A Internet das Coisas - ICTS · 2018-08-24 · A Internet das Coisas (IoT) está evoluindo...

of 14/14
A Internet das Coisas: O que é e por que a auditoria interna deveria se preocupar com isso? Internal Audit, Risk, Business & Technology Consulting
  • date post

    04-Jul-2020
  • Category

    Documents

  • view

    1
  • download

    0

Embed Size (px)

Transcript of A Internet das Coisas - ICTS · 2018-08-24 · A Internet das Coisas (IoT) está evoluindo...

  • A Internet das Coisas:O que é e por que a auditoria

    interna deveria se preocupar

    com isso?

    InternalAudit, Risk, Business& TechnologyConsulting

  • Resumo Executivo

    A Internet das Coisas (IoT) está evoluindo

    rapidamente, com uma ampla variedade de

    sistemas “inteligentes”, aplicações móveis,

    dispositivos de comunicação pessoal e outras

    plataformas que já estão interconectadas. A

    empresa de pesquisas IDC projeta que haverá

    30 bilhões de coisas conectadas até 2020.1 E

    parafraseando a Forbes ao definir a IoT, se algo

    puder ser conectado à Internet, é apenas uma

    questão de tempo até que efetivamente seja.2

    Em um mundo cada vez mais digital, os auditores

    internos precisam ser observadores mais aguçados

    de todas as mudanças tecnológicas que possam

    potencialmente afetar a empresa e seu perfil de

    risco — uma conclusão tirada da mais recente

    rodada de entrevistas realizadas pela Protiviti para a

    nossa mais recente edição da Internal Auditing

    Around the World (Auditoria Interna Pelo Mundo).3

    Conforme a IoT se expande e o mundo se torna

    mais interconectado — e os dispositivos da IoT

    coletam cada vez mais dados a partir de objetos,

    máquinas e pessoas — organizações de todas as

    indústrias enfrentarão novas oportunidades e

    riscos. Questões relativas a privacidade, pirataria

    e outros crimes cibernéticos, e o potencial de que

    haja fracassos corporativos catastróficos devido à

    enorme dependência da Internet são exemplos dos

    riscos que os auditores internos e suas

    organizações precisarão monitorar de perto no

    cenário da IoT.

    Este artigo técnico discute a emergência da IoT e

    oferece uma visão geral das oportunidades e riscos

    da IoT para as empresas, incluindo como a IoT poderá

    potencialmente ajudar as organizações a mitigar seus

    riscos. E o mais importante, ele apresenta várias

    questões que os auditores internos deveriam tentar

    responder em colaboração com a Administração e os

    conselhos diretivos para que suas empresas estejam

    bem posicionadas para tirar proveito das tecnologias

    e capacidades da IoT e possam operar no futuro

    mundo da “Internet de Todas as Coisas”. 4

    1 “Connecting the IoT: The Road to Success,” IDC: http://www.idc.com/infographics/IoT.

    2 “A Simple Explanation of The Internet of Things,’’ by Jacob Morgan, Forbes, May 2014: http://www.forbes.com/sites/jacobmorgan/2014/05/13/simple-explanation-

    internet-things-that-anyone-can-understand/#3def0f206828.

    3 “Internal Auditing Around the World,” Protiviti, July 2016: https://www.protiviti.com/US-en/insights/internal-auditing-around-world.

    4 Cisco defines the IoE as “the intelligent connection of people, data, process and things.” For more information, see the “Internet of Everything FAQ,” Cisco:

    http://ioeassessment.cisco.com/learn/ioe-faq.

    protiviti.com The Internet of Things: What Is It and Why Should Internal Audit Care? · 1

    A IoT é exatamente esse tipo de mudança

    disruptiva. Os auditores internos devem, portanto,

    estar preparados para identificar rapidamente os

    sinais de mudança na IoT e qualquer relativa

    implicação para o modelo de negócios ou os

    objetivos estratégicos da organização.

    http://www.idc.com/infographics/IoThttp://www.forbes.com/sites/jacobmorgan/2014/05/13/simple-explanation-http://www.protiviti.com/US-en/insights/internal-auditing-around-worldhttp://www.protiviti.com/US-en/insights/internal-auditing-around-worldhttp://ioeassessment.cisco.com/learn/ioe-faq

  • A IoT é um ambiente no qual “coisas” — objetos,

    animais ou pessoas — recebem identificadores únicos

    na Internet e a capacidade de transferir dados em

    rede sem a necessidade de interação entre humanos

    ou entre humanos e computadores. A IoT tem evoluído

    a partir da convergência de tecnologias sem fio ,

    sistemas microeletromecânicos (MEMS) e a Internet.

    U m importa nte fa ci l i ta d or d a IoT é o IP v6 , um

    protocolo d e comunica çã o que forne ce uma

    identi f icação e s istema de local ização para

    computa d ore s na s re d e s e d ire ciona o trá fe go e m

    tod a a Inte rne t . O IP v6 fo i d e se nvolvid o e m 1 9 9 9

    pa ra substi tuir o IP v4 , pois os ma is d e 4 bi lhõe s d e

    e nd e re ços d e IP d o IP v4 já t inha m sid o

    e sse ncia lme nte e xa urid os .

    O IPv6 permite utilizar 340 undecilhões de endereços.

    Para colocar essa cifra monumental em contexto, isso

    significa que um endereço de IP poderia ser atribuído a

    cada átomo individual encontrado na superfície da Terra

    — e, de acordo com algumas pessoas, ainda sobraria

    uma quantidade suficiente de endereços para outros 100

    planetas Terra.5

    Resumindo, o IPv6 representa uma oportunidade para

    tornar todas as coisas conectáveis. Porém, a IoT não

    envolve apenas conectar e coletar dados a partir de

    coisas como dispositivos e sistemas inteligentes sem

    fio - uma categoria que hoje inclui todas as coisas, de

    telefones celulares e monitores f itness a aparelhos

    domésticos, prédios e automóveis.

    A IoT é uma transição tecnológica crítica que é

    essencial para o desenvolvimento de uma rede muito

    maior e profundamente interconectada, a Internet de

    Todas as Coisas, ou IoE, e para promover e apoiar os

    negócios digitais.

    Os principais componentes da IoT são:

    1. Coleta de Dados: No coração da IoT estão os

    sensores e atuadores que coletam, transmitem,

    armazenam e atuam com base nos dados disponíveis

    na fonte. Esses dispositivos variam em tamanho e

    capacidade. Alguns possuem sistemas operacionais

    (OS) ínfimos. Outros possuem robustos OS

    instalados, incluindo Microsoft Windows e Google

    Android.

    2. Conectividade: A IoT não poderia existir sem a

    interconexão de dispositivos e sensores. Bluetooth,

    comunicação por campo de proximidade (NFC), Wi -

    Fi e telefonia celular são tecnologias conhecidas

    para possibilitar a conectividade. Surge no horizonte

    o NB-IoT, um protocolo de bandas estreitas da IoT

    baseado na atual tecnologia de telefonia celular. Ele

    apoiará a qualidade do serviço ( QoS), assim como o

    fator crítico de sucesso para qualquer

    implementação da IoT: uma rede de longa distância

    com baixo consumo de energia. O NB -IoT também

    oferecerá segurança — algo que muitas plataformas

    e protocolos de conectividade atuais carecem.

    O que é a IoT?

    5 “Are there enough IPv6 addresses for every atom on the surface of the Earth?,” StackExchange: http://skeptics.stackexchange.com/questions/22501/are-there-enough-

    ipv6-addresses-for-every-atom-on-the-surface-of-the-earth.

    2 · Protiviti

    http://skeptics.stackexchange.com/questions/22501/are-there-enough-

  • 3. Pessoas e processos: Conforme a ume nta o

    núme ro d e d isposi t ivos cone cta d os , ta mbé m

    a ume nta rá a ne ce ssid a d e d e novos mé tod os

    pa ra a d ministra r , inte rpre ta r e a tua r com ba se

    nos monume nta is volume s d e d a d os que se rã o

    ge ra d os e cole ta d os por a que le s d isposi t ivos .

    O t ipo e a qua ntid a d e d os d a d os que sã o

    cole ta d os proporciona m pe rce pçõe s

    pote ncia lme nte pod e rosa s . A proposta d e va lor

    por trá s d a IoT se ba se ia na id e ia d e que a

    a çã o se rá a d ota d a com ba se ne sse s d a d os. Em

    a lguns ca sos , a a çã o pod e rá se r ime d ia ta ; e m

    outros , os d a d os pod e rã o se r a cumula d os a o

    longo do tempo para prover anál ises de

    te nd ê ncia s , mé tr ica s re la t iva s a vá ria s

    popula çõe s , ou a ná l ise s pre d it iva s . É a qui que

    pe ssoa s , proce ssos e a ge stã o d e r iscos

    e xe rce rã o se u pa pe l . Os proce ssos d e ve m se r

    proje ta d os pa ra ga ra ntir que a s a çõe s

    ba se a d a s nos d a d os se ja m be m pla ne ja d a s ,

    consiste nte s , e a l inha d a s com os obje t ivos

    e stra té gicos e os protocolos d e ge stã o d e

    r iscos . A ve rd a d eira prome ssa d a IoT e stá

    nesse terceiro componente . A integração de

    pe ssoa s e proce ssos na IoT é ne ce ssá ria pa ra

    a jud a r a IoE (Inte rne t of Eve rything ) a e voluir .

    Já há exemplos irrefutáveis de como o uso de

    sensores conectados à Internet por empresas e

    indústrias pode gerar percepções que criem valor

    real. Um deles é a vaca “conectada”.

    Para ajudar criadores de gado a aumentar a taxa de

    sucesso da inseminação artificial em vacas, a

    empresa japonesa de produtos eletrônicos Fujitsu

    desenvolveu um sistema de pedômetros conectados

    à Internet que contam os passos das vacas. Os

    criadores de gado sabem que quando as vacas

    aumentam significativamente sua atividade de

    caminhar, isso é um sinal de estarem no seu período

    fértil. Isso ajuda a identificar a janela de tempo

    extremamente curta durante a qual uma vaca está

    fértil — um período que costuma ocorrer à noite, e

    por isso os criadores costumam perder essa

    oportunidade.6

    A Fujitsu reporta que a taxa de sucesso de uma

    única tentativa de inseminação artificial para

    uma vaca usando seu pedômetro é quase o

    dobro da taxa verificada nas vacas que não

    estão conectadas. Espera-se que o mercado de

    “vacas e fazendas conectadas”, que inclui outras

    “aplicações para vacas” como ordenha e

    alimentação automatizadas, cresça para se

    tornar uma indústria de $10,1 bilhões em 2021,

    partindo dos $1,2 bilhões atuais.7

    Exemplo do mundo real: a vaca “conectada”

    6 “The Smart Home Is a Fantasy, but ‘Smart Cows’ Are Already Real,” by Arik Hesseldahl, Recode, April 2016: http://www.recode.net/2016/4/9/11586010/iot-internet-

    ofthings-cows.

    7 “Connected Cow and Farm Market (2016 — 2021),” Arcluster, 2016: https://arcluster.com/research/connected-cow-market-2016-2021/.

    protiviti.com The Internet of Things: What Is It and Why Should Internal Audit Care? · 3

    http://www.recode.net/2016/4/9/11586010/iot-internet-

  • Por que a IoT é importante para a auditoria interna?Por que , especif icamente, a auditoria interna deveria

    prestar muita atenção à IoT ? A emergente IoT representa

    tanto um novo desafio para as empresas (discut imos os

    r iscos da IoT a seguir neste documento), quanto uma

    importante oportunidade para que auditores internos

    ajudem suas empresas a l idar com a “curva de disrupção” e

    encarar o desafio de forma confiante. E mbora as inovações

    disrupt ivas possam no passado ter levado uma década ou

    mais para transformar uma indústr ia, o período de tempo

    decorrido até a disrupção tem sido bastante reduzido nos

    últ imos anos — e cont inuará a se acelerar conforme a IoT , e

    a IoE , evoluam. Monitorar esse r isco emergente é a lgo que

    faz plenamente parte do escopo de responsabilidades da

    auditoria interna — “ident i ficar as áreas de r isco

    conhecidas e emergentes” fo i c lass if icada como a tarefa

    número um em termos de escopo, à frente da garant ia de

    segurança, por 85 por cento dos entrevistados na América

    do Norte c i tados no re latório das partes interessadas

    Global Inte rna l Audit Common Body o f Knowledge

    (Conjunto Global de Conhecimentos Comuns para

    Auditorias Internas) . 8

    Os auditores internos reconhecem a necessidade de

    melhorar seus conhecimentos e compreensão da IoT, de

    acordo com as descobertas da pesquisa “2016 Internal Audit

    Capabilities and Needs Survey” (Pesquisa de Capacidades e

    Necessidades das Auditorias Internas de 2016), realizada

    pela Protiviti . A IoT obteve a quinta colocação na categoria

    “General Technical Knowledge” (“Conhecimentos Técnicos

    Gerais”) como uma prioridade “que precisa ser aperfeiçoada”

    para as auditorias internas, com uma pontuação geral de

    competência de 2,6 (com 5 sendo o nível mais alto de

    competência). 9

    E ssa fo i a pr imeira vez que a IoT fo i inc luída na

    pesquisa como uma área de conhecimentos técnicos; que

    os auditores internos a tenham c lassi ficado como uma

    área pr ioritária de aperfeiçoamento realça exatamente o

    quão rapidamente a IoT está evoluindo e se tornando

    uma questão de maior destaque para empresas de todas

    as indústr ias .

    U m m o t i v o p r e m e n t e p a r a q u e o s a u d i t o r es i n t e r n o s

    m e l h o rem s u a s c o m p e t ên ci as n a I o T é a t e n d e r a o

    c h a m ad o p a r a q u e a s s u m a m u m p a p e l m a i s

    e s t r a t ég i co c o m o p a r c ei ros d e n e g ó c i o s d a s s u a s

    e m p r e s as . A s p a r t e s i n t e r e s s ad a s e x p r e s s a ram s u a

    a p r o v açã o , e a n e c e s s i d a d e , d e s s e t i p o d e p a p e l n o

    r e l a t ór i o C o m m on B o d y o f K n o w l e d g e ( C B O K ) V o i c e

    o f t h e C u s t o m e r S t a k e h o l d e r ( C o n j u n t o d e

    C o n h e c im en t os C o m u n s ( C B O K ): V o z d a s P a r t e s

    I n t e r e s s a d as C l i e n t e s ) d o T h e I n s t i t u t e o f I n t e r n a l

    A u d i t o r s . 10 C o n s e l h o s a d m i n i s t r a t iv os e e x e c u t i vos

    d e n í v e l s u p e r i o r d e c l a r aram e s p e c i f i came n t e q u e

    e m b o ra o p a p e l d e g a r a n t i a d a s e g u r a n ça d a

    a u d i t o r ia i n t e r n a s e j a a l g o p r e s u m i d o e c o n t i n u e a

    s e r e s s e n c i a l , a p a r t i c i p a ção a t i v a d a a u d i t o r i a

    i n t e r n a p a r a a v a l i ar o s r i s c o s e s t r a t ég i co s t a m b é m é

    a l g o a l t a m en t e d e s e j á v el , d e s d e q u e h a j a a d e v i d a

    c o m p e t ên c ia e c a p a c id a d e . E m t a l p a p e l , a a u d i t o r i a

    i n t e r n a d e v e r i a s e t o r n a r u m a p r o m o t ora d a s

    o p o r t u n i d a d e s d a I o T p a r a a e m p r es a a v a l i an d o a o

    m e s m o t e m p o o s r i s c o s q u e e l a p o d e r e p r e s en t a r . A

    a u d i t o r ia i n t e r n a t a m b é m p o d e r á a j u d a r a e m p r e s a a

    e x p l o r a r a s m a n e i r as d e m i t i g a r o s r i s c o s d a I o T ,

    d i s c u t i d a s e m m a i o r d e t a l h e a s e g u i r n e s t e

    d o c u m e n t o .

    8 “Relationships and Risk: Insights from Stakeholders in North America,” The IIA:https://global.theiia.org/iiarf/Pages/CBOK-Research-Resource-Library-Stakeholder-Study.aspx.

    9 2016 Internal Audit Capabilities and Needs Survey Report, Protiviti, 2016: http://www.protiviti.com/en-US/Pages/IA-Capabilities-and-Needs-Survey.aspx.

    10 “Voice of the Customer: Stakeholders’ Messages for Internal Audit,” The IIA: http://theiia.mkt5790.com/CBOK_2015_Voice_of_the_Customer/?webSyncID=d94260b3-

    9025-d0ca-a42a-3166784abeb5&sessio:nGUID=b81e8927-4cad-137a-95dd-8216d5143661.

    4 · Protiviti

    http://www.protiviti.com/en-US/Pages/IA-Capabilities-and-Needs-Survey.aspxhttp://theiia.mkt5790.com/CBOK_2015_Voice_of_the_Customer/?webSyncID=d94260b3-

  • Gráfico 1: The Internal Audit Continuum

    Com relação à IoT, os auditores internos precisam

    focar em criar valor em nível da “solução” nesse

    contínuo, se tornando faci litadores da mudança

    positiva e das melhores práticas internas

    relativas a esse novo risco. Levar a l iderança de

    pensamento em consideração, reunir -se com seus

    pares de outras organizações para avaliar sua

    exposição à IoT, e faci litar discussões relativas à

    IoT com a administração sênior e o conselho

    administrativo são apenas algumas maneiras através

    das quais os auditores internos poderão ajudar a

    empresa a desenvolver uma abordagem eficaz para a

    gestão de riscos da IoT em toda a organização. Veja a

    última seção deste documento para acessar uma lista

    de questões e tópicos de discussão relativos à IoT que

    auditores internos poderão usar para estimular o

    diálogo com conselhos diretivos e a administração

    executiva.

    Opera

    cional

    Com

    plia

    nce

    Fin

    ance

    iro

    Superv

    isão

    Perc

    epçã

    oPre

    vis

    ão

    Escopo

    Abord

    agem

    Prevenção

    PrevençãoDetecção

    Solução

    Processo de

    Gestão de

    Riscos para os

    Negócios

    DETECÇÃO PREVENÇÃO PREVENÇÃO SOLUÇÃO

    • Reportar problemas,

    recomendar

    soluções

    • Verificar a

    conformidade com

    relação à política

    estabelecida

    • Desempenho

    de referência

    dos processos

    operacionais

    com relação

    às melhores

    práticas

    • Promover

    ativamente a

    conformidade dos

    controles internos

    • Ajudar finanças e

    operações a

    aprimorar os

    controles internos

    • Gestão de riscos

    em toda a

    empresa

    • Facilitar a

    mudança

    positiva e as

    melhores

    práticas internas

    protiviti.com The Internet of Things: What Is It and Why Should Internal Audit Care? · 5

  • A IDC proje ta re ce i ta s d e $1 ,7 tr i lhõe s pa ra o

    e cossiste ma d a IoT e m 2 0 2 0 . 11 P or isso , a lé m d e

    compre e nd e r os principa is r iscos a ssocia d os à IoT,

    d iscutid os a se guir ne ste d ocume nto , os a ud itore s

    inte rnos d e ve m re conhe ce r a s oportunid a d es que a

    IoT ofe re ce pa ra a e mpre sa , le mbra nd o que d e ixa r

    d e t ira r prove ito d a s oportunid a d e s d a IoT é um

    risco por s i só . Essa s oportunid a d es ta lve z se ja m

    inesperadas , e nunca antes imaginadas . O exemplo

    d a “va ca cone cta d a ” d iscutid o a cima mostra como a

    IoT pod e proporciona r d isrupçõe s posi t iva s e

    inova çõe s pa ra uma ind ústr ia ba sta nte tra d ic iona l e

    nã o d igi ta l — uma ind ústr ia que nã o e ra uma

    ca nd id a ta óbvia pa ra e mpre ga r a te cnologia d a IoT

    nos se us proce ssos .

    Eis uma amostra das aplicações da IoT nas várias

    indústrias:

    • Tecnologia para produtos de consumo :

    Sma rtphone s e ta ble ts , monitore s d e a t iv id a d e s

    pe ssoa is e outros prod utos d e uso pe ssoa l ,

    a pa re lhos d omé sticos inte l ige nte s e te rmosta tos

    inte l ige nte s já e stã o a mpla me nte d isponíve is e

    e m uso . Ama zon Da sh, o d isposi t ivo cone cta d o

    v ia Wi -Fi que pe rmite a os usuá rios e ncome nd a r

    nova me nte se u prod uto fa vori to a tra vé s d a

    Ama zon com o a pe rta r d e um botã o , fo i nã o

    a pe na s a d ota d o l i te ra lme nte d a noite pa ra o d ia ,

    mas foi também logo “ hackeado ” pelos usuários

    pa ra pe rmitir que f ize sse outra s coisa s , ta is

    como pe d ir uma pizza ou cha ma r um U be r .

    Atra vé s d a e xposiçã o a o r isco , surgiu uma

    oportunid a d e pa ra a d a pta r e me lhora r o prod uto .

    A Ama zon já e stá ofe re ce nd o um Da sh Button

    conf igurá ve l que os consumid ore s pod e m usa r

    pa ra se cone cta re m com uma a mpla ga ma d e

    se rviços a t iva d os pe la IoT. 1 2 Esse é a pe na s um

    e xe mplo d e como os próprios consumid ore s

    e stã o impulsiona nd o o me rca d o d e te cnologia s

    ativadas pela IoT, e o potencia l inexplorado que

    i sso tud o ofe re ce .

    • Electricity and utilities: A tecnologia de redes

    elétricas inteligentes está provendo inteligência

    na distribuição e oferecendo uma oportunidade de

    mão dupla para enviar eletricidade de volta para a

    rede, particularmente durante os períodos de pico

    de consumo. A detecção automática de apagões

    através de medidores inteligentes poderá

    proporcionar reparos mais rápidos. Outros

    avanços da IoT, tais como a capacidade de

    programar aparelhos domésticos inteligentes para

    que funcionem durante períodos de menor

    consumo, estão ajudando a reduzir o consumo de

    energia dos consumidores.

    • Petróleo e gás: A tecnologia da IoT está ajudando as

    empresas desse setor a incrementar sua eficiência

    através dos avanços na monitoração da pressão,

    temperatura e taxa de vazão, assim como na mensuração

    de transferências, volume e integridade dos oleodutos.

    Quais oportunidades a IoT oferece?

    11 “Connecting the IoT: The Road to Success,” IDC: http://www.idc.com/infographics/IoT.

    12 “Amazon Expands Dash Button Lineup With Programmable IoT Button,” by Megan Crouse, Manufacturing Net,May 13, 2016: http://www.manufacturing.net/

    news/2016/05/amazon-expands-dash-button-lineup-programmable-iot-button.

    6 · Protiviti

    http://www.idc.com/infographics/IoThttp://www.manufacturing.net/

  • Sensores instalados em campo podem possibilitar

    projeções inteligentes e ajudar as empresas a

    otimizar a produção dos poços. Ao se tornarem

    “empresas de tecnologia digital ,” as empresas de

    petróleo e gás poderão melhorar ainda mais o

    tempo de operação das plataformas de petróleo e

    as taxas de recuperação de petróleo, reduzir os

    derramamentos de óleo, incrementar a

    produtividade dos funcionários, reduzir custos, e

    muito mais. Por exemplo, uma empresa americana

    prestadora de serviços para campos de petróleo

    que emprega técnicas de perfuração avançadas,

    que fazem uso intensivo de serviços e requerem

    conhecimentos específ icos para sua operação e

    manutenção, já está usando tecnologias

    colaborativas, tais como comunicações unif icadas,

    para prover orientações especializadas sob

    demanda e uma solução mais rápida de problemas,

    gerando menores custos e menos interrupções dos

    negócios. 13

    • Seguros: Aplicações geoespaciais poderão alertar motoristas sobre potenciais condições climáticas

    severas (e.g., tempestades de granizo), ajudando -os

    a evitar danos aos seus veículos e a necessidade de

    protocolar um pedido de seguro. Sensores

    ambientais instalados nos locais de trabalho e

    outros prédios e instalações já estão sendo usados

    para detectar temperatura, fumaça, gases tóxicos,

    mofo, movimentos de terremotos, e muito mais. 14

    • Indústria automotiva: Automóveis a utônomos pod erão a jud a r a re d uzir o trá fe go e a ume ntar a

    se gura nça na s e stra das . Se nsores instala dos na s

    e stra das pod erão a le rta r os motoristas d e

    a utomóveis e quipados com se nsores sobre a

    ocorrência d e chuva s , ge a d as e ge lo . A lguns

    se nsores d e e stra das ta mbém pod erão me d ir a

    e spe ssura d o ge lo , a na l isar a composição d a s

    substâ ncias químicas pre se ntes na supe rf íc ie d a

    e stra da que fora m usa d a s pa ra d e scongelar a v ia ,

    e e ntã o re portar e ssa s informações pa ra os

    d e partamentos d e tra nsporte pa ra que e le s

    possa m me lhora r a a pl ica ção d e ta is substâ ncias

    químicas .

    • Serviços de saúde : O atendimento de pacientes é uma aplicação óbvia para as tecnologias da IoT

    — do agendamento de consultas e monitoração

    de doenças como diabete, a garantir que a devida

    dosagem dos medicamentos tenha sido

    administrada. A indisponibilidade de

    dispositivos médicos também poderá ser

    reduzida através da monitoração e suporte

    remotos. A tecnologia da IoT já está ajudando

    hospitais a otimizar sua cadeia de suprimentos

    reduzindo ao mesmo tempo os riscos: Armários

    de suprimentos com leitores RFID embutidos e

    antenas poderão registrar quem acessou o

    estoque, o que eles retiraram e quando.

    13 “ANew Reality for Oil & Gas:Complex Market Dynamics CreateUrgent Need for DigitalTransformation,” byRobert Moriarty, KathyO’Connell,Nicolaas Smit,Andy

    Noronha and Joel Barbier, Cisco, April 2015: http://www.cisco.com/c/dam/en_us/solutions/industries/energy/docs/OilGasDigitalTransformationWhitePaper.pdf.

    14 “5 Ways the IoT Will Transform the Insurance Industry,” by Robert Reiss, Forbes, Feb. 1, 2016: http://www.forbes.com/sites/robertreiss/2016/02/01/5-ways-the-iot-

    will-transform-the-insurance-industry/#7b2bca3d72cb.

    protiviti.com The Internet of Things: What Is It and Why Should Internal Audit Care? · 7

    http://www.cisco.com/c/dam/en_us/solutions/industries/energy/docs/OilGasDigitalTransformationWhitePaper.pdfhttp://www.forbes.com/sites/robertreiss/2016/02/01/5-ways-the-iot-

  • Considerando as potenciais oportunidades que a IoT

    oferece, talvez o risco mais significativo associado à

    IoT para as empresas seja que elas não atuem rápido o

    suficiente, ou nem façam nada, para desenvolver e

    alavancar as novas tecnologias e aplicações da IoT.

    Porém, para ter sucesso no mundo da IoT as

    organizações também devem estar cientes da, e

    monitorar atentamente, sua exposição a riscos em

    áreas tais como privacidade, continuidade dos negócios

    e segurança.

    Privacidade

    Dados já estão sendo coletados das formas mais

    variadas como nunca visto antes, a partir de mais

    dispositivos e aplicações, e a uma taxa cada vez mais

    rápida. Muitos desses dados podem ser associados a

    grupos específicos de usuários, e geralmente

    vinculados a indivíduos ou objetos singulares. Em um

    ambiente mais interconectado como a IoT, é evidente

    que muitos outros dispositivos estarão capturando

    dados dos usuários para análise — e que os dados serão

    muito mais ricos.

    Quanto mais ricos forem os dados, mais valiosos eles

    serão para as empresas — e para a atividade econômica

    dos “hackers”. Atores mal -intencionados tentam roubar

    muito mais do que apenas os dados financeiros dos

    usuários; eles também desejam ter acesso a endereços de

    e-mail, datas de nascimento, números de telefone, senhas

    de suas contas pessoais, perguntas de segurança, e muito

    mais, para que possam cometer fraudes e outros crimes.

    Foram exatamente esses os tipos de dados pessoais que

    foram comprometidos em uma enorme campanha de

    pirataria lançada em 2014 e que almejou mais de meio

    bilhão de usuários ativos do Yahoo. 15

    As empresas que desenvolverem e usarem aplicações

    e dispositivos no âmbito da IoT devem estar cientes

    de como os dados que estiverem coletando,

    analisando e compartilhando afetarão a privacidade

    dos usuários. Elas devem compreender todo o ciclo

    de vida dos dados e onde estão todos os riscos ao

    longo desse processo. Elas também devem

    implementar as devidas salvaguardas —

    administrativas, físicas e técnicas — para reduzir os

    riscos conhecidos a níveis aceitáveis. Os seguintes

    aspectos dos dados deveriam ser todos

    considerados:

    • Coleta de dados. Compre ender os d a d os que e stã o se nd o cole ta dos — a lguns d a d os sã o c la ra me nte

    ma is se nsíveis d o que outros . Id e nti f icadores

    únicos , ta is como informações e xclusivamente

    pe ssoais , a ume ntam o pe rf i l d e r isco .

    • Propriedade de dados. Compre e nder que m possuirá os d a d os uma ve z que te nha m sid o

    cole ta dos . De te rminar a propried ade d os d a d os nã o

    costuma se r a lgo s imple s e fá c i l ; um ponto d e

    pa rtida pod eria se r a pe rgunta “Qua l

    e ntidade/indivíd uo re sponderá pe la s ra mif icações

    d a d ivulga ção d e d a d os, se isso ocorre r?”

    •Responsabilidade pela custódia. Em muitos casos, o proprietário dos dados não é diretamente

    responsável por proteger os dados, mas é em último

    caso responsável por qualquer exposição. Programas

    para identificar e monitorar provedores

    terceirizados que administram dados sensíveis são

    fundamentais em várias frentes, incluindo a IoT.

    Riscos da IoT

    15 “Yahoo Security Head Discusses Worst Hack in History,” by Jeff John Roberts, Fortune, Sept. 2016:http://fortune.com/2016/09/28/yahoo-breach-bob-lord/.

    8 · Protiviti

    http://fortune.com/2016/09/28/yahoo-breach-bob-lord/

  • • Retenção e divulgação de dados. Os padrões de retenção de dados associados à IoT talvez não se jam

    considerados , ou podem ser considerados de forma

    di ferente com relação a outros t ipos de dados . Os

    processos envolvendo a divulgação de dados , até

    mesmo, ou especia lmente , para agências de apl icação

    das le is , é um tópico interessante . Telefones ce lulares

    costumam servir de hub para disposi t ivos

    interconectados , e contêm uma enorme qual idade de

    dados , inc luindo local izações , registros de chamadas ,

    resultados de pesquisas , e tc . Pol í t icas c laras a esse

    respei to poderão a judar a evi tar ambiguidade e

    processos judic ia is .

    Mitigação de riscos: gestão de identidades

    No mundo da IoT, o uso da biometria poderá transformar a

    gestão de identidades. Isso já está acontecendo. Por

    exemplo, instituições financeiras estão oferecendo aos

    usuários a capacidade de acessar seus sistemas através de

    impressões digitais e reconhecimento de voz ou facial. A

    empresa de softwares Nymi já desenvolveu uma nova

    pulseira que pode verificar a identidade de um usuário

    através de um EKG. O Touch ID, introduzido pela Apple,

    acrescenta recursos biométricos aos seus dispositivos

    móveis. Vários grandes bancos já estão usando a

    tecnologia para identificar os usuários das suas aplicações

    móveis.

    Interrupção de serviço

    Com sua ampla adoção, a IoT poderá criar novas

    vulnerabilidades, geralmente inesperadas, onde não havia

    nenhuma antes. As empresas ou indústrias que

    dependerem muito das informações produzidas por

    dispositivos da IoT precisarão prestar mais atenção do

    que outras à disponibilidade da IoT. Essas empresas

    poderão sofrer uma interrupção de seus serviços se os

    dispositivos conectados com os quais elas contam não

    funcionarem corretamente, ou forem desconectados ou

    danificados, seja intencionalmente ou não. Isso será

    especialmente crít ico para indústrias onde a segurança de

    consumidores, funcionários, ou pacientes estiver em jogo,

    tais como petróleo e gás, ou serviços de saúde.

    Ataques DDoS - Distributed Denial of Service

    Os ataques DDoS, nos quais agressores inundam a largura de banda ou

    os recursos de um sistema alvo, tal como um servidor de rede, para

    “derrubar” um serviço on-line (torná-lo indisponível para os usuários),

    é um risco significativamente ampliado pela IoT. De fato, os ataques

    DDoS associados à IoT já estão virando notícia. Bem recentemente, os

    componentes infectados com malwares usados por uma fabricante

    chinesa de produtos eletrônicos exerceram um papel importante em

    um enorme ataque DDoS que retardou ou derrubou completamente

    grandes sites de Internet nos EUA.16

    Antes disso, em setembro de 2016, a OVH, uma empresa francesa de

    hospedagem de dados na Internet, foi atingida por dois ataques DDoS

    simultâneos devido à “botnets compostos de dispositivos da IoT

    adulterados e capazes de lançar ataques [DDoS] em uma escala sem

    precedentes.”17 Esses ataques DDoS ocorreram após uma gigantesca

    campanha direcionada ao krebsonsecurity.com, o site de Internet do

    jornalista especializado em segurança cibernética Brian Krebs, no início

    daquele mesmo mês.18

    Os 10 principais riscos da IoT

    O Open Web Application Security Project (OWASP / Projeto

    Aberto de Segurança em Aplicações Web) ajuda fabricantes,

    desenvolvedores e consumidores a compreender melhor as

    questões de segurança da IoT para que possam tomar

    melhores decisões relativas à segurança ao construir,

    implementar ou avaliar a tecnologia da IoT. 19

    Abaixo há a lista do OWASP com os 10 principais riscos da

    IoT, que as organizações poderão usar para avaliar seus

    riscos específicos da IoT:

    1. Interface de gerenciamento vulnerável

    2. Autenticação/autorização insuficiente

    3. Serviços de rede vulneráveis

    4. Falta de criptografia de transporte/verificação da integridade

    5. Questões de privacidade

    6. Interface de nuvem vulnerável

    7. Interface móvel vulnerável

    8. Configurabilidade insuficiente da segurança

    9. Softwares/firmwares vulneráveis

    10. Segurança física insuficiente

    16 “Chinese Firm Admits Its Hacked Products Were Behind Friday’s DDoS Attack,” by Michael Kan, Computerworld, Oct. 23, 2016: http://www.computerworld.com/

    article/3134097/security/chinese-firm-admits-its-hacked-products-were-behind-fridays-ddos-attack.html.

    17 “Armies of Hacked IoT Devices Launch Unprecedented DDoS Attacks,” by Lucian Constantin, InfoWorld, Sept. 2016: http://www.infoworld.com/article/3124215/

    security/armies-of-hacked-iot-devices-launch-unprecedented-ddos-attacks.html.

    18 “KrebsOnSecurity Hit With Record DDoS,” KrebsonSecurity blog, Sept. 2016: https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/.

    19 For more details on OWASP’s IoT Project, visit: https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project.

    protiviti.com The Internet of Things: What Is It and Why Should Internal Audit Care? · 9

    http://www.computerworld.com/http://www.infoworld.com/article/3124215/http://www.owasp.org/index.php/OWASP_Internet_of_Things_Project

  • A IoT não é apenas um cenário “E se?” para o futuro;

    ela já está entre nós, e está crescendo dias após dias. Os

    auditores internos precisam estar nas linhas de frente

    ao lado da Administração, ajudando-os a preparar a

    organização para encarar os novos desafios e riscos

    resultantes dessa onda de mudanças tecnológicas

    disruptivas.

    A boa notícia é que muitas das estratégias para gerir o

    desafio da IoT já existem e têm sido implementadas

    para administrar outras atividades de segurança e

    operacionais de uma organização. A principal diferença

    para a auditoria interna pode estar no

    reporte/agregação de riscos devido ao volume e à

    dispersão geográfica da IoT.

    Tendo isso em mente, a auditoria interna, em

    colaboração com a empresa, deveria tentar responder

    essas perguntas para desenvolver uma melhor

    compreensão da IoT, e promover uma maior

    conscientização em toda a organização sobre suas

    potenciais oportunidades e riscos:

    • Como a IoT tem sido implementada na nossa organização atualmente? Q u e m a

    d e t é m , o u s e u s c o m p o n e n t e s ? Q u a l é o

    p o t e n c i a l i n v e n t á r i o d a I o T n a o r g a n i z a ç ã o ?

    P o r e x e m p l o , a t e c n o l o g i a d a I o T f a z p a r t e

    d o s p r o d u t o s q u e a e m p r e s a v e n d e , e l a f o i

    i n s t a l a d a i n t e r n a m e n t e p a r a a d m i n i s t r a r

    p r o c e s s o s , o u f o r n e c e d o r e s t e r c e i r i z a d o s

    e s t ã o i m p l e m e n t a n d o a t e c n o l o g i a d a I o T

    n a s s o l u ç õ e s d a e m p r e s a ?

    • Já consideramos os riscos associados à nossa presença na IoT?

    Esse s r iscos já fora m qua nti f icados ou

    controla dos? A e mpre sa te m e fe tivamente incluído

    se u inve ntário d a IoT na s a va l iações d e r isco ma is

    a mpla s? A e mpresa consid era a IoT a o a pl ica r

    pol í t icas e prá ticas d e ge stã o d e d a d os e

    privacidade e ao aval iar sua segurança?

    • Sabemos quais dados são coletados, armazenados e analisados?

    Já a val iamos a s re la t ivas e pote nciais implica ções

    le ga is , pa ra a privacidade e pa ra a se gura nça? P or

    e xe mplo, se a te cnologia d a IoT f ize r pa rte d a s

    ofe rtas d e soluçõe s d a e mpre sa, a e mpre sa te m

    ce rte za d e e sta r e m conformidade com os a cord os

    com cl ientes sobre a d ivulgação da potencial

    ca ptura e compa rti lha mento d e informações?

    • Já possuímos planos de contingência para as

    coisas conectadas à Internet que forem

    sequestradas ou modificadas para uso

    indevido?

    Já a va l ia mos a s re la t iva s e pote ncia is

    implica çõe s le ga is , pa ra a priva cid a d e e pa ra a

    se gura nça ? P or e xe mplo , se a te cnologia d a IoT

    f ize r pa rte d a s ofe rta s d e soluçõe s d a e mpre sa ,

    a e mpre sa te m ce rte za d e e sta r e m

    conformid a d e com os a cord os com cl ie nte s

    sobre a d ivulgação da potencia l captura e

    compa rti lha me nto d e informa çõe s?

    Encarando o Futuro

    10 · Protiviti

  • • Em que medida terceiros estão atuando em nosso nome com relação à tecnologia da IoT?

    Já imple mentamos os d e vid os processos e

    a cord os d e níve l d e se rviço ( SLAs) pa ra

    monitorá-los a d e quadamente? Conforme

    continuamos a e ste nder nossos processos

    come rciais pa ra outros provedores d e

    se rviços , ta is provedores tê m usa d o a s

    te cnologias d a IoT e m nosso nome ? Se for o

    ca so , e sta mos monitorando sua ut i l iza ção?

    Esta mos c ie ntes d e a lgum componente, d o

    ponto d e v ista d a IoT, que e le s possa m te r

    a cre scentado? Alé m d isso , te mos monitorado

    os dados que capturamos e entregamos

    a tra vés d os nossos provedores d e se rviços

    te rce ir izados?

    • Que papel a IoT exer ce na nossa atual estr atégi a como or gani zação? Como estamos

    mensurando os êxitos relativos a todas as metas

    associadas aos nossos objetivos estratégicos? Já

    possuímos uma estratégia para a IoT? O conselho

    administrativo já avaliou o potencial impacto da

    IoT sobre os negócios? E quanto aos nossos

    concorrentes? Em que situação eles se encontram?

    • Qual será o risco de não considerarmos ou alavancarmos as possibilidades da IoT?

    Qua l se rá o r isco se ignorarmos a IoT? E se nã o

    t ira rmos tod o proveito d a s ca pa cidades d e a ná l ise

    d e d a d os d a IoT? Arriscamos nã o a lca nçar nossos

    objet ivos e stra tégicos s imple smente por te rmos

    fa lha d o e m re conhecer a e volução d e uma

    pa isagem ra d icalme nte tra nsformada?

    É particularmente importante que essa última

    pergunta seja respondida por auditores internos e

    suas organizações. Diferentes empresas usam, se

    beneficiam de, ou são afetadas pela IoT de diferentes

    maneiras. Para garantir que estejam cumprindo suas

    responsabilidades, os auditores internos devem

    avaliar não apenas os riscos representados pela IoT,

    mas também o risco de deixar de agir para tirar

    proveito da IoT, no contexto da empresa, dos seus

    concorrentes e da sua indústria.

    protiviti.com The Internet of Things: What Is It and Why Should Internal Audit Care? · 11

  • ALESSANDRO GRATÃODiretor Executivo - IAFA

    Tel.: +55 11 2198-4200 Ramal 4501

    [email protected]

    12 · Protiviti

    SOBRE A PROTIVITI NO BRASIL

    A ICTS é uma empresa brasileira de consultoria, auditoria interna e serviços em gestão de riscos e de negócios com a mais abrangente

    atuação no mercado nacional. Propicia aos seus clientes proteção no presente e confiança no futuro.

    Sua atuação inclui três focos: Protiviti, firma membro da Protiviti Inc., com serviços de Auditoria interna, Consultoria em Riscos, negócios e

    tecnologia; ICTS Outsourcing, com operações de gestão de riscos e Compliance; ICTS Security com consultoria e gestão de serviços de

    segurança pessoal e corporativos.

    Reconhecida como Empresa Pró-Ética em 2015 e 2016, conta, no Brasil, com mais de 300 profissionais e presta serviços para mais de 40%

    dos 200 maiores grupos empresariais do Brasil (Valor Econômico – Maiores e Melhores). Atende a empresas no território nacional e no

    exterior a partir de escritórios em São Paulo, Rio de Janeiro e Barueri.

    A Protiviti é uma empresa de consultoria global que entrega profundos conhecimentos e expertise, percepções objetivas, uma abordagem

    customizada e colaboração inigualável para ajudar líderes a encarar o futuro de forma confiante. A Protiviti e nossas Empresas Membro de

    propriedade independente oferecem soluções de consultoria nas áreas de finanças, tecnologias, operações, dados, análises, governança,

    riscos e auditoria interna para nossos clientes através da nossa rede de mais de 70 escritórios em mais de 20 países.

    Já atendemos mais de 60 por cento das empresas listadas no ranking da Fortune 1000® e 35 por cento das empresas listadas no ranking da

    Fortune Global 500®. Também trabalhamos com empresas menores e emergentes, incluindo aquelas que planejam abrir seu capital, assim

    como com agências governamentais. A Protiviti é uma subsidiária de propriedade integral da Robert Half (NYSE: RHI). Fundada em 1948, a

    Robert Half é membro do índice S&P 500.

    CONTATOS

    MARCO RIBEIRODiretor Executivo - IT Consulting

    Tel.: +55 11 2198-4200 Ramal 4401

    [email protected]

    Protiviti Brasil

    São PauloTel.: +55 (11) 2198-4200Rua James Joule, 65 - 5º andarTorre Sul - BerriniCep: 04576-080São Paulo - SP

    Rio de JaneiroTel.: +55 (21) 2511-2651Avenida Rio Branco, 109 - Conj. 702CentroCep: 20040-004Rio de Janeiro - RJ

  • ©2016 Protiviti Inc.An Equal Opportunity EmployerM/F/Disability/Veterans. PRO-1216-101090

    Protiviti is not licensed or registered as apublic accounting firmand does not issue opinionson financial statements or offer attestation services.

    AMÉRICAS UNITED STATESAlexandria

    Atlanta

    Baltimore

    Boston

    Charlotte

    Chicago

    Cincinnati

    Cleveland

    Dallas

    Fort Lauderdale

    Houston

    KansasCity

    LosAngeles

    Milwaukee

    Minneapolis

    New York

    Orlando

    Philadelphia

    Phoenix

    Pittsburgh

    Portland

    Richmond

    Sacramento

    Salt LakeCity

    SanFrancisco

    San Jose

    Seattle

    Stamford

    St.Louis

    Tampa

    Washington,D.C.

    Winchester

    Woodbridge

    ARGENTINA*

    Buenos Aires

    BRAZIL*

    Rio deJaneiro SaoPaulo

    CANADA

    Kitchener-Waterloo Toronto

    CHILE*

    Santiago

    MEXICO*

    MexicoCity

    PERU*

    Lima

    VENEZUELA*

    Caracas

    FRANCE

    Paris

    GERMANY

    Frankfurt

    Munich

    ITALY

    Milan

    Rome

    Turin

    NETHERLANDS

    Amsterdam

    UNITED KINGDOM

    London

    BAHRAIN*

    Manama

    KUWAIT*

    KuwaitCity

    OMAN*

    Muscat

    QATAR*

    Doha

    SAUDI ARABIA*

    Riyadh

    SOUTH AFRICA*

    Johannesburg

    UNITED ARAB

    EMIRATES*

    AbuDhabi

    Dubai

    CHINA

    Beijing

    HongKong

    Shanghai

    Shenzhen

    JAPAN

    Osaka

    Tokyo

    SINGAPORE

    Singapore

    INDIA*

    Bangalore

    Hyderabad

    Kolkata

    Mumbai

    NewDelhi

    AUSTRALIA

    Brisbane

    Canberra

    Melbourne

    Sydney

    *FIRMAS MEMBRO

    EUROPA

    ORIENTE MÉDIO

    ÁFRICA

    ÁSIA

    PACÍFICO