SEGURANÇA QUEBRA TABUS E REVÊ POLÍTICA DE SIGILO
 Em sua terceira edição, o Seminário “Fraudes, Segurança e Disponibilidade”, promovido por Relatório Bancário, reuniu cerca de 150 executivos de bancos e da área de TIC para debater as tendências e melhores práticas em security. As apresentações contaram com a representação de alguns dos mais expressivos formadores de opinião na área, como é o caso da SERASA, Banco Santander, Camargo Corrêa e Visanet. Na arena dos provedores de tecnologia, a Tempest apresentou uma abordagem diferenciada, como a que foca questões de ROI e métrica de qualidade em segurança da informação.
Entre os participantes do evento, chamou a atenção a desenvoltura como algumas empresas estão encarando questões até recentemente consideradas como um tabu. Para a gerente de segurança da SERASA, Denise C. Menoncello, a empresa trata com naturalidade a proibição do uso de webmail em sua rede corporativa, ao mesmo tempo em que avisa explicitamente aos usuários que o sigilo de mensagens com a terminação @serasa está franqueado exclusivamente às políticas de segurança da empresa, de modo que os funcionários são desestimulados a usar este endereço para assuntos particulares.
Outra revelação curiosa no seminário mostra a enorme preocupação das empresas com o tratamento do lixo informacional, antes uma preocupação tida como secundária. Hoje, além dos tradicionais trituradores de papel, há casos como o do Santander, que manda perfurar com broca de aço os HDs das máquinas que são colocadas em obsolescência, tudo isto para não correr o risco de recuperação indevida dos dados após o descarte das máquinas.
Na pauta do Seminário de Segurança, temas relevantes e diversificados, como os sistemas de métricas para dimensionamento da eficácia de controles e processos de segurança, proteção de dados em tecnologias móveis, certificação digital, a relação entre segurança física e segurança lógica.
Os palestrantes convidados foram: Willian Caprino e Fernando Molero, especialistas em Segurança da Informação da Visanet, Álvaro Teófilo, superintendente de Segurança da Informação do Banco Santander, Cristiano Lincoln, diretor executivo da Tempest Technologies, Denise Menoncello, gerente de Segurança da Informação do Serasa e vice-coordenadora do Comitê ABNT/CB21/SC02, e Wagner D’Angelo, gerente de Segurança Empresarial do Grupo Camargo Corrêa, diretor geral do Comitê de Gestão Estratégica de Segurança da ABSEG – Associação Brasileira dos Profissionais de Segurança e membro convidado da OSAC – Overseas Security Advisory Council do Rio de Janeiro e São Paulo.
 Willian Caprino (Visanet)
Abrindo os trabalhos da manhã, o especialista em Segurança da Informação da Visanet, Willian Caprino, fez uma breve apresentação alertando para a evolução e crescimento dos ataques a sistemas de informação ao longo dos anos. Os alvos, segundo ele, também estão mudando. “Há uma preferência por empresas que possam render vultosos benefícios financeiros”, diz.
Para ilustrar, o especialista lembrou que, segundo a Febraban, as fraudes em meios eletrônicos foram responsáveis por um prejuízo de R$ 300 milhões no ano passado. “Não estamos nem na metade de 2007 e esse número já é de R$ 420 milhões até o momento, de acordo com dados não oficiais”, acrescenta.
Por fim, Caprino detalhou o cronograma de migração do Visa AIS, sistema de segurança da informação proprietário da Visanet, para o PCI, padrão que está sendo adotado pelas cinco maiores bandeiras de cartão de crédito do Brasil. “Foi criado um conselho com representantes das cinco bandeiras para gerenciar e tornar mais eficiente essa implementação, que dispõe de processos bem definidos de fundamentação técnica, metodologia de testes e certificação de auditores”, revela.
Mais informações: wcaprino@visanet.com.br
 Fernando Molero (Visanet)
Palestra: Segurança da Informação
Há pouco menos de 10 anos, um bom cadeado era o suficiente para a manutenção da segurança do sistema de dados de uma empresa. Bastava trancar a porta da sala de processamento de dados e vigiá-la bem para que os disquetes ou demais dispositivos de armazenamento de informações da empresa não fossem expropriados.
Nos últimos anos, porém, a expansão generalizada das redes de computadores submeteu os usuários e as empresas a uma vulnerabilidade sem precedentes.
Os ataques, que antes eram físicos, agora são virtuais, ou seja, podem vir de qualquer lugar, de maneira remota e anônima. Porém, engana-se quem pensa que vírus, spams, códigos maliciosos, spyware e acesso indevido a informações, entre outras ameaças virtuais, são gerados apenas por indivíduos mal intencionados.
Em muitos casos, a raiz desses males pode estar nos próprios funcionários, canais, parceiros e colaboradores. Pensando nisso, a Visanet lançou no ano passado uma solução denominada Sistema de Gerenciamento de Identidades. O palestrante Fernando Molero, especialista em Segurança da Informação da Visanet, detalhou o funcionamento da nova solução, que gerencia de forma centralizada o acesso de todos os sistemas e aplicações utilizados pelos colaboradores, canais, parceiros, clientes e fornecedores Visanet, ECs e bancos.
O objetivo é garantir o sincronismo das informações em tempo real, bem como a concessão e revogação de acessos de maneira automatizada, ágil e eficiente. O Sistema de Gerenciamento de Identidades dispõe de um metadiretório de dados, abastecido de informações somente pelo departamento de Recursos Humanos.
A solução sincroniza todas as informações necessárias entre todas as aplicações a ele integradas (inclusive senhas) após aprovações necessárias definidas em seu próprio workflow. “O sistema também dispõe de um portal de senhas que proporcionará ao colaborador a recuperação de sua senha sem intervenção do help-desk, o que confere maior agilidade ao processo”, acrescenta.
Molero fez questão de salientar a importância do plano de comunicação para o êxito da nova ferramenta. “É muito importante que o plano de comunicação ocorra de maneira eficiente a fim de evitar impactos e reclamações”, diz.
Mais informações: fmolero@visanet.com.br
 Cristiano Lincoln (Tempest Technologies)
O fato de ser uma área relativamente nova confere à Segurança da Informação algumas vantagens, como o dinamismo dos avanços tecnológicos. Porém, também há certas desvantagens, como a ausência de métricas consolidadas que mensurem a eficácia de controles e processos de gestão de segurança.
Finalizando os trabalhos do período da manhã, o diretor executivo da Tempest Technologies, Cristiano Lincoln, abordou o tema salientando a importância de se estabelecer métricas de segurança da informação consistentes o bastante para auxiliar os executivos na tomada de decisões. Mas, o que são métricas de segurança? Antes da resposta, a definição do que elas não são. “As métricas não são ROI de segurança, muito menos simples estatísticas.
Elas são métodos de análise”, explica. E para que esses métodos de análise possam ser chamados de métricas de segurança, devem ser, necessariamente, mensurados de forma consistente (com critérios claros e bem definidos, inclusive na coleta de dados), objetivos e reproduzíveis por pessoas diferentes ao longo do tempo, expressos em unidades de tempo e simples e relevantes para a gestão. “Com as métricas consigo definir metas, ser cobrado pelas áreas superiores e cobrar de outras áreas”.
Mas, se o sistema de métricas é tão bom, como implantá-lo? Para Lincoln, é necessário, primeiramente, decidir quais métricas serão geradas. “É importante começar com um programa simples. E, quanto mais pragmático e factível, melhor”, sugere. Posteriormente, é preciso gerar essas métricas a partir de dados do ambiente e, em um segundo momento, definir alvos e metas. Porém, para a consolidação do sucesso do processo, é salutar comunicar os resultados aos funcionários.
Por fim, deve-se estabelecer um ciclo formal de feedback e refino a fim de garantir a melhoria e atualização constante do sistema. Encerrando sua apresentação, o diretor falou a respeito de duas ferramentas de serviços de segurança gerenciadas com abordagem focada na geração de métricas. São elas a CoAdmin Dashboard e a CoAdmin Operations Center, ambas da Tempest.
A primeira fornece informações estratégicas para o gestor de segurança. A segunda provê dados do fluxo das operações tecnológicas importantes para a equipe de TI.
Mais informações: lincoln@tempest.com.br
 Álvaro Teófilo (Banco Santander)
Pode ser difícil de acreditar, mas há menos de 15 anos um celular tinha capacidade para gravar, no máximo, 50 nomes de contatos na agenda. Usávamos software de expansão para dobrar a capacidade de disquetes de 1,44 MB para 2,88 MB!
Um excelente HD possuía uma incrível capacidade de 80 MB e um computador com 32 MB de RAM era considerado um “avião”. Uma boa conexão com a Internet, com muita sorte, beirava os 14,4 kbit/s e o vírus de computador era um “bichinho” que só espalhava via disquete.
Foi com essa “viagem ao túnel do tempo” que o superintendente de Segurança da Informação do Banco Santander, Álvaro Teófilo, iniciou sua bem-humorada e interessante palestra, cujo tema era Proteção de Dados em Tecnologias Móveis. O executivo, que também é membro-fundador do capítulo Brasil da ISSA – Information Systems Security Association, discorreu sobre o advento e a evolução dos dispositivos móveis ao longo dos tempos para mostrar que os sistemas de controles dessas tecnologias não evoluíram no mesmo ritmo. “Somente agora a cultura de controle de conteúdo na Internet começa a se tornar comum no Brasil.
Monitoramento de e-mail ainda é um mito para muita gente”, diz. Além disso, não existem políticas específicas sobre tecnologias móveis em grande parte das empresas e sistema de criptografia em mídias removíveis é algo quase inexistente. Notebooks são perdidos ou furtados todos os dias, gerando posteriores incidentes de segurança. “As pessoas não possuem cultura de segurança. Os recursos estão em praticamente todas as tecnologias, mas quase ninguém os utilizam”, lamenta.
Para garantir um sistema de proteção de dados em tecnologias móveis e portáteis, Teófilo propôs uma solução de segurança em camadas, com criptografia em notebooks. “Se um executivo perder o notebook, por exemplo, não perde as informações, pois elas ficam armazenadas criptografadas em lugar seguro”, diz.
É fundamental, também, haver políticas de gestão de mídias removíveis, como pen drives, CDs, smart phones e câmeras fotográficas. Nesse caso, todas as portas de saída de dados de um computador seriam, por padrão, fechadas, e diferentes níveis hierárquicos ou posições na empresa podem indicar perfis distintos entre grupos, por função ou responsabilidade. “A autorização específica é concedida à uma pessoa, não a um computador. Esse conceito permite a manutenção da mobilidade”.
No final da apresentação, Teófilo, em resposta a uma pergunta, falou que há dois sistemas eficazes de descarte de mídias: o que utiliza a furadeira elétrica para invalidar os dispositivos e o de criptografia dos dados.
Mais informações: ateofilo@santander.com.br
 Denise Menoncello (Serasa)
Se a Segurança da Informação é importante para todas as empresas do mundo moderno, imagine, então, para uma companhia onde a informação é o produto.
Esse é o caso da Serasa, uma das maiores empresas do mundo em análises e informações para decisões de crédito e apoio a negócios e dona do maior banco de dados sobre consumidores, empresas e grupos econômicos do Brasil.
A responsável pela implantação do sistema de Segurança de Informação da Serasa, Denise Menoncello, que também é gerente da área, falou sobre os três pilares que sustentam a política de segurança de dados da empresa.
São eles a gestão, a operacionalização e a gestão dos planos de continuidade da segurança. “As políticas e diretrizes corporativas de Segurança da Informação, baseadas na norma NBR ISO/IEC 17799:2006, são disseminadas por toda a organização e aplicáveis a todos os funcionários, empresas prestadoras de serviço e respectivos prepostos que executam atividades profissionais na Serasa”, diz.
Para isso, a companhia lançou o programa “Políticas de Segurança Serasa”, que reúne os livretos “Política de Gestão de Segurança da Informação Serasa”; “Política de Segurança dos Ativos de Informação Serasa”; “Política de Segurança para Utilização da Internet”; e “Política de Segurança para Utilização do Correio Eletrônico”. “
Com isso, e mais algumas campanhas sazonais, estamos fortalecendo e melhorando a conscientização e o comprometimento dos funcionários com os processos de Segurança da Informação da empresa”, comemora. Outras mídias, como jornal mural, correio eletrônico, tela de descanso das estações de trabalho, Intranet, TV interna, banners, móbiles, displays das agências, além de palestras, também são utilizadas para esse fim. “Mais importante do que tudo isso é o apoio da alta direção.
Sem ele, não teríamos o apoio dos funcionários”, revela. Na última parte de sua palestra, Denise falou sobre certificação digital, recurso utilizado pela Serasa que permite a identificação inequívoca de pessoas em meios eletrônicos, em particular na Internet, bem como a geração de assinaturas digitais com validade jurídica equivalente à das assinaturas manuscritas. “A certificação digital garante os três princípios básicos da comunicação segura em ambiente de rede de computador, que são a autenticidade, privacidade e inviolabilidade”, diz.
Mais informações: denisemenoncello@serasa.com.br
 Vagner D´Angelo (Camargo Corrêa e ABSEG)
Palestra: Onde está a intersecção entre segurança física e lógica? Gestão de processos em segurança corporativa
Onde está a intersecção entre segurança física e lógica? Essa foi a pergunta-tema da palestra de Vagner D’Angelo, gerente de Segurança Empresarial do Grupo Camargo Corrêa e diretor geral do Comitê de Gestão Estratégica de Segurança da ABSEG – Associação Brasileira dos Profissionais de Segurança.
O especialista, que também é membro convidado da OSAC – Overseas Security Advisory Council, citou alguns dos principais pecados das empresas na área de Segurança da Informação, como a incorporação de diversos tipos de riscos sem qualquer critério técnico, o que aconteceu pelo fato de a segurança, ao longo dos anos, não ser considerada uma atividade-fim.
Além disso, as diferentes áreas de riscos e segurança são administradas por departamentos distintos de uma corporação, o que faz com que sejam levadas à alta direção informações fracionadas e que buscam soluções focadas apenas nos problemas específicos de cada departamento. “O empreendedor moderno precisa ver a segurança de forma holística, associando diferentes áreas de riscos dentro de um mesmo cenário, onde todos compartilham o mesmo desejo de combater e reduzir riscos corporativos”, diz.
Uma tendência dos grandes grupos empresariais na área de segurança é alinhar as diferentes correntes das áreas de gestão de riscos direcionadas a uma única diretoria, que se reporta de forma integral e independente à alta diretoria do grupo. Dessa forma, torna-se mais fácil atingir as metas rígidas das novas normas mundiais de governança administrativa, como a Sarbanes-Oxley.
Além disso, também é facilitado o processo de centralização na segurança corporativa ou empresarial de diferentes linhas da segurança física e da segurança da informação. “É preciso alinhar os sistemas de segurança patrimonial, pessoal e da informação da empresa, com políticas preventivas e reativas”, explica. Dentro do escopo dos procedimentos preventivos estão a política de segurança NBR ISO IEC 17799, o monitoramento e controle de acesso e proteção das informações.
No que tange a gestão de procedimentos reativos, sistemas de análise forense e investigação de sinistros ou fraude eletrônica devem ser implantados. D´Angelo também falou sobre a ABSEG, bem como suas principais atribuições, e os três paradigmas do gestor de segurança.
O primeiro é a cobrança por parte dos demais colegas gerentes, que esperam desse profissional uma postura generalista em termos de conhecimento sobre as diferentes áreas de segurança corporativa. Já os diretores, nos momentos que surgem os riscos, exigem uma postura estratégica do executivo de Segurança da Informação, que deve entender determinados riscos “out of the box”, algo que, até então, ele não havia pensado.
O terceiro e último paradigma surge com a necessidade desse gestor ter uma ascendência e exercer liderança sobre todas as áreas de segurança da empresa de maneira que se mantenha livre da influência das áreas que são objeto de sua auditoria, como a gerência administrativa, recursos humanos e tecnologia da informação.
Mais informações: vagner.dangelo@camargocorrea.com.b
|
