SEMINÁRIO SOBRE FRAUDES REÚNE 120 EXECUTIVOS EM SP

Platéia Durante o Seminário Fraudes, Segurança & Disponibilidade III

Pela terceira vez consecutiva, em um período de dois anos, a Relatório Bancário promoveu em São Paulo o Seminário “Fraudes, Segurança & Disponibilidade”, reunindo uma platéia de 120 executivos do setor financeiro e mais um grupo de representantes de empresas do setor de TI.

O evento abordou diferentes aspectos do problema da segurança e combate às fraudes, indo desde as políticas de contingência das instituições até a segurança jurídica dos negócios baseados em transações eletrônicas.

O selecionado grupo de palestrantes contou com a presença do CIO do Deutsche Bank, Keiji Sakai e do CSO e superintendente da Unidade de TI do Banrisul, Jorge Krug.

Além destes dois representantes de bancos privado e público, o Seminário de Segurança trouxe o Gerente de Segurança Empresarial do Grupo Camargo Correa, Vagner D´Angelo, que também atua como diretor da ABSEG, Associação Brasileira dos Profissionais de Segurança Patrimonial e Segurança da Informação.

Representando a indústria de TI, o Diretor Executivo da Tempest, Cristiano Lincoln, abordou os últimos avanços da certificação digital no contexto das políticas de segurança dos bancos.

O Policial Federal, Jorilson da Silva Rodrigues, Coordenador do Grupo de Segurança da Informação do Ministério da             Justiça, trouxe para o evento a abordagem institucional e investigativa do problema. Já o Advogado Sócio do Escritório Demarest & Almeida, Leonardo Leite, tratou da segurança jurídica e das novas responsabilidades da instituição financeira face ao Código de Defesa do Consumidor e outras questões relativas a contratos.

Preparados Para o Caos?

Após uma explanação sobre o porte e complexidade das operações do Deutsche Bank no mundo, o CIO da instituição, Keiji Sakai, lançou a pergunta sobre quantos dos executivos presentes na platéia consideravam suas empresas como detentoras de um plano de continuidade pronto e implementado. Diante da baixíssima resposta positiva (só três entre os 120 presentes acenaram da platéia), Sakai comentou que, na verdade, mesmo possuindo planos de contingência relativamente estruturados, muitas empresas poderão falhar na ‘hora H’ quando se fizer necessária a execução do plano. “Hoje é quase certo que as empresas possuem site de contingência, por exemplo, mas poucas dão treinamento aos funcionários sobre o que fazer em caso de um desastre” assinala o CIO. Segundo ele, aliás, a primeira pergunta a ser respondida pelas instituições seria: “como saberemos identificar que estamos em situação de contingência e o que cada funcionário deve fazer nestes casos. Em caso da evacuação de um site, como pode um funcionário saber se deve ir para casa ou se dirigir para um site backup?”, pondera Sakai.

Um dos maiores bancos do planeta com cerca de 64 mil empregados em 73 países, o Deutsche Bank vivenciou, na pele de seus funcionários, as conseqüências do maior atentado terrorista da história, quando em 11 de Setembro de 2001 dois de seus principais pontos de presença nos EUA – um deles nas vizinhanças e outro no próprio WTC – foram diretamente atingidos pelas explosões.

Além de relatar a experiência inédita e traumática do Deutsche, desde o princípio do caos até a regularização dos serviços de TI, Sakai conclamou os bancos a sinalizar fortemente para a gestão de pessoas nos seus planos de contingência. E isto não só por entender que pessoas em pânico ou em estado depressivo estão entre os componentes mais problemáticos do caos, mas principalmente tendo em conta que o primeiro ativo a preservar, em caso de desastres é a própria vida. “Nossas equipes mundiais conseguiram, com maior ou menor esforço, restabelecer o fluxo de informações, mas as duas vidas de funcionários perdidas durante o atentado não são passíveis de retorno”, assinalou o CIO.         
 

Confidencialidade e Autenticidade

Em sua palestra sobre certificação digital, o Diretor Executivo da Tempest, Cristiano Lincoln apresentou os principais desafios colocados para a oferta de dois serviços essenciais que são providos pela certificação digital: a confidencialidade e autenticidade. “Enquanto a confidencialidade é obtida através dos dados, para não serem compreendidos indevidamente, a autenticação se conquista através da garantia de integridade contra adulterações ou a falsificação de documentos eletrônicos. Segundo o executivo, embora estejam necessariamente imbricados, estes dois serviços são abarcados de forma diferente pela tecnologia. “A confidencialidade depende muito mais de fatores humanos, como os devidos cuidados com arquivos e documentos sigilosos. Já na autenticação, a questão humana pode ser em grande parte tratada pela via tecnológica, através de soluções que garantem toda a informação necessária sobre a origem e integridade dos arquivos”, comenta Lincoln.

Ao propor um balizamento das duas abordagens nas políticas de segurança das empresas, o Diretor da Tempest listou alguns desafios da certificação digital. Entre eles, estão a complexidade de padrões e protocolos de certificação e a necessidade de conversão do legado de aplicações para se adaptar a esta tecnologia. Lincoln listou ainda o pouco conhecimento e experiência em certificação digital por parte dos desenvolvedores. 

Em resposta a estes desafios, o executivo apresentou novas tecnologias da Tempest que vêm sendo usadas em aplicações como a da Imprensa Oficial, que aplica a certificação sobre o tráfego de mensagens de mais de 4 mil publicantes de matérias para o Diário Oficial de São Paulo. Outro case comentado por Lincoln é o da FINEP – Financiadora e Estudos e Projetos – que analisa documentos certificados e enviados via web para a concessão de empréstimos de até R$ 900 mil.

O Triângulo do Crime

Motivação, técnica e oportunidade: estes são os três componentes essenciais da prática criminosa que, tanto valem para o assalto a mão armada, ou com arrombamento, como também para as fraudes, invasões e crimes via Internet. O CIO da Camargo Correa e Diretor da ABSEG, Vagner D´Angelo revelou, durante o Seminário, sua análise de que as corporações não têm levado em conta o equacionamento destes três elementos em suas políticas de segurança justamente porque, não sendo atividade fim das corporações, a segurança não é vista como meio de agregação de valor e é relegada a segundo plano.

Segundo o executivo, a alta cúpula das empresas não tem uma visão completa da questão da segurança patrimonial e de informação porque a pauta de segurança está distribuída em várias visões especialistas. “Em geral, a Presidência é reportada pelo diretor de RH, cuja abordagem de segurança se origina na gerência de segurança patrimonial e pessoal. Em outra frente, os diretores financeiros e gerentes de risco transmitem à alta cúpula uma visão orientada pelos gerentes de prevenção de perda. E ainda há a diretoria de TI levando à presidência uma outra diferente abordagem, oriunda de suas gerências. Este modelo fracionado de informação da cúpula acaba sendo pouco eficiente e oneroso se considerar as inúmeras horas de envolvimento do gestor máximo no atendimento de suas bases em atividades de segurança”, assinala D´Angelo.

O diretor da ABSEG apresentou, em seguida, um modelo organizacional para a política de segurança baseada na instituição de uma inteligência interna. Na base deste modelo estão algumas mudanças na estrutura gerencial que incluem a criação de uma diretoria de prevenção e perdas, ligada diretamente ao presidente da corporação e interagindo diretamente com as diretorias jurídica e de TI.

A palestra de Vagner D`Angelo abrangeu também a exposição de marcos regulatórios na área de segurança e recomendações práticas para o alinhamento da segurança física (pessoal e patrimonial) com a segurança da informação, além de trazer também um roteiro detalhado para a gestão de procedimentos preventivos e reativos.

Não Existe o Crime Virtual

Do ponto de vista da instituição policial, já existe no Brasil a compreensão de que a prática criminosa ocupa níveis idênticos de preocupação, aconteça no mundo real ou no espaço das redes de dados. Com esta mensagem inicial, o Perito Criminal Federal e Professor da Academia Nacional de Polícia, Jorilson Rodrigues, contextualizou o atual cenário de crimes pela Internet e explicou o ‘modus operandi’ dos criminosos.

Com exemplos práticos e exposições didáticas, Rodrigues apresentou estatísticas sobre a evolução dos crimes cibernéticos e apontou para soluções de tecnologia que apresentam maior eficácia segundo a ótica criminalística.

Segundo ele, as soluções biométricas são as que mais favorecem a proteção dos sistemas de informação e aos mecanismos de constituição de prova. Além de recomendar a biometria por impressão digital, o criminalista sugere o uso destes sistemas em combinação com dispositivos como chaves digitais, tokens, smart cards e cartões de números variáveis.

Do ponto de vista legal, Jorilson Rodrigues considera urgente a regulamentação de dispositivos como o artigo do Código Penal constante do Projeto de Lei número 89/2003, que trata do acesso indevido a meios eletrônicos, bem como a regulamentação de artigos relacionados à manipulação indevida de informações eletrônicas e à falsificação de cartão de crédito.

Segurança Jurídica em Pauta

A oferta de segurança jurídica para os negócios eletrônicos é um dos pontos de destaque do Demarest & Almeida – Advogados, uma das maiores bancas de advocacia do continente e uma das pioneiras em serviços relacionados ao direito digital. Com um corpo de 250 advogados e uma vasta lista de clientes corporativos que inclui 70 empresas da lista Fortune 500, o Demarest foi representado no Seminário de Segurança por seu Advogado Sócio, Leonardo Leite, um dos mais prestigiados especialistas brasileiros na área de contratos e com forte inserção no segmento financeiro.

O advogado traçou um panorama geral das preocupações que necessitam ser postas em pauta na abordagem jurídica relacionada à proteção e reação contra fraudes e roubo de informações. A palestra trouxe também uma abrangente abordagem sobre as implicações do Código de Defesa do Consumidor, incluindo-se aí recomendações aos web-sites quanto à prevenção de responsabilidades legais.

Políticas e termos de uso em textos completos e com linguagem simples e o uso de links bem posicionados para este tipo de advertência estão entre as recomendações do especialista. O conteúdo contemplou ainda cuidados no trato com o consumidor relacionados a tópicos como privacidade e guarda de documentos relativos às transações.

Outros pontos tratados por Leonardo Leite foram a proteção de direitos autorais como um tópico de segurança jurídica, bem como preocupações relativas a marcas e domínios e sobre a inversão do ônus da prova.