Por que o usuário e o cliente às vezes cometem erros óbvios de segurança? Por que o cliente recorre a senhas óbvias ou abre portais suspeitos? Por que o usuário esquece o backup ou imprime relatórios de gestão — e deixa os relatórios em qualquer lugar?
Dois cientistas ingleses estudaram a rotina de 112 pessoas, por dois anos, para descobrir: usuários e clientes (e todos nós) vivem no piloto automático. Eles fazem chá sem pensar na água quente queimando a pele. Se fossem pensar em tudo quanto é risco, não fariam nada. Nosso cérebro se desenvolveu ao longo dos séculos para funcionar no piloto automático, assim fazemos o chá e, ao mesmo tempo, pensamos nos problemas do dia. Nesta mesa-redonda, sete profissionais de TI de empresas do setor financeiro discutem isso: como tirar todo mundo do piloto automático?
A conversa foi coordenada por Wilson Moherdaui, diretor editorial do Informática Hoje, e por Márcio Simões, diretor de redação. Participaram: Agostinho Gouveia, superintendente executivo do ABN Amro Real; Antônio Everardo Nunes da Silva, gerente de segurança da informação do BicBanco; Denise Comerlati Menoncello, gerente de segurança da informação da Serasa; Edson Fonseca, gerente de TI do Banco De Lage Landen Brasil; Marcelo Câmara, gerente departamental de TI do Bradesco; Roberto Marucco, diretor de sistemas da SulAmérica Seguros e Previdência; e William Ramalho da Costa, coordenador de TI da Caixa Beneficente dos Funcionários do Banespa (Cabesp).

IH — Como evitar que o usuário trabalhe no piloto automático e provoque incidentes de segurança?

Agostinho — Quando tratamos do assunto, distinguimos entre o usuário, que é funcionário da empresa e tem obrigações, e o cliente, que tem de ser tratado como cliente. Não posso exigir um curso de segurança do meu cliente, mas preciso oferecer para ele um produto simples, fácil de usar, e seguro.
Quando o funcionário entra no banco, ganha uma senha provisória, cheia de limitações. Depois ele precisa fazer uns cursos obrigatórios via intranet, inclusive de segurança e de compliance; se ele tirar a nota mínima, o sistema avisa o RH automaticamente, e então o funcionário ganha a senha definitiva.

Marcelo — E esse curso de segurança da informação é recorrente?

Agostinho — É recorrente. Até os funcionários dos terceiros precisam passar por cursos obrigatórios, feitos especialmente para eles.
Todo mês eu mando dois ou três avisos por e-mail, do tipo não empreste sua senha, para usuários do banco e dos terceiros. Temos um controle de quem abriu o e-mail e de quem não abriu. Eles abrem.

Marcelo — Discutimos isso na Febraban: se a gente conseguir conscientizar pelo menos os nossos funcionários, uma boa parcela da população brasileira também estará conscientizada.

Agostinho — A gente também passa mensagens de segurança para os clientes, em campanhas especiais, mas sempre por meio de correspondência, nunca por e-mail. Os bancos nunca mandam e-mail para o cliente. Se o cliente receber um e-mail válido do banco, ele vai se acostumar com isso e vai cair no cavalo de tróia dos criminosos.

Marcelo — No Bradesco, dividimos a segurança em três fases: informação, conscientização e aculturação. Estamos passando da informação sobre segurança para a conscientização, mas faltam uns passos ainda para chegar na aculturação, para ter a segurança no sangue.

IH — O número de incidentes é maior entre funcionários do próprio banco ou entre funcionários dos fornecedores?

Agostinho — Entre os funcionários do banco. Mas temos 30 mil funcionários diretos e 5 mil funcionários de terceiros. É natural que o número maior seja entre funcionários do banco.
Mas fazemos inspeções trimestrais, semestrais, depende. Se a gente assina o contrato, faz uma primeira inspeção e não volta mais, o fornecedor provavelmente não vai trabalhar do jeito combinado.

Edson — Por mais que a gente defina regras e escreva os documentos de segurança, às vezes uma pessoa de nível alto descumpre alguma norma de segurança, e então a discussão sai completamente da esfera da segurança e vai para aspectos políticos. A segurança não depende só da TI. Tem um componente cultural forte. Com o cliente, é a mesma coisa: se teve uma falha da segurança, ele atribui a falha primeiro ao banco.
Por exemplo: se um chefe pede a senha, o funcionário precisa estar muito bem treinado para não passar a senha, para desobedecer uma “ordem”. Sem o treinamento, talvez o funcionário não perceba o risco de passar a senha para o chefe.

IH — Vocês costumam fazer o que a polícia faz, e dar uma incerta?

Edson — No nosso caso, quando a gente percebe que alguma coisa pode estar acontecendo, sim. Por exemplo, um grande grupo novo num departamento. Depois do treinamento, a gente dá umas incertas, para saber se eles captaram os conceitos mais importantes.
Nossos escritórios são pequenos, as pessoas acabam confiando umas nas outras. Em bancos maiores, as pessoas não se conhecem tanto.

IH — E os grandes bancos de varejo?

Agostinho — Não damos incertas. Usamos software de monitoração. Se alguém usa uma senha fora do local esperado, temos um alerta.
No caso das senhas, estamos num nível de maturidade bom. Sabemos que, se emprestamos a senha, alguém pode aprovar uma operação indevida no nosso nome.

Denise — Segurança é atitude. Se a pessoa não tem atitude de segurança, adianta pouco ter a tecnologia. Na Serasa, mantemos um processo constante de conscientização. Repetimos inúmeras vezes as mesmas coisas. Somos chatos, e vamos continuar sendo chatos. Segurança é uma coisa chata, porque ela requer certas atitudes. Mas as pessoas querem fazer o que é mais fácil e mais rápido. Usamos também ferramentas de tecnologia, para monitorar.

Marcelo — Muita gente me diz que eu gasto muito com segurança, mas eu gasto não por causa das perdas de hoje, mas por causa das perdas no futuro. A gente precisa ensinar o cliente a viver na Internet com segurança, para que a gente consiga ter ganhos no futuro. Estou investindo na continuidade do negócio.

Edson — O primeiro ponto é que o usuário e o cliente se acostumam com a segurança. Outro ponto: o usuário instala um monte de aplicativos de segurança, mas se abre um pop-up na tela dele, com alguma mensagem, ele não sabe o que fazer. As mensagens são antipáticas. Evoluímos muito, mas ainda não chegamos lá.

Marcelo — Não vamos chegar lá. A segurança exige sempre o sacrifício de alguma outra coisa: custo, tempo, qualidade, capacidade. Para ganhar segurança, temos de perder alguma coisa.

Agostinho — Aparece uma mensagem: vírus bloqueado. E daí? Chamo alguém ou não chamo ninguém? Deixo como está? Esses pacotes para o usuário leigo têm muito o que melhorar.

Denise — Na minha casa, eu ativo o antivírus, e meu marido desativa. O antivírus atrapalha o trabalho dele.

Everardo — Eu vim da área de RH, trabalhei com RH por 19 anos. Estou na área de segurança há três anos, e nosso foco tem sido o processo de conscientização. A regra básica no BicBanco é evitar o tecnês.
Nas nossas primeiras palestras sobre senhas, falamos de senhas fracas e senhas fortes, e não teve efeito. No ano seguinte, mudamos a abordagem: quando você compartilha a sua senha, você não compartilha só os números da senha, mas compartilha a lógica. Todo mundo segue uma lógica para criar a senha. Essa abordagem deu resultado. Na semana seguinte, muita gente queria saber como mudar a senha.
O problema da segurança é novo. Alguns programas de mercado até permitem senhas do tipo 123456. Quem desenvolve software, precisa pensar nessas questões.
Agora, precisamos de bom senso. Existem sistemas críticos para a empresa. Temos de nos preocupar com esses sistemas, trocar as senhas a cada 30 dias. Mas não podemos exigir senhas complexas a cada 30 dias para todos os sistemas. Isso viraria um empecilho.
No banco, nós usamos um token de R$ 115,00, em que guardamos todas as senhas de forma criptografada, para simplificar. [Um token é um dispositivo parecido com uma pequena memória USB.] Nem todos os funcionários precisam de um desses, mas para sistemas críticos e transações críticas, é um dispositivo viável.
Eu acredito muito na biometria. A biometria é prática e segura. O Bradesco está utilizando a geometria da mão, não é?

Marcelo — Usa a geometria das veias internas da palma da mão. Já usamos isso em 700 máquinas ATM [caixas eletrônicos], mais ou menos, com 90 mil transações por mês. Escolhendo direito a biometria, estudando e homologando bem, conseguimos as duas coisas: segurança e praticidade.

Roberto — Tem a questão da logística também. No caso dos planos de saúde, os clientes emprestam a carteirinha do plano de saúde para os amigos, os parentes. Ele não se sente lesando o plano, porque ele pensa: eu paguei, mas não estou usando. Ele não sabe que, indiretamente, isso vai se voltar contra ele, porque a sinistralidade sobre, a prestação sobe. Estamos em campanha para conscientizar os funcionários da rede médica. Os laboratórios já não fazem mais isso, porque o risco é muito grande.

Marcelo — Vocês adotaram biometria?

Roberto — Fizemos piloto, mas teve um problema. Num laboratório, faz sentido ter uma máquina da SulAmérica, outra do Bradesco Seguros, do fulano, do sicrano? Não faria sentido uma máquina só, talvez de algum provedor?
Mas a maior questão hoje é conscientização. Fazemos o que todos aqui fazem, e também contratamos um chargista. Todo mês aparece uma charge sobre segurança nos murais.
Tão importante quanto tudo isso, contudo, é a tolerância zero. Não pode ter música em MP3 e filme dentro do trabalho. Essa dissociação é importante: quando a pessoa vê que uma ferramenta de segurança trava o acesso a um site, ela percebe que estão de olho.

William — Uma coisa engraçada: as auditorias médicas, em casos de cirurgias, às vezes descobrem parto em homem. Ou às vezes descobrem um paciente que removeu duas vezes o rim direito. Se o cadastro não estiver bem atualizado, a gente pode liberar.
Usamos senhas de alçadas. Às vezes, conforme o valor, a senha não tem a alçada para liberar uma transação, e aí depende de uma senha de alçada superior.

Denise — Às vezes, temos mais problemas com funcionários mais antigos, porque ele está confortável, está no processo há muito tempo, e então ele acha que pode fazer determinadas coisas.

IH — Ele já está no piloto automático?

Denise — Está no piloto automático: exatamente isso. Por isso precisamos de regras rígidas, claras, e de punição.

Everardo — Só tenho uma ressalva quanto à tolerância zero: tão importante quanto punir é enaltecer os bons exemplos. Quanto à punição, ela deve ser discreta: se tudo estiver bem documentado, estiver de acordo com uma política de punições já conhecida, então podemos demitir o funcionário. Mas não devemos publicar nada sobre isso no jornalzinho, ou no mural. A informação corre dentro da empresa.

William — Sim, a idéia é punir corretamente, mas sem nenhum tipo de alarde.

Everardo — Eu, que gostava de terno preto, já não uso mais terno preto dentro da empresa [risos].

IH — Vocês usam sistemas de monitoração específicos para a segurança?

Roberto — Antes de entrar na tecnologia em si, tenho um ponto importante. Antes, quando saía um relatório de auditoria, o tom era assim: o usuário errou porque o sistema não exigiu, o sistema não obrigou ele a trocar a senha, etc. Agora, os relatórios saem diferentes. Eles dizem também: o usuário não teve a consciência das suas responsabilidades, o usuário não honrou a política de segurança que ele mesmo assinou. Essa mudança reforça a segurança como um todo.

Edson — Temos bastante tecnologia para cuidar das senhas, do perímetro, das invasões. Mas, quando vamos estudar um problema, vemos: alguém não descartou corretamente algum documento impresso. De que adianta a gente fechar os sistemas e alguém deixar uma tabela de preços num canto da sala?
Hoje, eu diria, a gente perde mais tempo tentando convencer os gestores — sobre colocar senhas nas impressoras, por exemplo — do que os outros usuários. “Não”, dizem os gestores, “isso vai prejudicar a operação, vai ser antipático.”

Roberto — Uma coisa importante é trocar informações. Se alguém frauda a Sul América, provavelmente frauda também o Bradesco. Recentemente, começamos a trocar informações com o Bradesco, já que usamos o mesmo software.

Marcelo — Os bancos trocam muita informação, por meio da Febraban. Chegamos a ponto de trocar a identidade dos fraudadores, sempre por meios oficiais do banco, e sempre com o apoio da polícia. Desde o começo, na Febraban, nós identificamos o fraudador como um concorrente único de todos os bancos, e então nós nos unimos contra ele. O pessoal de marketing deve concorrer entre si, mas não o pessoal de segurança.

Roberto — Estamos saindo do primeiro estágio da segurança, que é focado em tecnologia, e indo para o segundo estágio, que é focado no negócio. Se um sujeito ganha pouco e mexe com milhões, é um ponto de segurança para estudar, porque a exposição ao risco é maior.

Agostinho — Hoje, os ataques contra bancos não dão resultado, nós nos defendemos. Então, agora eles atacam os clientes. O elo fraco da corrente é o novato na informática, ele cai no spam, digita as senhas, instala cavalo de tróia.

IH — Leis e normas provocam a maioria dos investimentos de segurança?

Marcelo — Nos últimos dez anos, houve realmente um boom de normatização, com a Sarbanes-Oxley, a Hipaa, as normas da Anvisa no Brasil.

Edson — Acho que os aspectos regulatórios ajudaram a refinar os investimentos em segurança. A auditoria nos faz ir um pouquinho mais além.

Roberto — As leis aumentaram os gastos, mas trouxeram uma coisa muito positiva, trouxeram o assunto para a empresa como um todo. O viés é positivo.

Agostinho — Hoje não se fala mais de segurança sem falar de risco.

IH — Onde entram os fornecedores de soluções terceirizadas de segurança?

Denise — Na minha opinião, entram na parte mais técnica.

Roberto — Em qualquer área, para o básico, o trivial, contratar serviços terceirizados é interessante, até porque o provedor foca mais em segurança. Mas a gestão é sempre nossa.

Agostinho — Por exemplo: o nosso controle de acesso é um serviço terceirizado. É diferente do que falávamos há algum tempo atrás, quando nem levávamos a hipótese em consideração.

Marcelo — Até porque a gente não terceiriza o risco. Nós sempre vamos pagar pelos erros; no mínimo, pagamos com a imagem da empresa.

Everardo — Um complicômetro: temos de conhecer os riscos do nosso parceiro, saber se ele mantém uma política de segurança.

IH — É verdade que os quebradores de senhas conseguem descobrir 40% das senhas?

Agostinho — As pessoas tendem a botar o nome do cachorro, a placa do carro, a data do aniversário.

Marcelo — Hoje a gente coloca os dados cadastrais no sistema de checagem. O funcionário já não consegue botar o nome da esposa, por exemplo. Mas a senha não pode ser complicada demais, dez caracteres alfanuméricos, por exemplo, senão o usuário cai no papelzinho.

Denise — A tendência hoje é ter dois fatores de identificação: uma coisa que você sabe, que é a senha, e uma coisa que você possui, que é um token.

Everardo — Existe a norma ISO 27002, com todas as boas práticas a respeito de senhas. Nós usamos a 27002 no banco, e ela já faz parte dos pré-requisitos para o desenvolvimento. O nosso problema são os sistemas mais antigos.

IH — Os sistemas novos, vendidos no mercado, seguem as regras básicas de segurança, como as da ISO 27002?

Everardo — Nem todos