Os desafios no atendimento dos requisitos de segurança exigidos pelos bancos.
Um forte movimento vem ocorrendo nos últimos anos, partindo principalmente do setor financeiro e que está refletindo nas operações de uma série de fornecedores que atendem esse segmento do mercado, como por exemplo, call centers, escritórios de cobrança, gráficas, fábricas de softwares, etc., fazendo com que gestores comecem a observar a necessidade em atender um conjunto de requisitos de Segurança da Informação que afeta diretamente, mas não exclusivamente, os departamentos de TI, obrigando-os a aplicar controles em seus ambientes, de forma que possam garantir a proteção de todos os dados relacionados ao negócio destas instituições financeiras.
E quando falamos que o impacto não é exclusivo do departamento de TI, isso significa que outras áreas também precisam se adequar aos requisitos de segurança, que são apresentados aos fornecedores com as mais variadas nomenclaturas (baseline, checklist, guia de segurança, código de conduta, documento de requisitos, etc.) mas que no fundo, trata basicamente de uma mescla dos controles existentes na consolidada Norma ABNT NBR ISO/IEC 27002, com alguns requerimentos do reconhecido Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS). Porém, grande parte das organizações ainda possuem dificuldades na implementação dos controles solicitados nestes documentos, isso impacta diretamente na competitividade de seu negócio, frente a outras organizações com maior nível de maturidade em compliance.
Observamos isso durante a realização de trabalhos de auditoria, onde buscamos identificar o nível de atendimento aos requisitos exigidos por estas empresas do setor financeiro, principalmente os bancos, que estão constantemente nos radares de fraudadores. Porém estas instituições possuem uma série de controles que dificultam operações fraudulentas dentro de seus ambientes, que poderiam permitir por exemplo o roubo de dados, transações não monitoradas ou vazamento de informações sensíveis de seus clientes. Historicamente os bancos sempre investiram em ferramentas, processos e pessoas, três aspectos que englobam a Segurança das Informações em qualquer organização, mas com a diversificação de suas operações, cada vez mais os bancos se apoiam em parceiros estratégicos, que fornecem serviços especializados, como por exemplo telemarketing, telecobrança ou boletagem, e todos estes prestadores precisam trabalhar com informações cedidas pelo banco. E é aí que os fraudadores encontram seu pote de mel.
Toda a tecnologia e cultura de Segurança da Informação existente nos bancos ainda não está presente em boa parte dos fornecedores, pois a prioridade do próprio banco sempre foi dada em cima da performance, dos resultados dos parceiros. Mas com a crescente onda de ataques virtuais e o aumento de golpes online envolvendo clientes destas instituições, as instituições financeiras tiveram um sinal de alerta acionado. Uma recente pesquisa da FEBRABAN apontou que somente com fraudes em boletos, os bancos amargaram em 2016 prejuízos de mais R$ 383 milhões, um aumento de 2,5% se comparado com o ano anterior.
Este exemplo é apenas um de vários indicadores que apontam o crescimento de ameaças que envolvem dados de clientes de instituições financeiras, mas diferentemente do que muitos pensam, os bancos não são os alvos diretos dos ataques e sim seus parceiros de negócios, fornecedores de soluções e prestadores de serviços que possuem diversas vulnerabilidades passíveis de serem exploradas, pelos mais variados tipos de ameaças, especialmente aquelas relacionadas com tecnologia, fazendo com que muitos gestores acabem se perdendo quando precisam identificar o que deve ser corrigido primeiro.
Para isso é que temos o apoio de normas como as da família ISO 27000, que abriga em seu guarda-chuva uma série de normatizações visando a proteção das informações das organizações, independentemente do seu tamanho ou área de atuação. Hoje a informação é o ativo mais importante para a maioria dos negócios e ter mecanismos que possam auxiliar na sua proteção durante o seu ciclo de vida deixou de ser um diferencial de mercado para se tornar requisito obrigatório. Esse movimento está fazendo com que os bancos já comecem a exigir a aderência à controles, muitos deles baseados na ISO 27002, uma norma que possui atualmente 114 controles, divididos em 14 seções que direciona as organizações que queiram buscar a certificação ISO 27001, norma que estabelece o Sistema de Gestão de Segurança da Informação (SGSI).
Embora a certificação em si não seja obrigatória para que uma empresa possa se tornar um fornecedor ou prestador de serviço de um banco, é notória a movimentação do mercado para que futuramente isso se torne plausível. Algo esperado se compararmos com o que aconteceu na década de 90 com a norma de Qualidade ISO 9001. Primeiramente as grandes empresas multinacionais, como por exemplo as indústrias do setor automobilístico buscaram a adequação e a certificação de seus processos dentro dos requisitos da norma e consequentemente seus fornecedores tiveram que aderir às mesmas regras. Inicialmente era um diferencial competitivo, mas em seguida ter a certificação ISO 9001 tornou-se item obrigatório a qualquer empresa que quisesse fornecer para as grandes montadoras. A cultura da Qualidade ultrapassou a barreira da indústria e deixou de ser apenas uma obrigação contratual para se tornar item fundamental nos mais variados tipos de atividades. Hoje podemos encontrar até pequenos comércios como farmácias ou padarias certificadas na ISO 9001.
Estar aderente a norma ISO 27002 significa, na prática, adotar os controles aplicáveis ao negócio de forma que permitam a redução dos riscos da operação, diminuindo a possibilidade de perdas, ou seja, um trabalho de prevenção contra prejuízos, tanto financeiro quanto aqueles imensuráveis como reputação, credibilidade e a imagem da empresa e de seus colaboradores.
Muitos gestores associam o termo Segurança da Informação com uma questão de Tecnologia da Informação e por este motivo delegam, erroneamente, a responsabilidade para a área de TI apenas, quando na verdade a norma nos mostra que os controles vão muito além da adoção de ferramentas para controlar os computadores da rede. É necessário revisar os principais processos da organização e capacitar os colaboradores sobre suas responsabilidades na questão da segurança, iniciando assim uma mudança cultural que irá impactar em todas as áreas (incluindo fornecedores), com apoio não somente da TI, mas de departamentos como jurídico e recursos humanos. Pela composição das seções da ISO 27002 o leitor pode ter uma ideia da abrangência da norma:
- Política da segurança da informação;
- Organizando a segurança da informação;
- Segurança em recursos humanos;
- Gestão de ativos;
- Controle de acesso;
- Criptografia;
- Segurança física e do ambiente;
- Segurança nas operações;
- Segurança nas comunicações;
- Aquisição, desenvolvimento e manutenção de sistemas;
- Relacionamento na cadeia de suprimento;
- Gestão de incidentes de segurança da informação;
- Aspectos da segurança da informação na gestão da continuidade do negócio;
- Conformidade.
Como mencionamos no início do artigo, não importa o nome que o banco dê ao documento contendo os requisitos para que os fornecedores estejam em compliance com suas operações, a origem está na Norma ABNT NBR ISO/IEC 27002 e em alguns casos, complementada com itens do PCI-DSS. No próximo artigo iremos falar sobre os controles mais solicitados pelas instituições financeiras e como as empresas devem implementá-los para permitir não somente o cumprimento de uma exigência, mas a extração do real benefício em se trabalhar com Segurança.
Fontes consultadas: ABCTec / ISO 27002 / PCI-DSS
Imagens/Vídeos: Pixabay / Mark Owens, MoD
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec