Escolar Documentos
Profissional Documentos
Cultura Documentos
1. Segurança................................................................................................................................9
1.1. Contextualização.............................................................................................................11
1.2. Visão atual da segurança................................................................................................12
1.3. Segurança nas empresas...............................................................................................14
Segurança nas instituições financeiras..........................................................................15
Aspectos regulatórios da gestão de segurança..............................................................18
1.4. Fatores do processo de gestão de segurança no Banco do Brasil.................................19
Valores............................................................................................................................19
Ocorrências e agentes....................................................................................................19
Estratégias......................................................................................................................20
1.5. Segurança e risco operacional........................................................................................22
3. Segurança da informação....................................................................................................45
3.1. Aspectos gerais...............................................................................................................45
A informação...................................................................................................................45
A segurança da informação............................................................................................51
Princípios da segurança da informação.........................................................................52
Segurança da informação e risco operacional...............................................................53
3.2. Política de segurança da informação..............................................................................54
Desenvolvimento da PSI................................................................................................55
Etapas da implantação da PSI.......................................................................................57
3.3. Gestão de segurança da informação..............................................................................58
Classificação das informações.......................................................................................59
Níveis de classificação...................................................................................................60
Acessos aos sistemas, redes e aplicativos....................................................................62
Senhas: cuidados especiais...........................................................................................65
3.4. Normas e procedimentos para a troca de informações..................................................67
Acordos para a troca de informações.............................................................................67
Fornecimento de informações a órgãos judiciais, de fiscalização e de controle............68
Mensagens eletrônicas...................................................................................................69
Segurança lógica............................................................................................................70
Ameaças mais comuns...................................................................................................72
Ferramentas de proteção...............................................................................................79
Novas ferramentas de proteção da informação..............................................................79
3.5. Proteção da informação..................................................................................................88
Engenharia social...........................................................................................................88
Referências..............................................................................................................................145
O Objetivo geral
1.1. CONTEXTUALIZAÇÃO
Universidade Corporativa BB
12 Programa certificação interna em conhecimentos
Uma gestão eficaz de riscos é fator preponderante para uma boa posição no
mercado e tranqüilidade de acionistas. Em empresas sujeitas a regulamenta-
ção, a eficácia das atividades de gestão de riscos, de controle e de segurança
é uma preocupação permanente dos respectivos órgãos reguladores.
Nas instituições financeiras, o tema segurança está sempre presente nos tra-
balhos de verificação realizados pelo Banco Central do Brasil. Ao examinar,
por exemplo, a atuação de um banco na área de crédito, os auditores querem
também saber como está sendo aplicado o princípio “conheça o seu cliente”
(princípio básico de prevenção e combate a lavagem de dinheiro), ou seja, se
a instituição financeira tem pleno conhecimento da atividade econômica de
cada cliente, se monitora sua movimentação financeira verificando a compa-
tibilidade entre faturamento e atividade econômica entre outros aspectos, evi-
tando, assim, que a instituição avaliada seja usada para o crime de lavagem
de dinheiro.
Universidade Corporativa BB
Gestão de Segurança 13
Mas o sistema financeiro não está apenas sujeito a ser usado para operações
financeiras ilícitas. Ao longo da história, os bancos têm sido vítimas diretas
de crimes financeiros praticados por agentes internos ou externos - algumas
vezes pelos dois. Um exemplo é o banco francês Societé Generale que so-
freu perdas estimadas em US$ 7 bilhões por fraude praticada por um único
funcionário durante o período de 01 ano (2007). Além do prejuízo financeiro, a
fraude interna teve repercussão mundial e causou danos profundos à imagem
do Banco e à vida de seus dirigentes e funcionários.
Universidade Corporativa BB
14 Programa certificação interna em conhecimentos
O que vemos nos dias atuais é que a mudança dos processos, de mecâni-
cos para virtuais ou automatizados, provocaram também uma virtualização
do crime, criando métodos novos de riscos, tais como roubo de informações
pela internet, invasão de redes de comunicação de dados, fraudes eletrônicas
e sabotagem virtual, causando paralisação de negócios. Algumas tipologias
de crimes com o chamado uso da força bruta não sofreram muita alteração
como, por exemplo, os assaltos, seqüestros e arrombamentos, não incomuns
para as instituições financeiras no Brasil.
Universidade Corporativa BB
Gestão de Segurança 15
Nesse contexto, a segurança não pode mais ser tratada apenas como uma
estrutura específica, mas como uma atividade sistematizada, pressupondo
integração em todos os níveis e segmentos institucionais.
Universidade Corporativa BB
16 Programa certificação interna em conhecimentos
Universidade Corporativa BB
Gestão de Segurança 17
Uma ação bem estruturada, com boa tecnologia, pessoas qualificadas, treina-
das e comprometidas torna muito mais difícil o uso dessas instituições para a
realização de operações de lavagem de dinheiro. Dessa forma as instituições
financeiras contribuem para a redução de atividades ilícitas, como o narcotrá-
fico, o contrabando de armas e a corrupção, uma vez que a lavagem de di-
nheiro é um “pré-requisito” para que os criminosos possam usufruir, impunes,
dos recursos gerados pelo crime.
Universidade Corporativa BB
18 Programa certificação interna em conhecimentos
Universidade Corporativa BB
Gestão de Segurança 19
Valores
Universidade Corporativa BB
20 Programa certificação interna em conhecimentos
Ocorrências e agentes
Exemplo
Universidade Corporativa BB
Gestão de Segurança 21
Estratégias
Universidade Corporativa BB
22 Programa certificação interna em conhecimentos
Universidade Corporativa BB
Gestão de Segurança 23
Quadro 1
Termos utilizados em Gestão de Segurança
Universidade Corporativa BB
24 Programa certificação interna em conhecimentos
Observa-se pelas definições acima que a gestão de segurança tem como re-
levante seu caráter preventivo.
Universidade Corporativa BB
Gestão de Segurança 25
Quadro 2
Vulnerabilidades das Organizações
Vulnerabilidades instalações inadequadas do espaço de trabalho;
físicas ausência de recursos para o combate a incêndios;
disposição desorganizada dos cabos de energia e de rede;
não-identificação de pessoas e de locais.
Fonte: Academia Latino-americana de Segurança da Informação – Curso Básico de Segurança da Informação, com
adaptações.
Universidade Corporativa BB
26 Programa certificação interna em conhecimentos
Quadro 3
Gestão do risco operacional no BB
Universidade Corporativa BB
2 Gestão de segurança de
pessoas e ambientes
2.1. CONCEITO
Aplica-se neste caso, a teoria dos círculos concêntricos, que pode ser defi-
nida como a estratégia de partir do mais simples para o mais complexo, do
mais próximo para o mais afastado e do mais baixo para o mais alto nível de
segurança. No esquema de círculos concêntricos pode-se ver os vários níveis
de segurança, sendo que o círculo central representa a área ou instalação
(unidade) com nível de segurança mais elevado (Figura 1).
Figura 1
Teoria dos círculos concêntricos
Segurança Periférica
Segurança Roniteira
Segurança Mediana
Segurança Elevada
Segurança Excepcional
Universidade Corporativa BB
30 Programa certificação interna em conhecimentos
Quadro 4
Ambientes e níveis de Segurança
Universidade Corporativa BB
Gestão de Segurança 31
Universidade Corporativa BB
32 Programa certificação interna em conhecimentos
Plano de segurança
■ vigilância armada;
■ sistema de alarme;
■ demais dispositivos ou equipamento de segurança existentes (porta com
detector de metais – PDM, sistema interno de televisão – CFTV, fecha-
dura eletrônica de tempo programável para cofre e escudo).
Universidade Corporativa BB
Gestão de Segurança 33
Universidade Corporativa BB
34 Programa certificação interna em conhecimentos
■ Comando do Exército;
■ Instituto Resseguros do Brasil;
■ Federação Brasileira dos Bancos;
■ Confederação Nacional dos Bancários;
■ Federação Nacional dos Sindicatos das Empresas de Vigilância e Trans-
porte de Valores;
■ Confederação Nacional dos Trabalhadores em Vigilância;
■ Associação Brasileira dos Cursos de Formação e Aperfeiçoamento dos
Vigilantes;
■ Associação das Empresas de Transporte de Valores;
■ Sindicato dos Empregados no Transporte de Valores e Similares do Dis-
trito Federal;
■ Associação Brasileira de Empresas de Vigilância e Segurança;
■ Federação Nacional dos Empregados em Empresas de Vigilância, Trans-
porte de Valores e Similares;
■ Associação Brasileira de Profissionais em Segurança Orgânica.
Vigilância armada
É o serviço exigido por lei, com o objetivo de proteger instalações, bens, nu-
merário, pessoas e outros valores, contra furtos, arrombamentos, assaltos,
seqüestros etc.
Universidade Corporativa BB
Gestão de Segurança 35
Sistema de alarme
Universidade Corporativa BB
36 Programa certificação interna em conhecimentos
Outros dispositivos
Além da porta giratória, existe a eclusa que também detecta massa metálica e
possui sistema de travamento. É um pequeno ambiente, dotado de duas por-
tas para o controle de acesso. As portas são intertravadas, ou seja, a abertura
de uma só é possível mediante o fechamento da outra.
Universidade Corporativa BB
Gestão de Segurança 37
Universidade Corporativa BB
38 Programa certificação interna em conhecimentos
■ Escudo blindado
■ Controle de acesso
Universidade Corporativa BB
Gestão de Segurança 39
Exemplo
Para o usuário receber a autorização de acesso a determinada área,
ele digita sua senha e registra sua impressão digital. O sistema
deve validar conjuntamente ambos os critérios para considerar a
identificação positiva e conceder o acesso solicitado.
Universidade Corporativa BB
40 Programa certificação interna em conhecimentos
Segurança pessoal
Universidade Corporativa BB
Gestão de Segurança 41
etc.;
► evitar caminhar desacompanhado.
Universidade Corporativa BB
42 Programa certificação interna em conhecimentos
eles podem ser indícios de sondagem de hábitos para uma ação fu-
tura e mais séria.
■ viagens: as residências, principalmente casas e chácaras ficam mais
vulneráveis com a ausência de seus moradores, portanto é necessário
prevenir-se:
► solicitar a alguém de confiança que recolha possíveis correspondên-
► retirar ferramentas e escadas das áreas externas, pois podem ser usa-
Universidade Corporativa BB
Gestão de Segurança 43
Segurança de ambientes
Universidade Corporativa BB
44 Programa certificação interna em conhecimentos
Exemplo
É muito comum que criminosos “visitem” a agência durante o
expediente e preparem o ambiente para a ação criminosa em
outro horário. Eles obstruem o raio de cobertura dos sensores
de alarme e mudam o posicionamento das câmeras. De acordo
com a facilidade encontrada, os golpistas instalam equipamentos
espúrios para fraudar os clientes, tais como leitoras de cartão
magnético, teclados e monitores sobrepostos, ou em substituição,
aos equipamentos originais dos TAA.
Universidade Corporativa BB
3 Segurança da informação
A informação
Universidade Corporativa BB
48 Programa certificação interna em conhecimentos
Mas o que é informação? Ela pode ser entendida como “o resultado do proces-
samento, manipulação e organização de dados de tal forma que represente uma
modificação (quantitativa ou qualitativa) no conhecimento do sistema (pessoa,
animal ou máquina) que a recebe” (www.wikipedia.org/wiki/Informação). A infor-
Universidade Corporativa BB
Gestão de Segurança 49
mação, por sua vez, gera o conhecimento, que é a informação agregada de re-
flexão e síntese (Figura 2). Percebe-se assim que a relação entre esses concei-
tos evolui para uma maior complexidade. Desse modo, Alvim (1999) considerou
o conhecimento uma informação com valor agregado e passível de aplicação.
Figura 2
Conchecimento
1
Norma internacional que descreve boas práticas de segurança aplicáveis a organizações, empregada por empre-
sas de todo mundo, inclusive pelo Banco do Brasil. A versão brasileira dessa norma, criada pela ABNT, é a NBR
ISO/IEC 17799:2001.
Universidade Corporativa BB
50 Programa certificação interna em conhecimentos
Figura 3
Ciclo da informação
ação
Cri Us
o
Descarte
o
ent
nam
aze
Arm
Transporte
Universidade Corporativa BB
Gestão de Segurança 51
A segurança da informação
Universidade Corporativa BB
52 Programa certificação interna em conhecimentos
Universidade Corporativa BB
Gestão de Segurança 53
Figura 4
Princípios da segurança da informação
INFORMAÇÃO
CONFIDENCIALIDADE
DISPONIBILIDADE
INTEGRIDADE
Universidade Corporativa BB
54 Programa certificação interna em conhecimentos
De acordo com Ramos (2006), “em linhas gerais, a política resume os princí-
pios de segurança da informação que a organização reconhece como sendo
importantes e que devem estar presentes no dia-a-dia de suas atividades”.
Universidade Corporativa BB
Gestão de Segurança 55
Desenvolvimento da PSI
Universidade Corporativa BB
56 Programa certificação interna em conhecimentos
Quadro 5
Exemplo da cadeia Política, Diretriz, Norma e Procedimento.
Universidade Corporativa BB
Gestão de Segurança 57
Quadro 6
Etapas da implantação da PSI
Universidade Corporativa BB
58 Programa certificação interna em conhecimentos
CURIOSIDADE
Normas sobre PSI para a Administração Pública Federal
Universidade Corporativa BB
Gestão de Segurança 59
Quadro 7
Classificação das informações
Universidade Corporativa BB
60 Programa certificação interna em conhecimentos
Níveis de classificação
Universidade Corporativa BB
Gestão de Segurança 61
Quadro 8
Classificação das informações no BB
Universidade Corporativa BB
62 Programa certificação interna em conhecimentos
CURIOSIDADE
Classificação adotada pelo governo brasileiro:
■ Ultra-secreto
■ Secreto
■ Confidencial
■ Reservado
Universidade Corporativa BB
Gestão de Segurança 63
Universidade Corporativa BB
64 Programa certificação interna em conhecimentos
Universidade Corporativa BB
Gestão de Segurança 65
3
Conjunto de registros que lista as atividades realizadas por uma máquina ou usuário específico. Um único registro
é conhecido como ‘registro de log’. Em termos de segurança, os log são usados para identificar e investigar as
atividades suspeitas e estudar as tentativas (ou os sucessos) dos ataques, para conhecimento dos mecanismos
usados e aprimoramento do nível de eficiência da segurança.
Universidade Corporativa BB
66 Programa certificação interna em conhecimentos
ter até 60% desses caracteres. A nova senha poderá ser “456seuze”,
repetindo-se apenas os caracteres “s” e “e”; os demais são diferentes.
■ obrigar a composição com número mínimo de caracteres numéri-
cos e alfabéticos: define-se obrigatoriedade de quatro caracteres alfa-
béticos e quatro caracteres numéricos como, por exemplo, 1s4e3u2s. É
possível, também, determinar a posição: os quatro primeiros caracteres
devem ser numéricos e os quatro subseqüentes alfabéticos, por exem-
plo, 1432seuz.
■ criar um conjunto possíveis senhas que não podem ser utilizadas:
monta-se uma base de dados com formatos conhecidos de senhas e proibi-
se o seu uso. Por exemplo: proibir senhas com os formatos DDMMAAAA
ou 19XX, 1883emc ou I2B3M4 etc. Ou, ainda, se o usuário chamar-se José
da Silva, proibir senhas com partes do nome como 1221jose , 1212silv etc.
Universidade Corporativa BB
Gestão de Segurança 67
Para que uma senha seja considerada segura, é necessário seguir algumas
regras. Conforme Moreira (2001), para serem consideradas seguras, as se-
nhas devem ter no mínimo:
■ letras maiúsculas e minúsculas;
■ dígitos e/ou sinais de pontuação no meio;
■ sete caracteres alfanuméricos.
Precisam, também, ser fáceis de lembrar, de forma que não seja necessário
escrevê-las.
Uma senha segura pode ser formada por duas palavras pequenas intercaladas
por um dígito ou um caractere especial (exemplo: uma-casa; senha9boa).
Ou, ainda, por meio das iniciais de cada palavra de uma frase com fatos im-
portantes para o usuário, como do quadro nove.
Quadro 9
Exemplos de senhas seguras
Frase Senha
Em 2010 apresentarei esta dissertação na UFMG. E10AEDNU
Pagarei meu aluguel dia 20, todo mês. PMAD20,TM
Meu time de futebol foi campeão em 2003 MTDFFCE03
Fonte: Moreira (2001), com adaptações.
Universidade Corporativa BB
68 Programa certificação interna em conhecimentos
Sigilo bancário
“O sigilo bancário é obrigação de não revelar a terceiros, sem causa justificada,
os dados referentes a seus clientes que cheguem a seu conhecimento como
conseqüência das relações jurídicas que os vinculam”. (MALAGARRIGA, citado
por RUEDA JUNIOR, 2003).
3
Estão previstos atualmente em legislações específicas os sigilos bancário, fiscal e comercial.
Universidade Corporativa BB
Gestão de Segurança 69
Nas circunstâncias nas quais é possível haver quebra do sigilo bancário, con-
forme a Lei nº105/2001, as informações somente poderão ser prestadas se
requeridas por autoridades que possuam competência para tal e desde que
atendidas determinadas exigências. Essa competência deve ser analisada
cuidadosamente tendo em vista que cada autoridade pode solicitar somente
documentos relativos ao desempenho de suas atividades.
Mensagens eletrônicas
4
Conforme Lei Complementar 105/2001
Universidade Corporativa BB
70 Programa certificação interna em conhecimentos
Segurança lógica
Segurança perfeita não existe. Isto é verdade tanto para softwares como em
todos os campos de interesse humano.
Universidade Corporativa BB
Gestão de Segurança 71
Internet
Segundo Patrícia Peck (2002), ocorre crime eletrônico quando “se utiliza inter-
net, computadores e caixas eletrônicos para fins contrários às leis vigentes no
País, ou quando se acessa o computador de terceiros de forma não conven-
cional e não autorizada, com o objetivo de cometer fraudes”.
A internet pode ser um meio facilitador de crimes. O maior estímulo aos crimes
virtuais é dado pela confiança no anonimato e pela crença de que o meio di-
gital é um ambiente não suficientemente vigiado e tais crimes ficam impunes.
Um dos crimes eletrônicos que mais causam impacto aos negócios de institui-
ções financeiras é a fraude.
Universidade Corporativa BB
72 Programa certificação interna em conhecimentos
Vírus
Universidade Corporativa BB
Gestão de Segurança 73
Os vírus de celular diferem dos vírus tradicionais, pois normalmente não in-
serem cópias de si mesmos em outros arquivos armazenados no telefone
celular, mas podem ser especificamente projetados para sobrescrever arqui-
vos de aplicativos ou do sistema operacional instalado no aparelho. Depois
de infectar um telefone celular, o vírus pode realizar diversas atividades, tais
como destruir ou sobrescrever arquivos, remover contatos da agenda, efetuar
ligações telefônicas, drenar a carga da bateria, além de tentar propagar-se
para outros telefones.
Novas formas de infecção por vírus podem surgir. Portanto, é importante man-
ter-se informado por meio de jornais e revistas.
Conta a mitologia grega que o “cavalo de Tróia” foi uma grande estátua, uti-
lizada como instrumento de guerra pelos gregos para obter acesso a cidade
de Tróia. A estátua do cavalo foi recheada com soldados que, durante a noite,
abriram os portões da cidade possibilitando a entrada dos gregos e a domina-
ção de Tróia. Daí surgiram os termos “presente de grego” e “cavalo de Tróia”.
Universidade Corporativa BB
74 Programa certificação interna em conhecimentos
Algumas das funções maliciosas que podem ser executadas por um cavalo
de Tróia são:
■ furto de senhas e outras informações sensíveis, como números de car-
tões de crédito;
■ inclusão de backdoors6, para permitir que um atacante tenha total con-
trole sobre o computador;
■ alteração ou destruição de arquivos;
■ criptografia de arquivos com a cobrança de resgate para devolvê-los.
Adware e Spyware
Spyware, por sua vez, é o termo utilizado para se referir a uma grande cate-
goria de software que tem o objetivo de monitorar atividades de um sistema e
enviar as informações coletadas para terceiros.
6
Normalmente um hacker procura garantir uma forma de retornar a um computador comprometido, sem precisar
recorrer aos métodos utilizados na realização da invasão. Na maioria dos casos, também é intenção do atacante
poder retornar ao computador comprometido sem ser notado. Backdoors são programas que permitem o retorno
de um invasor a um computador comprometido, utilizando serviços criados ou modificados para este fim.
Universidade Corporativa BB
Gestão de Segurança 75
É importante ter em mente que estes programas, na maioria das vezes, com-
prometem a privacidade do usuário e, pior, a segurança do computador do
usuário, dependendo das ações realizadas pelo spyware no computador e de
quais informações são monitoradas e enviadas para terceiros.
Scam e Phishing
Universidade Corporativa BB
76 Programa certificação interna em conhecimentos
A palavra phishing (de “fishing”) vem de uma analogia criada pelos fraudado-
res, onde “iscas” (e-mails) são usadas para “pescar” senhas e dados financei-
ros de usuários da Internet.
Atualmente, esse termo é utilizado também para se referir aos seguintes casos:
■ mensagem que procura induzir o usuário à instalação de códigos malicio-
sos, projetados para furtar dados pessoais e financeiros;
■ mensagem que, no próprio conteúdo, apresenta formulários para o pre-
enchimento e envio de dados pessoais e financeiros de usuários.
Quadro 10
Exemplos de conteúdos de phishing
Tema Texto da mensagem
Cartões virtuais UOL, Voxcards, Humor Tadela, O Carteiro,
Emotioncard, Criança Esperança, AACD/Te-
leton.
SERASA e SPC Débitos, restrições ou pendências financeiras.
Serviços de governo eletrônico CPF/CNPJ pendente ou cancelado, Imposto
de Renda (nova versão ou correção para o
programa de declaração, consulta da resti-
tuição, dados incorretos ou incompletos na
declaração), eleições (título eleitoral cance-
lado, simulação da urna eletrônica).
Álbuns de fotos Pessoa supostamente conhecida, celebrida-
des, relacionado a algum fato noticiado (em
jornais, revistas, televisão), traição, nudez
ou pornografia, serviço de acompanhantes.
IBGE Censo.
Cabe ressaltar que a lista de temas na tabela acima não é exaustiva, nem
tampouco se aplica a todos os casos. Existem outros temas e novos temas
podem surgir.
Spam
É o termo usado para se referir aos e-mails não solicitados, que geralmente
são enviados para um grande número de pessoas. Quando o conteúdo é
Universidade Corporativa BB
Gestão de Segurança 77
Universidade Corporativa BB
78 Programa certificação interna em conhecimentos
Worm
Universidade Corporativa BB
Gestão de Segurança 79
tumam propagar. Além disso, podem gerar grandes transtornos para aqueles
que estão recebendo tais cópias.
Ferramentas de proteção
Criptografia
Universidade Corporativa BB
80 Programa certificação interna em conhecimentos
Hoje, após séculos de uso e evolução, a criptografia continua sendo uma das
mais poderosas armas para a proteção das informações, possibilitando que
propriedades importantes sejam alcançadas, dentre elas:
■ integridade
■ autenticidade7
■ não-repúdio8
■ confidencialidade
Universidade Corporativa BB
Gestão de Segurança 81
Figura 5
Criptografia de chave privada ou simétrica
João
Rede
mensagem pública
mensagem cifrador
cifrada
Maria
mensagem mensagem
decifrador
cifrada original
Figura 6
Criptografia de chave pública ou assimétrica
João
Pública de Maria
Rede
mensagem pública
mensagem cifrador
cifrada
Maria
Privada de Maria
mensagem mensagem
decifrador
cifrada original
Universidade Corporativa BB
82 Programa certificação interna em conhecimentos
Figura 7
As chaves secretas necessárias na criptografia simétrica
João 1 1
Pedro 2 2 Maria
Luís 3 3
Figura 8
As chaves secretas necessárias na criptografia assimétrica
Pública de Maria
Luís Pública de Maria
Universidade Corporativa BB
Gestão de Segurança 83
Certificação Digital
Universidade Corporativa BB
84 Programa certificação interna em conhecimentos
Universidade Corporativa BB
Gestão de Segurança 85
Figura 9
Estrutura da ICP-Brasil
Figura 10
Comitê Gestor da ICP - Brasil
Determina as políticas a serem
COMITÊ GESTOR DA ICP-BRASIL
executadas pela AC Raiz
Universidade Corporativa BB
86 Programa certificação interna em conhecimentos
Figura 13 Figura 14
Leiaute de smartcard da RF Leitora de smartcard
e-CPF e-CNPJ
Universidade Corporativa BB
Gestão de Segurança 87
CURIOSIDADE
Universidade Corporativa BB
88 Programa certificação interna em conhecimentos
Engenharia social
13
CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Grupo de respos-
ta a incidentes de segurança para a Internet brasileira, mantido pelo Núcleo de Informação e Coordenação do
Ponto Br (entidade civil, sem fins lucrativos, que implementa as decisões e projetos do Comitê Gestor da Internet
no Brasil).
Universidade Corporativa BB
Gestão de Segurança 89
Isso acontece com muita freqüência e, infelizmente, estamos muito mais vul-
neráveis do que avaliamos. Por isso, é necessário que todos na organização
estejam atentos, já que, conforme Ferreira e Araújo (2006), “o sucesso no ata-
que de engenharia social ocorre geralmente quando os alvos são as pessoas
ingênuas ou aquelas que simplesmente desconhecem as melhores práticas
de segurança”.
Universidade Corporativa BB
90 Programa certificação interna em conhecimentos
em 2000, Kevin revelou que raramente precisava usar um ataque técnico, pois
a engenharia social já oferecia vulnerabilidade suficiente: ele conseguia várias
informações simplesmente perguntando aos funcionários das empresas.
Como os engenheiros sociais agem e buscam informações da organização?
Veja as práticas mais comuns:
■ falam com conhecimento: ao contatar alguém da organização, o enge-
nheiro social fala com propriedade sobre um determinado assunto. Se
estiver falando de alguém, cita o nome com familiaridade e diz que é pa-
rente, ex-colega ou colega atual (no caso de uma grande organização).
Pode citar também departamentos e locais da organização, e, se tiver
acesso à linguagem utilizada exclusivamente no local, pode alcançar
seus objetivos facilmente;
■ adquirem a confiança do interlocutor: com tantas informações, o in-
terlocutor pensa que o engenheiro social é uma pessoa de confiança.
Muitas vezes, o fraudador não tem pressa e volta a telefonar em outra
ocasião. A primeira ligação serve apenas para criar um canal de comu-
nicação e estabelecer uma relação de confiança. Com o tempo, cria-se
um vínculo entre o fraudador e a vítima;
■ prestam favores: em caso de golpes e fraudes, o engenheiro social
pode até mesmo ajudar a vítima. O fraudador pode bloquear a comu-
nicação do computador do interlocutor e se passar por alguém do help
desk, ajudando a resolver um problema que ele próprio plantou. Dessa
forma, a vítima passa a confiar nele.
Universidade Corporativa BB
Gestão de Segurança 91
rio desconfiar sempre que for surpreendido por um telefonema de alguém que
não conheça. A recomendação é nunca divulgar nada e pedir um número de
retorno para verificar se a ligação é verdadeira.
Universidade Corporativa BB
4 Segurança em produtos,
serviços e processos
4.1. CONCEITO
4.2. AUTENTICIDADE
Universidade Corporativa BB
96 Programa certificação interna em conhecimentos
Universidade Corporativa BB
Gestão de Segurança 97
Documento de identificação
Universidade Corporativa BB
98 Programa certificação interna em conhecimentos
■ CPF
Cada indivíduo tem apenas um CPF e este deve estar em situação nor-
mal junto a Receita Federal. Clientes portadores de CPF com status
pendente, cancelado ou suspenso devem providenciar a regularização
junto a Receita Federal.
■ comprovante de rendimentos
► compatibilidade entre o rendimento e o cargo ou função declarados;
► o teto máximo para recolhimento do INSS, IRRF e FGTS;
► na CTP, verificar contrato de trabalho (data de assinatura, registro de
férias).
■ comprovante de bens
A comprovação de bens junto ao Banco deve ser feita com a apresenta-
ção de documentos de propriedade, por exemplo, título ou certificado de
propriedade etc.
Universidade Corporativa BB
Gestão de Segurança 99
A origem dos documentos pode ser confirmada junto aos emissores, tais
como cartórios de registro de imóveis, DETRAN etc.
Universidade Corporativa BB
100 Programa certificação interna em conhecimentos
Procuração e representação
Além disso, por medida administrativa, o Banco determina que qualquer pro-
curação recebida deve:
■ ter a assinatura do outorgante reconhecida em cartório, se instrumento
particular;
■ ser revigorada a cada dois anos, a contar da data de emissão do docu-
mento.
Universidade Corporativa BB
Gestão de Segurança 101
Conferência de assinaturas
Cópias, fax e arquivos digitalizados não são aceitos pelo Banco, uma vez que
não possibilitam a conferência das assinaturas, detecção de adulterações e
garantia da origem.
Universidade Corporativa BB
102 Programa certificação interna em conhecimentos
Universidade Corporativa BB
Gestão de Segurança 103
É necessário extremo cuidado e atenção, para que o numerário não seja dei-
xado sem acompanhamento de funcionário durante os diversos processos
realizados pelas unidades. Alguns processos apresentam grande fragilidade,
a exemplo do abastecimento ou do recolhimento de envelopes dos terminais.
Recomenda-se que o processo seja realizado por dois funcionários e que o
serviço de vigilância seja alertado.
Pode haver o mesmo tipo de ocorrência nos demais ambientes, sempre que o
controle de acesso e a guarda do numerário não receber a necessária atenção.
Universidade Corporativa BB
104 Programa certificação interna em conhecimentos
Ausência de administradores
Controle ou log
4.5. CHEQUE
Os cheques são entregues aos clientes mediante pedido formal, seja por re-
quisição física ou eletrônica nos terminais. Em ambos os casos, há necessi-
dade de assinatura do cliente, de próprio punho, ou senha.
Universidade Corporativa BB
Gestão de Segurança 105
a assinatura do emitente.
Figura 15
Quesitos de segurança física do cheque
1 2
3 4
Universidade Corporativa BB
106 Programa certificação interna em conhecimentos
■ fraudes eletrônicas
■ fraudes documentais
14
Conceitualmente, PDV e POS são exatamente a mesma coisa: Ponto De Venda. POS é a sigla em inglês: Point Of
Sale. No mundo das operadoras de cartão, no entanto, há uma diferença significativa entre POS e PDV: POS são
aquelas maquinetas utilizadas no comércio em geral, onde passamos nossos cartões para efetuar pagamentos.
Elas são de propriedade de cada bandeira (Visa, Master...). Esses equipamentos são conhecidos como PDV quan-
do, não pertencendo a uma bandeira específica, estão instalados em rede privativa de uma empresa e conectados
a um servidor central, também da empresa que, por sua vez, efetua a conexão com a rede de uma ou mais bandei-
ra. Podemos citar, como exemplo de POS, as maquinetas existentes em padarias e em pequenos comércios em
geral. Os equipamentos instalados nos caixas de grandes supermercados são o exemplo mais comum de PDV.
Universidade Corporativa BB
Gestão de Segurança 107
Assim, para o cliente pessoa física, por exemplo, são disponibilizadas mo-
dalidades diferenciadas de senhas, que podem ser utilizadas isoladamente
ou combinadas entre si, dependendo do tipo de canal utilizado e do tipo
de transação que é efetuada. Nos exemplos abaixo, vai ficar claro como os
conceitos apresentados no tópico Segurança da Informação são aplicados na
prática, sempre com o objetivo de proporcionar níveis adequados de seguran-
ça na experiência de relacionamento com o cliente.
Senha numérica
Senha Alfabética
Essa modalidade de senha, utilizada por clientes pessoa física, pode ser com-
posta por três letras, três sílabas, ou uma combinação de letras e sílabas. O
código de acesso é exigido para confirmar a realização de transações finan-
ceiras, bem como outras transações consideradas de maior criticidade, nos
canais que utilizam cartão15.
Universidade Corporativa BB
108 Programa certificação interna em conhecimentos
Senha Numérica
Senha alfanumérica
■ é a senha utilizada para acesso inicial ao canal internet.
Senha alfabética
■ a diferença em relação a pessoa física é que, para esses clientes, o có-
digo de acesso é composto por três letras. As demais regras definidas
para clientes pessoa física aplicam-se também para a pessoa jurídica.
15
O Código de Acesso é exigido nos TAA, Banco 24h e rede compartilhada, COBAN MT e Banco Popular do Brasil
Universidade Corporativa BB
Gestão de Segurança 109
Por ser uma adesão facultativa, o acesso à maior parte das transações de
consulta é liberado para clientes que não aderem ao cadastramento de com-
putadores.
Fraudes documentais
Universidade Corporativa BB
110 Programa certificação interna em conhecimentos
Universidade Corporativa BB
Gestão de Segurança 111
Universidade Corporativa BB
5 Gestão da continuidade
de negócios
5.1. CONCEITOS
E não são apenas estes eventos que podem causar rupturas na continuidade
das operações de negócio. Uma em cada cinco organizações do Reino Unido
sofre paralisações em suas atividades a cada ano, causadas por incidentes
de menor nível de relevância, tais como incêndios, doenças, paradas decor-
rentes de problemas em sua infra-estrutura tecnológica, negação de acesso
aos sistemas informatizados ou perda de um fornecedor chave. Estes eventos
podem não impactar toda a coletividade em que a organização está inserida,
mas pode levá-la a perder clientes ou a ter problemas em seu fluxo de caixa.
Ao adotar a gestão da continuidade, as organizações estão mais bem prepa-
radas para superar os desafios de uma interrupção qualquer que seja a sua
causa.
Universidade Corporativa BB
116 Programa certificação interna em conhecimentos
Universidade Corporativa BB
Gestão de Segurança 117
Essa visão do ambiente negocial, com o retorno das operações críticas a ní-
veis aceitáveis e pré-definidos, garante à organização vantagem competitiva
e redução em seus riscos operacionais.
Universidade Corporativa BB
118 Programa certificação interna em conhecimentos
A estrutura de GCN
A visão mais aceita do assunto percebe a GCN como um ciclo que permite
compreender melhor a organização e prepará-la para o enfrentamento de cri-
ses, ao definir os processos críticos, fazer a avaliação de risco e impacto des-
tes processos, definir as estratégias de continuidade de negócios, determinar
responsabilidades, desenvolver e testar os planos de continuidade. Grafica-
mente, podemos entender esse ciclo como demonstrado na figura 16.
Universidade Corporativa BB
Gestão de Segurança 119
Figura 16
Ciclo de gestão da continuidade de negócios
O ciclo de GCN permite uma visão clara das atividades essenciais, categori-
zadas de acordo com sua prioridade de retomada, bem como permite a defi-
nição do período máximo de interrupção aceitável para cada processo crítico,
definindo recursos e responsáveis.
Universidade Corporativa BB
120 Programa certificação interna em conhecimentos
A segurança das pessoas não pode ser esquecida e deve ser a preocupação
máxima dos planos de continuidade dos negócios de uma organização.
É importante lembrar que a confusão pode ser um grande obstáculo para uma
resposta efetiva a uma interrupção significativa. Nesse sentido, papéis, res-
ponsabilidades e autoridade para agir, bem como o encadeamento dos pla-
nos, devem ser claramente descritos no programa de gestão da continuidade.
Universidade Corporativa BB
Gestão de Segurança 121
Universidade Corporativa BB
122 Programa certificação interna em conhecimentos
Análise de riscos
A análise de riscos deve ser focada nos processos mais urgentes identifica-
dos durante a análise de impacto. Tem como propósito identificar as ameaças
internas e externas que podem provocar descontinuidade nos negócios e sua
probabilidade e impacto; priorizar as ameaças de acordo com um método
aceito pela organização; e prover informações para os planos de ações miti-
gadoras do risco.
Universidade Corporativa BB
Gestão de Segurança 123
Definição de estratégias
Para uma boa prática de GCN, todas as organizações devem perceber quais
são seus processos mais críticos e desenvolver estratégias para minimizar o
impacto nos negócios, imagem e marca, advindo de uma interrupção.
Universidade Corporativa BB
124 Programa certificação interna em conhecimentos
Universidade Corporativa BB
Gestão de Segurança 125
Universidade Corporativa BB
126 Programa certificação interna em conhecimentos
Como podemos observar, existem diversos fatores que podem colocar em ris-
co a continuidade dos negócios, sujeitando as empresas às ameaças de inter-
rupção. As ameaças podem ser naturais, advindas de problemas ambientais,
como enchentes, escassez de água, tempestades, incêndios naturais etc.,
que se apresentam ainda mais impactantes devido às alterações climáticas
mundiais; podem ter natureza social, como as relacionadas à violência e às
atividades do crime organizado; e podem relacionar-se aos recursos, conside-
rando-se, em especial, a alta dependência dos recursos de tecnologia da infor-
mação para realização de negócios. A concretização das ameaças em eventos
de interrupção geram impactos que se apresentam de maneira mais inten-
sa em alguns setores, como o de telecomunicações e a indústria financeira.
A atual conjuntura faz com que diversas governanças do setor financeiro assu-
mam postura mais determinante quanto à definição de regras e controles para
minimização do risco operacional, bem como quanto à existência de ações
concretas para enfrentamento de situações emergenciais nas instituições fi-
nanceiras, consolidadas em demonstrações efetivas do estabelecimento do
processo de gestão da continuidade de negócios.
Universidade Corporativa BB
Gestão de Segurança 127
Universidade Corporativa BB
128 Programa certificação interna em conhecimentos
Modelo de GCN do BB
Universidade Corporativa BB
Gestão de Segurança 129
Figura 17
Ciclos da GCN no BB
APE = Análise de Riscos
+ Análise de impacto
Agendamento, Realização
e Elaboração de Relatórios
de Testes/Exercícios
Definição de Estratégias
e Formalização dos
Planos
Universidade Corporativa BB
130 Programa certificação interna em conhecimentos
Universidade Corporativa BB
Gestão de Segurança 131
Figura 18
Classificação dos Processos
Universidade Corporativa BB
132 Programa certificação interna em conhecimentos
Testes e exercícios
Conscientização e treinamento
Universidade Corporativa BB
Gestão de Segurança 133
Universidade Corporativa BB
134 Programa certificação interna em conhecimentos
Universidade Corporativa BB
Gestão de Segurança 135
Definição
Após perceber quais processos possuem maior grau de impacto e risco, al-
gumas decisões estratégicas têm de ser tomadas pelo gestor. Tais decisões
envolvem identificar as estratégias de continuidade, verificar as estratégias
alternativas possíveis, analisar a relação custo e benefício da adoção das
estratégias e comunicar às instâncias decisórias da organização, para apro-
vação, as ações a serem tomadas.
Universidade Corporativa BB
136 Programa certificação interna em conhecimentos
Formalização
Universidade Corporativa BB
Gestão de Segurança 137
Universidade Corporativa BB
138 Programa certificação interna em conhecimentos
Estes relatórios devem ter aprovação formal dos gestores dos processos, de
modo a garantir a execução das recomendações existentes e servir como
balizador para correções nas estratégias adotadas, atualização dos planos e
adequação ao foco gerencial.
Os planos e procedimentos devem ser avaliados ao menos uma vez por ano,
exceto se a situação descrita no plano não justificar a realização da avaliação,
seja por causa da impossibilidade de simulação, alto risco de impacto, ou pela
combinação desses fatores.
Universidade Corporativa BB
Gestão de Segurança 139
Universidade Corporativa BB
140 Programa certificação interna em conhecimentos
Universidade Corporativa BB
6 O papel das pessoas
na segurança
Para tratar de forma adequada a questão das atitudes das pessoas frente à
segurança, é necessário formar e manter uma cultura de segurança que se
integre às atividades dos colaboradores e passe a ser vista pelos mesmos
como um instrumento de autoproteção. A empresa deve compartilhar a res-
ponsabilidade com cada indivíduo, transformando-o em co-autor do nível de
segurança alcançado. Somente desta forma as empresas terão em seus fun-
cionários aliados na batalha de redução e administração dos riscos.
Universidade Corporativa BB
144 Programa certificação interna em conhecimentos
Sabendo onde queremos chegar e como chegarmos fica mais fácil o processo
de conscientização.
Universidade Corporativa BB
R Referências
Universidade Corporativa BB
Gestão de Segurança 147
Universidade Corporativa BB