Não existe 100% de proteção: o risco à segurança da informação é inerente, mas companhias mostram como fazer para mitigá-los
Nos últimos 12 meses, foram 280 milhões de vírus bloqueados, 250 milhões de
spams barrados, 16 milhões de bloqueios de tentativas de invasão e 2 bilhões de
bloqueios de mensagens contendo dados maliciosos. Os números impressionam, e
traduzem o esforço da área de gestão de segurança da informação do Bradesco.
Como toda instituição financeira, o banco é alvo dos mais variados tipos de
ataques, motivados por um sem-número de razões. “Não podemos cochilar. Lidamos
com a possibilidade de invasão e, por isto, precisamos de todos os mecanismos de
segurança”, sentencia o vice-presidente de tecnologia do Bradesco, Laércio
Albino Cezar. Vencedor na categoria segurança da informação, o VP não menospreza
a capacidade dos invasores. “É desafiador, porque eles são criativos, têm tempo
e são pessoas com nível de conhecimento praticamente igual ao dos que trabalham
na área de tecnologia. Por isto, temos de manter uma equipe capacitada para
enfrentar estes malfeitores.”
A TI não Bradesco não tem a figura do diretor
de segurança (CSO, na sigla em inglês), mas, por estar organizada por
departamentos (ler categoria governança de TI na pág. 34), conta com uma pessoa
designada para cuidar do assunto em cada um deles. Isto faz também com que o
tema seja tratado dentro das particularidades das áreas. Por exemplo, toda
solução tem de passar por aprovação funcional e de segurança. Isto inclui também
a homologação de serviços de terceiros. A rigidez faz-se necessária. Evita que
danos maiores sejam causados ao banco – e não apenas as tentativas de furtar
dinheiro, mas protege o banco de estragos sistêmicos irreparáveis.
Tanto
esforço se traduz também em cifras: para 2010, entre 7% e 8% do total do
orçamento de TI de R$ 3,4 bilhões será destinado à segurança, tanto interna,
como as já mencionadas e a proteção de 108 mil estações de trabalho, como o
trabalho desenvolvido pela equipe de Cezar para manter os correntistas seguros.
Cabe à TI fornecer mecanismos de proteção para os milhares de usuários do
internet banking, com o claro objetivo de minimizar os riscos e,
consequentemente, não afastá-lo do serviço online. Dentro desta iniciativa,
foram distribuídos 10 milhões de plug-ins de segurança, mediante a autorização
do correntista, por meio do qual o Bradesco faz atualização do antivírus.
Há
ainda os tokens para autenticar com senhas alternadas a transação enquanto ela
ocorre e os cartões com chips. Mais seguros, eles representam hoje 22 milhões
dos 53 milhões da base de cartões de débito. A utilização da biometria também
nasceu da TI, mais especificamente da área de pesquisa e inovação. O projeto
ficou um ano em processo de avaliação. “Temos uma metodologia para adoção de
novas tecnologias para que as novidades não tragam problemas ao banco”, explica
Cezar. Outra inovação foi um sensor que identifica sobreposição de peças nos
caixas eletrônicos.
Integração
Se no Bradesco não há uma figura de
CSO, a segunda colocada da categoria, a subsidiária brasileira da companhia de
seguros Zurich, experimenta ter um líder ocupando este cargo. Rogério Ferrari, o
dono do posto criado no início de 2009 em decorrência do desafio de incorporar a
Companhia de Seguros Minas Brasil, adquirida em meados de 2008, responde para o
CIO, Fábio Polonio. “Até a compra, éramos uma empresa pequena, de 105
funcionários. Agora, somos 700 e entramos no varejo. Isto fez com que tivéssemos
a necessidade de estruturar a áreas de segurança e de infraestrutura”, explica
Polonio, que, até então, encarregava-se da segurança. O salto foi grande e
exigiu dedicação de uma pessoa exclusiva para o assunto.
Por ser uma
multinacional, as políticas de segurança são desenhadas globalmente. No Brasil,
padrões como os estabelecidos pela Sarbanes-Oxley e Cobit são seguidos. “Nós
adequamos o que faz sentido para a realidade brasileira”, conta. Os processos,
revela o CIO, passam por auditorias interna e externa. O executivo considera
madura a administração da segurança, justamente por obedecer normas globais. Sua
preocupação vai em outro sentido: “saber como tornar as coisas seguras e
continuar utilizando-as”. O grande cerne da questão levantada pelo CIO está na
equação utilização versus segurança, porque, muitas vezes, a proteção é tamanha
que inviabiliza o uso de determinada ferramenta. Mas neste ponto a experiência
de Polonio pode ajudar. “Somos uma empresa de risco. Pensamos nisto o tempo todo
e temos várias seções de aplicações de metodologias para avaliação dos riscos
trazidos por projetos de TI.”
No Bradesco, nos últimos 12 meses, foram bloqueados:
80 milhões de vírus
250 milhões de spams
16 milhões de tentativas de invasão
2 bilhões
de mensagens contendo dados maliciosos
Leia mais:
o Especial Executivos de TI do Ano 2010
