Seminário Fraudes e Segurança – Leia Cobertura Completa

(Dispositivos móveis e mídias USB introduzem novos riscos para o ambiente corporativo)

O Seminário Fraudes, Segurança & Disponibilidade, promovido pela Relatório Bancário, chegou à sua quarta edição com a participação de cerca de 100 executivos do setor financeiro focados em segurança e profissionais de tecnologia interessados em conhecer as novas preocupações dos bancos em relação dão tema.

Entre as novidades apresentadas no evento destaca-se a preocupação dos CSOs com a proliferação de novos dispositivos de mídia e comunicação que podem comprometer a segurança das informações caso não sejam submetidas a rigorosas políticas de gestão.

“No Santander estamos particularmente sensíveis ao uso indiscriminado de pen-drives e realizamos estudos para verificar que tipo de uso este dispositivo vem tendo e que tipo de informação eles acessam e capturam através da porta USB, assinala  Márcio Leite Machado, gerente de segurança do Santander. Segundo ele, o gestor da informação deve primeiro mapear o uso de dispositivos desta natureza para saber exatamente que valor eles agregam ao ambiente produtivo e qual o nível de efetivo de risco eles podem introduzir no processo. “De posse desses conhecimentos, estabelecem-se os requisitos hierárquicos de acesso e definem-s em detalhes os requisitos de uso. Na falta de uma política clara, o melhor é simplesmente vetar o acesso via portas USB para a massa de usuários, mesmo tendo em mente que este veto pode representar alguma perda de produtividade”, explica Machado. Segundo ele, o Santander está implementando aplicativos capazes de dar um controle efetivo sobre estas novas mídias móveis depois de ter constatado que, em grande parte, seu uso é pouco produtivo.

Em sua palestra “A Agenda de um SCO, o executivo do Santander detalhou os principais requerimentos para um controle do modelo informacional envolvendo processos, tecnologia e pessoas. Entre as conclusões apresentadas, Márcio Machado Leite chamou a atenção para a necessidade de que a preocupação com segurança seja introduzida já na fase de desenvolvimento dos processos e das aplicações. “A segurança precisa ser um item relevante na mente de toda a organização e não só em suas instância específicas”, completa ele.

A avaliação do gerente do Santander foi integralmente confirmada ampliada por Willian Okuhara Caprino, presidente do capítulo Brasil da ISSA (Information System Association), um dos mais respeitados experts do País na área de segurança. Tal como o risco representado pelos dispositivos USB, Caprino analisou os novos focos de risco propiciados pela absorção na rede de sistemas móveis com tecnologia we-fi, blutooth e telefones celulares. “Um simples teclado wireless com Blue Tooth pode abrir uma porta remota de longo alcance na rede, através de equipamentos de captura e repetição colocados a serviço dos invasores”, exemplicou ele.

Caprino analisou elementos como meios de transmissão e níveis de vulnerabilidade inerentes a cada um destes novos modos de conexão, apresentando também as ferramentas protetivas adequadas para cada caso. Para concluir, o presidente da ISSA sintetizou as recomendações para a mitigação do risco e para a defesa das redes com acesso wirelles.

O Seminário contou ainda com uma exaustiva exposição sobre a necessidade de interação entre as instâncias de segurança física (pessoas, redes, ambientes, documentos, objetos etc) e de segurança lógica das corporações. Esta abordagem esteve a cargo do Gerente de Segurança Empresarial do Grupo Camargo Correa, Vagner D´Angelo, que também é membro do comitê de segurança da ABSEG (Associação Brasileira dos Profissionais de Segurança). Após uma minuciosa análise sobre a necessidade de uma visão holística da segurança (a segurança como parte indissociável do negócio e dos controles de risco), D´Angelo traçou os diferentes modelos de abordagem da segurança nas organizações, chamado a  atenção para a necessidade de envolvimento da cúpula gerencial nos processos de segurança, que deve ser entendida como uma atribuição do setor de inteligência da empresa.

Em seguida, o especialista estabeleceu os parâmetros de gestão da segurança a partir dos procedimentos preventivos e reativos e ofereceu um roteiro para detalhado para disciplinar os processos de investigação de sinistros e fraudes eletrônicas. “Uma falha muito comum nas empresas é encarar a segurança exclusivamente por sua componente técnica. É preciso que os gestores tenham em mente a necessidade de envolvimento das cúpulas e de instânicas imprescindíveis, como os departamentos jurídico e a autoridade policial, em casos extremos.”, conclui ele.