Nos últimos 12 meses, foram 280 milhões de vírus bloqueados, 250 milhões de spams barrados, 16 milhões de bloqueios de tentativas de invasão e 2 bilhões de bloqueios de mensagens contendo dados maliciosos. Os números impressionam, e traduzem o esforço da área de gestão de segurança da informação do Bradesco. Como toda instituição financeira, o banco é alvo dos mais variados tipos de ataques, motivados por um sem-número de razões. "Não podemos cochilar. Lidamos com a possibilidade de invasão e, por isto, precisamos de todos os mecanismos de segurança", sentencia o vice-presidente de tecnologia do Bradesco, Laércio Albino Cezar. Vencedor na categoria segurança da informação, o VP não menospreza a capacidade dos invasores. "É desafiador, porque eles são criativos, têm tempo e são pessoas com nível de conhecimento praticamente igual ao dos que trabalham na área de tecnologia. Por isto, temos de manter uma equipe capacitada para enfrentar estes malfeitores."
A TI não Bradesco não tem a figura do diretor de segurança (CSO, na sigla em inglês), mas, por estar organizada por departamentos (ler categoria governança de TI na pág. 34), conta com uma pessoa designada para cuidar do assunto em cada um deles. Isto faz também com que o tema seja tratado dentro das particularidades das áreas. Por exemplo, toda solução tem de passar por aprovação funcional e de segurança. Isto inclui também a homologação de serviços de terceiros. A rigidez faz-se necessária. Evita que danos maiores sejam causados ao banco - e não apenas as tentativas de furtar dinheiro, mas protege o banco de estragos sistêmicos irreparáveis.
Tanto esforço se traduz também em cifras: para 2010, entre 7% e 8% do total do orçamento de TI de R$ 3,4 bilhões será destinado à segurança, tanto interna, como as já mencionadas e a proteção de 108 mil estações de trabalho, como o trabalho desenvolvido pela equipe de Cezar para manter os correntistas seguros. Cabe à TI fornecer mecanismos de proteção para os milhares de usuários do internet banking, com o claro objetivo de minimizar os riscos e, consequentemente, não afastá-lo do serviço online. Dentro desta iniciativa, foram distribuídos 10 milhões de plug-ins de segurança, mediante a autorização do correntista, por meio do qual o Bradesco faz atualização do antivírus.
Há ainda os tokens para autenticar com senhas alternadas a transação enquanto ela ocorre e os cartões com chips. Mais seguros, eles representam hoje 22 milhões dos 53 milhões da base de cartões de débito. A utilização da biometria também nasceu da TI, mais especificamente da área de pesquisa e inovação. O projeto ficou um ano em processo de avaliação. "Temos uma metodologia para adoção de novas tecnologias para que as novidades não tragam problemas ao banco", explica Cezar. Outra inovação foi um sensor que identifica sobreposição de peças nos caixas eletrônicos.
Integração
Se no Bradesco não há uma figura de CSO, a segunda colocada da categoria, a subsidiária brasileira da companhia de seguros Zurich, experimenta ter um líder ocupando este cargo. Rogério Ferrari, o dono do posto criado no início de 2009 em decorrência do desafio de incorporar a Companhia de Seguros Minas Brasil, adquirida em meados de 2008, responde para o CIO, Fábio Polonio. "Até a compra, éramos uma empresa pequena, de 105 funcionários. Agora, somos 700 e entramos no varejo. Isto fez com que tivéssemos a necessidade de estruturar a áreas de segurança e de infraestrutura", explica Polonio, que, até então, encarregava-se da segurança. O salto foi grande e exigiu dedicação de uma pessoa exclusiva para o assunto.
Por ser uma multinacional, as políticas de segurança são desenhadas globalmente. No Brasil, padrões como os estabelecidos pela Sarbanes-Oxley e Cobit são seguidos. "Nós adequamos o que faz sentido para a realidade brasileira", conta. Os processos, revela o CIO, passam por auditorias interna e externa. O executivo considera madura a administração da segurança, justamente por obedecer normas globais. Sua preocupação vai em outro sentido: "saber como tornar as coisas seguras e continuar utilizando-as". O grande cerne da questão levantada pelo CIO está na equação utilização versus segurança, porque, muitas vezes, a proteção é tamanha que inviabiliza o uso de determinada ferramenta. Mas neste ponto a experiência de Polonio pode ajudar. "Somos uma empresa de risco. Pensamos nisto o tempo todo e temos várias seções de aplicações de metodologias para avaliação dos riscos trazidos por projetos de TI."
80 milhões de vírus
250 milhões de spams
16 milhões de tentativas de invasão
2 bilhões de mensagens contendo dados maliciosos
0 comentários:
Postar um comentário