IH — Quando se fala em segurança, quais devem ser as prioridades estratégicas das corporações?

Tácito Pereira Nobre — A Internet trouxe oportunidades, mas nasceu muito aberta. A partir de 1999, passamos a pôr na Internet todos os serviços que tínhamos, e por isso criamos uma estrutura focada em segurança, tanto em sentido amplo quanto específico, focada em componentes específicos de tecnologia. Estruturamos também processos, para dar a maior garantia possível de inviolabilidade. Adotamos políticas e passamos a observar o relacionamento da comunidade interna com a externa; a Serasa tem 2 mil funcionários, temos 40 e tantas agências em todos os Estados, elas podem ter acesso à Internet também. Uma questão importante é sempre equilibrar oportunidade e risco, para aproveitar a oportunidade, mas de forma controlada. Depois que investimos em infra-estrutura para certificados digitais, buscamos obter a certificação para a BS 7799, o que nos levou a um cuidado adicional com processos.

Carlos Pinheiro Palhares — Com a Internet, é como derrubar muros e se expor ao mundo inteiro, e não só a quem passa na rua. Tem gente que fala: a melhor segurança é conscientizar as pessoas. É certo, mas não temos tanto tempo, os ataques estão aí, então precisamos criar barreiras mesmo, nos antecipar aos crackers e hackers. A gente está concentrando o trabalho de conscientização nas pessoas que criam os nossos software e nossos processos, assim eles já nascem seguros. Na segurança física e lógica dos dados, o investimento é pesado em barreiras — firewalls, IDSs. Para a instituição financeira, esses investimentos são questão de sobrevivência.

José Waldir Pacheco de Carvalho — Tenho defendido a aplicação de duas normas. Nos estruturamos para atuar não só na área de TI, mas de negócios também, com um plano diretor de segurança, com alinhamento à ISO 17799 e ao Cobit, além de outras regulamentações e resoluções. Hoje, a maior agência da Nossa Caixa é a agência na Internet, com o maior número de transações. Do nosso ponto de vista, a única maneira de reduzir fraudes é usar a certificação digital; a instituição financeira não pode mais ter sozinha o ônus de ser a única a ter responsabilidade na transação. Então, o grande foco é agregar a gestão do risco a todos os negócios da instituição, temos 39 pessoas trabalhando nisso. Tem aquele famoso tripé: tecnologia, processos e pessoas, é assim que se fecha o cerco.

IH — Os problemas de segurança da BM&F são de outra natureza?

Antonio Mariano de Alencar Pereira — São semelhantes. Na BM&F, a preocupação é a conscientização, para dividir a responsabilidade pela segurança da informação com toda a organização. Na própria área de TI, todas as equipes são responsáveis pela segurança, inclusive a de desenvolvimento, que não cria nada sem olhar a segurança primeiro. A gente precisa investir em negócio, ter uma rentabilidade melhor a cada dia; mas sem correr o risco de a rentabilidade cessar por problemas de segurança. Cada vez mais, as tentativas de explorar fragilidades para obter vantagens estão mais elaboradas. Ontem mesmo a gente pegou um spyware que deixava vir a tela do banco, e só sobrepunha um pequeno quadradinho, para pôr a senha. Você entrou na URL correta, você olha o cadeadinho, vê o certificado válido — e de repente está colocando a senha num outro site. Nesse caso, a conscientização funcionou, o funcionário percebeu de cara que havia alguma coisa estranha e chamou nossa equipe. O spyware tinha sido colocado na máquina do usuário com um cartãozinho virtual, enviado por e-mail. O investimento primordial este ano, na BM&F, é fazer com que nosso Centro de Operações de Segurança esteja apto para interpretar qualquer tipo de vulnerabilidade.

Reinaldo Cilurzo — Bovespa e BM&F são muito parecidas. A questão da segurança, no mercado de ações, está muito ligada à imagem e à credibilidade. A Bovespa investiu pesado num projeto de governança da TI, com foco em Cobit e Itil. Como disse o Palhares, estamos muito preocupados com segurança desde o começo, desde o planejamento do projeto. É quando estabelecemos controles em todos os níveis hierárquicos da empresa; o usuário participa da política de segurança e recebe treinamento, porque é a ponta final. A gente sentiu que precisava focar em pessoas; essa coisa dos spyware, por exemplo, só funciona com a ingenuidade do usuário.

Carlos Yuji Wako — A Tecban é o canal de ATM dos bancos. Temos também a preocupação com o acesso à Internet; mas o foco são as ATMs, porque os ataques contra as ATMs são tão violentos quanto os ataques contra o Internet banking. Eu destacaria o projeto de atualização tecnológica das nossas ATMs. Até agora, usamos tecnologias obsoletas nas ATMs, OS/2 e X.25, e não temos problemas com segurança, os hackers não focam. Mas vamos migrar para um ambiente com Windows e TCP/IP, e aí vamos ficar obcecados com segurança. O projeto das novas ATMs começou todinho baseado em segurança, ou nem valeria a pena. Investimos mais de um ano na pesquisa dos aspectos de segurança desse novo ambiente. Já fizemos ações, como desenvolver um protocolo de criptografia fim a fim, no aplicativo, para criar uma VPN entre aplicativos. Tivemos que investir em criptografia por hardware, firewall pessoal, antivírus. Estamos preocupados com serviço de diretório e certificados digitais. Se um atacante tiver sucesso, ele leva dinheiro vivo, é muito dinheiro numa ATM.

Carvalho — Às vezes levam até a ATM. (risos)

Wako — Temos também projetos de segurança física, mas o projeto principal mesmo é o de migração. A gente ficou no dilema entre a produtividade e a eficiência que as novas tecnologias trazem e a questão da segurança. Uma hora, é preciso optar. É melhor enfrentar o risco da segurança em prol da produtividade e da eficiência operacional. Assim como os bancos precisaram entrar no Internet banking, nós precisamos atualizar as ATMs. A IBM só corrige erros no OS/2 até 2007. Tentamos Linux, mas nenhum fornecedor de ATM migrou para Linux. Não vamos nos aventurar a portar Linux para a ATM e depois ficar com todo o ônus da manutenção, não vale a pena. Outro aspecto de segurança das ATMs é a monitoração, 24 por 7, com correlação de eventos, precisamos investir em inteligência máxima para detectar qualquer ação não-planejada em qualquer uma das ATMs. Para a monitoração, vamos investir em comunicação wireless, porque a primeira coisa que os atacantes fazem é cortar a linha de comunicação. E também investimos em Cobit e Itil — estamos no SPB, somos auditados pelo Banco Central. A implementação de normas e políticas é uma coisa assustadora. Assino tantas normas e políticas que me pergunto: até que ponto isso tudo pode ser colocado em prática ou é só um instrumento de punição? A grande batalha não é editar normas, mas fazer com que passem a valer no dia-a-dia da empresa.

Palhares — Quantos funcionários a Tecban tem?

Wako — Mais de 800 pessoas.

Palhares — Tenho 7 mil...

Wako — Isso é um problema sério, e por esse motivo estamos colocando a área de gestão de risco, segurança da informação e auditoria ligada diretamente ao conselho de administração. É para ter força. Além disso, a área de gestão de risco participa de todos os projetos da empresa. Mas é nas pessoas mesmo que você consegue implementar uma boa segurança. É necessário investir na cultura.

IH — Qual o efeito legal dessa conscientização do usuário e dessa divisão de responsabilidade?

Renato Opice Blum — Vamos dividir o assunto em dois: segurança interna e externa. As ameaças externas podem ser sintetizadas na figura do cracker. Ele ataca porque está numa posição confortável, está no seu computador, tem a certeza de que nada de sério vai acontecer, nem mesmo uma investigação policial. Sintetizando, o que o cracker faz? Manda um e-mail com um link falso, manda um spyware, manda um cavalo de tróia. O micro do usuário é infectado. Isso terá conseqüências jurídicas em função do contrato. Ou o cracker altera o servidor de DNS do provedor, o que vai gerar a responsabilidade de quem faz a gestão daquele DNS. Tenho de fazer um registro aqui, sobre os que mandam e-mail em nome da instituição financeira: mudaram o nome do estelionato para engenharia social. A legislação brasileira pode ser melhorada, mas existe, e pode mandar o estelionatário para a cadeia. E quanto ao cliente? É culpa exclusiva do cliente ou é culpa também da instituição financeira? Essa é a questão: qual é o serviço que o banco oferece? É o serviço de Internet banking, mas não é o banco que dá a conexão à Internet, ele não controla a Internet. O banco só vai ter responsabilidade quando o sujeito chega nos seus sistemas; por isso, nessas situações, não vejo responsabilidade da instituição financeira. O que pode acontecer é a omissão de informações no contrato, exigidas pelo Código do Consumidor. Ou seja: informe que o cliente vai ter que entrar na Internet, que a Internet não é amigável, e sugira documentos, como a cartilha do NIC.br, muito interessante. Se o banco não tem o controle, não tem o que fazer e não pode responder pela Internet. É o cliente quem deve se precaver — mas ele pode e deve ser informado disso pelo banco. Enfim, o banco é responsável pelo serviço, mas não pelo caminho para chegar ao serviço. Agora, por que o banco não se comunica com o cliente usando certificados digitais? Resolveria uma boa parte do problema, até em função da legislação, a Medida Provisória 2.200.

IH — Já existe jurisprudência firmada?

Opice Blum — Já tem contra e a favor. A minha opinião é de que não há responsabilidade do banco. Só que não deu tempo de nada disso chegar ao Supremo Tribunal Federal. Mas, se o banco é processado, a questão é da prova, e por isso falo que a questão é processual. O cliente diz: tiraram dinheiro da minha conta, invadiram o banco. Na prática, o juiz pode inverter o ônus da prova. Aí o banco terá que provar três coisas: que aquilo não aconteceu, que a responsabilidade é exclusiva do cliente ou que a responsabilidade é exclusiva de terceiros. E o caro disso tudo não é o advogado, é a perícia, para dizer que o acesso foi verdadeiro e que o login foi verdadeiro e que, portanto, o sistema está perfeito. Em alguns casos, a perícia mostrou que havia cavalo de tróia na máquina do usuário.

Carvalho — Às vezes, o antivírus do cliente é pirata. [risos]

Opice Blum — Agora vem a fraude interna. É evidente que a responsabilidade é do banco. E aí vamos cair na questão das políticas, que prefiro chamar de regulamentos ou de normas instituídas. Todas as questões de segurança estão claras nos regulamentos. E o sujeito nem precisa assinar um termo dizendo que concorda com tudo; aliás, se a empresa fizer isso, a coisa complica. O sujeito só precisa ter ciência do regulamento, de que o e-mail é da empresa e pode ser vigiado. Por exemplo, ninguém pode renunciar ao direito de privacidade e de intimidade; mesmo que o funcionário renuncie ao direito, pode processar a empresa, é um direito previsto na Constituição. Mas a empresa tem o direito de monitorar e-mails, tem o direito de pedir ciência de regulamentos, pois o que o funcionário faz com os recursos da empresa gera co-responsabilidade.

IH — E se ele se recusar a dar ciência e depois alegar que não recebeu o regulamento?

Opice Blum — Faço uma ata, dizendo que entreguei, duas testemunhas assinam, tem força de lei e ponto final. Não precisa de assinatura de próprio punho e até o aceite eletrônico é válido. Além disso, quando acontece alguma coisa, eu acho melhor a empresa abrir inquérito, até com divulgação na mídia, procurar o cracker, processar o funcionário, etc. Isso acaba revertendo para o lado moral, acaba reduzindo o número de ataques; o cracker vai preferir atacar outro, que não faz nada.

IH — Se uma pessoa rouba nome e senha, com um desses spyware, vai ao banco e faz saques, o banco não deveria saber que não é o cliente, pelo padrão de comportamento? Se o comportamento se altera muito, o banco não deveria tomar cuidados?

Opice Blum — Interessante a pergunta. O sujeito todo dia faz o acesso ao banco usando o mesmo endereço IP. Um dia, de repente, ele faz o acesso usando um IP da Coréia; além disso, faz várias transferências fora do perfil. Isso pode gerar responsabilidade do banco? Do meu ponto de vista, isso é uma questão contratual. O meu serviço inclui identificação de perfil ou não inclui? Se eu estivesse do lado do cliente, iria sustentar a tese de que existe essa responsabilidade. Eu acho que não é o caso de responsabilizar o banco, porque o serviço bancário não inclui a identificação de perfil. É diferente com o cartão de crédito, cuja propriedade é do banco emissor, não do cliente, e que pode ser facilmente copiado. Agora, nome e senha, para o login, são responsabilidade do cliente, não do banco. Mas certamente isso pode vir a gerar responsabilidade.

IH — De modo geral, vocês estão satisfeitos com as soluções de tecnologia disponíveis no mercado? Até que ponto é possível integrar soluções novas de segurança ao legado da empresa?

Nobre — Os spams passaram a ser veículo de transporte de código escondido, que acabam se alojando no computador da pessoa, às vezes a pessoa não tem a percepção do perigo, por mais que você diga não faça isso, não faça aquilo. Por isso, como complemento à conscientização, estamos pesquisando novos servidores de anti-spam e de antivírus, separados do servidor de e-mail. Numa comunidade grande, também precisamos de um mecanismo para atualizar o sistema operacional. Também estamos estudando a possibilidade de ter um firewall pessoal em cada máquina, que limite a capacidade de transmissão de um spyware, por exemplo. No caso do antivírus, uma coisa a considerar é a marca, porque a gente dá um voto de confiança fenomenal ao fornecedor.

Cilurzo — Acho que a maioria das tecnologias, mas não todas, são muito reativas. Por exemplo, antivírus: a vacina só sai depois do vírus, às vezes dias depois. E por isso a gente quer que o usuário se diplome no uso da Internet, até conhecer configuração de firewall. É a mesma coisa que querer que as pessoas entendam de mecânica para dirigir um carro. Acho que a tecnologia de segurança tem que mudar, ficar mais fácil e mais ativa.

Pereira — Na BM&F, a gente aprendeu que só tecnologia não resolve muita coisa. Normalmente, as soluções são muito díspares, cada uma trata de um assunto de modo pouco integrado. A não ser que você compre uma única família de produtos de segurança; mas ninguém é especialista em tudo. Precisamos consolidar o que já temos, porque temos comprado tecnologia nos últimos anos; agora é consolidar tudo o que já temos.

Cilurzo — Na Bovespa, temos a mesma situação. No passado, quando tínhamos um problema, íamos para a tecnologia. Agora, pensamos primeiro em integração. Temos conseguido uma boa integração em alguns segmentos, mas ainda temos muito o que consolidar. Mas falta inteligência na tecnologia de segurança, ainda depende muito do operador, e isso é um risco alto. Esse é o maior desafio: fazer com que as coisas aconteçam de forma automatizada.

Carvalho — Tem uma coisa importante, que não podemos esquecer: as grandes vulnerabilidades estão dentro da instituição, às vezes até por falhas involuntárias. É preciso um sistema com tudo o que cada um pode fazer, até onde pode ir. Se o orçamento não permite, faça alguma coisa caseira. Acho que a gente sempre consegue fazer um ajuste interessante, se usar a criatividade. PALHARES — Mas também acontece que a turma fica olhando muito para dentro. No Unibanco, a gente olha o que está acontecendo no mercado, para criar contramedidas antes de ser atingido por ataques. Eu já consigo economizar muito na minha rede interna, porque consigo bloquear n coisas antes mesmo de chegar nos firewalls. Assim, você consegue até retorno por melhor utilização dos recursos.

Palhares — Mas também acontece que a turma fica olhando muito para dentro. No Unibanco, a gente olha o que está acontecendo no mercado, para criar contramedidas antes de ser atingido por ataques. Eu já consigo economizar muito na minha rede interna, porque consigo bloquear n coisas antes mesmo de chegar nos firewalls. Assim, você consegue até retorno por melhor utilização dos recursos.