Cada diretor de TI resolve o problema do controle dos acessos à rede de um jeito. Uns obrigam o usuário a trocar a senha a cada 30 dias. Outros criptografam todo o conteúdo importante: se houver uma falha de acesso, o ladrão não terá o que roubar. Outros organizam demonstrações práticas, para mostrar ao usuário como é fácil descobrir uma senha fraca. Existe uma solução universal para melhorar a segurança: melhorar processos, treinar pessoal e comprar ferramentas adequadas. O problema é que, em cada empresa, essa solução universal deve ser traduzida em tarefas exclusivas.
A mesa-redonda foi coordenada por Wilson Moherdaui, diretor editorial do Informática Hoje, e por Márcio Simões, diretor de redação. Participaram: Álvaro Teófilo, superintendente de segurança da informação do Santander Banespa; Carlos Pinheiro Palhares, superintendente de segurança do Unibanco; Diego Viégas, coordenador de TI do Ministério do Planejamento, Orçamento e Gestão; Eduardo Ávila Pinto Coelho, gerente de TI do Banco Panamericano; Eliza Hitomi Fukushigue Mihaguti, gerente de arquitetura e segurança em TI da Petrobras Distribuidora; Fabio Ferreira, diretor de TI da Accor Hotéis; Fernando Menezes, superintendente de TI da Sabesp; Gilson Marques da Silva, assessor de segurança da informação da CTBC; Jorge Kentaro Matsumoto, gerente do departamento de segurança da informação do Banco Sumitomo Misui Brasileiro; Leonardo Brandão de Oliveira e Britto, superintendente de TI da Empresa de Tecnologia da Informação e Comunicação do Estado de São Paulo (Prodam); Lisias Lauretti, CIO da Tecnologia Bancária (TecBan); Luiz Alves dos Santos, diretor do departamento de desenvolvimento de sistemas do Banco Bradesco; e Sergio Cloves, CSO da VisaNet Brasil.

IH — Como gerenciar riscos e como mudar a cultura, numa empresa obrigada a comprar produtos e serviços por meio de licitações?

Fernando — A Sabesp tem uma rede de 14 mil pontos em São Paulo e em mais 367 municípios. Atendemos do presidente ao pessoal da operação. Controle de acesso sempre foi uma preocupação, mas depois precisamos buscar alternativas para atender as exigências da Sarbanes-Oxley. O brasileiro é especializado em dar jeitinho, e é complicado fazer com que essa rede toda siga procedimentos; a auditoria apontou o controle de acesso como um ponto fraco nosso.
Então eu disse: quem não estiver enquadrado, suspende o acesso à rede. Aí todo mundo correu para atender as exigências. Mas precisamos monitorar isso permanentemente; ainda temos problemas.
Bancos são mais rígidos. Numa reunião, propus o seguinte: bloqueamos o acesso de quem sai de férias. Mas não pode. Outro ponto: nas pontas, no pessoal de campo, é comum o desvio de função. O sujeito se acidenta, ele é encanador, e aí ele passa a ser atendente comercial no escritório. Não podemos mexer na estrutura de cargos — então, um encanador entra no sistema comercial para autorizar uma reforma de conta.
Para aumentar a segurança, tentamos atuar fortemente no processo. Se a gente não mexe no processo, não adianta nada. E também usamos ferramentas que nos ajudem na segurança. Sem mexer no processo, não adianta ter as ferramentas.

IH — As auditorias aceitam essas soluções de compromisso?

Fernando — Aceitam. Na SOX, existe o famoso controle compensatório [para anular a possibilidade de algum erro num processo mal-ajambrado]. Os consultores falam muito de materialidade. Numa cidade com só 400 ligações de água e esgoto, qual o problema do sujeito que sozinho revisa contas e devolve um dinheiro para o cliente? Ele faz tudo. O consultor diz: Ah, precisa ter segregação de funções. Mas qual é a materialidade dessa operação, caso o sujeito esteja fajutando algumas operações? Se juntarmos tudo, dá menos de zero-vírgula-alguma-coisa da nossa receita. Não vale a pena complicar o processo só por causa disso.
Álvaro — De cada dez fraquezas materiais declaradas pelas empresas em balanço, oito estão relacionadas com controle de acesso. Nos bancos, um dos motivadores do investimento em controles são as questões trabalhistas. Alguns advogados, quando a pessoa sai, já ficam prontos com o formulário-padrão, querendo saber se a pessoa fez horas extras, se trabalhou durante as férias.
No Santander, ninguém está autorizado a trabalhar durante as férias; o sujeito nem entra no banco, porque o bloqueio é físico e lógico. Só oito ou nove pessoas dentro do banco têm alçada para liberar alguém de férias.
Neste momento, estamos implementando o controle de todas as portas do computador.

Palhares — Esse negócio vai dar um trabalho do cão, porque cada dia aparece uma porta nova.

Álvaro — Tem soluções que já permitem uma gestão completa: podermos liberar, por exemplo, uma porta USB específica para um equipamento específico. Colocamos até o número de série do equipamento, e definimos os direitos do equipamento, se ele pode gravar, se pode ler.

IH — O custo-benefício desse tipo de controle vale para todas as empresas, ou só para bancos?

Palhares — A administração disso é uma loucura, porque temos 30, 40 mil equipamentos, e precisamos gerenciar as portas de cada um deles. Hoje tem as portas USB, mas tem o infravermelho, tem o Bluetooth, daqui a pouco tem o yellowtooth.
Resolvemos adotar uma solução diferente: o que é importante proteger? É a informação. Então, criptografamos as informações em todo lugar. O sujeito pode usar um pen drive, copiar tudo o que está no computador, mas não vai ler nada.

Fabio — Essa é uma decisão da alta administração. A área de TI é operacional, e deve equilibrar o custo, a qualidade e o risco. Equilibrar esse trinômio é complicado, e não pode ser decisão da área de TI. No exemplo do contencioso trabalhista, é algo mais mensurável. Nem sempre temos coisas tão mensuráveis assim para colocar na equação.

Álvaro — Tudo o que estamos falando aqui é cultural, e a alta administração é o grande ponto.

Lisias — Quando a alta administração delega isso tudo, a partir do momento em que delega já restringe a eficiência, em termos de processos e pessoas. Mudança que vem de cima para baixo é mais eficiente. A parte das ferramentas já é a parte da execução.

Álvaro — Há pouco tempo saiu a resolução 3.380 do Banco Central, que exige a criação da área de riscos operacionais. Eu mesmo já não sou mais da tecnologia, sou da área de riscos operacionais. Assim fica mais fácil demonstrar para a alta administração quais são os problemas.

IH — A área de TI, com a SOX e tudo o mais, tem o poder coercitivo necessário para promover os investimentos em segurança?

Álvaro — Só um lembrete: poucas vezes eu usei o argumento da SOX para investir em alguma coisa. Já usei o argumento da gestão de riscos, isso sim.

Gilson — Na CTBC, nós temos duas culturas. Um pedacinho da CTBC é como se fosse um banco: é o nosso call center. Se o sujeito sai de férias, ele é bloqueado na catraca e no sistema. O turnover é alto, as pessoas não fazem grande diferença. Outro pedaço é a parte de telecomunicações: ninguém é bloqueado. A parte de telecom é mais flexível, é outra realidade. E olha que interessante: a alta administração é a mesma.

Eliza — Na BR nós usamos poucas ferramentas. Nós atuamos muito mais nos processos. O Cobit trouxe uma série de boas práticas, que nos permitem saber que processos devemos atacar de forma organizada, com metas e tudo o mais. E trouxe uma forma de medir os riscos que corremos. Dá para ficar mais dentro do custo-benefício do negócio.

Palhares — E quando estamos mexendo com processos, cultura, políticas e pessoas, em geral o investimento é menor, comparado com o investimento em ferramentas.
Mas a mudança cultural no banco nem é por causa da segurança. Antes o tratamento que se dava para as pessoas era: isso aqui é o banco e você é você, você está aqui só para trabalhar. Hoje é assim: isso é seu também, é um patrimônio seu. Esse movimento vem acontecendo independente da segurança, mas a segurança entra junto.

IH — Como é a cultura num banco japonês?

Jorge — Vale ressaltar que a segurança da informação não é um produto, ou um pacote, mas é um processo sem fim, que depende de várias áreas — da controladoria, do jurídico, da tecnologia, do RH.
Buscamos a conscientização do usuário, e explicamos os riscos com o dia-a-dia da pessoa. Algumas ferramentas são proibidas no banco, mas as pessoas usam essas ferramentas em casa; então a gente divulga também as ameaças relacionadas com essas ferramentas, para gerar a conscientização. Se ele se preocupa com o pen drive, com o e-mail e com o PC em casa, ele leva essa preocupação para a vida profissional. Mas é claro que a disciplina oriental ajuda bastante.

Álvaro — Eu prefiro trabalhar com o conceito de segurança por transparência. Boas soluções de segurança são as que funcionam sem a intervenção da pessoa. Conseguimos fazer com que o disco inteiro do notebook seja criptografado. A chave é a própria senha de rede do funcionário. Não acredito que as campanhas de conscientização funcionem direito. Quando o cliente fica em frente do banco via Internet, toda vez, tem uma mensagem lá: nunca pedimos senhas. A gente fala isso toda vez e todo dia. Não adianta fazer campanha sobre isso. E o resto tem de ser processo automático.

Jorge — Volto a dizer: a segurança da informação é feita por camadas e por diversas soluções. Jamais vou atingir a eficiência só com uma solução técnica, ou processual, ou de conscientização.
O grande X da questão é definir as regras; para seguir um guia, primeiro precisamos de um guia formalizado.
Por exemplo: criamos uma norma específica para o controle de acesso, onde a gente determina quem é o dono da informação, e quem responde pela informação na ausência do dono. Para todo sistema temos a definição do perfil de acesso, atrelado ao departamento e ao cargo. Começamos a controlar isso com planilhas Excel, mas hoje o controle está semiautomatizado. Só isso basta? Obviamente não. Depois vem o monitoramento. A cada método novo de monitoramento, a gente identifica um evento diferente.

Luiz — Acho que um primeiro passo é comunicar o que pode e o que não pode, o que a empresa permite e o que não permite. Isso é um trabalho permanente, precisa estar sempre na pauta.

Diego — O Ministério do Planejamento, Orçamento e Gestão faz exatamente isso: planeja, orça e gerencia as coisas do governo federal; todas as contas do governo passam pelo ministério, todos os recursos humanos do governo passam pelo ministério. Eu sinto inveja de vocês, porque não temos esses padrões [como a Sarbanes-Oxley].

Eduardo — O problema é cultural, porque as pessoas têm nas mãos máquinas poderosas, com capacidade de armazenamento violento, e não sabem usá-las. Gestão de conteúdo é interessante, mas acho que o remédio precisa ser do tamanho da doença.

Leonardo — Dentro da Prodam, temos informações que não pertencem à Prodam, mas à prefeitura e à sociedade. Nossa rede tem mais ou menos 35 mil pontos, com perfis os mais diversos possíveis. Cada secretaria determina mais ou menos as suas regras, e a Prodam determina outras regras, e a gente vai ajudando e tentando se alinhar. Com o governo eletrônico, as processadoras precisam abrir as informações, mas ao mesmo tempo garantir que as informações não serão usadas indevidamente. E depois surgiu a nota fiscal eletrônica, que é um sistema monetário. Só que as processadoras ainda não estão preparadas para proteger sistemas monetários como os bancos estão; então, a corrida está feia.
Então, nós também estamos priorizando a proteção das informações.
Os investimentos em iniciativas como a nota fiscal eletrônica já acontecem com mais freqüência, mas sem uma visão unificada da segurança do patrimônio da sociedade.

Diego — No ministério, por melhores que sejam os sistemas, os processos e as pessoas que têm acesso ao miolo dos sistemas estão muito a descoberto. A gente mal falou de tecnologia aqui. Acho que a questão são os processos mesmo.

Leonardo — Uma das poucas regras de segurança que temos: periodicamente, 30 mil servidores [funcionários] precisam trocar a senha. A reclamação é diária; o sujeito não quer trocar a senha.

IH — Os órgãos públicos têm poder coercitivo sobre os funcionários públicos?

Diego — Não como no setor privado. Temos dificuldade para impor regras aos servidores públicos; os servidores se sentem donos da infra-estrutura. Afinal de contas, eles fazem parte do governo. Coisas simples, como a troca de senhas, são difíceis de implementar.

Leonardo — Existe um comitê, formado por secretários e pelo presidente da Prodam, para definir as políticas de informática; mas, como a Prodam é um órgão executor, as políticas precisam passar por uma análise da própria Prodam. Muitas vezes, a política se transforma em decreto-lei. Mas a execução dos decretos e das políticas é trabalhosa: são vários órgãos diferentes, que às vezes pertencem a partidos diferentes.

IH — Na Prodam, gestão de identidades é possível?

Leonardo — Quase impossível. Estamos fazendo agora a segmentação da rede, com rede específica para a educação, para a saúde, etc. E estamos aplicando regras nessas redes.

Álvaro — O próprio governo americano está cheio de fraquezas materiais em relação à Sarbanes-Oxley. E, como eles dizem, eles se relacionam com governos hostis.

Diego — O perigo maior, no caso do nosso governo, não está fora, mas dentro. Veremos problemas como corrupção, desvios de recursos, em que o cerne do problema será a tecnologia. Os órgãos controladores estudam como as pessoas podem chegar, por meio da tecnologia, aos recursos em si. Minha maior preocupação é justamente o acesso aos dados; temos muita informação no ministério.

Eliza — Logo que o funcionário novo entra na Petrobras, já se interessa em conhecer a classificação das informações, em saber como deve manusear as informações confidenciais.
No último um ano e meio, fizemos uma campanha enorme, mas a área responsável pela campanha é a de documentação técnica. Mas nos concentramos só nas informações básicas, por enquanto.
Na BR, nós mapeamos todos os processos de negócio; foram 1.800 processos mapeados. Identificamos as entradas e saídas dos processos, e identificamos as informações fundamentais. Agora, a documentação técnica faz uma classificação geral dessas informações, com a ajuda de cada um dos gestores. O próximo passo são as políticas de manuseio.

Palhares — Quando eu junto a informação A, de peso 1, com a informação B, de peso 2, a somatória dá 5, e não 3. O pessoal pode manusear essas informações? Pode, se trabalhar dentro de um ambiente bem fechadinho. Só o pessoal de segurança pode extrair informações olhando a classificação, olhando o uso e o destino.

Lisias — É importante ter conseqüências também. Se criamos dentro da empresa as práticas e tudo o mais, toda vez que houver algum tipo de sinistro ou de ocorrência, tem de haver punição e divulgação.

Jorge — No Sumitomo Mitsui, deixamos claro: as regras de segurança não são implementadas em função da confiança ou da desconfiança em alguém, mas em função de vulnerabilidades e ameaças ligadas aos processos de negócio. Quando demonstramos como é fácil quebrar uma senha fraca com um programa vendido em banca de jornal, o usuário passa a entender por que aplicamos determinadas regras.

IH — Como vocês têm informatizado a gestão da identidade dos usuários?

Eliza — Estamos fazendo um trabalho de instalação de sincronismo de senha. A gente sempre fala de cultura, mas temos um problema sério no sincronismo das senhas, porque mantemos ambientes muito diversos. Aprendemos uma coisa: tem de testar muito. Fizemos um piloto dentro da área de TI. Divulgamos a iniciativa em n canais de comunicação — revista, intranet, palestras, tudo. Mas as pessoas não aderiram. Talvez nossa comunicação não tenha sido tão focada assim. Voltamos atrás, e fizemos uma campanha mais direta, para fazer as pessoas entrarem no projeto.

Álvaro — No processo de revisão dos direitos de acesso, a gente só conseguiu fazer a coisa funcionar bem quando determinamos que o responsável pela revisão é o cidadão que precisa do acesso, é ele que tem que iniciar o workflow.

Eliza — A própria pessoa.

Álvaro — A própria pessoa.

Eliza — Elas têm que pedir acesso de novo.

Álvaro — Sim.

Gilson — Mas esse processo não te traz problema com auditoria?

Álvaro — Muito pelo contrário, porque seguimos um fluxo de aprovação, é como se fosse um novo acesso.

Sergio — No nosso caso, nós trocamos a senha a cada 30 dias. É obrigatório, não tem exceção. Montamos um serviço self service para a troca de senha. Se o usuário esquecer a senha ou tiver um problema, ele abre um pedido nesse serviço. Com essa providência, nós reduzimos em 90% os chamados para a assistência técnica. Estou falando só dos funcionários. No call center, onde temos uma quantidade maior de problemas, gerenciamos tudo isso a quatro mãos com o fornecedor.