal Audit Care? · 11
ALESSANDRO GRATÃODiretor Executivo - IAFA
Tel.: +55 11 2198-4200 Ramal 4501
alessandro.gratao@protiviti.com.br
12 · Protiviti
SOBRE A PROTIVITI NO BRASIL
A ICTS é uma empresa brasileira de consultoria, auditoria interna e serviços em gestão de riscos e de negócios com a mais abrangente
atuação no mercado nacional. Propicia aos seus clientes proteção no presente e confiança no futuro.
Sua atuação inclui três focos: Protiviti, firma membro da Protiviti Inc., com serviços de Auditoria interna, Consultoria em Riscos, negócios e
tecnologia; ICTS Outsourcing, com operações de gestão de riscos e Compliance; ICTS Security com consultoria e gestão de serviços de
segurança pessoal e corporativos.
Reconhecida como Empresa Pró-Ética em 2015 e 2016, conta, no Brasil, com mais de 300 profissionais e presta serviços para mais de 40%
dos 200 maiores grupos empresariais do Brasil (Valor Econômico – Maiores e Melhores). Atende a empresas no território nacional e no
exterior a partir de escritórios em São Paulo, Rio de Janeiro e Barueri.
A Protiviti é uma empresa de consultoria global que entrega profundos conhecimentos e expertise, percepções objetivas, uma abordagem
customizada e colaboração inigualável para ajudar líderes a encarar o futuro de forma confiante. A Protiviti e nossas Empresas Membro de
propriedade independente oferecem soluções de consultoria nas áreas de finanças, tecnologias, operações, dados, análises, governança,
riscos e auditoria interna para nossos clientes através da nossa rede de mais de 70 escritórios em mais de 20 países.
Já atendemos mais de 60 por cento das empresas listadas no ranking da Fortune 1000® e 35 por cento das empresas listadas no ranking da
Fortune Global 500®. Também trabalhamos com empresas menores e emergentes, incluindo aquelas que planejam abrir seu capital, assim
como com agências governamentais. A Protiviti é uma subsidiária de propriedade integral da Robert Half (NYSE: RHI). Fundada em 1948, a
Robert Half é membro do índice S&P 500.
CONTATOS
MARCO RIBEIRODiretor Executivo - IT Consulting
Tel.: +55 11 2198-4200 Ramal 4401
marco.ribeiro@protiviti.com.br
Protiviti Brasil
São PauloTel.: +55 (11) 2198-4200Rua James Joule, 65 - 5º andarTorre Sul - BerriniCep: 04576-080São Paulo - SP
Rio de JaneiroTel.: +55 (21) 2511-2651Avenida Rio Branco, 109 - Conj. 702CentroCep: 20040-004Rio de Janeiro - RJ
©2016 Protiviti Inc.An Equal Opportunity EmployerM/F/Disability/Veterans. PRO-1216-101090
Protiviti is not licensed or registered as apublic accounting firmand does not issue opinionson financial statements or offer attestation services.
AMÉRICAS UNITED STATES
Alexandria
Atlanta
Baltimore
Boston
Charlotte
Chicago
Cincinnati
Cleveland
Dallas
Fort Lauderdale
Houston
KansasCity
LosAngeles
Milwaukee
Minneapolis
New York
Orlando
Philadelphia
Phoenix
Pittsburgh
Portland
Richmond
Sacramento
Salt LakeCity
SanFrancisco
San Jose
Seattle
Stamford
St.Louis
Tampa
Washington,D.C.
Winchester
Woodbridge
ARGENTINA*
Buenos Aires
BRAZIL*
Rio deJaneiro SaoPaulo
CANADA
Kitchener-Waterloo Toronto
CHILE*
Santiago
MEXICO*
MexicoCity
PERU*
Lima
VENEZUELA*
Caracas
FRANCE
Paris
GERMANY
Frankfurt
Munich
ITALY
Milan
Rome
Turin
NETHERLANDS
Amsterdam
UNITED KINGDOM
London
BAHRAIN*
Manama
KUWAIT*
KuwaitCity
OMAN*
Muscat
QATAR*
Doha
SAUDI ARABIA*
Riyadh
SOUTH AFRICA*
Johannesburg
UNITED ARAB
EMIRATES*
AbuDhabi
Dubai
CHINA
Beijing
HongKong
Shanghai
Shenzhen
JAPAN
Osaka
Tokyo
SINGAPORE
Singapore
INDIA*
Bangalore
Hyderabad
Kolkata
Mumbai
NewDelhi
AUSTRALIA
Brisbane
Canberra
Melbourne
Sydney
*FIRMAS MEMBRO
EUROPA
ORIENTE MÉDIO
ÁFRICA
ÁSIA
PACÍFICO
top related