Dez especialistas em segurança, profissionais de TI de empresas do setor financeiro, discutem a relação entre segurança e controle de acesso. Com a automação cada vez maior, a segurança dos sistemas virou uma questão real de risco — e sistemas só são seguros quando são usados pelas pessoas certas e quando o que elas fazem pode ser vigiado e gravado. É um desafio muito além do âmbito da tecnologia. Participaram desta mesa-redonda: Agostinho H. Teixeira Gouveia, superintendente executivo do Banco Real ABN Amro; Alberto Evandro Fávero, superintendente adjunto de segurança da informação do Santander Banespa; Delfino Natal de Souza, gerente nacional da Caixa Econômica Federal; Dorival Dourado Jr, diretor de operações e serviços da Serasa; José Waldir Pacheco de Carvalho, gerente de divisão do Banco Nossa Caixa; Marinês de Assis Gomes, diretora de segurança de TI do HSBC Bank Brasil; Maurício Ghetler, consultor da MG Systems; Patrícia Martins de Andrade, executiva de TI da TecBan; Paulo Renato Fabiano Franco, diretor de tecnologia da Liberty Paulista Seguros; e Plínio Patrão, executivo de prevenção a fraudes e segurança do Unibanco.

IH — Como se deve abordar segurança e controle de acesso de forma adequada?

PATRÍCIA — Não dá para abordar acesso sem abordar risco. Quase sempre, a fraude está ligada a um problema com o acesso. Como temos acesso lógico e físico, gente de dentro e de fora, é complexo de administrar. A melhor maneira de combater o problema é atacar de vários lados, com ferramentas, processos e cultura.

PAULO — Ao longo do tempo, segurança e controle deixaram de ser um problema administrativo para ser de risco operacional e estratégico. Quando começamos a instalar os pacotes, eles eram diferentes dos nossos sistemas principais, vinham com outros procedimentos e estrutura de segurança. Dava uns probleminhas chatos, o usuário não memorizava a senha, ou não a trocava periodicamente. À medida que as empresas ficaram mais informatizadas, os sistemas passaram a administrar os ativos de maneira completa. Aí isso virou uma questão de risco real, risco de fraude e de erro.

MAURÍCIO — Já estive tanto do lado da tecnologia, enfrentando os problemas de controle de acesso, quanto da segurança da informação, por ter estruturado a área. Devemos separar as questões de risco operacional e de segurança do controle de acesso em quatro partes, dentro de uma corporação. A primeira parte é a de canais, em que acontece a maioria dos problemas. A segunda é a de legados, importantes por causa da segurança de acesso e do controle de risco. A terceira parte é a de controle de conteúdos, principalmente não-estruturados, como imagens, e-mails, XML assinado. Essa terceira parte é muito renegada, porque não está intimamente ligada aos sistemas legados. E a quarta é o controle de acesso a processos de negócio. Esses processos misturam os três: canais externos, legados e conteúdos não-estruturados. Muitas vezes não são muito claros, nem bem administráveis. Devemos falar sobre single sign-on, uma necessidade nas empresas, mas infelizmente não uma realidade. Precisamos falar sobre autenticação mais forte, que deixe rastros para coibir fraudes ou descobrir quem fraudou.

DELFINO — Na Caixa são 120 mil previsões de acessos lógicos, a gente tem demanda interna de 120 mil usuários cadastrados na rede, na intranet, nos sistemas corporativos. Coordeno essa área há um ano, tenho 23 anos na Caixa, na área de tecnologia. O desafio do gerenciamento do acesso precisa ser classificado em fragilidades na TI e fora da TI. Sabemos que um banco se expõe principalmente em função de ações indiretas da própria área de tecnologia. Concordo com a Patrícia, uma das principais preocupações é fraude, mas esse é um detalhe. Na verdade, estamos falando de governança. O desafio de migrarmos para um login único e gerenciar esses perfis precisa ser vencido, considerando aplicações novas e legadas. As pessoas usam também outros métodos para agredir a instituição, então é também uma questão de gestão de pessoas. Além disso, a gestão da segurança da informação se sofisticou muito nos últimos cinco anos. Vivíamos num ambiente com menos diversificação de plataformas e disponibilidade externa de serviços. Os desafios de disponibilidade de serviço para a população serão maiores. Temos processos de segurança caros em grandes corporações, com help desk para a permissão de acesso, gestão de perfil, o desafio de automatizar conforme o perfil do usuário. Sou defensor de certificação digital. Podemos dizer que a lei já é vigente.

PLÍNIO — Eu sou novato, tenho seis meses nessa área, venho de negócios. Minha primeira constatação é de que os perímetros mudaram. Começaram dentro do CPD, do CPD para os usuários, dos usuários para as agências, e de repente você percebe que as agências não são lá tão seguras. Um perímetro mais disperso, mais difícil de proteger, é do relacionamento com os clientes. Política de segurança da informação todos temos, mas é difícil repassá-la para clientes, cujo micro é usado por crianças. Mesmo dentro do banco não conseguimos tratar a base inteira de forma homogênea e rápida. Com 28 mil funcionários, nem todos têm a última versão do sistema operacional, por exemplo. É um desafio constante justificar os investimentos para manter o parque atualizado, versus as necessidades do usuário, bem atendidas até pela versão menos dois do sistema atual. Apesar dos esforços, às vezes falta visão holística. Sempre encontram uma forma de navegar entre três processos seguros. A gestão dos funcionários de terceiros traz mais desafios. Quanto ao embasamento legal, não medimos esforços para proteger os clientes, escritórios jurídicos nos apóiam. Temos um grupo de peritos forenses que geram provas para que operações policiais sejam efetivas em cinco dias.

ALBERTO — Produtos nos ajudam a adotar práticas seguras, mesmo que, às vezes, os próprios produtos tenham furos. Mas os maiores problemas estão em processos difíceis de mudar. A informação é um ativo valioso para as empresas. Antes, quando a gente justificava segurança, explicava a importância de investir. Já vencemos essa barreira. Vislumbro sempre o tripé pessoas, tecnologia e processos, é ainda valioso. Não dá para deixar nenhuma das pernas mais fraca que as demais. Tenho insistido na conscientização, no treinamento. Devemos informar funcionários, parceiros de negócios, clientes, fornecedores e até o concorrente. Lançamos um portal de segurança na Internet, no site do Santander Banespa. Colocamos na primeira página o link para segurança. Lá tem o que o banco faz em termos de segurança e de privacidade. Quando perguntam se é seguro fazer uma transação no Internet Banking, digo para irem ao site: “Um curso vai te explicar a segurança com e-mail, com informações pessoais e privadas”.

PAULO — Sempre fazem essas perguntas?

ALBERTO — Sim. Eu digo que é seguro, pode fazer. São milhões de transações por dia e muito poucas dão problema. E esse percentual muito baixo pode ser reduzido mais ainda, se o cliente seguir dicas básicas de segurança. A pessoa precisa saber que não pode largar uma chave USB com um certificado A3 em cima da mesa.

AGOSTINHO — O mundo está muito aberto, tem sempre alguém batendo na nossa porta e não sabemos quem é. Temos algumas ferramentas, mas faltam sistemas no mercado. Temos de pensar no futuro, em prevenção, monitoração. O futuro está ligado ao cruzamento entre hardware e software.

MARINÊS — Trabalho na área de segurança faz oito anos. Houve uma evolução incrível. Quando começamos, discutíamos coisas totalmente diferentes. Éramos Bamerindus, um banco comprado pelo HSBC, que chegou com uma cultura de segurança diferente. Isso nos custa muito hoje, por causa do legado, o de um banco brasileiro da década passada. Isso nos toma muito tempo. Mas não tem como sair do tripé pessoas, processos e ferramentas. Estamos investindo muito alto em ferramentas, monitoração, processos e conscientização. É uma briga mesmo. Quando falamos de conscientização, é do porteiro ao alto executivo. Estamos usando uma estratégia para que os nossos clientes internos sejam tratados como clientes externos. Todo mundo é cliente.

JOSÉ WALDIR — O grande problema hoje é a gerência da identidade. O cenário é crítico. Temos de medir o risco para cada negócio que a gente lançar. As tecnologias de WiMAX, Wi-Fi, Wi-Tudo... que legal instalar isso. O problema é como colocamos isso na instalação. A pressão do negócio pela agilidade nos torna ultrapassados, a segurança não é encarada como investimento, mas como despesa. O controle de acesso tem grandes problemas internos. É a conscientização sobre como usar os meios eletrônicos. Vamos continuar divulgando, até porque, legalmente, para defender o banco, precisamos ter divulgação no site. Um mecanismo interessante é a certificação digital. O problema é massificar isso. Quando todos se convencerem e tiver 40 milhões de certificados, acabou.

DORIVAL — A questão de segurança na Serasa é tão importante que está na missão da empresa. O que vendemos está intimamente ligado à segurança, e estudamos a questão do ponto de vista de clientes, acionistas, funcionários. É nossa obrigação prover procedimentos, processos, ferramentas — mas o ponto central é sempre a informação ou a cultura do indivíduo. A gente tem um plano contínuo de comunicação, desenvolvemos a Semana de Segurança, em que todos devem idealizar um pequeno projeto. Mas sempre fica a sensação de que talvez seja insuficiente. A complexidade da segurança de informação está ligada à questão da inclusão digital corporativa. Nos últimos anos, aumentamos tremendamente o número de usuários nos sistemas. E instalamos cada vez mais tecnologias diferentes. Organizar a segurança do acesso, da recuperação, fica difícil. Como última mensagem, os fornecedores de tecnologia fazem parte do nosso dia-a-dia, têm de ser tratados como se fôssemos o acionista.

IH — Como lidar com a questão da segurança com clientes internos, clientes externos, parceiros, fornecedores?

PATRÍCIA — Com as pessoas, o problema é a percepção do risco. Elas só vão perceber o risco lá na frente, se elas ou alguém próximo for atingido. Existe uma hierarquia. As pessoas começam inconscientes e incompetentes: sem consciência do problema, e por isso incompetentes. Depois, passam a ser conscientes e competentes no uso de uma ferramenta. No último estágio, passam a ser inconscientes competentes, isto é, são competentes sem preparação prévia. É um processo educacional. A legislação também funciona como um catalisador, porque atribui responsabilidades. É mais fácil ser inconsciente e incompetente se eu ou minha comunidade não somos responsabilizados. O novo Código Civil fez crescer a atenção.

MAURÍCIO — Sobre a questão da proteção legal, a Medida Provisória 2.200, mesmo na primeira edição, dá o suporte legal necessário.

MARINÊS — O tema segurança está muito em voga, o Código Civil veio para ajudar, bem como a Sarbanes-Oxley. O risco deve ser discutido agora, o timing é bom.

DELFINO — Sobre a medida provisória, apesar de certa fragilidade, ela já está consolidada no mercado, pela adesão de grandes empresas: Serasa, Receita Federal, CertiSign, Caixa Econômica Federal, Serpro, Conselho da Justiça Federal. Isso torna o processo irreversível. Então, certificado digital é uma realidade. Sobre a educação, eu queria falar de um desafio. A Caixa tem 27 milhões de pessoas no cadastro social do governo. Não sou filósofo, mas crime e castigo é a única forma de administrar. Essas 27 milhões de pessoas ganharam cartão, temos de entregar 200 mil cartões por mês para usuários que nunca sentaram à frente de um computador. A forma de educar é deixar que ele use somente R$ 50 por mês, por um ano. Aí, vai entender que cartão é dinheiro. Ele não pode ter acesso a um programa de crédito inicialmente, nem à bancarização. Para incluir esse beneficiário numa conta corrente, precisamos pensar na segurança do próprio usuário. O outro aspecto é: no banco via Internet, precisamos elevar os limites da pessoa física acima do que seria indicado pela taxa de risco do canal, pois é muito mais caro levar esse cliente para a agência. Caixa e Banco do Brasil têm 55% dos clientes no Internet banking hoje, são 5,5 milhões de pessoas, isso é um mundo. O desafio de massificar a cultura da segurança é estrutural.

AGOSTINHO — É importante o foco da segurança. A ferramenta está resolvida, mas temos de ter foco no cliente e nos produtos que ele recebe. Isso envolve os processos, ncoisas. O grande problema, para colocar segurança no produto, é sermos ouvidos — nós temos de ir atrás da área de negócio. É preciso um comitê para tratar incidentes de segurança. Cada funcionário só recebe uma senha. Se não trabalha com poupança, não tem acesso; se não trabalha com fundos, não tem acesso. O que ele precisa para trabalhar está identificado em seu perfil. Isso é processo e educação.

DORIVAL — Um pouco da questão está ligado ao histórico de segurança nas empresas. Quem é mais antigo lembra como a segurança começou com o sujeito que tomava conta do rack F. Depois, com a Internet, um rapaz da operação de redes instalava um servidor. Primeiro, segurança ficou muito limitada. Depois, virou uma coisa de auditoria, com o CSO, o guardião da segurança. Agora, precisa acontecer com o CSO o mesmo que já aconteceu com o CIO: parar de falar de bits e bytes, para falar de negócios. Se não, o homem de negócios fica perguntando: “O quê? Scam?”

PLÍNIO — Se alguém seqüestrar um gerente nosso, não tem nada que ele possa fazer na agência. Vai ser só um roubinho, como um batedor de carteira moderno. Mas, no controle de acesso, você tem na rede um terminal que captura cartões. Como saber que é um terminal seu? Internamente, temos controles muito sofisticados, com cartões inteligentes, chaves. Quando vai para milhões de clientes, fica difícil. Por isso, todo o processo precisa ser simples e fácil. O gerenciamento de identidade tem de ser duplo, o agente identifica os clientes e vice-versa. Aí, você vê as fragilidades. Com o Orkut, o gerenciamento remoto de identidade ficou brutalmente fragilizado, com as pessoas preenchendo espontaneamente uma série de dados. Você não sabe se a pessoa, do outro lado da linha, é o cliente mesmo. A gente tenta criar condições para que o prêmio, numa fraude dessas, seja pouco valioso. Com a conscientização, minimizamos isso. Com ferramentas, se o cliente pagar uma conta e a gente desconfiar que a conta não é dele, nós ligamos. Estamos chegando lá.

IH — Marines, como funcionam seus agentes infiltrados?

MARINÊS — Meus BISOs. A alta administração entendeu que o negócio precisa ficar mais próximo da segurança; assim, moldamos a idéia de ter parceiros nas áreas de negócios, que chamamos de business information security officers. Nosso controle de acesso é feito sempre em duplicidade. Fazemos a liberação, mas quem autoriza é a área de negócio. Em algumas áreas, o diretor delegava a tarefa para a secretária, o que anulava todos os nossos esforços. O grande desafio era fazer com que esse cara, lá na ponta, tenha visão estratégica. Os BISOs fazem esse papel, e eles são gerente sênior.

IH — Esse modelo existe em alguma outra organização?

DELFINO — Existe na Caixa. Mas eu queria abrir um novo tema: a paranóia da segurança. Nós instalamos um single sign-on, já avançou bastante. Mas, quando qualquer um dos 60 mil funcionários da Caixa sai de férias, perde tudo: desabilita a intranet, e-mail, todos os acessos aos sistemas. Pasmem, mas existe uma negociação que o sindicato está desenvolvendo, quer que isso seja aplicado ao ponto eletrônico: marcou o ponto, desabilita tudo. Até onde iremos?

MARINÊS — Isso é uma realidade nas agências, a gente já tem ponto eletrônico, que agora estamos instalando na matriz. Até o final do ano devemos usar o single sign-on. E isso surgiu não da paranóia da segurança, mas do passivo trabalhista, que nos deu o retorno do investimento.

MAURÍCIO — Eu trabalhei no falecido Banco Santos em 2002. Depois de colocar single sign-on e todo mundo usar até para passar pela catraca, descobri que não importava saber somente que o funcionário entrou, mas o que ele fez. Para isso, eu não estava preparado. Por isso, recomendo: quem está trabalhando no single sign-on, deve se preocupar com a auditoria do que ele está fazendo. Por exemplo, fazer um login assinado digitalmente, e ainda colocar íris.

IH — Onde mais vocês sentem deficiências no fornecimento de ferramentas?

AGOSTINHO — Eles precisam arrumar uma ferramenta de consolidação e de monitoração das outras ferramentas do mercado. Nós temos o funcionário que monitora os sistemas de monitoramento... Na área de segurança, eu tenho um analista com três monitores. No futuro, precisamos do cruzamento de produtos, de software, das áreas de negócio. Normalmente, o fraudador tenta obter informação num canal e cometer a fraude num outro canal. Precisamos descobrir por que o cliente acessou três vezes o call center e está fazendo um saque imediatamente no caixa eletrônico.

PLÍNIO — Começamos a olhar as ferramentas disponíveis: absurdamente caras, limitadas e específicas. Estamos construindo nossas ferramentas, para criar regras de negócio em dois, três minutos.