Você está na página 1de 147

Gestão de segurança

Programa Certificação Interna em Conhecimentos


GESTÃO DE
SEGURANÇA

Brasília, agosto de 2008


S Sumário

1. Segurança................................................................................................................................9
1.1. Contextualização.............................................................................................................11
1.2. Visão atual da segurança................................................................................................12
1.3. Segurança nas empresas...............................................................................................14
Segurança nas instituições financeiras..........................................................................15
Aspectos regulatórios da gestão de segurança..............................................................18
1.4. Fatores do processo de gestão de segurança no Banco do Brasil.................................19
Valores............................................................................................................................19
Ocorrências e agentes....................................................................................................19
Estratégias......................................................................................................................20
1.5. Segurança e risco operacional........................................................................................22

2. Gestão de segurança de pessoas e ambientes..................................................................27


2.1. Conceito..........................................................................................................................29
2.2. Quesitos de segurança bancária – conceitos e finalidades............................................32
Plano de segurança........................................................................................................32
Vigilância armada...........................................................................................................34
Sistema de alarme..........................................................................................................35
Outros dispositivos.........................................................................................................36
Lista de Verificação de Segurança – LVS.......................................................................40
2.3. Procedimentos preventivos.............................................................................................40
Segurança pessoal.........................................................................................................40
Segurança de ambientes................................................................................................43

3. Segurança da informação....................................................................................................45
3.1. Aspectos gerais...............................................................................................................45
A informação...................................................................................................................45
A segurança da informação............................................................................................51
Princípios da segurança da informação.........................................................................52
Segurança da informação e risco operacional...............................................................53
3.2. Política de segurança da informação..............................................................................54
Desenvolvimento da PSI................................................................................................55
Etapas da implantação da PSI.......................................................................................57
3.3. Gestão de segurança da informação..............................................................................58
Classificação das informações.......................................................................................59
Níveis de classificação...................................................................................................60
Acessos aos sistemas, redes e aplicativos....................................................................62
Senhas: cuidados especiais...........................................................................................65
3.4. Normas e procedimentos para a troca de informações..................................................67
Acordos para a troca de informações.............................................................................67
Fornecimento de informações a órgãos judiciais, de fiscalização e de controle............68
Mensagens eletrônicas...................................................................................................69
Segurança lógica............................................................................................................70
Ameaças mais comuns...................................................................................................72
Ferramentas de proteção...............................................................................................79
Novas ferramentas de proteção da informação..............................................................79
3.5. Proteção da informação..................................................................................................88
Engenharia social...........................................................................................................88

4. Segurança em produtos, serviços e processos.................................................................93


4.1. Conceito..........................................................................................................................95
4.2. Autenticidade...................................................................................................................95
Documentos e informações cadastrais...........................................................................96
Mandado judicial, citação, intimação e notificação.........................................................99
Procuração e representação........................................................................................100
Conferência de assinaturas..........................................................................................101
4.3. Guarda, movimentação e encaixe de numerário..........................................................101
4.4. Pagamentos de valores elevados.................................................................................103
4.5. Cheque..........................................................................................................................104
4.6. Contestação de débito..................................................................................................105
Prevenção a fraudes nos canais de auto-atendimento................................................106
Fraudes documentais...................................................................................................109

5. Gestão da continuidade de negócios................................................................................113


5.1. Conceitos......................................................................................................................115
GCN nas instituições financeiras..................................................................................117
A estrutura de GCN......................................................................................................118
5.2. Aspectos legais, governanças e melhores práticas......................................................125
5.3. Metodologia adotada no Banco do Brasil......................................................................128
Visão do Banco do Brasil..............................................................................................128
Modelo de GCN do BB.................................................................................................128
Avaliação de processos estratégicos - APE.................................................................130
Gestão de planos e de procedimentos.........................................................................131
Testes e exercícios.......................................................................................................132
Conscientização e treinamento....................................................................................132
5.4. Papéis e responsabilidades..........................................................................................132
Grupo coordenador de continuidade - GCC.................................................................133
5.5. Cenários de ameaça de continuidade de negócios......................................................134
5.6. Estratégias para garantia da continuidade de negócios...............................................135
Definição.......................................................................................................................135
Formalização................................................................................................................136
Avaliação: testes e exercícios......................................................................................137

6. O papel das pessoas na segurança..................................................................................141


6.1. Conscientização, educação e treinamento...................................................................143

Referências..............................................................................................................................145
O Objetivo geral

Identificar o processo de Gestão de Segurança


e os procedimentos preventivos capazes de
mitigar os riscos inerentes ao negócio das
instituições financeiras.
1 Segurança

Espera-se que ao final do estudo deste tema você possa:


▪ Relacionar a necessidade de segurança com a criminalidade na
sociedade atual.
▪ Identificar a necessidade da gestão de segurança nas empresas e
instituições financeiras.
▪ Identificar a contribuição da gestão de segurança para os negócios.
▪ Identificar os aspectos regulatórios da gestão de segurança.
▪ Identificar os fatores considerados pelo Banco do Brasil no processo
de gestão de segurança.
▪ Relacionar risco operacional e segurança.
Gestão de Segurança 11

1.1. CONTEXTUALIZAÇÃO

Para ser efetivo e alcançar os objetivos sociais e empresariais desejados,


qualquer negócio ou empreendimento deve ser estruturado levando-se em
conta diversos fenômenos ou fatores de influência, entre outros, os sociais,
econômicos, psicológicos, políticos e tecnológicos. Quando pesquisamos, de-
limitamos e controlamos esses aspectos, podemos definir estratégias para
minimizar os seus efeitos no ambiente produtivo e social ou mesmo utilizá-los
como fontes geradoras de benefícios.

Desde os primórdios, por exemplo, percebeu-se que o crime e a violência


eram fenômenos de causa social que, sem estar devidamente controlados,
poderiam causar sérias repercussões ou mesmo neutralizar o crescimento
econômico e afetar a estabilidade social em qualquer contexto.

Esses aspectos devem ser levados em conta em todos os ambientes (pes-


soal, familiar, social, empresarial, etc.), sendo hoje uma preocupação de go-
vernos em todo o mundo. É nesse sentido que incluímos o tema segurança
no escopo da governança corporativa. Qualquer instituição, para garantir sua
efetividade, tem o dever de mapear de forma adequada os riscos inerentes
aos negócios e mercados com os quais atua ou pretende atuar. Quanto ao
ambiente interno, deve-se ter em vista que a segurança é essencial para ga-
rantir um ambiente saudável, ético, propício à motivação pessoal, à integra-
ção e à geração de resultados.

Com as profundas mudanças que ocorreram nas últimas décadas em todo


o planeta, a globalização, a rápida proliferação da internet, a multiplicação
de ações terroristas, a modernização do crime organizado, o surgimento de
tratados internacionais para combate à lavagem de dinheiro e ao terrorismo
e outros fenômenos, provocaram grandes alterações na visão de governos e
corporações em todo o mundo sobre o tema segurança.

No ambiente corporativo, ainda que haja muito a realizar, especialmente por


ser um processo vivo e dinâmico, a segurança passou a ser vista como uma
área de abrangência multidisciplinar que, embora conduzida com base em
pressupostos respaldados por ciências humanas (sociologia, psicologia etc.),
deve ser suportada por governança qualificada, integração com o negócio,
equipes de excelência, tecnologias de ponta e inteligência estratégica, com
programas permanentes de educação e cultura, considerando que a eficácia

Universidade Corporativa BB
12 Programa certificação interna em conhecimentos

do processo de segurança depende do envolvimento de todas as pessoas.

1.2. VISÃO ATUAL DA SEGURANÇA

Temas estratégicos de governança corporativa estão diretamente relaciona-


dos com as atividades de segurança. Ao trabalhar para o lançamento de um
produto inédito, por exemplo, uma empresa procura garantir que não haja di-
vulgação externa do trabalho, especialmente que nenhum concorrente tenha
conhecimento prévio da novidade. Para que isso ocorra é necessário adotar
uma série de medidas internas relacionadas à segurança da informação, de
tal maneira que, ao ser lançado no mercado, o novo produto seja reconhecido
como novidade, inclusive pelos concorrentes.

Da mesma forma, quando o produto é posto à venda, o cumprimento de re-


quisitos de segurança vai ajudar na garantia da rentabilidade das vendas ao
evitar ou reduzir perdas com falhas, fraudes, roubos e outros problemas. Ao
sermos omissos quanto à segurança estamos, de alguma forma, trabalhan-
do contra nós mesmos, contra a nossa empresa e a sociedade de um modo
geral. A omissão pode facilitar a ocorrência de ações ilícitas e alimentar o
mercado do crime que, atualmente, movimenta bilhões de dólares em todo o
mundo, comprometendo a vida, a estabilidade social e a economia de muitas
pessoas, comunidades e nações.

Uma gestão eficaz de riscos é fator preponderante para uma boa posição no
mercado e tranqüilidade de acionistas. Em empresas sujeitas a regulamenta-
ção, a eficácia das atividades de gestão de riscos, de controle e de segurança
é uma preocupação permanente dos respectivos órgãos reguladores.

Nas instituições financeiras, o tema segurança está sempre presente nos tra-
balhos de verificação realizados pelo Banco Central do Brasil. Ao examinar,
por exemplo, a atuação de um banco na área de crédito, os auditores querem
também saber como está sendo aplicado o princípio “conheça o seu cliente”
(princípio básico de prevenção e combate a lavagem de dinheiro), ou seja, se
a instituição financeira tem pleno conhecimento da atividade econômica de
cada cliente, se monitora sua movimentação financeira verificando a compa-
tibilidade entre faturamento e atividade econômica entre outros aspectos, evi-
tando, assim, que a instituição avaliada seja usada para o crime de lavagem
de dinheiro.

Universidade Corporativa BB
Gestão de Segurança 13

Estima-se que o crime movimenta anualmente cerca de US$ 3 trilhões em


todo o mundo, representando, segundo a Organização das Nações Unidas, de
2% a 5% do PIB mundial. As fontes geradoras desses recursos são diversas,
passando por crimes como o narcotráfico, corrupção, contrabando, pirataria,
fraudes, roubos, seqüestros, tráfico de armas, tráfico de pessoas e órgãos
humanos, prostituição, pornografia, entre outros. De acordo com os mesmos
estudos, pelo menos US$ 1,5 trilhão circulam pelo sistema financeiro.

Os dados da ONU indicam que as organizações criminosas também utilizam,


para suas operações financeiras ilícitas, inclusive lavagem de dinheiro, do sis-
tema financeiro mundial com as suas modernas redes de comunicação de da-
dos e amplo nível de disponibilidade e acesso à clientela via internet banking.

Mas o sistema financeiro não está apenas sujeito a ser usado para operações
financeiras ilícitas. Ao longo da história, os bancos têm sido vítimas diretas
de crimes financeiros praticados por agentes internos ou externos - algumas
vezes pelos dois. Um exemplo é o banco francês Societé Generale que so-
freu perdas estimadas em US$ 7 bilhões por fraude praticada por um único
funcionário durante o período de 01 ano (2007). Além do prejuízo financeiro, a
fraude interna teve repercussão mundial e causou danos profundos à imagem
do Banco e à vida de seus dirigentes e funcionários.

O preço da falta de segurança e de controle ou da omissão quanto a esses


deveres tem sido cada vez mais alto para as pessoas, para as instituições e a
sociedade de um modo geral. As facilidades e as disponibilidades do ambien-
te tecnológico em que vivemos gera conforto, mas, ao mesmo tempo, coloca
o crime cada vez mais próximo das pessoas, exigindo cuidados adicionais.

Exemplo disso é a internet com todas as suas extraordinárias e atrativas funcio-


nalidades. Mas a internet sem controle e segurança tem causado muitas dores
de cabeça, prejuízos e sofrimento para muita gente. O fato é que pessoas ines-
crupulosas e organizações criminosas também encontraram na rede mundial
um fácil caminho para realizar seus negócios, aumentando as suas vítimas.

As possibilidades do crime podem ter aumentado com as facilidades de aces-


so à comunicação e as disponibilidades do ambiente financeiro e comercial.
Contudo, a diferença entre o uso confortável, sadio e produtivo desses aspec-
tos passa por uma adequada atenção pessoal e corporativa com aspectos

Universidade Corporativa BB
14 Programa certificação interna em conhecimentos

básicos de controle e segurança. Este paradigma é válido em todas as dimen-


sões da nossa existência tendo estreita relação com a nossa vida pessoal
(saúde, família, costumes etc.), com os nossos negócios, com as empresas e
o próprio Estado.

O que vemos nos dias atuais é que a mudança dos processos, de mecâni-
cos para virtuais ou automatizados, provocaram também uma virtualização
do crime, criando métodos novos de riscos, tais como roubo de informações
pela internet, invasão de redes de comunicação de dados, fraudes eletrônicas
e sabotagem virtual, causando paralisação de negócios. Algumas tipologias
de crimes com o chamado uso da força bruta não sofreram muita alteração
como, por exemplo, os assaltos, seqüestros e arrombamentos, não incomuns
para as instituições financeiras no Brasil.

No contexto social, percebemos claramente o ciclo e a correlação de pro-


blemas graves resultantes de um ambiente instável do ponto de vista de se-
gurança. Qualquer esforço integrado entre o Estado e a sociedade/cidadão
pode contribuir para a redução desses impactos. Como instituição financeira,
expressamos cidadania quando nos esforçamos para evitar que o crime, de
qualquer natureza, aconteça, se alimente financeiramente e cresça em preju-
ízo de todos.

No ambiente corporativo, o processo de segurança, por estar diretamente en-


volvido com a proteção dos ativos e a eficácia dos negócios, mostrar-se de
forma mais objetiva, dinâmica a abrangente. O fato é que a grandiosidade dos
riscos, especialmente nas instituições financeiras, provocou a incorporação
das estruturas de segurança aos primeiros níveis hierárquicos de grandes
bancos em todo o mundo, solidificando a governança corporativa na pers-
pectiva de aumentar as condições internas para a identificação, prevenção e
resposta a delitos, além da gestão de planos de continuidade de negócios e
ações de educação e cultura em segurança.

1.3. SEGURANÇA NAS EMPRESAS

As empresas mantêm, necessariamente, compromissos tácitos com seus em-


pregados, fornecedores, clientes, acionistas, com a sociedade e com o meio
ambiente. Exige-se que, ao menos, busquem proteger seus ativos contra ris-

Universidade Corporativa BB
Gestão de Segurança 15

cos previsíveis, que podem não só comprometer o negócio, mas causar os


danos sociais e políticos anteriormente citados.

Ressalta-se que a melhor forma de prevenir riscos é o constante exame dos


processos, o monitoramento do negócio, a percepção de cenários e a manu-
tenção permanente das pessoas mobilizadas contra eventuais ocorrências.
Para tanto é necessária a participação integrada e sistematizada de toda a
empresa, de forma global e corporativa.

Mais do que apenas buscar reduzir ocorrências de danos isoladamente, é ne-


cessário também organizar e coordenar todo o esforço corporativo no sentido de:
■ avaliar as ameaças ao negócio e o nível de segurança da organização;
■ introduzir a discussão sobre o custo que eventuais danos poderão oca-
sionar;
■ identificar os recursos necessários para evitar as possíveis ocorrências,
cujas perdas repercutem diretamente nos negócios, no resultado econô-
mico e na imagem da organização.

Nesse contexto, a segurança não pode mais ser tratada apenas como uma
estrutura específica, mas como uma atividade sistematizada, pressupondo
integração em todos os níveis e segmentos institucionais.

A gestão de segurança constitui um processo contínuo, dinâmico e flexível,


de permanente avaliação e adequação das medidas e procedimentos de se-
gurança das pessoas e dos ativos, contra os riscos e ameaças reais ou po-
tenciais.

As empresas estão conscientes da necessidade da segurança para a preser-


vação de seus valores, uma vez que as perdas podem influenciar diretamente
no resultado financeiro. Por outro lado, a legislação também obriga a adoção
de requisitos de segurança. Dessa forma, as organizações são levadas a in-
vestir continuamente em soluções de segurança.

Segurança nas instituições financeiras

A principal função de uma instituição financeira – estabelecer uma conexão


entre investidores e tomadores de créditos – abrange o aspecto intrínseco de
confiança. O dicionário Aurélio define confiança como “segurança íntima de

Universidade Corporativa BB
16 Programa certificação interna em conhecimentos

procedimento”. A percepção de segurança está intimamente ligada ao nível de


confiança que é depositado em uma instituição financeira. Afinal, ninguém quer
deixar seus bens depositados “em confiança” se não os perceber protegidos.

Dessa forma, a percepção de segurança (posicionamento de empresa que se


preocupa com a segurança de clientes, ambientes e funcionários) torna-se um
item a ser agregado como diferencial na atuação dessas empresas.

Tendências de inovação em modelos de negócio, redução de custos, novas


iniciativas de medição de resultados, monitoramento de risco e aspectos regu-
latórios de órgãos supervisores ocasionaram mudanças na postura dos ban-
cos quanto à segurança.

A globalização trouxe a este segmento a conseqüente internacionalização de


negócios e as instituições financeiras modernas hoje atuam em outros merca-
dos. Assim, a demanda de órgãos reguladores por transparência, integridade
de informações, gerenciamento de perdas como forma de otimizar resultados,
eficiência operacional no uso de recursos e produtos, vem aumentando signi-
ficativamente.

A maior exigência dos mercados internacionais nos aspectos de segurança,


controle e gestão de riscos e a maior competitividade desses mercados oca-
sionaram, nos últimos anos, o movimento de grandes instituições financeiras
nacionais no sentido de integrarem, em sua gestão, a segurança no seu con-
ceito mais abrangente, isto é, enquanto parte da estrutura de governança e
dos negócios da empresa.

O trabalho conjunto com as áreas de negócios permite o mapeamento e aná-


lise das ameaças e riscos inerentes aos novos produtos e serviços a serem
disponibilizados. Amplia-se, assim, o resultado na comercialização dos pro-
dutos e serviços, concretizada pela redução da possibilidade de perdas. Esta
análise possibilita adequar o produto ou serviço de forma a minimizar vulnera-
bilidades, colaborando para a manutenção de margem de rentabilidade e con-
tribuição. Permite também a proposição de alternativas de soluções, visando
tornar os produtos rentáveis e agregar a percepção de confiança e segurança
na experiência de relacionamento, inserindo o conceito de segurança na cria-
ção e manutenção do processo negocial.

Universidade Corporativa BB
Gestão de Segurança 17

A prevenção de incidentes de segurança relativos a pessoas, ativos físicos e


financeiros, imagem e informações, melhora a avaliação da eficiência opera-
cional dos processos vinculados a esses fatores, quando comparam-se itens
como custo do processo, possibilidades de perda e o resultado esperado. Evitar
ilícitos, em ambientes físicos ou virtuais, e garantir a disponibilidade de negó-
cios e serviços impactam diretamente o resultado, objetivo maior da empresa.

As instituições financeiras são um dos setores da economia mais ameaçado


por incidentes de segurança. Se comparado a outros setores da economia,
apresenta maior possibilidade de sofrer assaltos, extorsão mediante seqües-
tro e fraudes financeiras, bem como de ser utilizado para a prática do crime
de lavagem de dinheiro.

Pelas características de seu negócio, as instituições financeiras oferecem


uma vasta gama de produtos e serviços que, associados a tecnologias avan-
çadas, permitem a circulação de recursos com grande velocidade. Por meio
de transações financeiras, o dinheiro de origem ilícita se mistura a valores
movimentados legalmente, favorecendo o processo de dissimulação da ori-
gem espúria.

Uma ação bem estruturada, com boa tecnologia, pessoas qualificadas, treina-
das e comprometidas torna muito mais difícil o uso dessas instituições para a
realização de operações de lavagem de dinheiro. Dessa forma as instituições
financeiras contribuem para a redução de atividades ilícitas, como o narcotrá-
fico, o contrabando de armas e a corrupção, uma vez que a lavagem de di-
nheiro é um “pré-requisito” para que os criminosos possam usufruir, impunes,
dos recursos gerados pelo crime.

Por meio do atendimento dos requisitos de segurança, as instituições finan-


ceiras previnem e combatem ilícitos como fraudes, assaltos, arrombamentos,
seqüestros, crimes cibernéticos, dissimulação de capitais etc. Dessa forma,
exercem seu papel relacionado à responsabilidade social.

Segurança da informação também é uma preocupação constante e crescente


nas instituições financeiras. Roubos de senhas, fraudes eletrônicas, acessos
não autorizados a sistemas e aplicações podem trazer não só perdas imedia-
tas e mensuráveis financeiramente, mas, também, prejuízos a longo prazo
resultantes do impacto sobre a imagem e a marca. Muitos bancos envolvidos

Universidade Corporativa BB
18 Programa certificação interna em conhecimentos

com operações ilícitas deixaram de existir e seus executivos ficaram inabilita-


dos para atuar no sistema financeiro, além de responderem criminalmente por
seus atos, inclusive por omissão.

Aspectos regulatórios da gestão de segurança

A gestão de segurança é regulamentada e normatizada em suas diversas


dimensões.

Nas décadas de 60 e 70, a segurança pública, impossibilitada de dar assistên-


cia aos Bancos, os “estimulou” a criarem sua própria guarda e determinou que
suas agências tivessem guardas privados e armados, com o objetivo de inibir
e reagir aos assaltos. A área bancária, sem meios próprios para desenvolver
a atividade de vigilância, optou pela extinção da segurança orgânica e pela
terceirização do serviço. Foi a partir daí que surgiu oficialmente a segurança
privada no Brasil, como atividade oficial e regulamentada por Lei.

Em 20 de junho de 1983, foi instituída a Lei nº 7.102 para regulamentar as


atividades de segurança privada, em especial a segurança dos estabeleci-
mentos financeiros, e o funcionamento das empresas prestadoras de serviços
de segurança privada. A Lei nº 9.017/95 atribuiu ao Departamento de Polícia
Federal a competência para fiscalizar os estabelecimentos financeiros e as
empresas de segurança privada.

Como órgão supervisor da segurança privada no Brasil, a Polícia Federal pu-


blicou, em 28 de agosto de 2006, a Portaria nº 387- DG/DPF, que altera e
consolida as normas de segurança privada. A presente Portaria disciplina, em
todo o território nacional, as atividades de segurança privada, armada ou de-
sarmada, desenvolvidas pelas empresas especializadas, pelas que possuem
serviço orgânico de segurança e pelos profissionais que atuam nessas em-
presas. Além disso, regulamenta a fiscalização dos planos de segurança dos
estabelecimentos financeiros.

Com relação à possibilidade da ocorrência do crime de lavagem ou ocultação


de bens, direitos e valores, as instituições financeiras brasileiras estão sujei-
tas à Lei 9.613/98, que instituiu obrigações com o fim de prevenir a utilização
do Sistema Financeiro para a prática desse crime. Para o Banco do Brasil, a
prevenção e o combate à lavagem de dinheiro, além de serem uma obrigação
legal, são uma responsabilidade social, como forma de combater a prática de

Universidade Corporativa BB
Gestão de Segurança 19

crimes que ameaçam os poderes constituídos e a ordem democrática, lesam


os interesses coletivos e degradam a condição humana.

As resoluções BACEN 3.100 e 3.380 que, respectivamente, dispõem sobre a


gestão do risco e gerenciamento do risco operacional, o Acordo de Basiléia
II e a lei Sarbannes-Oxley, compõem o conjunto regulatório observado por
órgãos supervisores.

As normas ABNT NBR ISO/IEC, série 27.000 e 15.999, disciplinam a seguran-


ça da informação e a gestão da continuidade de negócios, abrangendo itens
como gestão de ativos, segurança em recursos humanos, segurança física e
do ambiente, controle de acessos, gerenciamento de operações e comunica-
ções, sistemas de informações e conformidade.

Foi aprovado, no Senado Federal, o Projeto de Lei Complementar 89/2003,


que tipifica os ilícitos praticados no uso de sistema eletrônico, digital ou simi-
lares, de rede de computadores, ou contra dispositivos de comunicação ou
sistemas informatizados.

1.4. FATORES DO PROCESSO DE Gestão de segurança NO BANCO


DO BRASIL

O objetivo da segurança é resguardar a integridade das pessoas, das informa-


ções, dos ativos físicos e financeiros e da imagem da empresa. O Banco do
Brasil considera os seguintes fatores do processo de gestão de segurança:

Valores

Os valores são os “objetos” da proteção. Representam tudo o que deve ser


protegido para assegurar a continuidade dos negócios e contribuir para o re-
sultado financeiro da empresa.

Pessoas: este primeiro grupo de valores é composto diretamente pelos fun-


cionários da organização, contratados diversos, clientes e usuários. Indireta-
mente devem ser incluídos os familiares dos funcionários, que podem ser víti-
mas de ocorrências relacionadas com a atividade dos funcionários, a exemplo
da extorsão mediante seqüestro.

Universidade Corporativa BB
20 Programa certificação interna em conhecimentos

■ Ativos físicos e financeiros: podem ser citados o numerário (moeda


nacional em espécie) e outros valores (moeda estrangeira, travelers
cheques, formulário base de cheques e similares), equipamentos, insta-
lações físicas.

■ Imagem: qualquer tipo de vinculação do nome da instituição e/ou de


seus funcionários com fatos ou notícias de caráter negativo pode provo-
car sérios danos à sua imagem - um ativo intangível - e, por isso, neces-
sita de mecanismos eficientes de proteção.

■ Informações: as informações merecem alto nível de proteção, pois sua


perda pode gerar prejuízos incalculáveis às organizações. Podem ser
citados alguns exemplos de informações cujo vazamento pode gerar,
direta ou indiretamente, transtornos às organizações: dados pessoais de
funcionários e clientes, informações sigilosas sobre clientes, assuntos
estratégicos (projetos, negócios, valores, plano de segurança etc.), roti-
nas de serviços e funções específicas de funcionários. Deve ficar claro
que criminosos procuram conhecer as informações e rotinas das unida-
des para subsidiar as ações contra o Banco.

Ocorrências e agentes

As organizações estão sujeitas a inúmeros tipos de ocorrências, que variam


de acordo com o tipo de negócio e com as fragilidades encontradas em cada
local. Vale lembrar que os criminosos também procuram correr sempre o me-
nor risco, portanto a tendência é que a vítima seja sempre a empresa ou
unidade mais despreparada, não só sob aspecto de equipamentos, mas prin-
cipalmente quanto ao comportamento de seus funcionários.

Exemplo

Para a realização de um assalto a banco, os criminosos avaliam as


condições de segurança (postura dos vigilantes, controle de aces-
so, utilização de dispositivos eletrônicos etc.) de várias agências.
Obviamente a ação será contra aquela que os criminosos julgarem
mais vulnerável.

As ocorrências podem ser provocadas ou facilitadas por agentes internos e


externos.

Universidade Corporativa BB
Gestão de Segurança 21

■ Atores internos: funcionários e contratados. Erros de procedimento,


descumprimento de normas, negligência, vazamento de informações
e até mesmo dolo propiciam a ação criminosa. Daí a necessidade de
todos perceberem sua responsabilidade e se comprometerem com as
questões de segurança.

■ Atores externos: de maneira geral são os criminosos especializados,


responsáveis pelos mais variados tipos de ataques, tais como seqües-
tros, assaltos, arrombamentos, furtos, fraudes, vandalismo, lavagem de
dinheiro e crimes cibernéticos. Numa proporção menor, mas responsá-
veis por grandes transtornos, ocorrem os incidentes e desastres de na-
tureza não criminosa (chuva, terremoto, etc.).

Estratégias

O terceiro fator considerado na gestão de segurança, e o mais relevante, é


constituído pelas estratégias que viabilizam esse macroprocesso:

■ Prevenção ou inibição: o objetivo principal é de identificar condições,


situações ou pessoas que possam ser causadoras de ameaças, de ma-
neira a se criar fatores que inibam ocorrências. Este conceito, de certa
forma, abrange os demais, uma vez que o objetivo maior é evitar os in-
cidentes de segurança. Estão entre as atividades de prevenção ou inibi-
ção: a disseminação de instruções e cultura de segurança, as aplicações
de metodologias e políticas, a definição de especificações de ferramen-
tas e equipamentos de segurança, análise de riscos etc.

■ Correção: a partir de análises internas e do cenário externo, procura-se


manter dinâmico o processo preventivo, corrigindo e redefinindo mecanis-
mos, ferramentas, práticas, instruções, estrutura tecnológica e humana,
já existentes e aplicados, de forma a manter a eficácia das medidas de
segurança estabelecidas anteriormente. Estão entre essas atividades as
atualizações de sistemas e equipamentos, monitoramento de tendências,
cenários, acompanhamento da efetividade das medidas de inibição adota-
das, avaliação e controle de situações e incidentes de crise, entre outras.

■ Recuperação: trata-se da elaboração de planos de continuidade de ne-


gócios. Se o incidente ocorrer, a empresa deve ter previsto um plano de
recuperação de suas atividades. Por outro lado, é fundamental que se
utilize o conhecimento gerado por incidentes efetivados, para reavaliar e
adaptar os módulos anteriores, com o intuito de se evitar novas ocorrên-

Universidade Corporativa BB
22 Programa certificação interna em conhecimentos

cias. O plano busca também recuperar os ativos comprometidos pelos


incidentes.

■ Pesquisa estratégica: tem por objetivo coletar informações consideradas


úteis para a segurança preventiva do Banco em todas as suas dimensões.
A pesquisa estratégica envolve relacionamento com outras instituições fi-
nanceiras, grupos especializados em segurança na internet, órgãos go-
vernamentais, universidades, organismos policiais, órgãos de inteligência
e outros. Por meio de pesquisa estratégica, por exemplo, podemos gerar
subsídios para muitas decisões estratégicas, ações emergenciais para
evitar delitos contra o Banco, aquisição de novas ferramentas de seguran-
ça, elucidação de delitos contra o Banco entre outros.

1.5. SEGURANÇA E RISCO OPERACIONAL

A integração entre os mercados por meio do processo de globalização, o au-


mento da sofisticação tecnológica e as novas regulamentações tornaram as
atividades, os processos financeiros e seus riscos cada vez mais complexos.

Risco é a possibilidade de ocorrência de um evento adverso para uma deter-


minada situação esperada, com potencial para causar dano ao patrimônio da
empresa.

As instituições financeiras, ao desempenhar atividades de intermediação, tor-


nam-se vulneráveis a diversos riscos, tais como o risco de crédito, mercado,
liquidez, imagem, conjuntura e operacional.

A gestão desta vulnerabilidade é condição necessária à sobrevivência e à so-


lidez dos sistemas financeiros. Neste contexto, reveste-se da maior importân-
cia o desenvolvimento e implementação de medidas de segurança com vistas
a evitar ou minimizar os efeitos daí decorrentes.

No Banco do Brasil, o risco operacional é definido como a possibilidade de


ocorrência de perdas resultantes de falha, deficiência ou inadequação de pro-
cessos internos, pessoas e sistemas, ou de eventos externos.

A definição baseia-se na evidência das causas das perdas operacionais, ca-


racterizadas como fatores de risco.

Universidade Corporativa BB
Gestão de Segurança 23

Os fatores de risco operacional podem ser internos ou externos à instituição:

■ fatores internos: abrangem pessoas, processos e sistemas.


► pessoas: sintetiza aspectos relacionados à qualidade de vida no tra-

balho, conduta, competências e carga de trabalho;


► processos: diz respeito à modelagem de produtos e serviços financei-

ros e não financeiros e à conformidade com leis e normas internas e


externas;
► sistemas: está fundamentalmente associado à infraestrutura tecno-

lógica, compreendendo a capacidade, velocidade, estabilidade, con-


fiabilidade, performance e integridade de softwares e hardwares, à
segurança lógica e à disponibilidade de dados e sistemas.
■ fatores externos: abrangem os eventos externos; vinculam-se a desas-
tres naturais e catástrofes e, ainda, ao meio ambiente, ao ambiente so-
cial e regulatório, entre outros.

Fazer a gestão de segurança compreende identificar, avaliar, monitorar, contro-


lar e propor ações de mitigação em relação ao risco operacional. Essas etapas
visam prevenir, anular ou minimizar as perdas atinentes ao risco operacional.

É necessário definir alguns termos utilizados no processo de gestão de segu-


rança para facilitar a compreensão das etapas do estabelecimento de requisi-
tos de segurança (Quadro 1):

Quadro 1
Termos utilizados em Gestão de Segurança

Ameaças Agentes ou condições que causam incidentes que


comprometem os ativos da organização por meio da
exploração de vulnerabilidades e, conseqüentemente,
causando impactos aos negócios.
Vulnerabilidades Fragilidades presentes ou associadas a ativos que, ao
ser exploradas por ameaças, permitem a ocorrência
de incidentes de segurança.
Incidente Um fato decorrente da ação de uma ameaça, que ex-
plora uma ou mais vulnerabilidades, levando a perdas.

Universidade Corporativa BB
24 Programa certificação interna em conhecimentos

Fatores de Risco Os fatores de risco operacional (Pessoas, Processos,


Sistemas e Eventos Externos) constituem a base para
identificação do risco operacional a que as instituições
estão expostas e se desdobram em subfatores.
Perda Decréscimo, diminuição de ativos de qualquer nature-
za como conseqüência de dano real ou potencial, cujos
efeitos, uma vez medidos e quantificados, expressam
prejuízo pecuniário de qualquer monta.
Impacto Abrangência dos danos causados por um incidente de
segurança sobre um ou mais processos de negócio.
Probabilidade Conceito filosófico e matemático que permite a quanti-
ficação da incerteza, permitindo que ela seja aferida,
analisada e usada para a realização de previsões ou
para a orientação de intervenções. É aquilo que torna
possível lidar de forma racional com problemas envol-
vendo o imprevisível.
Fonte: Sêmola (2003), com adaptações

Os conceitos acima apresentados remetem à definição de risco como “a pro-


babilidade de ameaças causarem incidentes a partir da exploração de vulne-
rabilidades, gerando impactos negativos nos negócios”.

De forma similar, diz-se que o objetivo da segurança é impedir a ocorrência de


incidentes que provoquem danos ao negócio das empresas. Caso não exista
forma de impedir algum incidente, então a segurança procura minimizar os
impactos negativos no negócio.

Observa-se pelas definições acima que a gestão de segurança tem como re-
levante seu caráter preventivo.

Sêmola (2003) separa as ameaças em três grandes grupos:


1. Ameaças naturais: decorrentes de fenômenos da natureza - incêndios
naturais, enchentes, terremotos, poluição etc.;
2. Voluntárias: são ameaças propositais causadas por agentes humanos:
fraudes, vandalismo, sabotagens, espionagem, invasões e furtos de infor-
mações, entre outros.

Universidade Corporativa BB
Gestão de Segurança 25

3. Involuntárias: ameaças inconscientes, quase sempre causadas pelo des-


conhecimento - acidentes, erros, falta de energia etc.;

As ameaças sempre existiram e é de se esperar que, à medida que a tecnolo-


gia se desenvolva, também surjam novas formas através das quais os ativos
da organização possam ficar expostos, gerando vulnerabilidades que podem
ser exploradas.

A avaliação de segurança busca rastrear e identificar as vulnerabilidades de


modo a definir as medidas de segurança capazes de eliminar os pontos fracos
dos ambientes de negócio mais sensíveis.

Veja no quadro dois algumas vulnerabilidades encontradas em organizações.

Quadro 2
Vulnerabilidades das Organizações
Vulnerabilidades instalações inadequadas do espaço de trabalho;
físicas ausência de recursos para o combate a incêndios;
disposição desorganizada dos cabos de energia e de rede;
não-identificação de pessoas e de locais.

Vulnerabilidades locais próximos a rios propensos a inundações;


naturais infra-estrutura incapaz de resistir às manifestações da natureza,
como terremotos, maremotos, furacões etc.
Vulnerabilidades ausência de atualizações de acordo com as orientações dos
de hardware fabricantes dos programas utilizados;
(computadores) conservação inadequada de equipamentos.

Vulnerabilidades programas de e-mail que permitem a execução de códigos


de softwares maliciosos;
(programas) editores de texto que permitem a execução de vírus de macro;
programas utilizados para edição de texto e imagem, para
a automatização de processos e que permitem a leitura de
informações de uma pessoa ou empresa, como os navegadores
de páginas da internet.

Vulnerabilidades prazo de validade e de expiração;


dos meios de defeito de fabricação;
armazenamento uso incorreto;
(disquetes, CDs, local de armazenamento insalubre ou com alto nível de umidade,
DVDs.) magnetismo ou estática, mofo etc.

Vulnerabilidades a má escolha dos sistemas de comunicação para envio de


de comunicação mensagem de alta prioridade da empresa poderia fazer com que
elas não alcançassem o destino esperado ou que a mensagem
fosse interceptada no meio do caminho.

Fonte: Academia Latino-americana de Segurança da Informação – Curso Básico de Segurança da Informação, com
adaptações.

Universidade Corporativa BB
26 Programa certificação interna em conhecimentos

Em atendimento às orientações da Resolução CMN 3.380, o Banco do Brasil


definiu estrutura específica de gerenciamento de risco operacional, composta
pela Diretoria de Gestão de Riscos, Diretoria de Controles Internos e Diretoria
de Gestão da Segurança (Quadro 3).

A Diretoria de Gestão da Segurança tem por atribuição, dentre outras, res-


ponder pela governança de Segurança Corporativa, observado o modelo de
gestão de risco operacional e os limites de exposição estabelecidos para o
Conglomerado.

Quadro 3
Gestão do risco operacional no BB

Diretoria de Diretoria de Diretoria de


Gestão de Riscos Controles Internos Gestão da Segurança
Eficiência e eficácia Conformidade; Prevenção a fraudes;
no processo de Falhas em processos Prevenção a incidentes
Gestão do Risco e negócios; de segurança relativos
Operacional; a ambientes, pessoas,
Ambiente
Mensuração; Regulatório. produtos, serviços e
Exigência de capital. processos;
Gestão da Continuidade
de negócios;
Prevenção e combate à
lavagem de dinheiro;
Inteligência estratégica.

Auditoria interna é responsável pela verificação de toda a estrutura de


gestão de risco operacional, com foco nos riscos a que o Conglomerado
está exposto, avaliando as ações de gerenciamento de riscos e a equa-
ção dos controles internos.
Auditores externos avaliam a Gestão de Riscos, a cada dois anos.

Universidade Corporativa BB
2 Gestão de segurança de
pessoas e ambientes

Espera-se que ao final do estudo deste tema você possa:


▪ Conceituar a gestão da segurança de pessoas e ambientes no BB.
▪ Identificar critérios utilizados para o estabelecimento e
monitoramento de níveis de segurança nos ambientes do BB.
▪ Descrever os quesitos de segurança bancária e suas finalidades.
▪ Identificar procedimentos preventivos de segurança pessoal e de
ambientes corporativos.
Gestão de Segurança 29

2.1. CONCEITO

Para o Banco, a gestão de segurança de pessoas e ambientes consiste em


um segmento da gestão preventiva de segurança direcionado para a proteção
dos funcionários, seus familiares, clientes e sociedade em geral, bem como
dos ambientes do conglomerado. Entende-se como ambientes, todas as uni-
dades da empresa - agências, tesourarias regionais, prédios administrativos
e outros – e suas instalações: tesouraria, bateria de caixas-executivos, salas
de auto-atendimento, corredor de abastecimento de terminais de auto-atendi-
mento, salas de telecomunicações e similares.

Os ambientes apresentam diferentes níveis de criticidade devido às caracte-


rísticas intrínsecas de cada um e a gestão de segurança de ambientes precisa
considerar o nível de criticidade de cada ambiente para desenvolver as ações
voltadas para a segurança desses locais. Ambientes mais sensíveis (suscetí-
veis a ataques) recebem um maior nível de proteção.

Aplica-se neste caso, a teoria dos círculos concêntricos, que pode ser defi-
nida como a estratégia de partir do mais simples para o mais complexo, do
mais próximo para o mais afastado e do mais baixo para o mais alto nível de
segurança. No esquema de círculos concêntricos pode-se ver os vários níveis
de segurança, sendo que o círculo central representa a área ou instalação
(unidade) com nível de segurança mais elevado (Figura 1).

Figura 1
Teoria dos círculos concêntricos

Segurança Periférica

Segurança Roniteira

Segurança Mediana

Segurança Elevada

Segurança Excepcional

Fonte: Mandarini (2006)

Universidade Corporativa BB
30 Programa certificação interna em conhecimentos

De acordo com Mandarini (2006), conforme a importância do local (ou unida-


de), podemos ter as seguintes gradações de segurança para áreas, instala-
ções, unidades e ambientes:
■ segurança excepcional: área de excepcional sensibilidade ou pericu-
losidade, cujo acesso é restrito a pessoas estrita e institucionalmente
envolvidas nas atividades aí desenvolvidas. Local estratégico para a uni-
dade ou organização, para o qual o autor classifica o controle de acesso
como ultra-secreto;
■ segurança elevada: área de elevada sensibilidade ou periculosidade,
cujo acesso é restrito a pessoas íntima e institucionalmente envolvidas
nas atividades aí desenvolvidas. O Controle de acesso neste caso é
classificado como secreto;
■ segurança mediana: área de mediana sensibilidade ou periculosidade,
com acesso restrito a pessoas que tenham relações institucionais com
as atividades aí desenvolvidas. Para este caso, o controle de acesso é
classificado como confidencial;
■ segurança rotineira: área de baixa sensibilidade ou periculosidade,
cujo acesso é restrito a pessoas que tenham necessidade de trato fun-
cional ou de negócios com as atividades aí desenvolvidas. Normalmente
o controle de acesso é classificado como reservado;
■ segurança periférica: área isenta de sensibilidade ou periculosidade,
que integra os limites do perímetro da unidade ou instalação.

Utilizando os ambientes do Banco do Brasil, podemos exemplificar essa clas-


sificação conforme o quadro a seguir. A classificação segue a ordem decres-
cente de nível de criticidade e, cabe ressaltar, ela não é absoluta. Dependen-
do de outras características da unidade e das condições de segurança, o nível
de classificação de cada ambiente pode ser elevado ou reduzido, conforme
quadro quatro.

Quadro 4
Ambientes e níveis de Segurança

Níveis de Segurança Exemplos de ambientes do Banco


Segurança excepcional Salas de servidores de centros tecnológicos; te-
souraria, corredores de abastecimento de termi-
nais, bateria de caixas, ambiente de processa-
mento do SAO.

Universidade Corporativa BB
Gestão de Segurança 31

Segurança elevada Centros de processamento de dados – CPD; sa-


las dos comitês de Unidades Estratégicas.
Segurança mediana Escritórios – estações de trabalho – de Unidade
Estratégica.
Segurança rotineira Saguão das agências, destinado ao atendimento
aos clientes.
Segurança periférica Estacionamentos, áreas externas (corredores,
fundos etc.) e, até mesmo, áreas públicas. Vale
destacar que para o Banco, estes ambientes
também apresentam sensibilidade, mesmo que
muito baixa.

Assim, para a indicação de procedimentos de segurança, a área do Banco


responsável pela gestão de segurança de pessoas e ambientes desenvolve
constantes levantamentos e monitoramento do nível de segurança de suas
unidades. Entre os instrumentos que utiliza para isso, está a matriz de vulne-
rabilidades, atualizada constantemente.

Entre os aspectos analisados para o monitoramento do nível de segurança


estão:

■ região geográfica: existem diferenciações entre as ações criminosas


(modus operandi) nas diversas regiões do país, bem como entre o inte-
rior e capital de Estado e até mesmo entre as diferentes regiões de uma
cidade, tais como centro, bairro e regiões historicamente mais violentas;
■ localização: a localização da dependência interfere no seu nível de ris-
co. Por exemplo, uma agência situada à margem de uma rodovia ou em
local de pouca movimentação noturna possui um maior nível de risco.
Por outro lado, as dependências localizadas em shoppings ou próximas
a organismos policiais apresentam um menor nível de risco;
■ outras características: outras variáveis que também interferem no risco
e que devem ser consideradas, tais como: quantidade de pavimentos da
dependência, leiaute, estrutura dos ambientes, segmento negocial, perfil
da clientela, histórico de ocorrências e limite de numerário entre outros.
Na elaboração da matriz de vulnerabilidades são considerados com maior ên-
fase os dados relativos ao limite de numerário da dependência, quantidades e
valores de ocorrências criminosas da unidade e da região, entre outros fatores
de análise.

Universidade Corporativa BB
32 Programa certificação interna em conhecimentos

2.2. QUESITOS DE SEGURANÇA BANCÁRIA – CONCEITOS E


FINALIDADES

Parte dos recursos de segurança adotados pelas instituições financeiras de-


corre de dispositivos legais. Contudo, além dos recursos obrigatórios, as ins-
tituições podem adotar outros mecanismos de proteção, de acordo com suas
estratégias de segurança.

Os quesitos apresentados a seguir envolvem os procedimentos e recursos


obrigatórios, bem como as soluções em segurança física disponíveis no mer-
cado. O Banco emprega todos os itens, conforme o padrão de segurança
de cada dependência, e também utiliza a Lista de Verificação de Segurança
- LVS, ferramenta desenvolvida internamente.

Plano de segurança

É um documento exigido por lei (Lei 7.102/83, regulamentada pela Portaria


387/2006 - DPF) para todos os estabelecimentos financeiros que realizam
guarda de valores ou movimentação de numerário. O funcionamento dos es-
tabelecimentos está condicionado à aprovação do plano pelo Departamento
de Polícia Federal - DPF.

O plano de segurança apresenta detalhadamente as condições e os elemen-


tos de segurança do estabelecimento e deve abordar os seguintes itens:

■ vigilância armada;
■ sistema de alarme;
■ demais dispositivos ou equipamento de segurança existentes (porta com
detector de metais – PDM, sistema interno de televisão – CFTV, fecha-
dura eletrônica de tempo programável para cofre e escudo).

A Portaria 387/06 – DPF obriga que as dependências sejam providas de vigi-


lância armada, sistema de alarme e mais um dos dispositivos citados no item
terceiro acima, porém todos os itens existentes devem constar no plano. De
acordo com essa Portaria, são exigidos também coletes a prova de balas para
os vigilantes, detector manual de metais (para dependências com PDM) e
vigilância armada na sala de auto-atendimento durante horário de expediente
ao público da dependência.

Universidade Corporativa BB
Gestão de Segurança 33

No Banco, a responsabilidade pela confecção do plano é da empresa de vigi-


lância que atende a dependência - com acompanhamento de funcionário co-
missionado – e a administração da unidade é responsável pelas informações
e procedimentos nele existentes.

Para a aprovação do plano de segurança, as comissões de vistoria do De-


partamento da Polícia Federal fiscalizam as condições de segurança das
instituições financeiras e empresas de segurança privada. Nas instituições
financeiras são verificados os itens citados no plano, com atenção especial à
vigilância armada (postura, procedimentos e posicionamento de acordo com o
indicado no plano) e alarme (tempo de retorno pela central de monitoramento
no teste realizado com o acionador de pânico silencioso).

A aprovação do plano de segurança é expressa por meio da emissão de por-


taria de aprovação, com validade de um ano, a contar da data de sua expe-
dição. Se constar o período de validade na própria Portaria, este prevalecerá
sobre a data de expedição.

A inexistência de plano de segurança aprovado sujeita a instituição ao paga-


mento de multa de 1.000 a 20.000 UFIR, por ocorrência, podendo chegar até
a interdição da unidade.

Quando forem constatas irregularidades ou necessidades de melhorias nos


quesitos de segurança, a empresa é notificada ou autuada pela comissão.

A instituição tem um prazo para providenciar a regularização dos itens aponta-


dos pela comissão de vistoria. Se as providências forem acatadas pela comis-
são, a portaria de aprovação do plano de segurança é expedida pela Polícia
Federal. Caso contrário, a instituição poderá apresentar defesa pela imputa-
ção. No Banco do Brasil a defesa em primeira instância é realizada pela Dijur,
para apresentação à Delegacia de Controle de Segurança Privada – Delesp.
A Delesp pode aceitar os argumentos da instituição, sugerindo o arquivamen-
to do processo gerado pela notificação ou negar o provimento à defesa, o que
enseja a abertura de processo administrativo. Em ambos os casos, a decisão
compete à Coordenação Geral Consultiva de Segurança Privada – CGCSP,
que pode arquivar os processos ou encaminhá-los à Comissão Consultiva
para Assuntos de Segurança Privada – CCASP, para julgamento.

Universidade Corporativa BB
34 Programa certificação interna em conhecimentos

A CCASP é um órgão colegiado composto pelo setor de segurança privada e


pelas agências públicas envolvidas na regulação e controle desta atividade.
É presidido pelo Diretor Executivo do DPF e conta com representantes das
seguintes instituições:

■ Comando do Exército;
■ Instituto Resseguros do Brasil;
■ Federação Brasileira dos Bancos;
■ Confederação Nacional dos Bancários;
■ Federação Nacional dos Sindicatos das Empresas de Vigilância e Trans-
porte de Valores;
■ Confederação Nacional dos Trabalhadores em Vigilância;
■ Associação Brasileira dos Cursos de Formação e Aperfeiçoamento dos
Vigilantes;
■ Associação das Empresas de Transporte de Valores;
■ Sindicato dos Empregados no Transporte de Valores e Similares do Dis-
trito Federal;
■ Associação Brasileira de Empresas de Vigilância e Segurança;
■ Federação Nacional dos Empregados em Empresas de Vigilância, Trans-
porte de Valores e Similares;
■ Associação Brasileira de Profissionais em Segurança Orgânica.

Nessa comissão são julgados os méritos objetos das notificações e autuações


e podem resultar nas penas citadas anteriormente.

Devido à sua participação direta nas questões relacionadas à segurança da


dependência, o administrador possui papel fundamental na adequação dos
processos sob sua gestão às exigências legais, de forma a evitar multas des-
necessárias à instituição.

Vigilância armada

É o serviço exigido por lei, com o objetivo de proteger instalações, bens, nu-
merário, pessoas e outros valores, contra furtos, arrombamentos, assaltos,
seqüestros etc.

Universidade Corporativa BB
Gestão de Segurança 35

O posicionamento dos vigilantes deve constar no plano de segurança. A pos-


tura ostensiva dos vigilantes influencia na avaliação que os criminosos fazem
a respeito das condições de segurança da dependência. Pode ser fator de-
terminante para que desistam de uma ação em determinada unidade e optem
por outra, considerada mais vulnerável.

O vigilante deve estar presente em todo o período que houver funcionários na


unidade, tendo em vista que os assaltos não ocorrem somente durante o ho-
rário de atendimento ao público, mas também antes e depois desse horário.

Sistema de alarme

O alarme é um equipamento de segurança eletrônico exigido por lei, com


ação preventiva e ostensiva contra assaltos, seqüestros e arrombamentos,
entre outros. Visa informar, com tempestividade, à polícia ou à central de mo-
nitoramento a investida de criminosos ou a presença de pessoas em ambiente
(ou horário) não permitido, por meio de um canal de comunicação (telefone,
rede de dados ou rádio).

O sistema de alarme pode ser disparado por meio de acionadores de pânico


silenciosos - fixos ou remotos -, senhas de pânico (ou de coação) para desa-
bilitar o sistema de alarme indicativas de o usuário encontrar-se sob coação,
ou sensores de presença.

Os acionadores podem ser botoeiras fixas, instaladas em ambientes estrate-


gicamente definidos, ou remotos, distribuídos entre os vigilantes e funcioná-
rios.

Os sensores podem ser de vários tipos, tais como:


■ passivo: a detecção se dá por calor e movimento, combinando raio in-
fravermelho com microondas;
■ ativo: composto por módulo emissor e módulo receptor de luz infraver-
melha, que dispara quando há o corte do feixe;
■ magnético: composto por duas partes de metal, utilizado geralmente
em portas e janelas, fixando-se uma das partes na esquadria e a outra
na folha. A detecção se dá pelo afastamento das partes do sensor, devi-
do à abertura da porta, por exemplo.

Universidade Corporativa BB
36 Programa certificação interna em conhecimentos

■ sísmico: também conhecido como sensor de choque. Esse dispositivo


capta e analisa vibrações decorrentes de ataques às estruturas onde
está instalado. As vibrações são avaliadas segundo critérios de ampli-
tude, freqüência e tempo de atuação. Quando a vibração captada for
classificada como um ataque, o sensor emite sinal de alarme.

Para garantir melhores condições de segurança, o sistema de alarme permite


que sejam configurados setores diferentes, resultando em programações dis-
tintas conforme a necessidade de segurança de cada ambiente.

Os disparos acidentais são os grandes vilões do sistema, tendo em conta


que causam transtornos à vizinhança, geram prejuízos decorrentes de taxa
de atendimento a chamada indevida (cobrada pela polícia em algumas locali-
dades). Além disso, provocam descrédito do sistema junto à polícia, podendo
resultar em graves conseqüências para as pessoas e para a empresa, nos
casos de real necessidade.

Outros dispositivos

■ Porta com detector de metais - PDM

Equipamento preventivo e de ação ostensiva que concilia dispositivo capaz de


identificar massa metálica por meio de um campo magnético, com mecanismo
que trava a porta, impedindo o acesso de pessoas em áreas protegidas. Tais
equipamentos previnem principalmente assaltos às unidades e seqüestros de
funcionários e seus familiares.

De acordo com a Portaria 387/2006 da Polícia Federal, os estabelecimentos


financeiros nos quais o acesso é realizado por meio de porta com detector de
metais, devem possuir também o detector manual de metais.

Além da porta giratória, existe a eclusa que também detecta massa metálica e
possui sistema de travamento. É um pequeno ambiente, dotado de duas por-
tas para o controle de acesso. As portas são intertravadas, ou seja, a abertura
de uma só é possível mediante o fechamento da outra.

O portal é um equipamento também utilizado no controle de acesso, mas ape-


nas detecta a massa metálica. Diferentemente da PDM, o portal não bloqueia

Universidade Corporativa BB
Gestão de Segurança 37

a passagem de pessoas ou objetos. Portanto, deve ser utilizado em locais


dotados de outros mecanismos de bloqueio ou supervisionados. Exemplo de
utilização supervisionada são os portais para acesso às salas de embarque
dos aeroportos.

No Banco do Brasil são utilizados os três equipamentos – portal, eclusa e por-


ta giratória – conforme o tipo de dependência ou ambiente. Tais equipamentos
devem ser testados diariamente antes do início do expediente ao público, com
a passagem do vigilante armado, sob acompanhamento de funcionário do
Banco.

■ Circuito fechado de televisão - CFTV

É um sistema eletrônico de segurança dotado de câmeras e de sistema de


gravação. O equipamento tem função preventiva e ostensiva, com o objetivo
de inibir e identificar agentes de ocorrências irregulares, tais como assaltos,
seqüestros, arrombamentos, fraudes, furtos etc. Deve permanecer em funcio-
namento ininterrupto e ser instalado em rack próprio.

Para a gravação noturna o sistema pode utilizar câmeras especiais (infraver-


melho, day/night) ou utilizar sensores para acionar a iluminação do ambiente.
Por meio da interligação dos sensores à iluminação, as luzes são acesas
sempre que alguma presença for detectada, possibilitando a gravação das
imagens do local.

Os sensores de iluminação auxiliam na inibição de ações irregulares por cau-


sar surpresa e a indicação, ao invasor, de vigilância e monitoramento do am-
biente.

■ Fechadura eletrônica de tempo programável

Equipamento que permite programação do horário para a abertura do cofre.


Possui também função que retarda a abertura em 15 minutos, no mínimo,
para uso durante o expediente. Por esse motivos, são conhecidas como fe-
chaduras de retardo e são importantes para a prevenção de assaltos, seqües-
tros e arrombamentos.

Essas fechaduras possuem a função de auditoria, que permite armazenar e


disponibilizar os registros de programação de abertura, tempo de porta aberta

Universidade Corporativa BB
38 Programa certificação interna em conhecimentos

e todos as demais transações realizadas pelo equipamento e usuários.


O uso deste equipamento no Banco do Brasil é obrigatório e deve ser insta-
lado em todos os cofres e casas fortes utilizados para guarda de numerário e
outros valores.

■ Escudo blindado

É um anteparo blindado, com visor, atrás do qual se posiciona o vigilante.


Deve ser localizado em local estrategicamente definido e indicado no plano
de segurança.

O uso de escudos blindados, pelo Banco, está sendo reduzido.

■ Controle de acesso

É a solução de segurança que visa identificar, permitir ou negar o acesso (en-


trada ou saída) de pessoas, veículos ou objetos à (ou de) áreas com acesso
restrito e controlado. O sistema utiliza critérios pré-configurados para a iden-
tificação e registra todos os eventos da utilização diária (cadastramento de
usuários, acessos, tentativas de acesso não autorizado, entre outros).

A concessão de acesso deve permitir configurações variadas para que pes-


soas diferentes possam ter acessos a ambientes distintos, conforme o nível
de criticidade de cada um e a atividade desenvolvida na empresa. O controle
também pode limitar o acesso por faixas de horário, dias específicos e confi-
gurações afins.

Os sistemas podem ser manuais, semi-automáticos e automáticos e utilizam


critérios de verificação. Os mais modernos são automáticos e os critérios de
verificação mais usuais são senhas, cartões e dados biométricos. Para cada
critério é necessário o coletor de dados específico. Por exemplo, utilizam-se
teclados para coletar senhas, leitoras de cartões para ler os dados gravados
e leitores de características biométricas para ler as impressões digitais, geo-
metria de mão, leitura de retina ou íris, timbres vocais etc. Também é possível
conjugar vários critérios para elevar o nível de identificação; neste caso, é
necessário que os critérios, em conjunto, resultem na identificação positiva do
usuário.

Universidade Corporativa BB
Gestão de Segurança 39

Exemplo
Para o usuário receber a autorização de acesso a determinada área,
ele digita sua senha e registra sua impressão digital. O sistema
deve validar conjuntamente ambos os critérios para considerar a
identificação positiva e conceder o acesso solicitado.

Para o controle de veículos e objetos, o sistema normalmente aplicado é o


AVI-TAG (de proximidade e RFID – identificação por rádio freqüência). São
etiquetas (tag ou adesivo) que armazenam dados e permitem a identificação
do veículo ou bem.

O tag instalado em veículos é um transponder (feixe de canais de comunica-


ção que funciona como repetidora) que é lido à distância. Quando o veículo
entra em uma zona de leitura, o dispositivo do veículo troca informação com o
leitor. Se a informação for positiva, a cancela é aberta. Como exemplo existem
os sistemas de cancelas automáticas instaladas em pedágios de rodovias,
que abrem automaticamente para veículo autorizado, detentor do tag.

O controle de veículos também pode ser por meio de cartões de proximidade,


utilizado pelos motoristas em cancelas.

Os objetos controlados, como notebooks, por exemplo, utilizam tag adesivos


para serem identificados.

No conceito de controle de acesso, existem também os equipamentos de de-


tecção: detector de explosivos, detector de metais e equipamentos de inspe-
ção por raio X.

O sistema se complementa com as barreiras físicas, para que a pessoa, o


veículo ou o objeto seja impedido de passar pelo ponto de controle (porta,
portão etc.). As barreiras mais conhecidas e utilizadas nas organizações são
as roletas, catracas, torniquetes, portas diversas, cancelas e fechaduras ele-
tromagnéticas ou eletromecânicas.

Universidade Corporativa BB
40 Programa certificação interna em conhecimentos

Lista de Verificação de Segurança – LVS

É um instrumento de controle e gestão dos dispositivos de segurança das


dependências do Banco do Brasil. Seu objetivo é a elevação do nível de se-
gurança, por meio da padronização do uso, da garantia da funcionalidade dos
equipamentos e da melhoria da eficiência e qualidade dos serviços prestados
por empresas contratadas.

A LVS configura-se em uma valiosa ferramenta para gerir e planejar as con-


dições de segurança da unidade, uma vez que leva o funcionário a verificar
todos os equipamentos de segurança, cofres e terminais de auto-atendimen-
to, além de acompanhar a validade do plano de segurança e a qualidade do
serviço de vigilância armada.

2.3. PROCEDIMENTOS PREVENTIVOS

Segurança pessoal

Os procedimentos preventivos para a segurança pessoal devem fazer parte


do dia-a-dia das pessoas. A incorporação desses procedimentos traz bene-
fícios que transcendem a esfera da organização, trazendo maior segurança
para a vida particular das pessoas e dos grupos a que pertencem.
■ visão de contexto do ambiente: é imprescindível conhecer toda a re-
gião da residência e do local de trabalho, principalmente os pontos de
maior risco, a fim de evitá-los. É importante, também, saber a localiza-
ção, horários de funcionamento e as vias mais rápidas para acessar os
postos policiais, delegacias e hospitais, para os casos de necessidade;
■ residência: sempre que possível, deve ser segura (bem iluminada, com
sistema de alarme, cães de guarda, chaves tetra e trancas adicionais
nas portas e portões etc.) e bem localizada. Alguns cuidados devem ser
tomados:
► evitar a colocação de cadeado pelo lado de fora, pois demonstra a
ausência de pessoas no local;
► manter na residência uma lista com telefones de emergência, tais
como Polícia Militar, Delegacia de Polícia Civil, Corpo de Bombeiros,
hospitais, familiares e amigos a quem recorrer em face de problemas;

Universidade Corporativa BB
Gestão de Segurança 41

► não atender a porta sem a devida identificação e recusar encomen-


das, serviços e vendedores não solicitados, mesmo que estejam uni-
formizados;
► contratar empregados domésticos somente com referências anterio-

res, indicados por pessoas de confiança. Verificar e manter atualizado


o endereço do empregado e de seus parentes;
► tomar cuidado com as chaves da residência. Evitar deixá-las com em-

pregados e não utilizar chaveiros com indicações dos proprietários do


imóvel;
► não prestar informações a estranhos sobre hábitos, compromissos

pessoais e de trabalho, viagens, assuntos familiares nem sobre o


patrimônio, sobretudo se solicitadas por telefone. Orientar os empre-
gados e os familiares, especialmente as crianças, a procederem da
mesma forma;
► não entrar ou sair de casa se desconfiar da presença de pessoas ou
veículos estranhos em atitude suspeita. Neste caso, chamar a polícia
ou dirigir-se para a delegacia, ou posto, policial mais próximo;
► tomar cuidado com a realização de obras próximas à residência, por-

que pode estar servindo como um ponto de observação para os mar-


ginais.
■ caminhadas: procurar variar o percurso e o horário, mas, principalmen-
te, evitar locais pouco povoados, ruas desertas, trilhas isoladas e áreas
pouco iluminadas. Além disso, tomar outros cuidados:
► ter cautela ao cumprimentar estranhos, ser respeitoso, mas manter

distância e continuar em movimento;


► caminhar no centro da calçada e contra o sentido do trânsito, para

poder perceber a aproximação de algum veículo suspeito;


► usar pequena quantia de dinheiro para despesas com suco, água

etc.;
► evitar caminhar desacompanhado.

■ Informações: as informações podem ser as responsáveis por ações de


bandidos contra uma pessoa, sua família e a empresa em que trabalha.
Por isso, é conveniente:
► manter discrição sobre as atividades profissionais e pessoais;

► não comentar com qualquer pessoa os valores dos bens;

► ser reservado quanto às rotinas; contudo, é importante que algum

parente ou amigo de confiança saiba dos horários, para que possam


identificar possíveis situações irregulares;

Universidade Corporativa BB
42 Programa certificação interna em conhecimentos

► evitar o uso de adesivos nos veículos da família contendo nomes dos


filhos, escolas, academias e outras informações que facilitem o mape-
amento de rotinas pelos criminosos;
► orientar filhos e funcionários da residência a não darem informações

pessoais solicitadas por estranhos. As abordagens costumam ocor-


rer em paradas de ônibus, escolas, residência, portarias de prédios e
condomínios, por telefone e internet, entre outros meios;
► registrar ocorrência policial, mesmo no caso de pequenos furtos, pois

eles podem ser indícios de sondagem de hábitos para uma ação fu-
tura e mais séria.
■ viagens: as residências, principalmente casas e chácaras ficam mais
vulneráveis com a ausência de seus moradores, portanto é necessário
prevenir-se:
► solicitar a alguém de confiança que recolha possíveis correspondên-

cias, para dificultar a informação de que a casa está vazia;


► utilizar alguma lâmpada com célula fotoelétrica, para acendimento
apenas no período noturno;
► se possível, desligar a campainha;

► retirar ferramentas e escadas das áreas externas, pois podem ser usa-

das para o arrombamento;


► deixar telefone de contato com pessoas de confiança para que situa-

ções suspeitas possam ser comunicadas.


■ trânsito e veículos: quase todos os seqüestros acontecem no percur-
so residência - trabalho e vice-versa. Algumas medidas podem ajudar a
evitá-los:
► variar o trajeto, conhecer possíveis pontos de apoio em casos de ne-

cessidade, transitar por vias movimentadas e bem iluminadas;


► memorizar, nos percursos mais freqüentes, a localização de postos

policiais, telefones públicos, socorros mecânicos, hospitais e rotas al-


ternativas seguras;
► nos sinais, manter os vidros fechados e evitar a fila da esquerda. Se

possível controlar a velocidade para manter o carro em movimento;


► manter distância razoável do carro da frente, para possíveis mano-

bras, e desconfiar de pessoas pedindo ajuda;


► agir com cautela se notar estar sendo seguido. Sem despertar suspei-

ta, dirigir-se a locais mais movimentados e avisar a polícia via celular.


Procurar gravar características do veículo e ocupantes. Se o trajeto
permitir, parar num posto policial;

Universidade Corporativa BB
Gestão de Segurança 43

► não estacionar de imediato se o pneu furar em local ermo; procurar


fazê-lo em local seguro;
► procurar estacionar o veículo em locais seguros, movimentados e bem

iluminados; manter todos os objetos que possam chamar a atenção


de ladrões dentro do porta malas;
► nunca deixar pessoas dentro do carro enquanto for fazer alguma com-

pra, mesmo que rápida;


► desligar o veículo, tirar a chave da ignição, ligar o alarme e trancar o

veículo, mesmo em paradas rápidas;


► entrar ou sair do veículo com rapidez, pois as abordagens costumam

ocorrer nestes momentos.


■ relacionamentos:
► autoridades policiais e judiciárias - manter bom relacionamento, pois
pode ser útil no aspecto de segurança. Ter sempre à mão seus nú-
meros de telefones porque em caso de emergência essas pessoas
poderão ajudar;
► vizinhos de confiança também podem colaborar para a segurança da
residência; é importante ter o número de telefone para contato.

Segurança de ambientes

As orientações a seguir visam a proteção dos ambientes corporativos e das


pessoas, na situação de trabalho:
■ Tesouraria, bateria de caixas, ambiente de processamento do Servi-
ço de Atendimento Opcional - SAO, corredor de abastecimento do
Terminal de Auto-atendimento - TAA e Salas de Telecomunicações
– TC: todos os ambientes internos são restritos ao público. O controle
de acesso deve ser efetivo, para permitir a entrada apenas de pessoas
autorizadas. Os funcionários e vigilantes devem estar preparados para
abordarem ou impedirem o acesso de estranhos. Prestadores de ser-
viços podem ter acesso sempre que necessário, desde que acompa-
nhados de funcionário autorizado. As portas desses ambientes devem
permanecer trancadas e as chaves devem ficar em poder de funcionário
responsável. O acesso deve ser permitido apenas a quem trabalhe nes-
tes locais. Tais ambientes não devem servir a outra finalidade – como, por
exemplo, para localização de arquivos – a fim de diminuir o trânsito de
pessoas. Além disso, os ambientes devem estar equipados com sistema
de alarme e câmeras de CFTV para evitar e apurar ações criminosas.

Universidade Corporativa BB
44 Programa certificação interna em conhecimentos

A inobservância dessas recomendações e o descuido de funcionários


permitem a ocorrência de furtos de numerário, envelopes de depósitos
e outros objetos.
■ Sala de auto-atendimento: neste ambiente costuma haver diversas
ocorrências, desde fraude contra clientes até seqüestros. A prevenção
requer verificação de:
► terminais de auto-atendimento - TAA: existência de objetos espúrios

instalados nos TAA bem como seu fechamento (tampas e portas),


pois é necessário arrombar os terminais para a instalação de alguns
equipamentos maliciosos.
► câmeras de TV e sensores: posicionamento e possível obstrução (cha-

mado mascaramento) das câmeras e dos sensores do sistema de


alarme. Alterações do posicionamento e obstruções servem para pre-
parar o ambiente para futuro ataque, com o objetivo de dificultar ou
inibir a detecção de intrusão e a identificação dos bandidos;
► presença e movimentação de pessoas suspeitas.

Exemplo
É muito comum que criminosos “visitem” a agência durante o
expediente e preparem o ambiente para a ação criminosa em
outro horário. Eles obstruem o raio de cobertura dos sensores
de alarme e mudam o posicionamento das câmeras. De acordo
com a facilidade encontrada, os golpistas instalam equipamentos
espúrios para fraudar os clientes, tais como leitoras de cartão
magnético, teclados e monitores sobrepostos, ou em substituição,
aos equipamentos originais dos TAA.

Universidade Corporativa BB
3 Segurança da informação

Espera-se que ao final do estudo deste tema você possa:


▪ Conceituar informação e identificar o seu ciclo de vida.
• Conceituar segurança da informação.
• Descrever os princípios da segurança da informação.
• Definir política de segurança da informação e identificar as etapas
para sua implantação.
• Descrever o processo de classificação das informações.
• Identificar o modelo de classificação das informações adotado no BB.
• Conceituar controle de acesso e identificar suas finalidades.
• Identificar mecanismos de controle de acesso.
• Identificar cuidados necessários para a troca de informações em
decorrência da Lei do sigilo bancário.
• Identificar as ameaças mais comuns na troca de informações por
meio eletrônico.
• Reconhecer procedimentos e ferramentas utilizados na proteção da
informação.
Gestão de Segurança 47

3.1. Aspectos gerais

A era do conhecimento que vivenciamos hoje faz com que as informações se


configurem em um bem precioso das empresas. À medida que representa um
patrimônio de valor, as informações estratégicas passam a ser de interesse
de outras organizações concorrentes, ou de pessoas mal intencionadas que
desejam fazer uso delas para satisfazer interesses pessoais. As informações
estão sob ameaça e, com isso, a segurança tornou-se de extrema importância
para a sobrevivência das organizações.

Com o advento da informática, a proteção da informação passou a figurar


como uma das principais preocupações de grandes empresas. Na época em
que as informações eram armazenadas em papel, a segurança era relativa-
mente simples: era suficiente guardar os documentos em armários trancados
e restringir o acesso físico àquele local. Atualmente, já não é tão simples. Com
as mudanças tecnológicas e com o uso de computadores de grande porte
para armazenar informações estratégicas, a estrutura de segurança precisou
evoluir, agora englobando, além dos controles físicos, controles lógicos.

Com a chegada dos computadores pessoais e das redes integradas de com-


putadores, a informação passou a correr pelo mundo inteiro. Mas existem
aquelas informações que, por serem estratégicas, não devem ter esse nível
de exposição. Junto com a tecnologia, também evoluíram as formas de burlar
os sistemas de segurança que protegem informações sigilosas. Antes, para
alguém tomar conhecimento de um segredo de uma grande empresa, deveria
desdobrar-se para conseguir, fisicamente, chegar àquele armário trancado,
arrombá-lo e levar o documento. Hoje, para chegar ao documento virtual ar-
mazenado no computador de grande porte, o interessado não precisa sair de
casa, mas, em contrapartida, deve deter conhecimentos sobre sistemas de
proteção lógica e de como fraudá-los. Os aspectos de segurança atingiram
tamanha complexidade que há a necessidade de desenvolvimento de equi-
pes cada vez mais especializadas para sua implementação e gerenciamento.
Tudo para proteger as informações estratégicas da corporação.

A informação

Um estudo dos professores Lyman e Varian (2003) da Universidade da Ca-


lifórnia em Berkeley - “How Much Information?” - concluiu que o volume de

Universidade Corporativa BB
48 Programa certificação interna em conhecimentos

informação produzida no mundo dobrou em três anos e aumenta cerca de


30% a cada ano. De acordo com o estudo, se toda a informação anual fosse
digitalizada e dividida pelos cerca de 6,3 bilhões de habitantes do planeta,
cada pessoa seria responsável por 800 megabytes, o equivalente a uma pilha
de livros de dez metros de altura!

Os cientistas afirmam que a humanidade está sendo engolida por um oceano


de dados. Segundo a pesquisa, estima-se que em 2002 cinco hexabytes de
informação foram produzidos e estocados em meios físicos (papel, filme,
magnética e ótica) e transmitidos por telefone, televisão, rádio e internet. Os
dados apurados pela pesquisa deste ano foram comparados aos da pesquisa
de 2000, referentes a 1999.

A maior parte da informação – 92% - foi armazenada em meio digital, a maio-


ria em discos rígidos de computadores. O restante dos dados está em filme
(7%), papel (0,01%) e óptica (0,002).

A produção em papel aumentou consideravelmente: 43% em três anos. O


meio que mais perde espaço é o filme, que pode se tornar insignificante den-
tro de poucos anos. As fotos digitais também começam a superar aquelas
produzidas em filme.

A informação transmitida em meios eletrônicos — telefone, rádio, TV e inter-


net — chega a 18 hexabytes, sendo que o telefone é responsável por quase
todo esse volume (98%).

A pesquisa aponta também uma má distribuição da produção de dados no


mundo. Só os EUA produzem 40% da informação total.

O estudo justifica a convergência dos padrões de gestão de segurança da


informação em torno dos ativos de Tecnologia da Informação e ambientes
correlatos, embora o conceito de ativos de informação seja mais abrangente,
conforme mencionaremos mais adiante.

Mas o que é informação? Ela pode ser entendida como “o resultado do proces-
samento, manipulação e organização de dados de tal forma que represente uma
modificação (quantitativa ou qualitativa) no conhecimento do sistema (pessoa,
animal ou máquina) que a recebe” (www.wikipedia.org/wiki/Informação). A infor-

Universidade Corporativa BB
Gestão de Segurança 49

mação, por sua vez, gera o conhecimento, que é a informação agregada de re-
flexão e síntese (Figura 2). Percebe-se assim que a relação entre esses concei-
tos evolui para uma maior complexidade. Desse modo, Alvim (1999) considerou
o conhecimento uma informação com valor agregado e passível de aplicação.

Figura 2
Conchecimento

DADOS INFORMAÇÃO CONHECIMENTO

Assim, toda e qualquer informação é um elemento essencial para os negócios


de uma organização, já que é a base para a geração do conhecimento e para
a tomada de decisões. Portanto, deve ser preservada de acordo com sua im-
portância.

A ISO/IEC 177991 define que a informação é um ativo, terminologia oriunda


da área financeira, por ser considerada um elemento de valor para um indi-
víduo ou organização e, por esse motivo, necessita de proteção adequada.

Na concepção de Moreira (2001) ativo é “todo elemento que compõe os pro-


cessos que manipulam e processam a informação, a contar a própria infor-
mação, o meio em que ela é armazenada, os equipamentos em que ela é
manuseada, transportada e descartada”.

De acordo com a NBR ISO/IEC 17799, há muitos tipos de ativos associados


com os sistemas de informação, a saber:
■ informação: banco de dados e de arquivos, documentação de sistema,
manual de usuários, material de treinamento, procedimentos operacio-
nais ou de suporte, planos de continuidade, planos de recuperação, ar-
quivos de informação;
■ programas de aplicação, sistemas, utilitários e ferramentas de desen-
volvimento;

1
Norma internacional que descreve boas práticas de segurança aplicáveis a organizações, empregada por empre-
sas de todo mundo, inclusive pelo Banco do Brasil. A versão brasileira dessa norma, criada pela ABNT, é a NBR
ISO/IEC 17799:2001.

Universidade Corporativa BB
50 Programa certificação interna em conhecimentos

■ físicos, como equipamentos de computação (processadores, monitores,


laptops, modems), equipamentos de comunicação (roteadores, PABX,
máquinas de fax, equipamentos de telefonia), mídias magnéticas (fitas e
discos), outros equipamentos técnicos (geradores de energia, ar-condi-
cionado), móveis;
■ serviços de comunicação e computação, utilidades em geral, isto é, ca-
lefação, iluminação, energia, refrigeração;
■ pessoas e suas qualificações e conhecimentos;
■ intangíveis, tais como a reputação e a imagem da organização.

Na visão de segurança da informação, são três os elementos que compõem


os ativos:
■ as informações;
■ os equipamentos e sistemas que oferecem suporte a elas;
■ as pessoas que as criam e utilizam.

Toda informação possui um ciclo de vida. Veja o esquema na figura três:

Figura 3
Ciclo da informação

ação
Cri Us
o
Descarte

o
ent
nam
aze
Arm

Transporte

Criação: momento em que a informação é produzida. Exemplos: quando nas-


ce um novo projeto ou uma nova idéia.
Manuseio: momento em que a informação é manipulada. Exemplos: folhear
um maço de papéis, digitar informações colhidas em um site, utilizar sua se-
nha de acesso para autenticação.

Universidade Corporativa BB
Gestão de Segurança 51

Armazenamento: momento em que a informação é guardada. Exemplos:


banco de dados compartilhado, anotação de papel postada em um arquivo
físico, mídia de disquete depositada na gaveta na mesa de trabalho.
Transporte: momento em que a informação é movida de um ponto a outro.
Exemplos: encaminhar informações por correio eletrônico (e-mail), postar do-
cumento via aparelho de fax, prestar uma informação ao telefone.
Descarte: momento em que a informação torna-se inútil. Exemplos: depositar
na lixeira da empresa um material impresso, eliminar um arquivo eletrônico
em seu computador de mesa, descartar um CD com informações desatuali-
zadas.

A segurança da informação deve proteger a informação em todo o seu ciclo de


vida, para garantir a continuidade do negócio da organização.

A segurança da informação

Sendo a informação tão relevante para a sobrevivência organizacional, é es-


sencial que seja adequadamente protegida contra diversos tipos de amea-
ças.

Ferreira (2003) define Segurança da Informação como “a proteção contra um


grande número de ameaças às informações, de forma a assegurar a conti-
nuidade do negócio, minimizando danos comerciais e maximizando o retorno
de investimentos e oportunidades”. Exemplos de ameaças às informações
podem ser o acesso não autorizado, as alterações indevidas ou a própria
perda da informação. A segurança da informação compreende, portanto, um
conjunto de mecanismos de proteção frente às ameaças.

Para definição dos mecanismos de proteção são utilizados parâmetros para


identificar o nível de segurança existente e, com isto, estabelecer novos pata-
mares de segurança.

A definição dos mecanismos de proteção que serão utilizados depende do


nível de segurança pretendido. Em pequenas organizações, que possuem
um escritório com poucos funcionários, o processo de gestão de segurança
da informação é relativamente mais simples, já que os processos, o ambiente
e as pessoas são limitados. Já em grandes organizações, como é o caso do

Universidade Corporativa BB
52 Programa certificação interna em conhecimentos

Banco do Brasil, a gestão de segurança da informação torna-se complexa.


Nesses casos, a empresa deve determinar alguns pontos importantes: o que
deve ser protegido, contra o que será necessário proteger e como será
feita a proteção. Essas escolhas permitem priorizar os processos identifica-
dos como mais críticos.

Por exemplo, uma área de desenvolvimento de projetos no BB necessita de


muita proteção para suas informações, pois o lançamento de um novo produ-
to ou serviço ou o aperfeiçoamento de produtos ou serviços existentes, que
está programado para ser lançado na próxima semana não pode, de maneira
alguma, chegar às mãos da concorrência. Já em uma biblioteca do BB não é
necessário resguardar a informação, pois suas publicações - como livros, pe-
riódicos, e monografias - são colocadas à disposição de funcionários e do pú-
blico externo para consulta. O fator preponderante aqui foi o nível de sigilo das
informações. Quanto mais sigilosa, mais protegida deve ser a informação.

Outro ponto a ser considerado na definição de mecanismos de proteção é a


questão custo e benefício. Um exemplo é a implementação da criptografia em
ambientes computacionais. Tendo em vista o elevado custo dessa solução, opta-
se por, prioritariamente, proteger as informações mais sensíveis. No caso do
BB, a criptografia é utilizada para proteger as informações dos clientes (financei-
ras, cadastrais etc), porque o vazamento desse tipo de informação representa
quebra de sigilo bancário, expondo a instituição aos riscos de imagem e legal.

Princípios da segurança da informação

A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade,


Integridade e Disponibilidade -- representa os princípios que, atualmente,
orientam a análise, o planejamento e a implementação da segurança para um
determinado grupo de informações que se deseja proteger (Figura 4).

Confidencialidade: princípio que limita o acesso à informação tão somente


às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da in-
formação. Para atender a esse princípio, toda informação deve ser protegida
de acordo com o grau de sigilo de seu conteúdo, visando a limitação do seu
acesso e uso apenas às pessoas para quem ela está destinada.

Integridade: princípio que garante que a informação manipulada mantenha

Universidade Corporativa BB
Gestão de Segurança 53

todas as características originais estabelecidas pelo proprietário da informa-


ção, incluindo controle de mudanças e garantia do seu ciclo de vida (cria-
ção, manuseio, armazenamento, transporte e descarte). Para atender a esse
princípio, toda informação deve ser mantida na mesma condição em que foi
disponibilizada por quem a criou. Deve estar protegida contra alterações inde-
vidas, sejam intencionais ou acidentais.

Disponibilidade: princípio que garante que a informação esteja ao alcance


do usuário, quando necessário. Para manter a disponibilidade é necessária a
prestação contínua de determinado serviço (como, por exemplo, o acesso a
um banco de dados), sem interrupção no fornecimento de informações.

Figura 4
Princípios da segurança da informação

INFORMAÇÃO
CONFIDENCIALIDADE

DISPONIBILIDADE
INTEGRIDADE

Outros requisitos importantes são o não-repúdio e a autenticidade.

Se não der a devida atenção à segurança de suas informações, a organização


pode chegar a inviabilizar a própria continuidade. Nesse sentido, proteger re-
cursos da empresa (os chamados ativos) tem a finalidade de diminuir o nível
de exposição aos riscos existentes em todos os ambientes (físicos e virtuais)
para que a empresa possa garantir o atendimento dos objetivos do negócio.

Segurança da informação e risco operacional

A segurança da informação contribui para evitar a ocorrência de riscos opera-


cionais aos quais a empresa está sujeita.

Universidade Corporativa BB
54 Programa certificação interna em conhecimentos

A informação permeia todos os ambientes da organização e constitui a base


do próprio negócio. Como outros ativos, pode ser alvo de ameaças que im-
pactam os resultados da organização. O vazamento de informações sigilosas,
o comprometimento de arquivos informatizados em decorrência da infecção
dos computadores por vírus, a impossibilidade de acessar e utilizar uma in-
formação necessária à conclusão de um negócio podem ser exemplos de
ocorrências de risco operacional.

Assim, ao assegurar os princípios da confidencialidade, integridade e disponi-


bilidade das informações, os mecanismos de segurança da informação evitam
a ocorrência de incidentes responsáveis por perdas operacionais.

3.2. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Muitas organizações têm considerado a segurança da informação como uma


prioridade. Para auxiliar em uma correta gestão do processo de segurança
da informação, o desenvolvimento de uma política configura-se ponto crucial
para que as medidas de segurança a serem implementadas tenham coerência
entre si. Permite também que seja criado um plano que sirva como norteador,
evitando iniciativas isoladas que, muitas vezes, desperdiçam recursos e têm a
sua efetividade comprometida pela falta de uniformidade e coesão.

Pode-se definir a política de segurança da informação - PSI como um docu-


mento que consolida os princípios balizadores da gestão de segurança de
informações. A observância da política é dever de todos os funcionários de
todos os níveis hierárquicos, inclusive prestadores de serviços terceirizados.
A PSI deve ser formalizada e divulgada a todos os usuários das informações
corporativas.

De acordo com Ramos (2006), “em linhas gerais, a política resume os princí-
pios de segurança da informação que a organização reconhece como sendo
importantes e que devem estar presentes no dia-a-dia de suas atividades”.

A partir do desenvolvimento da PSI, é possível traçar diretrizes, normas e pro-


cedimentos para a implementação da segurança da informação.

Para perceber a importância de uma política de segurança, as pessoas pre-

Universidade Corporativa BB
Gestão de Segurança 55

cisam conhecer e compreender integralmente as conseqüências de violação


da política ao expor sistemas críticos a atacantes criminosos, ou causar dano
não intencional a outras organizações.

Desenvolvimento da PSI

Para o estabelecimento de uma política, deve-se levar em conta:


■ riscos associados à falta de segurança;
■ benefícios;
■ custos de implementação dos mecanismos.

Procedimentos de segurança não devem ser implementados sem uma polí-


tica formalmente definida, sob pena de perda da uniformidade e coesão dos
processos.

A Política de Segurança de Informação, bem como as diretrizes, as normas e


os procedimentos dela decorrentes devem ser:
■ simples;
■ compreensíveis;
■ homologados pela alta administração;
■ estruturados de forma a permitir sua implantação por fases;
■ alinhados com as estratégias de negócio da empresa, padrões e proce-
dimentos já existentes;
■ orientados aos riscos (qualquer medida de proteção das informações
deve estar direcionada para os riscos que impactam a empresa);
■ flexíveis, isto é, moldáveis às novas demandas da tecnologia e do negó-
cio, dentre outros;
■ positivos e não apenas concentrados em ações proibitivas ou punitivas.

Além do foco inerente de prevenção, a PSI é um indicativo para a continuida-


de e sistematização das orientações de segurança. A elaboração de uma PSI
pressupõe metodologia criteriosa e técnica, de modo a observar as caracte-
rísticas do negócio.

A PSI dá o direcionamento estratégico; as normas são criadas a partir dela e


detalham situações, ambientes e processos específicos da empresa, forne-
cendo orientação para a armazenagem, uso, transporte e descarte adequa-
dos das informações. A quantidade dessas normas varia de acordo com o

Universidade Corporativa BB
56 Programa certificação interna em conhecimentos

tamanho da empresa e de seus processos. A partir dessas normas são cria-


dos procedimentos operacionais, que detalham as tarefas diárias e contém
um passo-a-passo para realizar essas tarefas com segurança. Em relação às
normas, os procedimentos de segurança da informação tendem a ser ainda
em maior quantidade (Quadro 5).

Quadro 5
Exemplo da cadeia Política, Diretriz, Norma e Procedimento.

Política Os acessos às informações são concedidos ao funcionário


do Banco por imposição de suas funções e atribuições ou por
determinação legal.
Diretriz Nos sistemas de controle de acesso, cada usuário é identi-
ficado individualmente e é responsável, juntamente com o
administrador que concedeu esse direito, pelas atividades
realizadas sob seu código de identificação.
Norma Somente os Administradores de Acessos das Unidades Es-
tratégicas podem criar e manter pacotes de transações para
utilização em sua Unidade e em dependências subordina-
das.
Procedimentos 1) Avalie a necessidade de disponibilização de uma transa-
ção para o exercício das funções e da gestão administrativa
da dependência solicitante.
2) Certifique-se que a solicitação de liberação de transação
para uma determinada dependência foi assinada por funcio-
nário de nível gerencial ou por representante legal da institui-
ção conveniada.
3) Utilize a OPÇÃO 1.22 do Sistema ACESSO.
4) ....
Fonte: Normativos internos

Devido a tantas especificidades, é um grande desafio implementar e dissemi-


nar uma PSI com todos os seus componentes. Por isso, para gerenciar a PSI, a
organização deve possuir uma área responsável especificamente para desem-
penhar essa tarefa. É ela que deve iniciar o processo de elaboração da política
de segurança de informações, bem como coordenar sua implantação, aprová-
la e revisá-la, além de definir responsabilidades relativas ao cumprimento das
normas de segurança que englobam todas as áreas da organização.

Apesar de existir uma área específica para gerenciamento da PSI, as deci-

Universidade Corporativa BB
Gestão de Segurança 57

sões quanto à definição, implantação e revisão da PSI devem ser colegiadas.


É importante o envolvimento de todos os funcionários, de modo a sentirem-se
co-responsáveis pela proteção das informações com as quais interagem no
dia-a-dia e, conseqüentemente, pela segurança e continuidade do negócio da
organização.

Etapas da implantação da PSI

O processo de desenvolvimento e implantação da política, das diretrizes, das


normas e procedimentos de segurança da informação é, geralmente, dividido
em quatro fases. O quadro seis procura sintetizar essas fases.

Quadro 6
Etapas da implantação da PSI

FASE ALGUMAS ETAPAS

Levantamento de informações Obtenção de informações quanto ao ambiente


de negócios.
Obtenção de informações sobre o ambiente
tecnológico.

Desenvolvimento do conteúdo da Atribuição de regras e responsabilidades.


política e das normas de segurança Gerenciamento da política de segurança.
da informação

Elaboração dos procedimentos de Pesquisas sobre as melhores práticas em


segurança da informação segurança da informação.
Formalização dos procedimentos para integrá-
los às políticas corporativas.

Revisão, aprovação e Revisão e aprovação da política, das normas e


implementação da política, das procedimentos de segurança da informação.
normas e procedimentos de Efetiva implantação das políticas, normas e
segurança da informação. procedimentos de segurança da informação.

Fonte: Ferreira e Araújo (2006), com adaptações.

O melhor momento para se desenvolver a PSI é antes que qualquer vulne-


rabilidade seja explorada. Contudo, nem sempre é o que ocorre. Algumas
empresas se viram obrigadas a implementar uma política de segurança da
informação após um vazamento significativo de informações ou a partir de um
sério problema de indisponibilidade do seu serviço na internet. Embora não
seja ideal, é possível a criação de uma PSI após um incidente. Nesta circuns-
tância, deve-se procurar não priorizar a adoção de medidas de segurança
exclusivas para a solução ou minimização do impacto do incidente, buscando

Universidade Corporativa BB
58 Programa certificação interna em conhecimentos

entender o negócio e procurar agir de forma proativa em relação a outros


possíveis riscos.

É importante, ainda, que a PSI esteja permanentemente acessível a todos,


principalmente porque a não observância da política acarreta sanções. Quan-
do se identifica alguma violação da política, devem ser averiguadas as causas,
conseqüências e circunstâncias em que ocorreu. Isso porque certas violações
ocorrem devido a um simples acidente ou erro, mas também podem ser fruto
de negligência ou de uma ação deliberada e fraudulenta. A averiguação possi-
bilita que vulnerabilidades, até então desconhecidas pelos responsáveis pelo
gerenciamento da segurança da informação, passem a ser consideradas. Es-
ses fatos também podem até acarretar alteração da PSI.

Em casos específicos de violação de alguma premissa, a própria Política de


Segurança de Informações prevê os procedimentos a serem adotados: nor-
malmente abre-se um inquérito administrativo e a punição pode ser desde
uma simples advertência até uma ação judicial, dependendo da criticidade do
fato ocorrido.

CURIOSIDADE
Normas sobre PSI para a Administração Pública Federal

O Decreto n.º 3.505, de 13 de junho de 2000, instituiu a Política de


Segurança da Informação nos órgãos e entidades da Administra-
ção Pública Federal. Em linhas gerais, os objetivos traçados nessa
PSI dizem respeito à necessidade de capacitação e conscientiza-
ção das pessoas lotadas nos órgãos e entidades da Administração
Pública Federal quanto aos aspectos de segurança da informação
e à necessidade de elaboração e edição de instrumentos jurídicos,
normativos e organizacionais que promovam a efetiva implementa-
ção da segurança da informação.

Adaptado do TCU (2007) – Boas práticas em Segurança da Informação

3.3. GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Na gestão de segurança da informação são observados dois principais temas:


a classificação das informações e controle de acesso.

Universidade Corporativa BB
Gestão de Segurança 59

Classificação das informações

Segundo Ferreira e Araújo (2006), classificação das informações é “o processo


de estabelecer o grau de importância mediante seu impacto no negócio”. Ou
seja, quanto mais estratégica e decisiva para a manutenção ou sucesso da or-
ganização, maior será sua importância. A importância da informação está dire-
tamente ligada ao aspecto da confidencialidade: quanto maior a importância,
maior o sigilo da informação (Quadro 7). A classificação deve ser feita em qual-
quer meio de armazenamento, físico ou lógico, e no momento de sua criação.

Quadro 7
Classificação das informações

Classificação Atividade pela qual se atribuirá o grau de sigilo às informa-


ções seja em meios eletrônicos, sejam impressos.

Proprietário Área responsável pela gestão da informação.

Custodiante Área responsável por assegurar que as informações estão


protegidas de acordo com a classificação estabelecida pelo
proprietário.

Perfil de acesso Definição dos direitos de acesso às informações, transações,


em meios eletrônicos ou impressos de acordo com a classifi-
cação.
Fonte: Ferreira e Araújo (2006), com adaptações

É fundamental classificar a informação de acordo com seu real valor e grau


de sensibilidade para aplicar o nível de segurança adequado. Um sistema de
classificação ideal deve ser:
■ simples de entender e administrar;
■ efetivo para determinar o nível de proteção que deve ser dado à informa-
ção;
■ aplicável uniformemente por toda a organização.

Os principais ativos de informação devem ter um “proprietário” definido. Res-


ponsabilidade pelos ativos ajuda a assegurar que a proteção adequada seja
mantida. Devem ser identificados “proprietários” para os principais ativos e
atribuir-lhes a responsabilidade pela manutenção de controles adequados.

As classificações e os controles de proteção associados à informação devem

Universidade Corporativa BB
60 Programa certificação interna em conhecimentos

considerar as necessidades do negócio quanto ao compartilhamento ou restrição


da informação e os impactos nos negócios associados a tais necessidades.

É importante que um conjunto adequado de procedimentos seja definido para


a informação rotulada e que haja tratamento de acordo com o esquema de
classificação adotado pela organização.

A classificação da informação deve ser observada por todo o ciclo de vida


da informação e deve ocorrer quando da sua criação. No caso de dúvida,
deve ser empregada a classificação mais alta e mais segura, conforme a ISO
17799. Um dos itens a ser considerado neste processo é a determinação do
proprietário, que é o responsável pela definição do nível de criticidade e pelo
auxílio na escolha do meio de proteção.

Um grande desafio que as organizações enfrentam é estabelecer quais infor-


mações devem ser classificadas, efetivamente, como altamente sigilosas, de
acesso limitado. Isto porque, existe uma tendência a considerar que todas as
informações que trabalhamos na organização são muito sigilosas.

Para classificar a informação é necessário conhecer o negócio da organiza-


ção, compreender os processos e atividades realizadas.

Fatores especiais, incluindo exigências legais, devem ser considerados no


momento de estabelecer a classificação. Em instituições financeiras, por
exemplo, diante da obrigatoriedade do sigilo das transações financeiras reali-
zadas pelos clientes, o extrato bancário assume alto grau de sigilo.

Após a classificação das informações, deve-se elaborar e implementar pro-


cedimentos para o monitoramento contínuo de modo a prevenir a violação da
informação.

No Banco, a classificação das informações é realizada por todos os níveis da


organização, notadamente pelas Unidades Estratégicas (Diretorias gestoras).

Níveis de classificação

Deve-se evitar níveis excessivos de classificações e é recomendado que cada


classificação seja de fácil compreensão e claramente descrita para demons-
trar a diferenciação entre os níveis.

Universidade Corporativa BB
Gestão de Segurança 61

De acordo com Ferreira e Araújo (2006), as seguintes classes de informação


já são consideradas suficientes para uma boa gestão da informação:
■ informação pública: são aquelas que não necessitam de sigilo algum,
podendo ter livre acesso para os colaboradores. Não há necessidade de
investimentos em recursos de proteção. São informações que se forem
divulgadas fora da organização não trarão impactos para os negócios;
■ informação interna: o acesso externo às informações deve ser evitado.
Entretanto, se esses dados tornarem-se públicos, as conseqüências não
serão críticas;
■ informação confidencial: as informações desta classe devem ser con-
fidenciais dentro da organização e protegidas do acesso externo. Se al-
guma delas for acessada por pessoas não autorizadas as operações da
organização poderão ser comprometidas, causando perdas financeiras
e na competitividade.

O BB classifica as informações em duas categorias e quatro classes, confor-


me quadro oito.

Quadro 8
Classificação das informações no BB

Pública Informação que pode ser divulgada sem


$10 restrição ou por imposição legal e que não
sujeita o Banco a riscos.
Não-sensível Interna Informação que pode ser divulgada sem
$20 restrição para o público interno ou para o
público externo com base em interesse ne-
gocial, observando-se as normas internas.
Restrita Informação que requer cuidados especiais
$30 quanto à preservação das suas proprie-
dades e cuja divulgação indevida sujeita o
Banco a riscos significativos.
Sensível Crítica Informação cuja preservação das suas pro-
$40 priedades é fundamental para a continuida-
de dos negócios do Banco e de seus obje-
tivos ou que a divulgação indevida sujeita a
Instituição a riscos elevados.

Fonte: normativos internos

Universidade Corporativa BB
62 Programa certificação interna em conhecimentos

CURIOSIDADE
Classificação adotada pelo governo brasileiro:
■ Ultra-secreto
■ Secreto
■ Confidencial
■ Reservado

Acessos aos sistemas, redes e aplicativos.

Os controles lógicos de acesso aos recursos de tecnologia da informação (TI)


são barreiras que impedem ou limitam o acesso à informação por pessoa ou
processo não autorizado.

Os controles de acesso lógico têm o propósito de assegurar que:


■ apenas usuários e processos autorizados tenham acesso aos recursos;
■ os usuários tenham acesso apenas aos recursos realmente necessários
para a execução de suas atividades;
■ o acesso a recursos críticos seja constantemente monitorado e restrito;
■ os usuários sejam impedidos de executar transações incompatíveis com
a sua função.

Conforme Ferreira (2003), “o controle de acesso pode ser resumido em ter-


mos de funções de identificação e autenticação de usuários, gerenciamento
e monitoramento de privilégios, limitação e desabilitação de acessos e na
prevenção de acessos não autorizados”.

O processo de verificação da identidade do usuário é chamado de autentica-


ção e é baseado em até três fatores que podem identificar exclusivamente um
indivíduo. São eles:
■ conhecimento: o que a pessoa sabe (por exemplo, uma senha);
■ posse: o que a pessoa tem (por exemplo, um token USB ou um smart-
card);
■ característica física: quem é a pessoa (por exemplo, biometria).

Universidade Corporativa BB
Gestão de Segurança 63

O custo e a efetividade de um sistema de controle de acesso dependem da


conjugação desses três fatores.

Nos sistemas informatizados atuais, a autenticação do usuário (login, por


exemplo) é o primeiro passo para o seu acesso a uma rede ou transação ele-
trônica. É composta pela identificação do usuário (uma chave) e pela prova de
sua legitimidade (senha). Se implementadas corretamente, as senhas podem
oferecer um bom nível de segurança. Porém, para proteger dados críticos, é
necessária uma autenticação mais forte.

A autenticação forte requer a apresentação de dois ou mais fatores, ou seja,


algo que você sabe, uma senha, e algo que possui, um token, smartcard etc.

Em geral, apenas um fator de autenticação não é suficiente. Por exemplo,


senhas dependem do conhecimento que apenas uma pessoa autorizada de-
veria ter. Uma pessoa não autorizada que consegue a senha de outra também
pode conseguir o acesso às informações seguras. Contudo, se a autenticação
do usuário for baseada na combinação de duas ou mais características, o
acesso não autorizado se torna mais difícil.

Atualmente, existem diversas tecnologias de autenticação que combinam as


características descritas acima para fornecer diferentes graus de equilíbrio en-
tre segurança, usabilidade e custo. A lista a seguir descreve algumas formas
de autenticação do mercado e explica como elas podem ajudar o usuário:
■ smartcard: é um tipo de token que, quando usado apropriadamente,
oferece autenticação forte para operações de credenciais e criptografia
que são reunidas dentro de um chip de smartcard. Smartcards também
podem fornecer segurança limitada e armazenamento portátil, que po-
dem ser usados para transportar seguramente credenciais e chaves de
usuários.
■ token USB: é um dispositivo externo conectado a uma porta USB ou
outra interface que usa um chip de segurança integrado para proteger
credenciais e funções de criptografia críticas. Os tokens USB também
podem fornecer segurança limitada e armazenamento portátil, que po-
dem ser usados para transportar seguramente credenciais e chaves de
usuários.
■ impressão digital biométrica: usa a tecnologia de leitura de impressão

Universidade Corporativa BB
64 Programa certificação interna em conhecimentos

digital para oferecer uma alternativa mais conveniente para senhas e


tokens. Porém, a tecnologia biométrica também é suscetível a fatores
externos inevitáveis como cortes, dedos molhados, alta umidade etc.
Isso pode resultar em alta incidência de falsos negativos, causando in-
satisfação para os usuários.

Após a autenticação do usuário passamos à etapa de autorização para acesso


às funcionalidades dos recursos computacionais, ou seja, os seus privilégios.
Em segurança da informação, existe o conceito do privilégio mínimo, onde
o usuário deve ser autorizado a acessar os sistemas indispensáveis para a
realização de suas atividades de acordo com a expectativa da empresa para
sua função.

O processo de autorização decide se uma pessoa, programa ou dispositivo


tem permissão para acessar determinado dado, programa de computador ou
serviço. A maioria dos sistemas operacionais modernos possui processos de
autorização. Após um usuário ser autenticado o sistema de autorização verifi-
ca se foi concedida permissão para o uso de determinado recurso. As permis-
sões são normalmente definidas por um administrador do sistema na forma
de políticas de aplicação de segurança, com base no princípio do privilégio
mínimo, lembrando que os usuários terão permissão apenas para acessar os
recursos necessários para a realização de suas tarefas.

Como exemplo, um funcionário da área de marketing de uma instituição fi-


nanceira deve ter acesso a sistemas relacionados à sua área de atuação;
adicionalmente, deve ter acesso compatível ao cargo que ocupa. Em uma
agência, todos os funcionários possuem acesso à agência de notícias, assun-
to de interesse de todos. Mas, só aqueles que trabalham com contratação de
operações de crédito pessoa jurídica têm acesso à opção de realizar a análise
de determinado cliente. E só o comitê de administração da agência possui
acesso para despachar essas operações.

No Banco do Brasil, as autorizações nos sistemas e aplicativos são conce-


didas pelos administradores de acesso de cada dependência. A eles cabe a
tarefa de habilitar o acesso aos usuários para cada um dos recursos de TI e
também de retirar as autorizações quando não forem mais necessárias ao
usuário para o desempenho de suas funções.

Universidade Corporativa BB
Gestão de Segurança 65

Esta desabilitação está relacionada com o desligamento de funcionários e co-


laboradores e também com mudanças de áreas de atuação. Um funcionário,
gerente de contas de agência, ao ser promovido para uma Diretoria, terá uma
série de acessos desabilitados e novos acessos concedidos em conseqüên-
cia dessa promoção.

Mesmo com os mecanismos de controle de acesso, ainda é possível existir


acessos por pessoas não autorizadas. Uma medida de segurança utilizada
para prevenir acessos de usuários não autorizados é o bloqueio da senha
incorreta depois de determinado número de tentativas. Outra boa medida é
disponibilizar ao usuário, após sua entrada no sistema, um relatório contendo
as últimas tentativas de acesso realizadas em sua conta, os chamados log3.
Assim, o usuário consegue identificar tentativas de uso não autorizado de seu
login e comunicar à área de segurança.

Senhas: cuidados especiais

Dentre as políticas utilizadas pelas grandes corporações, a composição da


senha, ou password, é a mais controversa. Por um lado profissionais com
dificuldade de memorizar varias senhas de acesso, por outro, funcionários
displicentes que anotam a senha sob o teclado ou gavetas e, em casos mais
graves, no monitor.

Assim, para se obter a segurança que as senhas podem proporcionar, o re-


quisito fundamental é a conscientização dos colaboradores quanto ao uso e
manutenção adequados das senhas.

Recomenda-se, também, a adoção das seguintes regras para minimizar o


problema:
■ senha com data para expiração: adota-se um padrão definido onde a
senha possui prazo de validade com 30 ou 45 dias, obrigando o colabo-
rador ou usuário a renovar sua senha;
■ inibir a repetição: adota-se por meio de regras predefinidas que uma
senha uma vez utilizada não poderá ter mais que 60% dos caracteres
repetidos. Por exemplo, a senha “123senha” ao ser renovada só poderá

3
Conjunto de registros que lista as atividades realizadas por uma máquina ou usuário específico. Um único registro
é conhecido como ‘registro de log’. Em termos de segurança, os log são usados para identificar e investigar as
atividades suspeitas e estudar as tentativas (ou os sucessos) dos ataques, para conhecimento dos mecanismos
usados e aprimoramento do nível de eficiência da segurança.

Universidade Corporativa BB
66 Programa certificação interna em conhecimentos

ter até 60% desses caracteres. A nova senha poderá ser “456seuze”,
repetindo-se apenas os caracteres “s” e “e”; os demais são diferentes.
■ obrigar a composição com número mínimo de caracteres numéri-
cos e alfabéticos: define-se obrigatoriedade de quatro caracteres alfa-
béticos e quatro caracteres numéricos como, por exemplo, 1s4e3u2s. É
possível, também, determinar a posição: os quatro primeiros caracteres
devem ser numéricos e os quatro subseqüentes alfabéticos, por exem-
plo, 1432seuz.
■ criar um conjunto possíveis senhas que não podem ser utilizadas:
monta-se uma base de dados com formatos conhecidos de senhas e proibi-
se o seu uso. Por exemplo: proibir senhas com os formatos DDMMAAAA
ou 19XX, 1883emc ou I2B3M4 etc. Ou, ainda, se o usuário chamar-se José
da Silva, proibir senhas com partes do nome como 1221jose , 1212silv etc.

É importante que também os usuários adotem cuidados em relação às senhas


como, por exemplo, a escolha de senhas seguras. Mas como escolher uma
senha segura? Primeiramente, deve-se evitar o uso de senhas muito curtas
ou muito longas. As senhas muito longas normalmente obrigam os usuários
a escrevê-las em um pedaço de papel para lembrá-la. Também é necessário
ter mais de uma senha para operar diversos sistemas já que o uso da mesma
senha em sistemas distintos é uma prática vulnerável. Por exemplo, se você
utiliza sua senha para acesso à sua conta corrente igual àquela para realizar
compras on-line ou igual à utilizada para acessar sua revista on-line, a quebra
de sigilo de alguma delas pode implicar em vulnerabilidades nos demais sites.
Normalmente, quando um invasor descobre uma senha, a tendência é testá-la
em outros sistemas.

Os usuários devem evitar a composição de senhas com os seguintes elementos:


■ nome do profissional;
■ número igual ao da conta de usuário;
■ nomes de membros da família ou amigos;
■ nomes de lugares;
■ nome do sistema operacional ou da máquina que está sendo utilizada;
■ datas;
■ números de telefone, cartão de crédito, carteira de identidade ou de ou-
tros documentos pessoais;
■ placas ou marcas de carro;
■ letras ou números repetidos;

Universidade Corporativa BB
Gestão de Segurança 67

■ letras seguidas do teclado (asdfg, yuiop, etc);


■ objetos ou locais que podem ser vistos a partir da mesa do usuário.

É conveniente, também, que a senha, sempre que possível, não contenha


menos do que seis caracteres.

Para que uma senha seja considerada segura, é necessário seguir algumas
regras. Conforme Moreira (2001), para serem consideradas seguras, as se-
nhas devem ter no mínimo:
■ letras maiúsculas e minúsculas;
■ dígitos e/ou sinais de pontuação no meio;
■ sete caracteres alfanuméricos.

Precisam, também, ser fáceis de lembrar, de forma que não seja necessário
escrevê-las.

Uma senha segura pode ser formada por duas palavras pequenas intercaladas
por um dígito ou um caractere especial (exemplo: uma-casa; senha9boa).

Ou, ainda, por meio das iniciais de cada palavra de uma frase com fatos im-
portantes para o usuário, como do quadro nove.

Quadro 9
Exemplos de senhas seguras
Frase Senha
Em 2010 apresentarei esta dissertação na UFMG. E10AEDNU
Pagarei meu aluguel dia 20, todo mês. PMAD20,TM
Meu time de futebol foi campeão em 2003 MTDFFCE03
Fonte: Moreira (2001), com adaptações.

3.4. NORMAS E PROCEDIMENTOS PARA A TROCA DE INFORMAÇÕES

Acordos para a troca de informações

É comum vermos noticiado na mídia que países firmam alianças de coopera-


ção. Uma das possíveis formas de cooperar entre si é a promoção de acordos
para troca de informações. Além de países, instituições também podem reali-
zar esse tipo de intercâmbio. Hoje, por exemplo, o Ministério Público Federal

Universidade Corporativa BB
68 Programa certificação interna em conhecimentos

troca informações com a Comissão de Valores Mobiliários para prevenção,


investigação e repressão a práticas lesivas ao mercado de capitais.

Fornecimento de informações a órgãos judiciais, de fiscalização e de


controle

Sigilo bancário
“O sigilo bancário é obrigação de não revelar a terceiros, sem causa justificada,
os dados referentes a seus clientes que cheguem a seu conhecimento como
conseqüência das relações jurídicas que os vinculam”. (MALAGARRIGA, citado
por RUEDA JUNIOR, 2003).

Conforme dicionário jurídico, sigilo bancário é o

“Direito que o indivíduo tem ao segredo das transações bancária efetuadas, ao


segredo das movimentações de sua conta corrente, poupança, aplicações etc. A
quebra do sigilo só pode ser feita por autoridade competente (Poder Judiciário,
CPI) e nos casos admitidos em lei, sob pena de ilegalidade e configuração de
crime. Vide art. 5º, X e XII, Constituição Federal.”(www.direitonet.com.br/dicio-
nário_jurídico).

A Lei Complementar 105/2001 determina que “as instituições financeiras con-


servarão sigilo em suas operações ativas e passivas e serviços prestados”.
(www.bcb.gov.br/pre/leisedecretos).

Dessa forma, o fornecimento de informações amparadas pelo sigilo bancário


e por outras modalidades de sigilo regulamentadas por leis específicas3 sujei-
ta o Banco e seus administradores às penalidades civis e criminais previstas
(risco legal e de imagem).

Outro aspecto importante a se observar são os prazos estipulados para a


concessão das informações. Da mesma forma que constitui crime a quebra de
sigilo bancário, isto é, a prestação de informações para pessoas não autoriza-
das ou órgãos incompetentes, também é crime a omissão, o retardamento ou
a falsa prestação das informações requeridas por autoridades competentes. É
importante que, em caso de solicitação de informações por pessoa autoriza-
da, a informação seja apresentada o mais tempestivamente possível.

3
Estão previstos atualmente em legislações específicas os sigilos bancário, fiscal e comercial.

Universidade Corporativa BB
Gestão de Segurança 69

Não configura quebra do sigilo bancário o encaminhamento de informações


solicitadas por autoridades requisitantes competentes.

Além disso, outras situações não configuram quebra de sigilo4:


■ a troca de informações entre instituições financeiras, para fins cadas-
trais, inclusive por intermédio de centrais de risco, observadas as nor-
mas baixadas pelo Conselho Monetário Nacional e pelo Banco Central
do Brasil;
■ o fornecimento de informações constantes de cadastro de emitentes de
cheques sem provisão de fundos e de devedores inadimplentes, a en-
tidades de proteção ao crédito, observadas as normas baixadas pelo
Conselho Monetário Nacional e pelo Banco Central do Brasil;
■ a comunicação, às autoridades competentes, da prática de ilícitos pe-
nais ou administrativos, abrangendo o fornecimento de informações so-
bre operações que envolvam recursos provenientes de qualquer prática
criminosa;
■ a revelação de informações sigilosas com o consentimento expresso dos
interessados.

Autoridades requisitantes – competências

Nas circunstâncias nas quais é possível haver quebra do sigilo bancário, con-
forme a Lei nº105/2001, as informações somente poderão ser prestadas se
requeridas por autoridades que possuam competência para tal e desde que
atendidas determinadas exigências. Essa competência deve ser analisada
cuidadosamente tendo em vista que cada autoridade pode solicitar somente
documentos relativos ao desempenho de suas atividades.

Os normativos do banco detalham as autoridades que podem ser atendidas e


as respectivas exigências.

Mensagens eletrônicas

As mensagens eletrônicas (e-mail) representam um meio muito eficiente de


se trocar informações. Contudo, apresenta grande vulnerabilidade, podendo
ocorrer desde a falsificação das informações até a contaminação por vírus.

4
Conforme Lei Complementar 105/2001

Universidade Corporativa BB
70 Programa certificação interna em conhecimentos

Assim, é imprescindível a adoção de cuidados para a preservação das in-


formações. Mensagens confidenciais devem ser enviadas com a utilização
de procedimentos especiais baseados em técnicas criptográficas, de forma a
garantir que só o destinatário tenha acesso ao conteúdo.

O uso do correio eletrônico no ambiente corporativo para envio de mensagens


deve ter regras básicas que orientem o funcionário e minimizem as possibili-
dades de incidentes na troca de informações. Uma das regras deve referir-se
ao uso do e-mail corporativo limitado aos propósitos comerciais. Comumente
é visto o seu uso para propósitos particulares e para outros fins que não o de
negócios, o que tem levado as empresas a adotarem práticas para monitora-
mento do conteúdo dos e-mails.

Segurança lógica

Segurança perfeita não existe. Isto é verdade tanto para softwares como em
todos os campos de interesse humano.

A exemplo de qualquer atividade realizada pelo homem, o desenvolvimento


de software está sujeito à falhas em seu ciclo, que se forem exploradas, cau-
sarão brechas na segurança. Se o software pudesse ser perfeito isso, por si
só, não resolveria o problema, pois a maioria dos ataques envolve, em um
nível ou outro, alguma manipulação de natureza humana - usualmente cha-
mado de Engenharia Social, assunto que veremos adiante.

Aumente o custo e a dificuldade tecnológica dos ataques à segurança e as


pessoas mal intencionadas responderão mudando o foco da tecnologia para
o fator humano. Por isso, é vital o entendimento pelo usuário de seu papel
na manutenção de uma segurança sólida, para não se tornar uma brecha na
segurança de seu próprio sistema.

É indispensável ter em mente dois pontos essenciais. Primeiro, a segurança


do ambiente lógico compreende tanto tecnologia quanto política - ou seja, a
combinação da tecnologia e de como ela é usada determina o quão seguro é
o seu sistema. Segundo, a segurança não é um destino, mas sim uma jornada
- ela não é um problema que pode ser “resolvido” de uma vez por todas; é uma
série constante de movimentos e contramedidas entre usuários do sistema e
pessoas mal intencionadas.

Universidade Corporativa BB
Gestão de Segurança 71

Internet

A Internet está repleta de recursos e serviços úteis para a vida do usuário,


apesar dos riscos que oferece. O uso da internet possibilita uma série de fa-
cilidades:
■ recebimento de informações e dados de fontes conhecidas, desde que
os mesmos tenham sido solicitados;
■ acesso a páginas e conteúdos de diversas partes do mundo;
■ acesso a sites seguros para transações comerciais on line (identificados
pelo certificado digital emitido por uma autoridade certificadora confiável).

Assim como no dia-a-dia é possível escolher os lugares que freqüentamos


em função dos possíveis riscos, para usar a Internet com segurança é pre-
ciso bom senso e atenção constante na escolha dos sites que visitamos. No
ambiente de trabalho, as empresas preocupadas com a segurança orientam
seus funcionários quanto ao uso adequado deste canal, visando coibir abusos
e excessos. Na maioria das empresas, como é o caso do Banco do Brasil, o
não cumprimento das orientações sobre o uso correto da Internet pode acar-
retar desde uma advertência verbal até uma demissão por justa causa.

Para conseguir manter a segurança das informações utilizando a internet, é


imprescindível observar algumas recomendações. Nesse sentido, é desacon-
selhável ao usuário:
■ compartilhar seus dados pessoais ou profissionais;
■ conversar com desconhecidos que oferecem vantagens em troca de in-
formações;
■ abrir arquivos ou mensagens não solicitados.

Segundo Patrícia Peck (2002), ocorre crime eletrônico quando “se utiliza inter-
net, computadores e caixas eletrônicos para fins contrários às leis vigentes no
País, ou quando se acessa o computador de terceiros de forma não conven-
cional e não autorizada, com o objetivo de cometer fraudes”.

A internet pode ser um meio facilitador de crimes. O maior estímulo aos crimes
virtuais é dado pela confiança no anonimato e pela crença de que o meio di-
gital é um ambiente não suficientemente vigiado e tais crimes ficam impunes.
Um dos crimes eletrônicos que mais causam impacto aos negócios de institui-
ções financeiras é a fraude.

Universidade Corporativa BB
72 Programa certificação interna em conhecimentos

Normalmente, não é uma tarefa simples atacar e fraudar dados em um ser-


vidor de uma instituição bancária ou comercial. Então, para realizar fraudes
comerciais e bancárias por meio da Internet os esforços se concentram na
exploração de fragilidades dos computadores, sistemas e usuários.

Para obter vantagens, os fraudadores têm utilizado amplamente e-mails com


discursos que tentam persuadir o usuário a fornecer seus dados pessoais e fi-
nanceiros. Em muitos casos, o usuário é induzido a instalar algum código ma-
licioso ou acessar uma página fraudulenta, para que dados pessoais e sen-
síveis, como senhas bancárias e números de cartões de crédito, possam ser
furtados. Nos itens a seguir serão abordadas as ameaças mais comuns no am-
biente virtual e ferramentas que buscam proteger os usuários dessas ameaças.

Ameaças mais comuns

Vírus

É um programa de computador, normalmente malicioso, que se propaga in-


fectando, isto é, inserindo cópias de si mesmo em outros programas e arqui-
vos de um computador5.

Normalmente o vírus tem controle sobre o computador, podendo tomar to-


das as ações programadas por quem o desenvolveu. Essas ações vão desde
mostrar uma mensagem até alterar ou destruir programas e arquivos do dis-
co. Para que um computador seja infectado por um vírus, é preciso que um
programa previamente infectado seja executado. O vírus pode instalar-se em
um arquivo hospedeiro e posteriormente tornar-se ativo e dar continuidade ao
processo de infecção.

Isto pode ocorrer de diversas maneiras, tais como:


■ abrir arquivos contaminados anexados aos e-mails;
■ abrir arquivos do Word, Excel etc. que contenham vírus de macro;
■ abrir arquivos armazenados em outros computadores por meio do com-
partilhamento de arquivos;
■ instalar programas de procedência duvidosa ou desconhecida, obtidos
pela Internet, de disquetes, pen drives, CD, DVD etc;
■ ter alguma mídia removível infectada conectada ou inserida no computa-
dor quando ele é ligado.
5
Entende-se por computador qualquer dispositivo computacional passível de infecção por vírus. Computadores do-
mésticos, notebooks, telefones celulares e PDA são exemplos de dispositivos computacionais passíveis de infecção.

Universidade Corporativa BB
Gestão de Segurança 73

Existem vírus que procuram permanecer ocultos, infectando arquivos do disco


e executando uma série de atividades sem o conhecimento do usuário. Há
outros tipos que permanecem inativos durante certos períodos, entrando em
atividade em datas específicas.

Uma novidade relativamente recente é o vírus propagado por alguns tipos de


celular. Um vírus de celular se propaga de telefone para telefone por meio da
tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). A
infecção ocorre da seguinte forma:
■ o usuário recebe uma mensagem que diz que seu telefone está prestes
a receber um arquivo;
■ o usuário permite que o arquivo infectado seja recebido, instalado e exe-
cutado em seu aparelho;
■ o vírus, então, continua o processo de propagação para outros telefones,
por meio de uma das tecnologias mencionadas anteriormente.

Os vírus de celular diferem dos vírus tradicionais, pois normalmente não in-
serem cópias de si mesmos em outros arquivos armazenados no telefone
celular, mas podem ser especificamente projetados para sobrescrever arqui-
vos de aplicativos ou do sistema operacional instalado no aparelho. Depois
de infectar um telefone celular, o vírus pode realizar diversas atividades, tais
como destruir ou sobrescrever arquivos, remover contatos da agenda, efetuar
ligações telefônicas, drenar a carga da bateria, além de tentar propagar-se
para outros telefones.

Novas formas de infecção por vírus podem surgir. Portanto, é importante man-
ter-se informado por meio de jornais e revistas.

Cavalo de Tróia (Trojan)

Conta a mitologia grega que o “cavalo de Tróia” foi uma grande estátua, uti-
lizada como instrumento de guerra pelos gregos para obter acesso a cidade
de Tróia. A estátua do cavalo foi recheada com soldados que, durante a noite,
abriram os portões da cidade possibilitando a entrada dos gregos e a domina-
ção de Tróia. Daí surgiram os termos “presente de grego” e “cavalo de Tróia”.

No mundo virtual, um cavalo de Tróia (Trojan horse) é um programa, (por


exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo etc), que além de
executar funções para as quais foi aparentemente projetado, também executa

Universidade Corporativa BB
74 Programa certificação interna em conhecimentos

outras funções normalmente maliciosas e sem o conhecimento do usuário. É


necessário que o cavalo de Tróia seja executado para que ele se instale em
um computador.

Algumas das funções maliciosas que podem ser executadas por um cavalo
de Tróia são:
■ furto de senhas e outras informações sensíveis, como números de car-
tões de crédito;
■ inclusão de backdoors6, para permitir que um atacante tenha total con-
trole sobre o computador;
■ alteração ou destruição de arquivos;
■ criptografia de arquivos com a cobrança de resgate para devolvê-los.

Geralmente um cavalo de Tróia vem anexado a um e-mail ou está disponível


em algum site na Internet. É importante ressaltar que existem programas leito-
res de e-mails que podem estar configurados para executar automaticamente
arquivos anexados às mensagens. Neste caso, o simples fato de ler uma
mensagem é suficiente para que um arquivo anexado seja executado.

Exemplos comuns de cavalos de Tróia são programas recebidos ou obtidos


de algum site e que parecem ser apenas cartões virtuais animados, álbuns de
fotos de alguma celebridade, jogos, protetores de tela, entre outros.

Adware e Spyware

Adware (Advertising software) é um tipo de software especificamente proje-


tado para apresentar propagandas, seja por meio de um browser, seja me-
diante algum outro programa instalado em um computador. Em muitos casos,
os adwares têm sido incorporados a softwares e serviços, constituindo uma
forma legítima de patrocínio ou retorno financeiro para aqueles que desenvol-
vem software livre ou prestam serviços gratuitos.

Spyware, por sua vez, é o termo utilizado para se referir a uma grande cate-
goria de software que tem o objetivo de monitorar atividades de um sistema e
enviar as informações coletadas para terceiros.

6
Normalmente um hacker procura garantir uma forma de retornar a um computador comprometido, sem precisar
recorrer aos métodos utilizados na realização da invasão. Na maioria dos casos, também é intenção do atacante
poder retornar ao computador comprometido sem ser notado. Backdoors são programas que permitem o retorno
de um invasor a um computador comprometido, utilizando serviços criados ou modificados para este fim.

Universidade Corporativa BB
Gestão de Segurança 75

Existem adwares que também são considerados um tipo de spyware, pois


são projetados para monitorar os hábitos do usuário durante a navegação na
Internet, direcionando as propagandas que serão apresentadas.

Os spywares, assim como os adwares, podem ser utilizados de forma legí-


tima, mas, na maioria das vezes, são utilizados de forma dissimulada, não
autorizada e maliciosa.

Seguem algumas funcionalidades implementadas em spywares, que podem


ter relação tanto com o uso legítimo quanto como uso malicioso:
■ monitoramento de URL acessadas enquanto o usuário navega na Inter-
net;
■ alteração da página inicial apresentada no browser do usuário;
■ varredura dos arquivos armazenados no disco rígido do computador;
■ monitoramento e captura de informações inseridas em outros programas,
como processadores de texto;
■ instalação de outros programas spyware;
■ monitoramento de teclas digitadas pelo usuário ou regiões da tela próxi-
mas ao clique do mouse;
■ captura de senhas bancárias e números de cartões de crédito;
■ captura de outras senhas usadas em sites de comércio eletrônico.

É importante ter em mente que estes programas, na maioria das vezes, com-
prometem a privacidade do usuário e, pior, a segurança do computador do
usuário, dependendo das ações realizadas pelo spyware no computador e de
quais informações são monitoradas e enviadas para terceiros.

Scam e Phishing

O scam (ou “golpe”) é qualquer esquema ou ação enganosa ou fraudulenta


que, normalmente, tem como finalidade obter vantagens financeiras, por meio
de páginas falsas na Internet ou recebimento de e-mails fraudulentos. Existem
vários tipos de scam e novas formas surgem todos os dias.

Phishing, também conhecido como phishing scam ou phishing/scam foi um


termo originalmente criado para descrever o tipo de fraude que se dá me-
diante o envio de mensagem não solicitada, supostamente de uma instituição
conhecida, como um banco, empresa ou site popular, e que procura induzir o
acesso a páginas fraudulentas, projetadas para furtar dados pessoais e finan-
ceiros de usuários.

Universidade Corporativa BB
76 Programa certificação interna em conhecimentos

A palavra phishing (de “fishing”) vem de uma analogia criada pelos fraudado-
res, onde “iscas” (e-mails) são usadas para “pescar” senhas e dados financei-
ros de usuários da Internet.

Atualmente, esse termo é utilizado também para se referir aos seguintes casos:
■ mensagem que procura induzir o usuário à instalação de códigos malicio-
sos, projetados para furtar dados pessoais e financeiros;
■ mensagem que, no próprio conteúdo, apresenta formulários para o pre-
enchimento e envio de dados pessoais e financeiros de usuários.

Alguns exemplos de temas e respectivas descrições dos textos encontrados


em mensagens deste tipo estão no quadro dez.

Quadro 10
Exemplos de conteúdos de phishing
Tema Texto da mensagem
Cartões virtuais UOL, Voxcards, Humor Tadela, O Carteiro,
Emotioncard, Criança Esperança, AACD/Te-
leton.
SERASA e SPC Débitos, restrições ou pendências financeiras.
Serviços de governo eletrônico CPF/CNPJ pendente ou cancelado, Imposto
de Renda (nova versão ou correção para o
programa de declaração, consulta da resti-
tuição, dados incorretos ou incompletos na
declaração), eleições (título eleitoral cance-
lado, simulação da urna eletrônica).
Álbuns de fotos Pessoa supostamente conhecida, celebrida-
des, relacionado a algum fato noticiado (em
jornais, revistas, televisão), traição, nudez
ou pornografia, serviço de acompanhantes.
IBGE Censo.

Cabe ressaltar que a lista de temas na tabela acima não é exaustiva, nem
tampouco se aplica a todos os casos. Existem outros temas e novos temas
podem surgir.

Spam

É o termo usado para se referir aos e-mails não solicitados, que geralmente
são enviados para um grande número de pessoas. Quando o conteúdo é

Universidade Corporativa BB
Gestão de Segurança 77

exclusivamente comercial, este tipo de mensagem também é referenciada


como UCE (do inglês Unsolicited Commercial E-mail). Os spammers utilizam
diversas formas para obter endereços de e-mail, desde a compra de bancos
de dados com e-mails variados, até a produção de suas próprias listas de e-
mails obtidos via programas maliciosos.
O spam pode causar vários problemas para um usuário da Internet. Alguns
exemplos são:
■ Não recebimento de e-mails: boa parte dos provedores de Internet limita
o tamanho da caixa postal do usuário no seu servidor. Caso o número
de spams recebidos seja muito grande o usuário corre o risco de ter sua
caixa postal lotada com mensagens não solicitadas. Se isto ocorrer, o
usuário não conseguirá mais receber e-mails e, até que possa liberar es-
paço em sua caixa postal, todas as mensagens recebidas serão devolvi-
das ao remetente. O usuário também pode deixar de receber e-mails em
casos onde estejam sendo utilizadas regras anti-spam ineficientes, por
exemplo, classificando como spam mensagens legítimas.
■ gasto desnecessário de tempo: para cada spam recebido, o usuário ne-
cessita gastar um determinado tempo para ler, identificar o e-mail como
spam e removê-lo da caixa postal;
■ aumento de custos: independentemente do tipo de acesso a internet utili-
zado, quem paga a conta pelo envio do spam é quem o recebe. Por exem-
plo, para um usuário que utiliza acesso discado a Internet, cada spam
representa alguns segundos a mais de ligação que ele estará pagando;
■ perda de produtividade: para quem utiliza o e-mail como uma ferramenta
de trabalho, o recebimento de spams aumenta o tempo dedicado à tarefa
de leitura de e-mails, além de existir a chance de mensagens importan-
tes não serem lidas, serem lidas com atraso ou apagadas por engano;
■ conteúdo impróprio ou ofensivo: como a maior parte dos spams são en-
viados para conjuntos aleatórios de endereços de e-mail, é bem prová-
vel que o usuário receba mensagens com conteúdo que julgue impróprio
ou ofensivo;
■ prejuízos financeiros causados por fraude: o spam tem sido amplamente
utilizado como veículo para disseminar esquemas fraudulentos, que ten-
tam induzir o usuário a acessar páginas clonadas de instituições finan-
ceiras ou a instalar programas maliciosos projetados para furtar dados
pessoais e financeiros. Este tipo de spam é conhecido como phishing/
scam. O usuário pode sofrer grandes prejuízos financeiros, caso forneça

Universidade Corporativa BB
78 Programa certificação interna em conhecimentos

as informações ou execute as instruções solicitadas nesse tipo de men-


sagem fraudulenta.

Alguns dos problemas sentidos pelos provedores e empresas são:


■ impacto na banda: para as empresas e provedores o volume de tráfego
gerado por causa de spams os obriga a aumentar a capacidade de seus
links de conexão com a internet. Como o custo dos links é alto, isto dimi-
nui os lucros do provedor e muitas vezes pode refletir no aumento dos
custos para o usuário;
■ má utilização dos servidores: os servidores de e-mail dedicam boa parte
do seu tempo de processamento para tratar das mensagens não solicita-
das. Além disso, o espaço em disco ocupado por mensagens não solicita-
das enviadas para um grande número de usuários é considerável;
■ inclusão em listas de bloqueio: o provedor que tenha usuários envolvi-
dos em casos de spam pode ter sua rede incluída em listas de bloqueio.
Esta inclusão pode prejudicar o recebimento de e-mails por parte de
seus usuários e ocasionar a perda de clientes.
■ investimento em pessoal e equipamentos: para lidar com todos os pro-
blemas gerados pelo spam, os provedores necessitam contratar mais téc-
nicos especializados, comprar equipamentos e acrescentar sistemas de
filtragem de spam. Como conseqüência os custos do provedor aumentam.

Worm

É um programa capaz de se propagar automaticamente através de redes,


enviando cópias de si mesmo de computador para computador. Diferente do
vírus, o worm não embute cópias de si mesmo em outros programas ou ar-
quivos e não necessita ser explicitamente executado para se propagar. Sua
propagação se dá pela exploração de vulnerabilidades existentes ou falhas na
configuração de softwares instalados em computadores.

Geralmente o worm não tem como conseqüência os mesmos danos gerados


por um vírus como, por exemplo, a infecção de programas e arquivos ou a
destruição de informações. Isto não quer dizer que não represente uma amea-
ça à segurança de um computador, ou que não cause qualquer tipo de dano.

Worms são notadamente responsáveis por consumir muitos recursos. Degra-


dam sensivelmente o desempenho de redes e podem lotar o disco rígido de
computadores, devido à grande quantidade de cópias de si mesmo que cos-

Universidade Corporativa BB
Gestão de Segurança 79

tumam propagar. Além disso, podem gerar grandes transtornos para aqueles
que estão recebendo tais cópias.

Detectar a presença de um worm em um computador não é uma tarefa fácil.


Muitas vezes os worms realizam uma série de atividades, incluindo sua pro-
pagação, sem que o usuário tenha conhecimento. Embora alguns programas
antivírus permitam detectar a presença de worms e até mesmo evitar que eles
se propaguem, isto nem sempre é possível.

Ferramentas de proteção

Assim como tomamos precauções de segurança em nossa casa ou automó-


vel, também precisamos ter o mesmo cuidado em relação ao nosso computa-
dor. Para isso, é necessária a utilização de alguns programas que irão trazer
uma camada de proteção contra algumas ameaças. Estes programas podem
ser obtidos de diversos fabricantes em pacotes integrados ou de forma indivi-
dual. Pelo menos três tipos de proteção são necessários:
■ antivírus: um programa antivírus irá proteger seu computador contra
os denominados “vírus de computador” e suas variantes, como worms.
É imprescindível que o antivírus tenha “atualização automática”, para
garantir que o programa busque novas atualizações automaticamente,
com freqüência, no mínimo, diária;
■ firewall pessoal: um programa denominado “firewall” irá manter uma
barreira lógica entre seu computador e a internet, evitando que atacan-
tes façam acessos não autorizados;
■ anti-Spam: este programa irá auxiliar a filtrar o conteúdo indesejado de
e-mails, descartando automaticamente aqueles que forem considerados
spam.

Novas ferramentas de proteção da informação

Criptografia

Desde que o ser humano entendeu as vantagens que o conhecimento de


determinadas informações podem trazer, surgiu a necessidade de protegê-las
de terceiros que poderiam se beneficiar delas: assim, nasceu a criptografia.
Do grego kriptos, secreto, e graphos, escrita, a criptografia surgiu como a ci-
ência, ou, para alguns, a arte de se escrever mensagens de forma codificada,
impossibilitando a leitura para terceiros não autorizados.

Universidade Corporativa BB
80 Programa certificação interna em conhecimentos

Hoje, após séculos de uso e evolução, a criptografia continua sendo uma das
mais poderosas armas para a proteção das informações, possibilitando que
propriedades importantes sejam alcançadas, dentre elas:
■ integridade
■ autenticidade7
■ não-repúdio8
■ confidencialidade

Atualmente o uso da criptografia - impulsionado pelos avanços tecnológicos


- é crescente, desempenhando papel de extrema relevância no contexto da
segurança da informação.

Além de tornar documentos confidenciais, a criptografia tem outras utilidades.


Ela possibilita a criação de assinaturas digitais e a validação de transações
eletrônicas.

Uma mensagem codificada por um método de criptografia deve ser privada,


ou seja, somente aquele que enviou e aquele que recebeu devem ter acesso
ao conteúdo da mensagem. Além disso, uma mensagem deve poder ser assi-
nada, ou seja, a pessoa que a recebeu deve poder:
■ verificar se o remetente é mesmo a pessoa que diz ser; e
■ identificar se a mensagem foi modificada.

Os métodos de criptografia hoje utilizados são seguros e eficientes e baseiam-


se no uso de uma ou mais chaves. A chave é uma seqüência de caracteres
que pode conter letras, dígitos e símbolos (como uma senha) que é convertida
em um número, utilizado pelos métodos de criptografia para codificar e deco-
dificar mensagens.

Atualmente, os métodos criptográficos podem ser subdivididos em duas gran-


des categorias: a criptografia simétrica e a assimétrica.

A mais antiga das formas de criptografia, a criptografia simétrica, também co-


nhecida como criptografia de chave compartilhada ou de chave secreta pos-
sui dois elementos fundamentais: um algoritmo9 e uma chave10 que deve ser
compartilhada entre os participantes da comunicação, daí o nome de simé-
7
Qualidade de um documento ser o que diz ser, independente de se tratar de minuta, original ou cópia, e que é
livre de adulterações ou qualquer outro tipo de corrupção.
8
Garantia que o emissor de uma mensagem ou a pessoa que executou determinada transação de forma eletrôni-
ca, não poderá posteriormente negar sua autoria.
9
Série de etapas utilizadas para completar uma tarefa, procedimento ou fórmula na solução de um problema.
Usado como chaves para criptografia de dados.
10
É o valor numérico ou código usado com um algoritmo criptográfico para transformar, validar, autenticar, cifrar e
decifrar dados.

Universidade Corporativa BB
Gestão de Segurança 81

trica ou de chave compartilhada. Na criptografia simétrica, a mesma chave é


usada para codificar e decodificar as mensagens (Figura 5).

Figura 5
Criptografia de chave privada ou simétrica
João

Rede
mensagem pública
mensagem cifrador
cifrada

Maria

mensagem mensagem
decifrador
cifrada original

Fonte: Nakamura e Geus (2007).

A criptografia assimétrica, também conhecida por criptografia de chave pú-


blica, é um método que utiliza um par de chaves: uma chave pública e uma
chave privada. A chave pública é distribuída livremente para todos os cor-
respondentes via e-mail ou outras formas, enquanto a chave privada deve
ser conhecida apenas pelo seu dono. As chaves públicas e privadas estão
completamente relacionadas, de tal forma que para cada chave pública existe
uma única chave privada correspondente.

Na criptografia assimétrica, quando uma mensagem é cifrada com a chave pú-


blica, somente a correspondente privada poderá decifrá-la. Do mesmo modo,
uma mensagem assinada com a chave privada somente pode ser conferida
pela sua chave pública correspondente (Figura 6).

Figura 6
Criptografia de chave pública ou assimétrica

João
Pública de Maria

Rede
mensagem pública
mensagem cifrador
cifrada

Maria
Privada de Maria

mensagem mensagem
decifrador
cifrada original

Fonte: Nakamura e Geus (2007).

Universidade Corporativa BB
82 Programa certificação interna em conhecimentos

Comparação entre os métodos

Para Nakamura e Geus (2007), os algoritmos de chave simétrica apresentam


rapidez na execução. Porém, eles não permitem a assinatura e a certificação
digitais e, além disso, a distribuição entre os usuários é dificultada pela falta de
segurança nos meios de distribuição da chave. Outro dificultador é a neces-
sidade de chaves secretas diferentes para cada tipo de comunicação e para
cada mensagem, tornando o gerenciamento das chaves muito complexo.

Um exemplo dessa complexidade pode ser visto em um ambiente no qual três


usuários se comunicam com um quarto usuário. Cada um deles deve armaze-
nar e gerenciar três chaves diferentes (Figura 7).

Figura 7
As chaves secretas necessárias na criptografia simétrica

João 1 1

Pedro 2 2 Maria

Luís 3 3

Fonte: Nakamura e Geus (2007)

Em contrapartida, Nakamura e Geus (2007) enfatizam que “o algoritmo assimé-


trico minimiza o problema de troca de chaves, pois não é necessário um canal
seguro para tal. Porém, ele é cerca de 60 a 70 vezes mais lento que os algorit-
mos simétricos”. A figura oito mostra as vantagens na distribuição de chaves:

Figura 8
As chaves secretas necessárias na criptografia assimétrica

João Pública de Maria


Privada de Maria

Pedro Pública de Maria Maria

Pública de Maria
Luís Pública de Maria

Fonte: Nakamura e Geus (2007)

Universidade Corporativa BB
Gestão de Segurança 83

Como somente a chave privada equivalente é capaz de decifrar a mensagem


e somente o receptor a possui, o sigilo da mensagem é garantido.

A saída para neutralizar as desvantagens das chaves simétrica (dificuldade de


distribuição) e assimétrica (lentidão do algoritmo) está na utilização dos dois
tipos de algoritmo em conjunto. Por meio do algoritmo assimétrico, constrói-
se um canal de comunicação seguro por onde pode ser distribuída a chave
simétrica.

Certificação Digital

O uso da criptografia assimétrica tornou possível a realização de transações


eletrônicas e a comunicação em rede entre usuários e organizações de forma
segura, viabilizando a criação dos certificados digitais.

O certificado digital é um arquivo eletrônico que contém dados de uma pessoa


ou instituição, utilizados para comprovar sua identidade.

Exemplos semelhantes a um certificado digital são o CNPJ, o RG, o CPF e a


carteira de habilitação de uma pessoa. Cada um deles contém um conjunto de
informações que identificam a instituição ou pessoa e a autoridade (para estes
exemplos, órgãos públicos) que garante sua validade.

Algumas das principais informações encontradas em um certificado digital


são:
■ dados que identificam o dono (nome, número de identificação, estado etc);
■ nome da Autoridade Certificadora (AC) que emitiu o certificado;
■ número de série e o período de validade do certificado;
■ assinatura digital da AC.

A autoridade certificadora é a entidade responsável por emitir certificados digi-


tais. Estes certificados podem ser emitidos para uma pessoa, um computador,
um departamento de uma instituição, uma instituição etc.

Os certificados digitais possuem a assinatura eletrônica da AC que o emitiu.


Graças à sua idoneidade, a AC é normalmente reconhecida por todos como
confiável, fazendo o papel de “cartório eletrônico”.

Universidade Corporativa BB
84 Programa certificação interna em conhecimentos

Alguns exemplos típicos do uso de certificados digitais:


■ quando você acessa um site com conexão segura como, por exemplo,
o acesso a sua conta bancária pela Internet, é possível checar se o site
apresentado é realmente da instituição que diz ser, pela verificação de
seu certificado digital;
■ quando você consulta seu banco pela Internet, este tem que assegurar-
se de sua identidade antes de fornecer informações sobre a conta;
■ quando você envia um e-mail importante, seu aplicativo de e-mail pode
utilizar seu certificado para assinar digitalmente a mensagem, de modo
a assegurar ao destinatário que o e-mail é seu e que não foi adulterado
entre o envio e o recebimento.

A confiabilidade desse sistema levou diversos países, entre eles o Brasil, a


criar uma infra-estrutura oficial de chaves públicas, que possibilita aos cida-
dãos e empresas realizarem transações eletrônicas com respaldo legal.

Nesse sentido, a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil foi


instituída para garantir a autenticidade, a integridade e a validade jurídica de
documentos em forma eletrônica, das aplicações de suporte e das aplicações
habilitadas que utilizem certificados digitais, bem como a realização de tran-
sações eletrônicas seguras.

A ICP-Brasil é composta por uma autoridade gestora de políticas e pela ca-


deia de autoridades certificadoras. A estrutura da ICP-Brasil funciona numa
cadeia hierárquica que estabelece relações de confiança entre as entidades
que a compõem e com outras instituições e empresas. A relação de confiança
é fundamental para que as entidades possam se relacionar com maior segu-
rança em transações eletrônicas.

A cadeia de autoridades certificadoras, que compõem a estrutura da ICP-Bra-


sil, é formada por uma Autoridade Certificadora Raiz - AC Raiz, Autoridades
Certificadoras - AC e Autoridades de Registro - AR (Figura 9).

A primeira autoridade da cadeia é a AC-Raiz da ICP-Brasil, função desem-


penhada pelo Instituto Nacional de Tecnologia da Informação - ITI, órgão vin-
culado à Casa Civil da Presidência da República. Este órgão é responsável
por emitir, distribuir, revogar e gerenciar os certificados emitidos, revogados e
vencidos. Além disto, ele fiscaliza e realiza auditorias nas autoridades certifi-
cadoras e autoridades de registro.

Universidade Corporativa BB
Gestão de Segurança 85

Figura 9
Estrutura da ICP-Brasil

Também Integra a ICP-Brasil o Comitê Gestor que é responsável pelas polí-


ticas a serem executadas pela AC Raiz (Figura 10).

Figura 10
Comitê Gestor da ICP - Brasil
Determina as políticas a serem
COMITÊ GESTOR DA ICP-BRASIL
executadas pela AC Raiz

AC RAIZ Aplicação das políticas da ICP-Brasil


ITI

Emite certificados vinculando


AC pares de chaves criptográficas ao
respectivo tilular

Identifica presencialmente, cadastra e


AR encaminha solicitações de certificados às
Autoridades Certificadoras (AC).

O usuário, para obter o certificado digital, deve dirigir-se a uma autoridade


de registro. Esta faz a identificação presencial, por meio de seus agentes de
registro, conferindo sua documentação, para em seguida encaminhar a solici-
tação à autoridade certificadora que emitirá o certificado digital.

O certificado digital pode estar armazenado em um computador ou em outra


mídia, como um smartcard11 ou um token12. A diferença básica entre um token
11
É um tipo de cartão plástico semelhante a um cartão de crédito, com um ou mais microchips embutidos, capaz
de armazenar e processar dados.
12
Dispositivo para armazenamento do Certificado Digital de forma segura, com funcionamento parecido com o
smartcard e que conecta com o computador via USB.

Universidade Corporativa BB
86 Programa certificação interna em conhecimentos

USB e um smartcard está no formato e no tipo de informações neles contidas.


O smartcard é semelhante a um cartão de crédito e pode conter, por exemplo,
o nome, o CPF ou a foto do titular do certificado. Um token USB não tem nada
disso, tem no máximo o logotipo do fabricante ou da empresa que emitiu o
certificado (Figuras 11 e 12).
Figura 11 Figura 12
Token USB Smart Card

O Banco do Brasil, seguindo recomendação da Federação Brasileira de Ban-


cos - Febraban, adota e entrega aos cientes e usuários certificados ICP-Brasil
armazenados em cartão inteligente - smartcard.

Atualmente, o e-CPF e o e-CNPJ são os certificados digitais mais conhecidos


no mercado. A Receita Federal é a responsável pela sua emissão. A figura 13
traz o leiaute de referência da Receita Federal para os certificados e-CPF e
e-CNPJ; a figura 14 traz o modelo de leitora de smartcard.

Figura 13 Figura 14
Leiaute de smartcard da RF Leitora de smartcard

e-CPF e-CNPJ

Smartcards: leiaute de referência da Receita Federal para os certificados e-


CPF e e-CNPJ.

Os titulares de certificado digital devem adotar os seguintes cuidados na sua


utilização: 1 12 2
■ não compartilhar com ninguém a senha de acesso à chave privada;
■ após utilizar o certificado digital, retirá-lo da leitora de smartcard para
evitar o uso indevido;
1 1 2 2
■ em ambiente acessível a várias pessoas, como um escritório, utilizar
soluções de controle de acesso e de proteção ao sistema operacional,
como senha de sistema ou protetor de tela protegido por senha;
■ em caso de comprometimento, ou suspeita de comprometimento, de sua
chave privada, solicitar a imediata revogação do certificado.

Universidade Corporativa BB
Gestão de Segurança 87

No Banco, os clientes titulares de certificados ICP-Brasil já têm a sua disposi-


ção os seguintes serviços:
■ auto-atendimento internet pessoa física;
■ assinatura digital de contrato de câmbio.

Assinatura digital em contratos de câmbio

Em 2004, o Banco Central autorizou a assinatura digital em contratos de câm-


bio com a utilização de certificados digitais emitidos por entidades credencia-
das na Infra-estrutura de Chaves Públicas Brasileira (ICP-Brasil). Com isso foi
possível:
■ agilizar o processo de negócio relacionado à contratação de câmbio;
■ automatizar o processo de assinatura;
■ reduzir a quantidade e o fluxo de papéis;
■ melhorar os mecanismos de controle.

A utilização de certificados digitais pode ser estendida para outros serviços e


soluções, tais como:
■ gerenciamento eletrônico de documentos (GED);
■ gerenciador financeiro;
■ compensação digital;
■ troca de arquivos;
■ assinatura de notas e documentos nos diversos comitês.

CURIOSIDADE

Uso da Certificação Digital na Secretaria da Receita Federal.


Para permitir que serviços protegidos por sigilo fiscal sejam disponibiliza-
dos aos contribuintes na internet, a SRF criou o Centro de Atendimento
Virtual ao Contribuinte conhecido como e-CAC. Há vários serviços que
já estão disponíveis para o contribuinte via certificado digital:
■ obter cópia de declarações;
■ providenciar cópia de pagamentos;
■ realizar retificação de pagamentos;
■ negociar parcelamento;
■ pesquisar a situação fiscal;
■ realizar transações relativas ao Sistema
Integrado de Comércio Exterior;
■ alterar dados cadastrais.

Universidade Corporativa BB
88 Programa certificação interna em conhecimentos

3.5. PROTEÇÃO DA INFORMAÇÃO

Como dito anteriormente, as ameaças procuram por vulnerabilidades nos sis-


temas de proteção, causando incidentes de segurança e, por conseqüência,
danos aos negócios da empresa. Para proteger o ativo informação, é neces-
sário buscar mecanismos que permitam preservar aquelas informações con-
sideradas sensíveis ou estratégicas para o negócio.

Atualmente, existem várias ferramentas de proteção implementadas: sejam


instrumentos que garantam a segurança do ambiente físico ou a segurança
do ambiente lógico. São ferramentas caras, a exemplo do circuito fechado de
televisão, das portas detectoras de metais, de softwares de proteção à rede
(firewalls) e de centrais de monitoramento e prevenção de fraudes eletrônicas.
Ferreira e Araújo (2006) comentam que “pouca ou nenhuma segurança deixa
as organizações vulneráveis. Entretanto, em exagero, atrapalha a condução e
o crescimento das atividades do negócio”. Além disso, somente a implementa-
ção das ferramentas é insuficiente para garantir a proteção das informações.

Normalmente, pessoas mal-intencionadas costumam iniciar sua abordagem


para conseguir alguma informação a partir daquele elo da segurança consi-
derado o mais vital: as pessoas. E são exatamente as pessoas que devem
estar mais preparadas para proteger a informação, sob a pena de serem res-
ponsabilizadas por algum incidente envolvendo vazamento de informações.
Todos os funcionários, do presidente ao escriturário, devem ter em mente que
as informações por eles manuseadas têm valor e seu vazamento pode causar
grandes prejuízos para a organização onde trabalham.

Engenharia social

Engenharia social é o conjunto de procedimentos e ações que são utilizados


para adquirir informações de uma organização ou de uma pessoa por meio de
contatos falsos sem o uso da força, do arrombamento físico ou de qualquer
meio violento.

“Engenharia social é um método de ataque onde alguém faz uso da persuasão,


muitas vezes abusando da ingenuidade ou confiança do usuário, para obter in-
formações que podem ser utilizadas para ter acesso, não autorizado, a compu-
tadores ou informações”.13

13
CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Grupo de respos-
ta a incidentes de segurança para a Internet brasileira, mantido pelo Núcleo de Informação e Coordenação do
Ponto Br (entidade civil, sem fins lucrativos, que implementa as decisões e projetos do Comitê Gestor da Internet
no Brasil).

Universidade Corporativa BB
Gestão de Segurança 89

Isso acontece com muita freqüência e, infelizmente, estamos muito mais vul-
neráveis do que avaliamos. Por isso, é necessário que todos na organização
estejam atentos, já que, conforme Ferreira e Araújo (2006), “o sucesso no ata-
que de engenharia social ocorre geralmente quando os alvos são as pessoas
ingênuas ou aquelas que simplesmente desconhecem as melhores práticas
de segurança”.

Tipos de ataque mais comuns:


■ no local de trabalho: pegar informação restrita (lista de ramais, organo-
gramas etc.) que foi indevidamente exposta em locais por onde transi-
tam pessoas, funcionários ou não;
■ por telefone: simular auxílio da área de informática. O engenheiro social
faz contato e diz ser da área de help-desk. Informa que a estação de
trabalho do usuário necessita de uma atualização de software, de forma
que fique em conformidade com as demais da organização e mais segu-
ra (patch de emergência). Sem validar se o sujeito é quem realmente diz
ser, o pobre usuário procede rigorosamente ao processo de instalação
de algum tipo de programa malicioso (spyware, trojan, worm, malware,
vírus etc) sem ter conhecimento que a ação está ocorrendo;
■ lixo: vasculhar o lixo para encontrar informações descartadas que pos-
suem valor ou que forneçam dicas de ferramentas que podem ser utiliza-
das em um ataque de engenharia social, tais como números de telefone,
ramais, organogramas, relação de clientes, cargos etc;
■ on line: enviar e-mail publicitário, oferecendo brindes para que o usuá-
rio participe de sorteios, solicitando os dados pessoais e profissionais.
Conseqüentemente, o invasor terá à sua disposição quase tudo o que é
necessário para um ataque, sem grande esforço;
■ inversa: fazer-se passar por uma autoridade da organização a partir dos
conhecimentos adquiridos por meio da lista de ramais ou organograma.
Em uma ligação telefônica ele se identifica, por exemplo, como um ge-
rente ou diretor e pede as informações desejadas.

O termo e a prática da engenharia social se popularizou graças ao hacker


americano Kevin Mitnick, condenado por vários crimes de informática, dentre
eles o roubo de cerca de 20.000 números de cartão de crédito. Kevin adotava
técnicas como a procura de informações valiosas no lixo informático ou conta-
tos telefônicos, simulando funcionário da equipe técnica e solicitando informa-
ções restritas por meio de fax. Em seu testemunho ao Congresso nos EUA,

Universidade Corporativa BB
90 Programa certificação interna em conhecimentos

em 2000, Kevin revelou que raramente precisava usar um ataque técnico, pois
a engenharia social já oferecia vulnerabilidade suficiente: ele conseguia várias
informações simplesmente perguntando aos funcionários das empresas.
Como os engenheiros sociais agem e buscam informações da organização?
Veja as práticas mais comuns:
■ falam com conhecimento: ao contatar alguém da organização, o enge-
nheiro social fala com propriedade sobre um determinado assunto. Se
estiver falando de alguém, cita o nome com familiaridade e diz que é pa-
rente, ex-colega ou colega atual (no caso de uma grande organização).
Pode citar também departamentos e locais da organização, e, se tiver
acesso à linguagem utilizada exclusivamente no local, pode alcançar
seus objetivos facilmente;
■ adquirem a confiança do interlocutor: com tantas informações, o in-
terlocutor pensa que o engenheiro social é uma pessoa de confiança.
Muitas vezes, o fraudador não tem pressa e volta a telefonar em outra
ocasião. A primeira ligação serve apenas para criar um canal de comu-
nicação e estabelecer uma relação de confiança. Com o tempo, cria-se
um vínculo entre o fraudador e a vítima;
■ prestam favores: em caso de golpes e fraudes, o engenheiro social
pode até mesmo ajudar a vítima. O fraudador pode bloquear a comu-
nicação do computador do interlocutor e se passar por alguém do help
desk, ajudando a resolver um problema que ele próprio plantou. Dessa
forma, a vítima passa a confiar nele.

Fica claro que a proteção da informação, em casos de engenharia social, de-


pende diretamente do comportamento de cada funcionário.

Para prevenir incidentes relacionados a engenheiros sociais, a empresa tam-


bém deve adotar uma série de ações. São necessárias a implementação for-
mal da política de segurança da informação e a realização de treinamentos e
palestras para os funcionários sobre o assunto. Além disso, a empresa deve
classificar as informações - de forma a esclarecer aos funcionários o que pode
ser divulgado e o que não pode - e implementar controles de acesso físico e
lógico - de forma a minimizar a exposição das informações. Por fim, a empre-
sa deve conscientizar os colaboradores a respeito do tema.

As pessoas que estão sujeitas ao engenheiro social devem desconfiar de


grandes promoções e das ofertas veiculadas na internet. Também é necessá-

Universidade Corporativa BB
Gestão de Segurança 91

rio desconfiar sempre que for surpreendido por um telefonema de alguém que
não conheça. A recomendação é nunca divulgar nada e pedir um número de
retorno para verificar se a ligação é verdadeira.

Lembre-se: a grande maioria dos incidentes tem a intervenção humana, seja


de forma acidental ou não. A segurança está relacionada a pessoas e pro-
cessos, antes da tecnologia. Conseqüentemente, de nada valerão os milhões
investidos em recursos de tecnologia da informação se o fator humano for
deixado em segundo plano. Quanto mais bem preparados os funcionários,
mais segura estará a organização.

Universidade Corporativa BB
4 Segurança em produtos,
serviços e processos

Espera-se que ao final do estudo deste tema você possa:


▪ Conceituar segurança em produtos, serviços e processos.
▪ Distinguir autenticidade, integralidade e integridade.
▪ Descrever os itens e procedimentos a serem observados no exame
de documentos para assegurar sua autenticidade, integralidade e
integridade.
▪ Identificar procedimentos preventivos de segurança na guarda,
movimentação e encaixe de numerário.
▪ Identificar os cuidados necessários para o pagamento de valores
elevados.
▪ Identificar os quesitos e procedimentos de segurança na prevenção
de fraudes documentais e eletrônicas.
Gestão de Segurança 95

4.1. CONCEITO

Os produtos e serviços oferecidos aos clientes são planejados e elaborados


por Unidades Estratégicas do Banco especializadas nessa atividade. As Uni-
dades Estratégicas visam atender as necessidades dos clientes com a cons-
tante busca da excelência em produtos e serviços.

Mas todo o empenho no desenvolvimento de novos produtos e serviços corre


o risco de perder-se diante das artimanhas de pessoas mal intencionadas,
que chegam a estudar os procedimentos do Banco a fim de identificar e explo-
rar, em benefício próprio, os processos de maior vulnerabilidade.

O indivíduo adultera ou forja todo tipo de documento – carteiras de identidade,


cheque, contratos, requisições e até sentenças judiciais – falsificando assina-
turas, adulterando ou clonando dados de documentos.

As fraudes perpetradas acabam gerando prejuízos aos clientes, ao Banco


e até aos funcionários envolvidos no processo. As ocorrências desgastam a
imagem da Instituição, geram perda de tempo, danos financeiros, demandas
judiciais e, principalmente, abalam a confiança do cliente na Empresa.

Segurança em produtos e serviços é a aplicação de um conjunto de quesitos


de segurança e de controle para um determinado produto, serviço ou proces-
so com a finalidade de reduzir os riscos de falhas e fraudes.

4.2. AUTENTICIDADE

Entende-se por autenticidade a certeza absoluta de que um objeto, sujeito de


análise, provém das fontes anunciadas e que não foi alvo de modificações ao
longo de um processo. Para confirmar a autenticidade é necessário observar
a integralidade, a integridade bem como a origem do documento.

Integralidade de documentos: é a garantia de que o documento apresenta


as características físicas originais, está completo e inteiro e não sofreu muti-
lação ou complemento, seja por recorte, colagem, raspagem ou outra técnica.
Contudo, essas condições não são suficientes para garantir a autenticidade
do documento, pois o documento pode ter a sua integralidade garantida e ter
a origem duvidosa.

Universidade Corporativa BB
96 Programa certificação interna em conhecimentos

Integridade dos dados de documentos: é a garantia da não corrupção dos


dados e informações lançadas em cada campo do documento. Garante ine-
xistência de rasuras, sobreposições, complementos ou supressão de dados,
seja por lavagem química seja por outro meio de supressão ou substituição
de dados.

Origem do documento: é a comprovação de que o documento foi confeccio-


nado ou emitido pela fonte anunciada. Para tanto, é comum a conferência da
assinatura do emitente, seja esta física ou eletrônica (certificado digital).

A análise da regularidade de emissão e do conteúdo é um importante proce-


dimento, pois pode indicar a falsidade de um documento.

Documentos e informações cadastrais

Os documentos necessários para a identificação de pessoas - seja para aber-


tura de conta corrente, seja para o simples saque de um cheque – são legal-
mente estipulados. Esses documentos estão relacionados nos normativos de
cada produto.

É primordial dispensar atenção especial aos procedimentos de acolhimento


de documentos e informações cadastrais dos clientes. A aplicação de proce-
dimentos básicos de segurança deve permear todas as situações de coleta
de dados cadastrais.

A autenticidade dos documentos de identificação e as informações fornecidas


pelo cliente devem ser verificadas por funcionário qualificado para esta ativi-
dade.

O exame das informações prestadas é realizado sempre a partir do documen-


to original, seja para a identificação ou para efeito de cadastro. Esta regra
vale também quando envolver documentos para o estabelecimento de limite
de crédito.

Cópias de documentos, mesmo que de boa qualidade ou autenticadas em


cartório, não devem ser aceitas, pois não permitem a execução de exames
que garantam a sua integralidade e a integridade e, segundo parecer do Ser-
viço Jurídico do Banco, a autenticação de cópia em cartório apenas garante

Universidade Corporativa BB
Gestão de Segurança 97

que se trata de cópia fiel do documento apresentado, não havendo garantias


de sua autenticidade.

A ocorrência de falha no acolhimento de documentos pode acontecer pela


inobservância dos procedimentos definidos na norma de cada produto ou de
fraudes nos documentos, como a falsificação e adulteração do instrumento
apresentado.

A seguir, são relacionados os documentos mais freqüentemente apresenta-


dos pelos clientes e suas características.

Documento de identificação

É o instrumento oficial que tem a finalidade de comprovar a identidade de uma


pessoa física. São considerados documentos de identidade todos os emitidos
por autoridade competente, com fé pública e regulamentados por lei específi-
ca. Os documentos de identificação que apresentam prazo de vencimento só
são aceitos dentro da data de validade.
■ cédulas de identidade (RG): emitidas pelas Secretarias de Segurança
Pública Estaduais ou Institutos de Identificação
► contêm obrigatoriamente: número de registro, data da emissão, as-
sinatura e carimbo identificador; a assinatura e a chancela do diretor
responsável pelo órgão emissor devem estar limpas, legíveis e bem
posicionadas;
► a partir de 1984: foto 3x4, microperfurada com a sigla do órgão emissor;
► vedação ao uso de óculos, perucas e adornos nas fotos;
► fundo branco (para fotos preto e branco) e fundo claro (para fotos
coloridas);
► posição frontal, sem sorrisos e sem expressão facial;
► vedada a abreviação de nome do portador, salvo raríssimas exceções.
► CPF opcional nas cédulas de identidade somente a partir de 1984.
■ carteira nacional de habilitação
► marca d’água “CNH” e bandeira;
► impressão calcográfica;
► foto digitalizada;
► imagem latente “CNH”;
► microcaracteres;
► fundo camuflado “Bandeira Nacional”;

Universidade Corporativa BB
98 Programa certificação interna em conhecimentos

► fibras coloridas e fluorescentes;


► verso com efeito íris, sensível a cópia colorida.

■ carteira de identidade de profissional


► emitidas por entidades de classe e órgãos do Estado, com emissão
e fé pública regulada em Lei. Suas características devem ser verifi-
cadas junto aos órgãos ou entidades emitentes, seja por site, lei que
regulamenta a emissão ou documento interno.

Outros documentos cadastrais

■ CPF

Cada indivíduo tem apenas um CPF e este deve estar em situação nor-
mal junto a Receita Federal. Clientes portadores de CPF com status
pendente, cancelado ou suspenso devem providenciar a regularização
junto a Receita Federal.

A existência de mais de um CPF para a mesma pessoa é motivo sufi-


ciente para o encaminhamento do caso ao administrador da dependên-
cia para análise mais detida.

A pesquisa pode ser realizada no site da receita (www.receita.fazenda.


gov.br) ou diretamente pelo aplicativo CLIENTES-40.
■ comprovante de endereço
► número do identificador do usuário;
► consumo dos últimos meses;
► data da leitura/emissão/vencimento.

■ comprovante de rendimentos
► compatibilidade entre o rendimento e o cargo ou função declarados;
► o teto máximo para recolhimento do INSS, IRRF e FGTS;
► na CTP, verificar contrato de trabalho (data de assinatura, registro de
férias).
■ comprovante de bens
A comprovação de bens junto ao Banco deve ser feita com a apresenta-
ção de documentos de propriedade, por exemplo, título ou certificado de
propriedade etc.

O exame desses documentos deve ser realizado por funcionário com


capacitação técnica, competência e alçada para tal, considerando o pro-
duto ou serviço a que se destina.

Universidade Corporativa BB
Gestão de Segurança 99

É exigida a apresentação de documento original e depois de examinado,


são extraídas cópias para arquivo no Banco.

A origem dos documentos pode ser confirmada junto aos emissores, tais
como cartórios de registro de imóveis, DETRAN etc.

Mandado judicial, citação, intimação e notificação

Para um melhor detalhamento dos procedimentos no acolhimento desses do-


cumentos, é necessário fazermos a diferenciação entre eles:
■ mandado judicial é uma ordem emanada do juiz nos autos de um pro-
cesso, subscrita pelo juiz ou pelo escrivão ou chefe de cartório, a ser
cumprida, em regra, pelo oficial de justiça, auxiliar do juízo encarregado
das diligências externas;
■ intimação é uma comunicação escrita expedida por juiz e que leva às
partes conhecimento de atos e termos do processo e que solicita às
partes que façam ou deixem de fazer algo, em virtude de lei, perante o
poder judiciário;
■ citação consiste no ato processual no qual a parte ré é comunicada de
que se lhe está sendo movido um processo e a partir da qual a relação
triangular deste se fecha, com as três partes envolvidas no litígio devida-
mente ligadas: autor, réu e juiz;
■ notificação é o ato por meio do qual se pode dar conhecimento oficial e
legal do texto de um documento registrado a determinada pessoa.

Em caso de comarcas distintas, ou seja, juizados diferentes, deve ser utilizada


a carta precatória; o juiz da comarca de origem encaminha uma carta para o
juiz da comarca de destino para que seja expedido o mandado judicial, cita-
ção, intimação ou notificação, conforme o caso.

A autenticidade é confirmada com o exame dos aspectos físicos do documen-


to, regularidade de seu conteúdo e a assinatura do juiz que o expediu e, ainda,
nos autos do processo que o originou.

Devido à complexidade do tema, por decisão administrativa, as agências sub-


metem ao Serviço Jurídico todos os mandados judiciais quando envolverem:
■ conglomerado Banco do Brasil como uma das partes;
■ cartas precatórias;

Universidade Corporativa BB
100 Programa certificação interna em conhecimentos

■ contas em outras agências;


■ valores estabelecidos nas normas;
■ venda ou transferência de ações ou de dividendos e bonificações.

Essas condições não impedem consulta ao serviço jurídico quando restarem


dúvidas acerca do acolhimento do mandado.

Caso ocorra tentativa de coação ou suspeita de irregularidade a agência deve


manter contato com a Regional de Segurança – Reseg – e com o Serviço
Jurídico jurisdicionantes.

Procuração e representação

Procuração, segundo o Código Civil, art. 653, é o instrumento de mandato,


onde alguém recebe de outrem poderes para, em seu nome, praticar atos ou
administrar interesses. As procurações podem ser públicas ou particulares.

Procuração pública: é emitida em cartório e firmada pelo tabelião. O outor-


gante comparece ao cartório, é identificado e manifesta a outorga de poderes
ao tabelião, que providência a emissão da procuração pública.

Procuração particular: é emitida pelo outorgante e não há necessidade de


registro em cartório ou qualquer órgão.

A procuração deve ser acolhida e examinada por funcionário detentor de co-


missão do segmento gerencial, com base na via original do documento e de
acordo com os procedimentos descritos nos normativos do Banco.

O acolhimento da procuração deve ser precedido de exames para constatar


sua autenticidade, integridade e integralidade, além da conferência da assina-
tura do tabelião e/ou do outorgante.

Além disso, por medida administrativa, o Banco determina que qualquer pro-
curação recebida deve:
■ ter a assinatura do outorgante reconhecida em cartório, se instrumento
particular;
■ ser revigorada a cada dois anos, a contar da data de emissão do docu-
mento.

Universidade Corporativa BB
Gestão de Segurança 101

De acordo com os normativos do Banco e a critério da administração da unida-


de, o reconhecimento da firma do outorgante em cartório pode ser dispensado.

Conferência de assinaturas

A conferência da assinatura baseia-se na observação sistemática, que visa


verificar a autenticidade dos grafismos ou determinar a sua autoria, por meio
das características que os individualizam. Essa técnica é conhecida como
grafoscopia que literalmente significa observação do escrito.

Para realização de exame de conferência de assinaturas o funcionário deve es-


tar capacitado para tal e, também, considerando as especificidades de alguns
serviços e documentos, estar investido de competência e alçada necessárias.

Alguns documentos de identificação, como a CNH, têm as assinaturas dos


titulares digitalizadas e, por isso, não apresenta todos os elementos de con-
vicção da escrita, prejudicando o exame da assinatura. Nesse caso, o funcio-
nário pode solicitar a apresentação de outro documento de identificação que
contenha a assinatura original.

Cópias, fax e arquivos digitalizados não são aceitos pelo Banco, uma vez que
não possibilitam a conferência das assinaturas, detecção de adulterações e
garantia da origem.

4.3. GUARDA, MOVIMENTAÇÃO E ENCAIXE DE NUMERÁRIO

Atualmente os bancos oferecem um enorme leque de produtos e serviços


para a população, mas uma das atividades principais ainda é a guarda e mo-
vimentação de numerário. O Banco do Brasil, além de custodiar o numerário
destinado às transações de saques, depósitos, pagamentos e recebimentos
diversos (títulos, impostos, ordens de pagamento etc.), ainda tem a função
de custodiar e sanear o numerário para as demais instituições financeiras, à
ordem do Banco Central.

Esta situação desperta o interesse de criminosos e obriga o Banco a adotar


medidas para proteger os valores. Os cuidados são previstos em normas e
seu cumprimento contribui para a segurança de todas as pessoas que traba-

Universidade Corporativa BB
102 Programa certificação interna em conhecimentos

lham ou transitam pelas unidades, além do patrimônio da empresa. Os princi-


pais cuidados quanto à movimentação de numerário são:
■ informações sigilosas: toda informação a respeito da movimentação
de numerário deve ser tratada com o máximo sigilo e seu conhecimento
deve estar restrito aos funcionários responsáveis pelos processos. Entre
outras, estão as informações sobre saldo de baús, da tesouraria e de ter-
minais; valores de depósitos ou de saques de clientes ou de outros ban-
cos; recebimento de reforço ou alívio de numerário (inclusive data e hora
das remessas); horário de abertura do cofre; nome e rotina dos respon-
sáveis pela tesouraria ou pelo abastecimento dos terminais; identificação
da empresa de alarme. É comum, por exemplo, ouvir funcionários citando
o nome do colega que vai abrir o cofre ou abastecer os terminais. Essas
informações também são captadas pelos bandidos ou seus informantes
e podem servir de subsídio para uma ação de seqüestro ou assalto.
■ guarda do segredo e chaves do cofre: além da discrição sobre estas
informações, as chaves e o segredo do cofre devem ser rodiziados pe-
riodicamente e permanecerem sob a guarda de funcionários distintos, de
forma a quem guardar o segredo não ter a guarda das chaves, exceto
em unidades dotadas de apenas um funcionário. O segredo deve ser
trocado sempre que sua guarda for transferida para outro funcionário;
■ utilização do cofre ou casa forte: o cofre ou casa forte deve permane-
cer trancado, devendo ser aberto apenas pelo período estritamente ne-
cessário para a guarda ou retirada de numerário ou documentos. Quan-
do o cofre for trancado, a fechadura de retardo deve ser ativada. As
normas prevêem que a programação da fechadura permita a abertura do
cofre 15 minutos antes do expediente externo. O cofre deve ser trancado
no máximo até duas horas após o encerramento do expediente externo
(fechamento da unidade ao público). O numerário deve ser distribuído
nas prateleiras do cofre. Isto porque alguns cofres são arrombados ape-
nas com a abertura de um buraco em uma de suas laterais; a dificuldade
para retirar todo o numerário será muito maior se estiver distribuído.
■ saldo de numerário mantido nas unidades: deve ser o suficiente para
atender a demanda da agência, considerando o limite de numerário e a
possibilidade de reforço ou alívio do numerário excedente. Portanto, é
imprescindível o gerenciamento do fluxo de numerário, para o controle
do saldo da unidade. Lembre-se que quanto maior for o “atrativo”, mais
sujeita a ações criminosas fica a agência.

Universidade Corporativa BB
Gestão de Segurança 103

Principalmente nas agências, o numerário fica dividido em vários locais. São


os ambientes com acesso restrito: tesouraria, bateria de caixas, sala de pro-
cessamento do SAO, corredor de abastecimento e os próprios terminais. O
controle de acesso a estes ambientes deve ser rigoroso e restrito apenas
aos funcionários responsáveis pelos processos de recolhimento de envelo-
pes, abastecimento de terminais de saques, guarda e controle do numerário,
processamento do SAO e atendimento aos clientes. Quando necessária a
presença de prestadores de serviço, esta deve ser sempre acompanhada de
funcionário do Banco, responsável pelo setor ou serviço.

É necessário extremo cuidado e atenção, para que o numerário não seja dei-
xado sem acompanhamento de funcionário durante os diversos processos
realizados pelas unidades. Alguns processos apresentam grande fragilidade,
a exemplo do abastecimento ou do recolhimento de envelopes dos terminais.
Recomenda-se que o processo seja realizado por dois funcionários e que o
serviço de vigilância seja alertado.

É muito comum a ocorrência de furtos durante estes processos, principalmen-


te quando realizados apenas por um funcionário. Os criminosos têm a habi-
lidade de interromper o serviço e distrair o funcionário durante a operação.
Enquanto isso, outra pessoa entra no corredor e subtrai o numerário e/ou os
envelopes que ficaram sem proteção.

Pode haver o mesmo tipo de ocorrência nos demais ambientes, sempre que o
controle de acesso e a guarda do numerário não receber a necessária atenção.

4.4. PAGAMENTOS DE VALORES ELEVADOS

O Banco estabelece alçadas e competências para realização de procedimen-


tos, principalmente para aqueles que envolvem transações financeiras.
Nas agências, a definição dos limites operacionais para liquidação de che-
ques oriundos da compensação e para pagamento no caixa é de competência
do Comitê de Administração da dependência e são atribuídas aos níveis dois
e três no sistema on line, consideradas as necessidades diárias. As transa-
ções que extrapolam a alçada estabelecida para o nível três são autorizadas
exclusivamente por administrador.

Universidade Corporativa BB
104 Programa certificação interna em conhecimentos

O autorizador é co-responsável pelo exame dos documentos e assinaturas,


assim como possíveis ocorrências apontadas pelo sistema (insuficiência de
saldo, contra-ordem etc.), e deve registrar no documento a expressão “pague-
se” seguida de rubrica.

Considerando que nem sempre as alçadas e competências são controladas


pelos sistemas corporativos, as normas dos respectivos produtos ou serviços
devem ser consultadas sempre que necessário.

Ausência de administradores

Na ausência dos administradores das unidades, as autorizações devem ser


realizadas observando-se a lateralidade definida para os respectivos produtos
e serviços. Algumas autorizações são efetuadas pela Unidade Alta Renda ou
pelas Superintendências, conforme o caso.

Controle ou log

Para acompanhamento e eventual apuração de irregularidade, os sistemas


corporativos mantêm registro do usuário, da dependência, da data e do horá-
rio de acesso às transações realizadas.

4.5. CHEQUE

Cheque é uma ordem de pagamento à vista expedida contra um banco sobre


fundos depositados na conta do emitente, para pagamento ao beneficiário do
cheque.

Os cheques são produzidos pelo Banco e fornecidos aos seus clientes em


suas agências ou terminais de auto-atendimento. Quando solicitado, podem
ser remetidos pelos Correios.

Os cheques são entregues aos clientes mediante pedido formal, seja por re-
quisição física ou eletrônica nos terminais. Em ambos os casos, há necessi-
dade de assinatura do cliente, de próprio punho, ou senha.

Os cheques são produzidos em papel especial e são dotados de um conjunto


de itens de segurança, sendo alguns físicos outros eletrônicos, os quais são
utilizados para a verificação da autenticidade do documento em conjunto com

Universidade Corporativa BB
Gestão de Segurança 105

a assinatura do emitente.

Os quesitos de segurança físicos do cheque que devem ser observados na


sua liquidação ou pagamento constam da figura 15:

Figura 15
Quesitos de segurança física do cheque

1 2

3 4

1. caracteres numéricos vazados com repetição em negativo;


2. ausência das barras divisórias;
3. caracteres pequenos dificultando adulterações nesses campos;
4. leiaute e cores que dificultam adulterações e propiciam a identificação de
raspagens, banhos químicos e outras modalidades de fraudes no cheque.

4.6. CONTESTAÇÃO DE DÉBITO

De maneira geral, fraude é um ato praticado com a intenção de prejudicar


alguém. No contexto bancário, fraudes são ações que visam obter vantagens,
normalmente financeiras, por meio de práticas ilícitas contra clientes.

A incidência de fraudes praticadas contra clientes de bancos segue em ten-


dência crescente, na mesma medida em que aumenta a diversidade de re-
cursos tecnológicos que surgem no mercado e também de canais de acessos
disponibilizados aos clientes bancários. Para efeito de controle e manutenção
de bases de informações estatísticas e gerenciais, as fraudes praticadas con-
tra clientes do BB são classificadas, internamente, como:

Universidade Corporativa BB
106 Programa certificação interna em conhecimentos

■ fraudes eletrônicas
■ fraudes documentais

Essa classificação é transparente para o cliente que, em regra, quando não


reconhece algum lançamento em sua conta, dirige-se a uma agência do ban-
co para formalizar a contestação. Durante a verificação preliminar que é feita
na agência, caso não seja identificada a origem do lançamento, é aberto um
processo no qual serão analisadas as circunstâncias em que ele foi gerado.
Quando o lançamento contestado pelo cliente refere-se a um débito em sua
conta, e desde que não seja decorrente de uma falha já confirmada de siste-
ma, o processo é conduzido de forma a verificar se houve fraude.

Nesse caso, seguem-se procedimentos específicos que devem ser observa-


dos pela agência e, dependendo dos valores envolvidos, também por instân-
cias superiores e até Regionais de Segurança do BB. As normas estabelecem
prazos para que esses procedimentos sejam cumpridos por parte de cada
uma dessas dependências e, também, para que o cliente receba a resposta
final do Banco em relação à sua contestação.

A depender do que for apurado no processo, a contestação é deferida ou não.


No primeiro caso o valor contestado é devolvido ao cliente.

Prevenção a fraudes nos canais de auto-atendimento

As instituições financeiras disponibilizam inúmeros serviços nos seus canais de


atendimento tais como os terminais de auto-atendimento (TAA), pontos de ven-
da (POS, PDV), internet, lotéricos, rede compartilhada, Banco 24 horas etc.14
No Banco do Brasil isto não é diferente e estes canais são customizados para
cada segmento de cliente. Alinhada às melhores práticas do mercado e aos
conceitos de segurança da informação, a empresa protege as informações
que transitam nesses canais por meio de ferramentas como senhas, códigos
de acesso e cadastramento.

14
Conceitualmente, PDV e POS são exatamente a mesma coisa: Ponto De Venda. POS é a sigla em inglês: Point Of
Sale. No mundo das operadoras de cartão, no entanto, há uma diferença significativa entre POS e PDV: POS são
aquelas maquinetas utilizadas no comércio em geral, onde passamos nossos cartões para efetuar pagamentos.
Elas são de propriedade de cada bandeira (Visa, Master...). Esses equipamentos são conhecidos como PDV quan-
do, não pertencendo a uma bandeira específica, estão instalados em rede privativa de uma empresa e conectados
a um servidor central, também da empresa que, por sua vez, efetua a conexão com a rede de uma ou mais bandei-
ra. Podemos citar, como exemplo de POS, as maquinetas existentes em padarias e em pequenos comércios em
geral. Os equipamentos instalados nos caixas de grandes supermercados são o exemplo mais comum de PDV.

Universidade Corporativa BB
Gestão de Segurança 107

Assim, para o cliente pessoa física, por exemplo, são disponibilizadas mo-
dalidades diferenciadas de senhas, que podem ser utilizadas isoladamente
ou combinadas entre si, dependendo do tipo de canal utilizado e do tipo
de transação que é efetuada. Nos exemplos abaixo, vai ficar claro como os
conceitos apresentados no tópico Segurança da Informação são aplicados na
prática, sempre com o objetivo de proporcionar níveis adequados de seguran-
ça na experiência de relacionamento com o cliente.

Atualmente, para clientes do segmento pessoa física, o Banco do Brasil uti-


liza três modalidades de senhas numéricas e uma alfabética, esta conhecida
como Código de Acesso.

Senha numérica

■ senha de quatro dígitos: é exigida na Central de Atendimento Banco do


Brasil -CABB para confirmar transações de pagamentos, transferências
e outras transações que apresentam maior criticidade;
■ senha de seis dígitos: é exigida em três circunstâncias:
► para a realização de operações financeiras, ou de consulta, disponi-
bilizadas em canais que exigem a passagem do cartão: TAA, POS,
PDV, lotéricos, rede compartilhada, Banco 24h etc;
► para confirmar, no canal auto-atendimento internet, a realização de
operações financeiras e outras transações que apresentam maior cri-
ticidade, como a alteração de cadastro;
► para autenticação do acesso inicial à CABB.
■ senha de oito dígitos: é a senha exigida para autenticar o cliente no
acesso à sua conta pelo canal auto-atendimento internet.

Senha Alfabética

Essa modalidade de senha, utilizada por clientes pessoa física, pode ser com-
posta por três letras, três sílabas, ou uma combinação de letras e sílabas. O
código de acesso é exigido para confirmar a realização de transações finan-
ceiras, bem como outras transações consideradas de maior criticidade, nos
canais que utilizam cartão15.

O código de acesso é gerado exclusivamente nos TAA do Banco do Brasil, de


forma automática, não sendo possível, para o cliente, escolher a combinação
das letras. O código de acesso é impresso quando o cliente acessa sua conta

Universidade Corporativa BB
108 Programa certificação interna em conhecimentos

pela primeira vez em um TAA, ou em situações específicas, comandadas pela


agência, como, por exemplo, quando o cliente esquece seu código atual ou
quando o código é bloqueado por algum motivo.

Para clientes pessoa jurídica e governo o acesso a transações de conta


corrente também requer a utilização de senhas que podem ser numéricas,
alfanuméricas e alfabéticas, dependendo do canal de atendimento utilizado e
do tipo de transação a ser efetuada. Algumas diferenças em relação à pessoa
física podem ser observadas:

Senha Numérica

■ senha de quatro dígitos: é exigida para acesso à CABB, diferentemen-


te da regra para clientes pessoa física, que usam essa senha para con-
firmar transações de pagamentos, transferências e outras transações
que apresentam maior criticidade. Clientes PJ e Governo não dispõem
de transações financeiras pela CABB;
■ senha de seis dígitos: é exigida para a realização de operações finan-
ceiras ou de consulta, disponibilizadas em canais que exigem o uso do
cartão: TAA, POS, PDV, lotéricos, rede compartilhada, Banco 24h etc;
■ senha de oito dígitos: senha utilizada no canal internet (auto-atendi-
mento PJ ou auto-atendimento Setor Público) para confirmar transações
financeiras e transações de maior criticidade.

Senha alfanumérica
■ é a senha utilizada para acesso inicial ao canal internet.

Senha alfabética
■ a diferença em relação a pessoa física é que, para esses clientes, o có-
digo de acesso é composto por três letras. As demais regras definidas
para clientes pessoa física aplicam-se também para a pessoa jurídica.

Finalmente, em relação ao auto-atendimento na internet, no intuito de garantir


níveis mais elevados de segurança para os clientes que efetuam transações
financeiras, o Banco do Brasil criou algumas soluções de segurança. Algumas
dessas soluções atuam de forma praticamente transparente para o cliente,
protegendo-o durante sua navegação pelas páginas do BB na Internet.

15
O Código de Acesso é exigido nos TAA, Banco 24h e rede compartilhada, COBAN MT e Banco Popular do Brasil

Universidade Corporativa BB
Gestão de Segurança 109

Entre essas soluções, destacamos o cadastramento de computador, que


exige uma manifestação efetiva de aceitação por parte do cliente, possuindo
regras específicas de uso.

Para clientes pessoa física, a adesão ao cadastramento de computadores


ainda é facultativa. Clientes pessoa jurídica e governo, no entanto, só utilizam
o canal internet por meio de computadores cadastrados.

Cliente pessoa física (auto-atendimento PF) que adere ao cadastramento de


computadores tem compensações. Primeiro passam a ter mais segurança
ao efetuar suas transações financeiras pela Internet e, além disso, ganham
limites mais elevados para realizar essas transações. Além disso, algumas
transações, como alterações de cadastro e recarga de celular pré-pago, por
exemplo, são restritas a computadores cadastrados.

Por ser uma adesão facultativa, o acesso à maior parte das transações de
consulta é liberado para clientes que não aderem ao cadastramento de com-
putadores.

Fraudes documentais

As modalidades de fraudes a seguir são comumente encontradas nos che-


ques, mas podem ocorrer em qualquer outro documento. A medida de se-
gurança adequada para evitar essas ocorrências é o exame cuidadoso dos
documentos, em seu acolhimento:
■ recorte e colagem: esse tipo de fraude ocorre quando o falsário substitui
parte do documento original. Geralmente são adulterados os campos
referentes a valor numérico, extenso e favorecido. Essa fraude é detec-
tada quando se adota alguns procedimentos como:
► observar o documento contra a luz (os campos colados ficam normal-
mente escurecidos);
► manusear o documento, provocando o arqueamento nos sentidos ho-
rizontal e vertical. O papel se descola permitindo a identificação da
adulteração;
■ banho químico: nessa modalidade de fraude, o documento é submeti-
do à lavagem com produto químico para a retirada da escrita original de
modo a permitir as alterações pretendidas. No caso dos cheques essa

Universidade Corporativa BB
110 Programa certificação interna em conhecimentos

adulteração ocorre nos campos destinados aos valores numérico e ex-


tenso. Indícios dessa fraude são o clareamento na coloração de fundo
do cheque (frente e verso), a supressão de linhas, tonalidades diferentes
da tinta e manchas diversas;
■ raspagem: a adulteração nessa modalidade é feita pelo processo físi-
co, que consiste na raspagem utilizando borracha, lâmina metálica, lixa,
pedra-pome etc., que remove as fibras superficiais, nos campos dos va-
lores extenso e numérico, de modo a permitir as alterações pretendidas.
Alguns detalhes denunciam a raspagem, como a divergência de grafis-
mo no mesmo texto, marcas de raspagens nos campos preenchíveis,
início da escrita do valor por extenso em cima da expressão impressa
“quantia de” desnecessariamente, caracteres disformes.

Os quesitos de segurança eletrônicos do cheque que devem ser observados


na sua liquidação ou pagamento são:
■ cheque cadastrado: os cheques fornecidos para os clientes têm sua
numeração cadastrada para a respectiva conta. A apresentação de che-
que com numeração não cadastrada gera a ocorrência “cheque não per-
tence à conta”;
■ situação do cheque: os cheques cadastrados têm a sua situação con-
trolada pelo sistema. Caso o cheque já tenha sido liquidado, ao ser apre-
sentado novamente gera a ocorrência “cheque já baixado”;
■ controle de contra-ordem: o sistema apresenta a existência de contra-
ordem ou oposição de pagamento para o cheque apresentado;
■ banda magnética inválida: todos os campos do CMC-7 (banda mag-
nética) são verificados. No caixa, quando houver divergências, o siste-
ma não permite o pagamento. Na compensação é gerada a ocorrência
“banda magnética inválida”, indicando que a agência deve redobrar a
atenção e analisar com cuidado o documento.

Os quesitos de segurança eletrônicos do cheque visam obstar as seguintes


modalidades de fraudes:

■ clonagem: neste tipo de fraude é utilizado um programa de computador


para imprimir os dados similares a de um cheque existente, com ou sem
o uso de folha de cheque original obtida de forma espúria ou extraviada.
A assinatura do cheque pode ser reproduzida por meio de impressão ou

Universidade Corporativa BB
Gestão de Segurança 111

por falsificação manual, se a assinatura for fácil de ser imitada;


■ reprocessamento de cheques roubados ou extraviados após a li-
quidação: a fraude consiste em reapresentar para pagamento cheques
já liquidados ou em compensação obtidos de forma espúria (roubados
ou extraviados).

Universidade Corporativa BB
5 Gestão da continuidade
de negócios

Espera-se que ao final do estudo deste tema você possa:


▪ Conceituar Gestão da Continuidade de Negócios.
▪ Identificar a influência da Gestão da Continuidade de Negócios no
desempenho das instituições financeiras.
▪ Descrever o ciclo do processo de Gestão da Continuidade de
Negócios.
▪ Identificar aspectos que regulam a Gestão da Continuidade de
Negócios.
▪ Descrever o modelo e ciclo da Gestão da Continuidade de Negócios
no Banco do Brasil.
▪ Reconhecer papéis e responsabilidades na Gestão da Continuidade
de Negócios no BB.
▪ Identificar cenários de ameaça a serem abordados na elaboração
dos planos de continuidade de negócios do BB.
▪ Conceituar estratégia de continuidade de negócios;
▪ Distinguir procedimentos e aspectos a serem considerados na
construção e avaliação do Plano de Continuidade de Negócios.
Gestão de Segurança 115

5.1. CONCEITOS

A gestão da continuidade de negócios - GCN é uma disciplina de gestão relati-


vamente nova que se tornou muito importante dado o ambiente extremamente
turbulento em que as organizações estão inseridas.

Atividades terroristas, mudanças climáticas drásticas, falhas ou danos nas


instalações físicas, interrupção na cadeia de suprimento e ameaças de pan-
demias humanas e animais são alguns exemplos dos eventos mais relevantes
que podem resultar em interrupções em larga escala, impactando a capacida-
de das organizações disponibilizarem seus produtos e serviços.

E não são apenas estes eventos que podem causar rupturas na continuidade
das operações de negócio. Uma em cada cinco organizações do Reino Unido
sofre paralisações em suas atividades a cada ano, causadas por incidentes
de menor nível de relevância, tais como incêndios, doenças, paradas decor-
rentes de problemas em sua infra-estrutura tecnológica, negação de acesso
aos sistemas informatizados ou perda de um fornecedor chave. Estes eventos
podem não impactar toda a coletividade em que a organização está inserida,
mas pode levá-la a perder clientes ou a ter problemas em seu fluxo de caixa.
Ao adotar a gestão da continuidade, as organizações estão mais bem prepa-
radas para superar os desafios de uma interrupção qualquer que seja a sua
causa.

O conceito de continuidade de negócios foi desenvolvido a partir da metade


da década de 80, como uma nova maneira de gerenciar os riscos de negó-
cio. A base da GCN é o comprometimento do corpo diretivo da organização
em garantir a continuidade das funções de negócio, a qualquer tempo e sob
quaisquer circunstâncias.

A GCN desenvolveu-se em contraponto à visão existente na década de 70,


de que era necessário prover condições de recuperação de desastres para
sistemas de informação. Tradicionalmente, os Planos de Recuperação de De-
sastre (PRD) concentravam-se na restauração das instalações físicas após
a ocorrência de graves incidentes (perdas da capacidade de processamen-
to ou de telecomunicações, perdas das edificações devido a incêndios ou
inundações). A responsabilidade sobre esses planos era dispersa em vários
segmentos organizacionais dentro da empresa. Tipicamente eram feitos pelas
áreas responsáveis pela TI ou pela segurança. Em geral, os PRD eram escri-
tos baseados nas premissas da ocorrência de um evento de interrupção e da

Universidade Corporativa BB
116 Programa certificação interna em conhecimentos

adoção de medidas de recuperação.

Porém, eventos inesperados não acontecem de repente; muito freqüentemen-


te têm sua causa-raiz na própria organização. Todas organizações possuem
fragilidades e podem ficar sujeitas a possibilidades de exploração de suas
vulnerabilidades. Exames mais apurados das causas dos principais desastres
demonstram que são decorrentes da combinação dessas fragilidades.

A gestão da continuidade de negócios é focada na prevenção, não somente


na reação à ocorrência de incidentes. Não diz respeito única e exclusivamente
à capacidade de lidar com incidentes, quando e se eles ocorrerem, mas tam-
bém em estabelecer uma cultura que busque construir maior resiliência,16 de
forma a garantir a entrega de produtos e serviços aos clientes.

Em resumo, a GCN age proativamente ao estabelecer os fundamentos es-


tratégicos e operacionais para desenvolvimento da resiliência da organiza-
ção a eventos causadores de ruptura, interrupção ou perda da capacidade de
fornecer produtos e serviços. Não contempla medidas puramente reativas a
se adotar depois que um incidente ocorre. Requer uma abordagem holística,
com planejamento abrangendo todas as esferas, uma vez que a resiliência
depende igualmente dos níveis gerenciais e operacionais e da tecnologia.

Pesquisas realizadas demonstram que o impacto de desastres no valor de


mercado das ações das empresas pode ser significativo. A falta de confiança
na capacidade dos gestores em agir rápida e profissionalmente em caso de
desastre são as causas principais dessa desvalorização.

A GCN revela a capacidade estratégica e tática da organização para planejar


e responder a incidentes e interrupção em seus negócios, administrando a
interrupção e garantindo a resiliência necessária ao enfrentamento da crise,
de modo a garantir o retorno dos negócios à normalidade no menor período
possível, proteger sua imagem e sua marca.

Em outras palavras, a GCN visa garantir a sobrevivência das organizações


mesmo diante de situações de interrupção nas suas atividades, graves ame-
aças ou crises corporativas.

Ao focar no impacto da interrupção e identificar os produtos e serviços mais


16
Resiliência é a capacidade de uma organização de se adequar à nova realidade após os efeitos de um incidente,
no sentido de manter capacidade operacional que atenda seus clientes e demais intervenientes.

Universidade Corporativa BB
Gestão de Segurança 117

críticos para a sobrevivência da organização, provendo uma visão realista da


situação e os meios para minimizar os impactos provocados pela crise, a GCN
se alinha à gestão de riscos.

Essa visão do ambiente negocial, com o retorno das operações críticas a ní-
veis aceitáveis e pré-definidos, garante à organização vantagem competitiva
e redução em seus riscos operacionais.

A GCN tem em seu escopo um conjunto de atividades que inclui o conheci-


mento da organização e de suas necessidades estratégicas, a definição de
estratégias de continuidade de negócios, o desenvolvimento e implementação
das respostas aos incidentes que provoquem a interrupção na continuidade de
negócios e a manutenção e revisão dos planos de continuidade. Porém, não
considera somente as questões técnicas, mas também a dimensão humana.
Reconhece que os funcionários, e possivelmente suas famílias, podem ser
atingidos pela mesma ocorrência que deu origem a algum tipo de interrupção
e que, como resultado, nem todos os funcionários estarão disponíveis para a
organização durante ou imediatamente após incidentes ou desastres.

GCN nas instituições financeiras

A continuidade de negócios é prioridade para a indústria financeira e para as


autoridades e reguladores do setor. Esses atores têm interesse comum no
aumento da capacidade de resiliência do sistema financeiro frente a grandes
interrupções. Este interesse é resultado de múltiplos fatores, incluindo:
■ o papel crucial que a intermediação financeira desempenha em facilitar
e promover as atividades econômicas nacionais e mundiais;
■ a interrupção dos processos de compensação e liquidação, feito de modo
concentrado na maioria dos países, pode ter efeitos adversos para o sis-
tema financeiro como um todo e impedir que os participantes completem
operações e cumpram suas obrigações;
■ a velocidade com que o dinheiro e os valores mobiliários circulam diaria-
mente consolida o nível de interdependência das instituições financeiras
sob a forma de risco de liquidação e, em última análise, risco de crédito
e de liquidez. O resultado de uma interrupção em uma instituição finan-
ceira participante do sistema pode afetar outra com sérias implicações
por meio do efeito sistêmico;
■ a possibilidade de ataques terroristas ou outros ataques orientados, di-
reta ou indiretamente, à infra-estrutura do sistema financeiro;

Universidade Corporativa BB
118 Programa certificação interna em conhecimentos

■ repetidas ou prolongadas interrupções no funcionamento de um sistema


financeiro podem minar a confiança e resultar em uma retirada de capi-
tal afetando o sistema nacional e global. A confiança do público é muito
importante para o funcionamento dos sistemas financeiros.

Ao mesmo tempo, outros elementos, como a crescente complexidade e o risco


operacional em todas as áreas do sistema financeiro, aumentam o desafio de
implementar a capacidade de resiliência. Por exemplo, o sistema financeiro
é profundamente dependente da automatização que, por sua vez, depende
dos elementos da infra-estrutura física que dão suporte a automatização, tais
como telecomunicações e energia. Enquanto as organizações que fornecem
as instalações e os serviços, que incluem a infra-estrutura física, estão
empenhadas em melhorar a sua capacidade para suportar grandes interrup-
ções, as autoridades financeiras e a indústria financeira não têm controle dire-
to sobre as suas decisões, quando da ocorrência destas interrupções.

Compatível com o foco em preservar a funcionalidade de um sistema financei-


ro, as autoridades financeiras tendem a priorizar os participantes críticos do
mercado. As lições que se aprende com a experiência do passado, no entan-
to, são aplicáveis a uma audiência mais ampla.

A gestão eficaz da continuidade de negócios concentra-se no impacto causa-


do, em oposição à origem da interrupção, e fornece à indústria financeira e às
autoridades financeiras uma maior flexibilidade para tratar um amplo leque de
interrupções.

A estrutura de GCN

A visão mais aceita do assunto percebe a GCN como um ciclo que permite
compreender melhor a organização e prepará-la para o enfrentamento de cri-
ses, ao definir os processos críticos, fazer a avaliação de risco e impacto des-
tes processos, definir as estratégias de continuidade de negócios, determinar
responsabilidades, desenvolver e testar os planos de continuidade. Grafica-
mente, podemos entender esse ciclo como demonstrado na figura 16.

Universidade Corporativa BB
Gestão de Segurança 119

Figura 16
Ciclo de gestão da continuidade de negócios

O ciclo de GCN permite uma visão clara das atividades essenciais, categori-
zadas de acordo com sua prioridade de retomada, bem como permite a defi-
nição do período máximo de interrupção aceitável para cada processo crítico,
definindo recursos e responsáveis.

A gestão eficaz da continuidade de negócios é composta:


■ pela análise de impacto (conhecida internacionalmente pela sua sigla
em inglês – BIA: Business Impact Analysis) e de risco (ou Risk Assess-
ment);
■ pelas estratégias de recuperação e os planos de continuidade;
■ por um programa de testes, formação e sensibilização dos funcionários;
■ por um programa de comunicação e gestão de crise.

Com essa visão, os responsáveis pelos processos podem avaliar o tempo de


retomada em relação ao custo de implementação de determinada estratégia
de continuidade, direcionando suas decisões de acordo com o risco que em-
presa está preparada para aceitar ou se expor.

Como funciona o ciclo de GCN?

Em primeiro lugar é necessário compreender o negócio em sua totalidade,


perceber o seu foco de atuação e observar quais processos são essenciais
para o sucesso nos negócios. A existência de uma política de GCN definida
e aprovada na esfera decisória superior da organização é fundamental como

Universidade Corporativa BB
120 Programa certificação interna em conhecimentos

direcionador neste sentido. A partir da aprovação da política, pode-se passar


para as etapas seguintes, que são a análise de risco e a análise de impacto
dos processos críticos.

A realização da análise de impacto é o ponto de partida. É um processo dinâ-


mico que busca identificar operações e serviços críticos, dependências inter-
nas e externas e níveis de resiliência apropriados. Avalia os riscos e impactos
potenciais dos vários cenários de interrupção nos processos de uma organi-
zação e na sua imagem e reputação. Os processos e atividades críticas são
sustentados por pessoas (funcionários, colaboradores etc.) e recursos (tecno-
logias, infra-estrutura física e de logística, fornecedores etc). Torna-se neces-
sário perceber as ameaças a que estão sujeitas as pessoas e os recursos, as
vulnerabilidades e o impacto que a interrupção provocada por um incidente
possa causar nos negócios da empresa. Esta percepção é conseguida por
meio da análise de risco e impacto.

É fundamental a realização das análise de risco e impacto para perceber e


mensurar a real criticidade dos processos. As análises de risco e impacto for-
necem subsídios para tomada de decisão, permitindo um direcionamento nas
ações contingenciais, com vistas a priorizar a retomada dos processos mais
importantes para a organização.

A estratégia de continuidade parte dos objetivos de recuperação e das priori-


dades, baseando-se nos resultados da análise de impacto nos negócios. Entre
outras coisas, estabelece objetivos para o nível de serviço que a organização
busca entregar no caso de uma interrupção e a retomada das operações.

Os planos de continuidade provêem orientação detalhada para implementar


a estratégia de recuperação. Eles estabelecem os papéis e alocam responsa-
bilidades por administrar as situações emergenciais durante as interrupções
e garantem orientações claras, relativas à alçada de decisão das equipes no
caso de uma interrupção que incapacite as pessoas-chave.

A segurança das pessoas não pode ser esquecida e deve ser a preocupação
máxima dos planos de continuidade dos negócios de uma organização.

É importante lembrar que a confusão pode ser um grande obstáculo para uma
resposta efetiva a uma interrupção significativa. Nesse sentido, papéis, res-
ponsabilidades e autoridade para agir, bem como o encadeamento dos pla-
nos, devem ser claramente descritos no programa de gestão da continuidade.

Universidade Corporativa BB
Gestão de Segurança 121

Análise de impacto nos negócios

A análise de impacto nos negócios é o pilar central da GCN. É responsável


pela identificação, quantificação e qualificação do impacto nos negócios ge-
rado pela perda, interrupção ou ruptura dos processos de negócio de uma
organização e provê as informações que subsidiarão a determinação das es-
tratégias de continuidade mais adequadas.

A análise de impacto, ao identificar, quantificar e qualificar o impacto nos ne-


gócios, permite:
■ obter uma maior compreensão dos processos mais críticos, a prioridade
de cada um deles e os tempos máximos de retomada após uma interrup-
ção não programada;
■ identificar quais impactos nos negócios são mais relevantes para a or-
ganização, considerando-se aspectos como imagem, reputação, perda
financeira etc;
■ propiciar informações para as estratégias de recuperação se tornarem
mais efetivas;
■ identificar quais impactos podem resultar em danos à reputação, ativos
e posição de mercado da organização;
■ quantificar o tempo máximo tolerado de uma interrupção para cada pro-
cesso de negócio.

Ao avaliar os impactos, convém que a organização considere aqueles que


se relacionam ao atingimento de seus objetivos e à funcionários, acionistas,
sociedade e demais partes interessadas. Os impactos a serem avaliados in-
cluem:
■ impacto ao bem-estar das pessoas;
■ dano ou perda de instalações, tecnologias ou informação;
■ não cumprimento de deveres ou regulamentações;
■ danos à reputação;
■ danos à viabilidade financeira;
■ deterioração da qualidade de produtos ou serviços;
■ danos ambientais.

Ocorre, então, uma análise dos recursos, das ameaças e vulnerabilidades,


para que se possa classificar o grau de impacto que estas ameaças poderão
provocar no caso de um incidente.

Universidade Corporativa BB
122 Programa certificação interna em conhecimentos

Para realizar a análise de impacto são utilizados workshops, aplicados ques-


tionários ou realizadas entrevistas com os gestores dos processos.

As boas práticas de GCN indicam a necessidade de revisão mínima anual dos


resultados da análise de impacto.

Análise de riscos

A análise de risco, no âmbito da GCN, é realizada para os processos conside-


rados críticos. O objetivo é determinar e identificar os modelos de avaliação
de riscos e os níveis aceitáveis de risco aos quais a organização está disposta
a enfrentar.

Para isso, os riscos dos processos são mensurados e classificados de acordo


com seu grau de criticidade. A análise de riscos, ao estudar probabilidade de
ocorrer o evento e seu impacto no processo, permite identificar uma série de
ameaças de interrupção.

A análise de riscos deve ser focada nos processos mais urgentes identifica-
dos durante a análise de impacto. Tem como propósito identificar as ameaças
internas e externas que podem provocar descontinuidade nos negócios e sua
probabilidade e impacto; priorizar as ameaças de acordo com um método
aceito pela organização; e prover informações para os planos de ações miti-
gadoras do risco.

Os principais tópicos a serem abordados na análise de riscos são:


■ detalhamento dos impactos e das probabilidades de ocorrência em or-
dem de criticidade e relevância;
■ identificação das ameaças aos processos de maior impacto identificados
na fase de análise de impacto;
■ estimativa do impacto das ameaças na organização usando um método
único de avaliação;
■ determinação dos valores estatísticos associados à probabilidade ou fre-
qüência de cada ameaça;
■ cálculo do risco, combinando o impacto e a probabilidade de ocorrência
de cada ameaça, utilizando método previamente definido;
■ categorização dos resultados obtidos.

Universidade Corporativa BB
Gestão de Segurança 123

A decisão do método de avaliação de riscos a ser adotado é da organização,


mas é importante que esse método seja apropriado a todos os requisitos de
segurança.

As vulnerabilidades podem existir como fraquezas nos recursos e podem,


em algum ponto, ser exploradas pelas ameaças, como, por exemplo, pontos
únicos de falha e inadequações na proteção contra incêndio, em instalações
elétricas, na quantidade de pessoas na equipe, na segurança e facilidade de
recuperação dos recursos de TI.

Como resultado das análises de risco e impacto, o gestor pode escolher a


melhor estratégia de continuidade, reduzir a probabilidade e o período de in-
terrupção ou mesmo limitar o impacto a determinados produtos ou serviços.

Definição de estratégias

Para uma boa prática de GCN, todas as organizações devem perceber quais
são seus processos mais críticos e desenvolver estratégias para minimizar o
impacto nos negócios, imagem e marca, advindo de uma interrupção.

Para o desenvolvimento de boas estratégias de continuidade, vários fatores


devem ser considerados, como por exemplo:
■ as pessoas envolvidas nos processos;
■ os recursos tecnológicos disponíveis;
■ os fornecedores;
■ a segurança da informação (atendendo aos requisitos de confidenciali-
dade, integridade e disponibilidade)
■ o período aceitável de interrupção;
■ os custos para implementação das estratégias;
■ conseqüências das ações, grau de tempestividade e até da inação;
■ atendimento às expectativas dos acionistas e clientes.

As estratégias de continuidade oferecem soluções alternativas para se manter


operacionais os processos críticos de uma organização. São respostas de
proteção às vulnerabilidades dos processos críticos apontadas na análise de
risco. Estas soluções devem ser preparadas e testadas antes de uma inter-
rupção nos negócios, de modo a garantir a eficácia da estratégia com ganhos
para a empresa.

Universidade Corporativa BB
124 Programa certificação interna em conhecimentos

Existem várias estratégias possíveis de utilização em caso de interrupção nos


negócios. A utilização ou não dessas estratégias depende do grau de risco e
impacto levantados e da decisão do gestor dos processos.

As estratégias de continuidade de negócios têm de estar alinhadas à estraté-


gia corporativa e à direção fornecida pela alta administração da organização.

Entre outros aspectos relevantes dessa estratégia encontram-se a revisão


regular das análises de risco e impacto dos processos críticos, a formação de
equipe especializada em gestão da continuidade de negócios, a implantação
de um programa corporativo de GCN e a providência dos recursos necessá-
rios para um rápido retorno à normalidade dos negócios.

Formalização e divulgação das estratégias

Como já visto, após a análise de risco e impacto nos negócios, os administra-


dores adquirem um conjunto de informações que permite a tomada de deci-
são no caso de uma situação de interrupção nos negócios.

As estratégias de continuidade devem garantir a eficácia na adoção de ações


tempestivas por parte da organização em momentos de crise, além do retor-
no à normalidade no menor espaço possível de tempo. A formalização das
estratégias é feita por meio dos planos e procedimentos de continuidade de
negócios.

O objetivo final de um plano de continuidade dos negócios é a restauração


integral das operações de uma organização. A maior parte dos planos prevê a
recuperação das operações de acordo com o seu impacto sobre a empresa,
priorizando as operações críticas da organização.

Interrupções de diferentes tipos e impactos que acontecem rotineiramente -


como falhas em TI, interrupções no fornecimento de energia elétrica e proble-
mas nos transportes - devem estar contemplados nos planos de continuidade
dos negócios. De uma perspectiva empresarial, a resiliência tem uma clara
lógica comercial – clientes das organizações cujos sistemas regularmente so-
frem interrupções, inevitavelmente, vão escolher fazer negócios com institui-
ções mais resistentes. Em um ambiente competitivo, uma organização irá pe-
sar os benefícios de medidas que melhorem a sua capacidade de resistência
a interrupções frente ao custo destas medidas.

Universidade Corporativa BB
Gestão de Segurança 125

Testes e manutenção de planos

Testes da capacidade de recuperação das operações críticas são elementos


essenciais para a gestão eficaz da continuidade de negócios. Tais testes, que
podem assumir muitas formas, devem ser realizados periodicamente, com a
natureza, o escopo e a periodicidade determinada pela criticidade das aplica-
ções e funções da empresa, o papel da organização, as operações do merca-
do e alterações sofridas pela organização ou no ambiente externo.

Além disso, esses testes devem identificar a necessidade de aprimoramento


dos planos de continuidade e de outros aspectos da gestão da continuidade
empresarial.

Em alguns casos, essa necessidade pode surgir como resultado de altera-


ções no modelo de negócio, responsabilidades, sistemas, software e hardwa-
re, pessoal, instalações ou no ambiente externo. Uma parte independente,
tal como auditoria interna ou externa, deve avaliar a eficácia do programa de
testes da organização, rever os resultados dos testes e apresentar os seus re-
sultados ao conselho de administração. A alta administração e o conselho de
administração devem garantir que todas as lacunas ou deficiências que lhes
sejam transmitidas sejam abordadas de forma adequada e oportuna.

Além de garantir que os planos de continuidade sejam avaliados e atuali-


zados, caso necessário, os testes também são essenciais para promover a
consciência, o conhecimento e o entendimento entre os funcionários sobre
suas atribuições e responsabilidades no caso de uma interrupção. É impor-
tante que o programa de testes envolva todo o pessoal que pode ser acionado
nas respostas a incidentes.

5.2. ASPECTOS LEGAIS, GOVERNANÇAS E MELHORES PRÁTICAS

A dinâmica do sistema financeiro internacional, o processo de globalização


(que aumentou a integração dos mercados), a sofisticação tecnológica, a
crescente preocupação com a mitigação dos riscos nas organizações, alia-
dos aos escândalos envolvendo fraudes em balanços de grandes empresas,
levou os governos, órgãos reguladores e organismos internacionais à imple-
mentar leis, regulamentos, normas e padrões para garantir a continuidade de
negócios nos casos de incidentes corporativos, tendo como objetivo principal
minimizar os possíveis prejuízos financeiros e sociais e impedir a propagação
de seus efeitos.

Universidade Corporativa BB
126 Programa certificação interna em conhecimentos

Como podemos observar, existem diversos fatores que podem colocar em ris-
co a continuidade dos negócios, sujeitando as empresas às ameaças de inter-
rupção. As ameaças podem ser naturais, advindas de problemas ambientais,
como enchentes, escassez de água, tempestades, incêndios naturais etc.,
que se apresentam ainda mais impactantes devido às alterações climáticas
mundiais; podem ter natureza social, como as relacionadas à violência e às
atividades do crime organizado; e podem relacionar-se aos recursos, conside-
rando-se, em especial, a alta dependência dos recursos de tecnologia da infor-
mação para realização de negócios. A concretização das ameaças em eventos
de interrupção geram impactos que se apresentam de maneira mais inten-
sa em alguns setores, como o de telecomunicações e a indústria financeira.

A atual conjuntura faz com que diversas governanças do setor financeiro assu-
mam postura mais determinante quanto à definição de regras e controles para
minimização do risco operacional, bem como quanto à existência de ações
concretas para enfrentamento de situações emergenciais nas instituições fi-
nanceiras, consolidadas em demonstrações efetivas do estabelecimento do
processo de gestão da continuidade de negócios.

Para tanto, foram criadas ou revistas diversas regulamentações e normas,


que são observadas e implementadas pelas principais organizações do mun-
do. Como exemplo de regulamentações e normas adotadas no Brasil, temos
o Acordo de Basiléia II, a Lei Sarbanes-Oxley, a Resolução 3.380 do Banco
Central do Brasil e as normas ABNT NBR (15999-1 e 15999-2) e ISO (27001
e 27002).

Vejamos com mais detalhes algumas destas regulamentações e normas:

Acordo de Basiléia II – O Comitê de Supervisão Bancária da Basiléia (BIS),


composto por representantes dos bancos centrais e autoridades supervisoras
dos bancos dos principais países do mundo, define, por meio de seus acor-
dos, as diretrizes para supervisão bancária mundial. O acordo de Basiléia II
recomenda que as instituições financeiras mantenham planos de continuida-
de de negócios para minimização dos riscos operacionais, por meio da ado-
ção de práticas de gestão e controle do risco operacional capazes de eliminar
ou minimizar a probabilidade de perdas significativas decorrentes de eventos
relacionados, entre outros, a:
■ danos em ativos físicos (edificações, prédios administrativos, instala-
ções comerciais ou industriais, data centers) provocados por incidentes
decorrentes de atos terroristas, ações do crime organizado, vandalismo,

Universidade Corporativa BB
Gestão de Segurança 127

terremotos, incêndios, enchentes, desabamentos, inundações;


■ falhas de sistemas e interrupção nos negócios, como, por exemplo, fa-
lhas em hardware e software, problemas de telecomunicações, falhas na
prestação de serviços como o fornecimento de energia, água e teleco-
municações.

Para subsidiar as ações de implementação do gerenciamento de riscos ope-


racionais, o BIS divulgou documento indicando as práticas a serem adotadas
pelas instituições financeiras e exigidas pelos órgãos de supervisão bancária.
O Banco Central do Brasil segue essas orientações e regulamenta a neces-
sidade da existência de planos de continuidade de negócios nas instituições
financeiras brasileiras.

Lei Sarbanes-Oxley – lei americana assinada em 30 de julho de 2002. Moti-


vada por escândalos financeiros corporativos, foi redigida com o objetivo de
evitar o esvaziamento dos investimentos financeiros e a fuga dos investido-
res causada pela aparente insegurança a respeito da governança adequada
das empresas. Para evitar fraudes e recuperar a credibilidade em relação à
governança corporativa, a lei Sarbanes-Oxley estipula responsabilidades e
sanções aos administradores. Esta lei afeta dezenas de empresas brasileiras
que mantém ADRs (american depositary receipts) negociadas na NYSE e o
BB é uma delas.

Resolução 3.380, de 29.06.2006 - determina que as instituições financeiras


e demais instituições autorizadas a funcionar pelo Banco Central do Brasil im-
plementem estrutura de gerenciamento do risco operacional, contemplando a
existência de planos de continuidade e estratégias para assegurar condições
de continuidade das atividades e para limitar graves perdas decorrentes do
risco operacional.

NBR 15.999-1 e 15.999-2 – versão nacional da norma britânica BS 25999, pu-


blicada em 22 de outubro de 2007, que estabelece o processo, os princípios e
a terminologia da gestão da continuidade de negócios. O propósito é fornecer
uma base para que se possa entender, desenvolver e implementar a continui-
dade de negócios em uma organização. Ela permite também que a organiza-
ção avalie sua capacidade de GCN de uma maneira consistente e reconhecida.

NBR ISO/IEC 27001 e 27002 – código de práticas para gestão de sistemas


de informação, é a versão brasileira da norma ISO, homologada pela ABNT.
Cobre os mais diversos tópicos da área de segurança, possuindo um grande

Universidade Corporativa BB
128 Programa certificação interna em conhecimentos

número de controles e requerimentos que devem ser atendidos para garantir


a segurança das informações de uma empresa.

5.3. METODOLOGIA ADOTADA NO BANCO DO BRASIL

Visão do Banco do Brasil

O Banco do Brasil direciona sua atuação pelo atendimento às exigências do


ambiente regulatório e o atendimento às expectativas dos clientes, acionistas,
funcionários e sociedade.

A preocupação com a GCN no Banco do Brasil se reflete não apenas na


definição da política de gestão da continuidade de negócios aprovada pelo
conselho diretor e conselho de administração, mas também na implantação
de um processo de GCN que leva em conta os aspectos financeiros, legais
e de imagem que possam afetar a empresa e na divulgação de orientações
estratégicas e operacionais nos normativos internos e nos canais de comuni-
cação corporativos.

Desde 2004, em consonância com a política, com o modelo de gestão da


continuidade de negócios e com as determinações legais específicas dos ór-
gãos reguladores do Sistema Financeiro Nacional, a Diretoria de Gestão de
segurança - Diges vem coordenando a implantação de ações para garantir a
viabilização da operacionalização dos principais processos de negócios da
organização, mesmo diante de situações de crise corporativa.

Modelo de GCN do BB

O modelo adotado no Banco compreende as atividades de análise e determi-


nação dos impactos que uma interrupção significativa causaria nos processos
de negócios da empresa, bem como a definição, implementação e validação
das medidas de mitigação das conseqüências de uma indisponibilidade seve-
ra dos processos estratégicos.

As premissas que norteiam a adoção deste modelo são:


■ consolidação da cultura de GCN no BB;
■ aumento da resiliência dos processos estratégicos existentes no Banco;
■ atendimento das demandas e recomendações feitas pelas governanças

Universidade Corporativa BB
Gestão de Segurança 129

externas, de acordo com as normas, regulamentos e melhores práticas;


■ manutenção das condições de operacionalização dos serviços prioritá-
rios e essenciais ao funcionamento dos negócios, mesmo diante de ce-
nários de interrupção ou de crise corporativa.

Como fatores motivadores da adoção deste modelo, temos:


■ facilidade de acompanhamento e o controle das ações em cada etapa;
■ respeito à cultura organizacional;
■ simplificação do modelo de GCN adotado no BB;
■ redução do nível de exposição ao risco de indisponibilidade dos processos.

Por se tratar de um processo interativo e evolutivo, as atividades de GCN fo-


ram estruturadas em ciclos e etapas, conforme figura 17.

Figura 17
Ciclos da GCN no BB
APE = Análise de Riscos
+ Análise de impacto
Agendamento, Realização
e Elaboração de Relatórios
de Testes/Exercícios

Definição de Estratégias
e Formalização dos
Planos

A Diges disponibiliza regras, modelos e padrões para a gestão da continuidade


de negócios e busca, junto às unidades estratégicas, identificar e classificar
os processos, considerando o impacto e o risco de sua indisponibilidade para,
a partir dos resultados obtidos, assessorá-las na proposição, implementação
e testes das medidas para manter os processos operacionais.

Cabe às unidades estratégicas orientar e direcionar as ações das unidades


táticas e operacionais quanto à gestão da continuidade dos negócios, em seu
âmbito de atuação.

Universidade Corporativa BB
130 Programa certificação interna em conhecimentos

Para a implementação da GCN no BB foram definidas as seguintes ações:


■ classificação dos processos quanto ao impacto e ao risco de sua inope-
rância para o Banco (avaliação de processos estratégicos - APE);
■ definição de atribuições e das responsabilidades de implementação -
pelas áreas gestoras de produtos, serviços e sistemas - de mecanismos
e soluções para manter os processos operacionais, mesmo diante de
cenários de interrupção ou de crise corporativa;
■ documentação formal das soluções e mecanismos que visam a continui-
dade dos processos;
■ avaliação dos mecanismos e soluções por meio de testes e exercícios
dos cenários para os quais se aplicam;
■ aprimoramento dos mecanismos e soluções, caso não atendam aos re-
quisitos de avaliação;
■ estabelecimento de fluxos específicos de informações para dar suporte
ao processo de gestão de crises;
■ no caso de crise corporativa, avaliação dos incidentes que provocaram
a inoperância de processos estratégicos e dos planos de continuidades
adotados.

Avaliação de processos estratégicos - APE

A avaliação de processos estratégicos envolve todas as unidades estratégi-


cas do Banco responsáveis pela gestão dos processos, produtos, serviços e
sistemas, a fim de determinar os impactos operacionais decorrentes de in-
terrupções que possam abalar todo o Banco ou as que podem abalar a nor-
malidade dos serviços mais críticos. O foco da APE está na sobrevivência do
Banco diante de cenários de crises corporativas.

A APE orienta a definição e implementação de medidas, mecanismos e solu-


ções que mantenham o funcionamento do Banco, nos cenários de crise corpo-
rativa e subsidia a alta direção na tomada de decisões estratégicas para a ma-
nutenção da operacionalização do Banco, ainda que em condições mínimas.

A APE visa à obtenção de informações estruturadas e qualificadas quanto às


características fundamentais dos processos considerados estratégicos para a
organização, abrangendo os seguintes tópicos:
■ identificação dos processos;
■ vinculação de recursos: humanos, sistemas e serviços terceirizados;
■ avaliação de intervenientes de entrada e saída (internos e externos);
■ avaliação do impacto da indisponibilidade dos processos;

Universidade Corporativa BB
Gestão de Segurança 131

■ vinculação de estratégias para os cenários definidos;


■ classificação dos processos estratégicos.

Uma vez concluída a APE e em função do grau de impacto e risco de sua


inoperância, os processos são classificados em cinco níveis (Figura 18), de
acordo com a pontuação obtida:
■ baixo (>0 e <=150);
■ moderado(>150e <=450);
■ significativo (>450 e <=650);
■ elevado (>650 e <=850); e,
■ extremo (>850 e <=1000)

Figura 18
Classificação dos Processos

A classificação da APE subsidia a priorização da retomada dos serviços de


TI, no ambiente de produção, a realização de investimentos para mitigação
de riscos e impacto nos negócios e a utilização de estratégias corporativas
implementadas pelas Unidades Estratégicas.

Gestão de planos e de procedimentos

Esse ciclo do modelo adotado no BB abrange as etapas de definição de estra-


tégias e de formalização e divulgação de estratégias, da estrutura tradicional
de GCN.

Como já visto, após a realização da avaliação de processos estratégicos, o


gestor possui um conjunto de informações que permite a tomada de decisão
e a gestão dos planos elaborados.

Universidade Corporativa BB
132 Programa certificação interna em conhecimentos

Testes e exercícios

Os testes e exercícios servem para verificar a eficácia das estratégias em mo-


mentos de crise e se os planos atenderão aos requisitos pré-definidos.

Conscientização e treinamento

A conscientização de toda a organização quanto à importância de se imple-


mentar uma gestão da continuidade de negócios é fundamental para o suces-
so das estratégias.

Os meios para se conseguir reforçar a cultura de GCN passam pelo reconhe-


cimento da alta administração do Banco, um fluxo de comunicações claro e
definido com relação aos responsáveis e o envolvimento de todo corpo funcio-
nal na gestão da continuidade de negócios.

Os treinamentos em GCN estão ao alcance de todas pessoas relacionadas


com o tema. Objetivam ser de fácil entendimento, com o uso de linguagem
clara e acessível. Além da conceituação teórica, demonstram o uso das fer-
ramentas disponibilizadas para suportar a gestão, permitindo o envolvimento
das pessoas nos processos e uma resposta mais rápida no caso de uma in-
terrupção nos negócios.

5.4. PAPÉIS E RESPONSABILIDADES

As boas práticas recomendam uma definição clara dos papéis e responsabili-


dades que envolvem a gestão da continuidade de negócios.

Elas normalmente começam com a definição da política de continuidade de


negócios no âmbito da organização e chegam até à designação da pessoa
responsável por implementar um programa de GCN na empresa e a formação
de uma equipe especializada para tratar do assunto.

O escopo, as regras e as responsabilidades em GCN devem ser de conheci-


mento de toda a organização. Este é o caminho necessário para se implantar
uma cultura de gestão da continuidade de negócios na empresa.

Para que o BB obtenha a resiliência necessária ao enfrentamento de crises


corporativas, todas as unidades estratégicas, táticas e operacionais devem ter

Universidade Corporativa BB
Gestão de Segurança 133

sinergia no desempenho de seus papéis e responsabilidades. As atribuições


das unidades quanto à gestão da continuidade de negócios estão bem defini-
das nos normativos internos.

As dependências devem constituir o grupo coordenador de continuidade


(GCC), realizar a análise de risco e impacto, elaborar os planos de conti-
nuidade de sua competência, definir procedimentos para funcionamento da
dependência em situações emergenciais e testar os planos de continuidade
de negócios.

Grupo coordenador de continuidade - GCC

O objetivo do grupo coordenador de continuidade é preparar a dependência


para enfrentar os cenários de interrupção ou de ameaça de interrupção dos
negócios. Para tanto, seus integrantes devem:
■ identificar as principais ameaças de interrupção dos negócios;
■ coordenar a elaboração dos planos de continuidade da dependência;
■ manter toda a documentação relativa aos planos de continuidade da de-
pendência - inclusive normativos e listas de acionamento - em local se-
guro, acessível somente aos integrantes do grupo coordenador de con-
tinuidade e aos executores dos procedimentos previstos;
■ definir e implementar fluxo de informações para enfrentamento de cri-
ses;
■ identificar e monitorar o risco à operacionalização dos processos do
Banco decorrente da interrupção da prestação de serviços terceirizados,
bem como avaliar os planos de continuidade elaborados pelos fornece-
dores e prestadores de serviço;
■ reunir-se periodicamente com vistas à adoção de medidas preventivas
e administrativas previstas nos planos, elaborando atas das reuniões e
arquivando-as para verificação pela auditoria interna.

A constituição do grupo coordenador de continuidade é um ato formal. Para


tanto, deve ser elaborado o respectivo ato de constituição, conforme as instru-
ções vigentes. O documento deve ser atualizado sempre que necessário, de
modo a oferecer informações seguras e confiáveis em caso de necessidade.

Universidade Corporativa BB
134 Programa certificação interna em conhecimentos

5.5. CENÁRIOS DE AMEAÇA DE CONTINUIDADE DE NEGÓCIOS

São vários os cenários possíveis de ameaça à continuidade dos negócios.


Para a elaboração dos planos de continuidade de negócios o BB adota os
seguintes cenários principais:
■ bloqueio de acesso – BA: impossibilidade de acesso aos ambientes
normais de trabalho, por motivos relacionados exclusiva e diretamente
ao local de trabalho, como manifestações de pessoas nas entradas dos
edifícios, problemas na infra-estrutura predial que impeçam a sua utiliza-
ção, interdição das vias públicas de acesso, como plataformas ou pistas
próximas à dependência, interdição dos prédios do BB em decorrência
de incidentes envolvendo edifícios vizinhos;
■ falta de pessoal - FP: ausências de funcionários nos locais de trabalho,
voluntárias ou involuntárias;
■ indisponibilidade de sistemas - IS: inoperância total dos sistemas cor-
porativos, caso os mecanismos de disponibilidade dos ambientes de TI
não funcionem conforme previsto;
■ indisponibilidade de serviços terceirizados - IST: interrupção na pres-
tação dos serviços ou das atividades executadas por empresas contrata-
das;
■ problemas na infra-estrutura predial – PIP: interrupção do funciona-
mento normal das instalações prediais, no tocante à infra-estrutura bási-
ca (sistemas elétrico, hidráulico, de águas pluviais, esgoto e de detecção
e combate a incêndio) e de instalações especiais (centrais de ar condi-
cionado, nobreaks, subestações e geradores);
■ indisponibilidade da infra-estrutura de TI – IITI: incidentes, danos ou
panes nos equipamentos e instalações (hardware, software, processos
operacionais, aplicativos e ambiente) que integram a infra-estrutura de
processamento, armazenamento e comunicação de dados, que provo-
quem a inoperância total ou parcial da capacidade de produção de um
dos centros de processamento;
■ ameaça à integridade física e patrimonial – AIFP: situações que cau-
sem ameaça à vida ou à integridade física das pessoas nos ambientes
do Banco, bem como as que possam atingir as instalações prediais.

Universidade Corporativa BB
Gestão de Segurança 135

5.6. ESTRATÉGIAS PARA GARANTIA DA CONTINUIDADE DE NEGÓ-


CIOS

Definição

As estratégias de continuidade de negócios são os mecanismos e soluções


definidos com o objetivo de mitigar os riscos provenientes de uma indispo-
nibilidade que afetem direta ou indiretamente os processos estratégicos da
empresa.

As estratégias de continuidade devem ser detalhadas nos planos de conti-


nuidade de negócios, para serem ativadas quando ocorrerem os cenários de
interrupção.

Como vimos, a avaliação de processos estratégicos identifica os processos


críticos e classifica-os por grau de impacto e risco. O gestor deve perceber as
vulnerabilidades de seus processos e confeccionar os planos de continuidade.

Após perceber quais processos possuem maior grau de impacto e risco, al-
gumas decisões estratégicas têm de ser tomadas pelo gestor. Tais decisões
envolvem identificar as estratégias de continuidade, verificar as estratégias
alternativas possíveis, analisar a relação custo e benefício da adoção das
estratégias e comunicar às instâncias decisórias da organização, para apro-
vação, as ações a serem tomadas.

Quanto à esfera decisória, as ações podem ser:


■ não fazer nada: quando o risco é aceitável;
■ mudar ou finalizar o processo: alinhar o processo a outros processos da
organização;
■ garantir um seguro: providenciar recursos suficientes mediante a contra-
tação de apólices de seguro para garantir a possível perda;
■ baixar a mitigação: providenciar ações para mitigar o risco;
■ desenvolver um plano de continuidade de negócios: modo mais eficaz de
prover resiliência à organização, em caso de interrupção nos negócios.

O gestor irá considerar opções estratégicas para os processos de maior grau


de impacto e risco e para os recursos que cada processo consumirá durante
sua restauração. A(s) estratégia(s) mais(s) apropriada(s) depende(m) de uma
série de fatores, como:

Universidade Corporativa BB
136 Programa certificação interna em conhecimentos

■ o período máximo de interrupção tolerável;


■ os custos de implementação de uma ou mais estratégias;
■ as conseqüências de não se agir.

Estratégias podem ser necessárias para os seguintes recursos:


■ pessoas;
■ instalações;
■ tecnologia;
■ informação;
■ fornecedores de suprimentos ou serviços.

Em cada caso o gestor deve evitar implementar uma solução de continuidade


que possa ser afetada pelo mesmo incidente que causou a interrupção no
processo de negócio.

Formalização

Após a identificação dos processos críticos, a avaliação de impacto e risco e


a definição das estratégias de continuidade, tornam-se necessários o detalha-
mento e a formalização dessas estratégias.

As estratégias de continuidade são formalizadas por meio da elaboração e


documentação dos planos e procedimentos de continuidade de negócios. Os
planos de continuidade são parte integrante do ciclo de vida dos processos de
negócio, devendo, portanto, ter atenção especial do administrador.

Vários fatores influenciam a elaboração dos planos de continuidade de negó-


cios: recursos, tempo de recuperação, prioridades, responsabilidades, estru-
tura organizacional, lista de acionamento etc.

Um plano de continuidade deve ser conciso, escrito de forma clara e objetiva,


de fácil leitura e conter todas as informações relevantes para uma melhor to-
mada de decisão no momento inicial da interrupção.

Veja as principais informações que devem estar contidas nos planos:


■ objetivo geral do plano;
■ listagem dos processos atendidos pelo plano;
■ cenários para os quais o plano se aplica;
■ estratégias de continuidade adotadas;

Universidade Corporativa BB
Gestão de Segurança 137

■ critérios de avaliação dos testes e exercícios;


■ situação para a decretação ou ativação dos planos;
■ premissas ou observações essenciais para funcionamento do plano;
■ periodicidade de realização de testes ou exercícios.

O plano de continuidade deve contemplar, também, procedimentos de pre-


venção, resposta e retorno:
■ prevenção: ações preventivas, isto é, passos a serem seguidos antes
da concretização do cenário analisado. Os procedimentos desta fase
também envolvem testes, exercícios e configurações prévias;
■ resposta: ações reativas, isto é, passos a serem seguidos no momento
da concretização do cenário analisado. Os procedimentos desta fase en-
volvem a execução de rotinas ou acionamento de pessoas previamente
definidas;
■ retorno: ações pós-incidente, isto é, passos a serem seguidos depois
da concretização do cenário analisado. Os procedimentos desta fase
envolvem a retomada dos serviços represados durante o incidente; tem
foco no retorno dos processos à normalidade.

Os procedimentos descrevem o detalhamento das ações que deverão ser


executadas, para que suas atividades continuem a ser realizadas mesmo em
situações de anormalidade.

Ao definir e detalhar as estratégias de continuidade, o gestor deve estimar os


recursos que cada atividade prevista nos planos necessitará, contemplando
no mínimo os seguintes aspectos:
■ recursos de pessoal, incluindo quantidade, habilidades e conhecimento
(de pessoas);
■ localização dos trabalhos e instalações necessárias;
■ tecnologia, equipamentos e instalações físicas;
■ informação, eletrônica ou em papel suficientemente atualizada e precisa
sobre trabalhos anteriores ou em andamento, de forma a permitir que as
atividades continuem no nível acordado;
■ serviços e fornecedores externos (suprimentos).

Universidade Corporativa BB
138 Programa certificação interna em conhecimentos

Avaliação: testes e exercícios

Essa etapa da GCN engloba as ações de agendamento, realização e ela-


boração dos relatórios de testes e exercícios dos planos de continuidade de
negócios.

Existem duas formas de avaliar os planos de continuidade:


■ teste é uma avaliação em que há simulação do cenário de interrupção e
acionamento do mecanismo alternativo de funcionamento, mas os resul-
tados não são considerados oficiais;
■ exercício é uma avaliação em que o mecanismo alternativo de funciona-
mento produz resultados que são considerados oficiais, válidos.

Os testes e exercícios podem:


■ adiantar um resultado previsto, ou seja, que tenha sido antecipadamente
planejado e incluído no escopo; ou
■ permitir que o Banco implemente ações corretivas sempre que os resul-
tados não forem considerados satisfatórios.

Os testes e exercícios devem ter objetivos claramente definidos, serem realis-


tas, planejados cuidadosamente e acordados com as partes interessadas, de
modo que haja um risco mínimo de interrupção dos processos de negócio.

As boas práticas recomendam a elaboração de relatórios e a realização de


análises de seus resultados, para demonstrar se os objetivos foram alcança-
dos. O relatório deve, sempre que possível, conter recomendações de melho-
ria ou de correção dos problemas identificados e a previsão de tempo para
implantação destas recomendações com clara definição de responsáveis.

Estes relatórios devem ter aprovação formal dos gestores dos processos, de
modo a garantir a execução das recomendações existentes e servir como
balizador para correções nas estratégias adotadas, atualização dos planos e
adequação ao foco gerencial.

Os planos e procedimentos devem ser avaliados ao menos uma vez por ano,
exceto se a situação descrita no plano não justificar a realização da avaliação,
seja por causa da impossibilidade de simulação, alto risco de impacto, ou pela
combinação desses fatores.

Universidade Corporativa BB
Gestão de Segurança 139

Para definição da periodicidade de avaliação de um plano devem ser consi-


derados os aspectos de ordem legal ou normativa e constituída agenda de
realização de testes ou exercícios.

Dadas as características do BB, a quantidade e variedade de planos de conti-


nuidade e áreas envolvidas, torna-se imprescindível a criação de mecanismos
de gerenciamento (planejamento e controle) da realização de testes e exer-
cícios.

Este gerenciamento é feito a partir da adoção de uma agenda corporativa em


que são registrados:
■ os responsáveis;
■ as datas previstas para a realização dos testes ou exercícios;
■ acompanhamento dos resultados;
■ os intervenientes;
■ os recursos necessários para realização do teste ou exercício.

A agenda de testes ou exercícios deve ser elaborada de forma que, ao longo


do tempo, possa garantir, objetivamente, que os planos de continuidade fun-
cionarão como previsto quando necessário. Convém que os testes e exercí-
cios contemplem:
■ aspectos técnicos, logísticos, administrativos, de procedimento e siste-
mas;
■ as ações preparatórias e a infra-estrutura de GCN, incluindo papéis, res-
ponsabilidades e locais de gerenciamento de incidentes e áreas de tra-
balho alternativas, entre outros; e
■ a validação dos recursos tecnológicos e de telecomunicações necessá-
rios, incluindo os aspectos de disponibilidade, e os remanejamentos de
pessoal.

Todo o processo de avaliação (teste ou exercício) deve ser devidamente do-


cumentado e arquivado para efeito não apenas de auditoria como também
para servir de fonte de consulta para melhoria dos planos de continuidade e
correção das estratégias adotadas, se necessário.

Agora temos uma visão do que é a gestão da continuidade de negócios e


sua importância para a sobrevivência das organizações. Entender e praticar
a GCN garante uma visão mais ampliada da empresa, de seus processos
essenciais e das possibilidades de mitigação dos riscos envolvidos, quando

Universidade Corporativa BB
140 Programa certificação interna em conhecimentos

da ocorrência de interrupção nos negócios críticos ou mesmo em situação de


crise corporativa. A preocupação das diversas governanças com o assunto já
demonstra a necessidade de adaptação constante das organizações a rápi-
das mudanças de cenários e ambiente cada dia mais competitivo.

Universidade Corporativa BB
6 O papel das pessoas
na segurança

Espera-se que ao final do estudo deste tema você possa:


▪ Identificar o papel das pessoas no processo de gestão de segurança.
Gestão de Segurança 143

As pessoas são o elemento central de um sistema de segurança. Partindo do


princípio que uma organização pode ser definida, também, como um conjunto
de pessoas que nela trabalham e que os incidentes de segurança sempre
envolvem pessoas, fica fácil observar o porquê das pessoas serem o elemen-
to mais importante para a segurança. Mesmo nos incidentes que envolvem
fatores naturais, as pessoas precisam prever tais fatores e proteger os ativos,
criando salvaguardas e elaborando planos de continuidade de negócios.

Quando nos referimos a pessoas que trabalham na empresa, estas não se


restringem aos funcionários, mas a todos os colaboradores que prestam ser-
viços à organização. Nesse sentido, além dos funcionários todos os demais
colaboradores ou terceiros são também público-alvo das ações de conscien-
tização, educação e treinamento em segurança. Todos devem receber trei-
namento apropriado e atualizações regulares sobre as políticas e normas da
organização.

6.1. CONSCIENTIZAÇÃO, EDUCAÇÃO E TREINAMENTO

O ser humano é dotado de iniciativa e criatividade, que lhe permitem ino-


var sempre. Aqueles que praticam ilícitos estão sempre criando novas formas
para fraudar e agem de maneira a surpreender suas vítimas. Daí a neces-
sidade de as pessoas estarem atentas, bem preparadas e conscientes da
importância de se observar os procedimentos de segurança. O não cumpri-
mento de instruções e procedimentos pelos funcionários e colaboradores de
uma instituição torna ineficaz qualquer alternativa implementada com vistas à
salvaguarda dos valores.

Para tratar de forma adequada a questão das atitudes das pessoas frente à
segurança, é necessário formar e manter uma cultura de segurança que se
integre às atividades dos colaboradores e passe a ser vista pelos mesmos
como um instrumento de autoproteção. A empresa deve compartilhar a res-
ponsabilidade com cada indivíduo, transformando-o em co-autor do nível de
segurança alcançado. Somente desta forma as empresas terão em seus fun-
cionários aliados na batalha de redução e administração dos riscos.

Universidade Corporativa BB
144 Programa certificação interna em conhecimentos

Uma atitude positiva em relação à segurança é fruto de um processo edu-


cativo. Por envolver mudança de comportamento, as ações desse processo
precisam ser constantes e reavaliadas sempre que necessário. Não bastam
campanhas efêmeras e isoladas.

Entre as diretrizes para que a organização tenha sucesso nessa conscienti-


zação destacam-se:

■ envolvimento da alta direção em todo o processo – nada supera a


força do exemplo;
■ definição clara do que a empresa espera – se o objetivo for o envolvi-
mento e a sensibilização das pessoas sobre a importância da seguran-
ça, não basta apenas divulgar normas;
■ compreender bem o universo dos colaboradores – quem são os ato-
res, seu status e papel, aspirações, padrões de comportamento, forma
como costumam resolver os problemas do dia-a-dia;
■ selecionar e ordenar os conteúdos, bem como escolher metodologia
de abordagem; cada público-alvo pode ter peculiaridades que devem ser
tratadas de forma distinta do que é comum aos demais públicos;
■ ter mecanismos de avaliação e controle do nível de aprendizado e da
evolução do grau de conscientização.

Sabendo onde queremos chegar e como chegarmos fica mais fácil o processo
de conscientização.

Universidade Corporativa BB
R Referências

ACADEMIA Latino-americana de Segurança da Informação. Curso Básico de Segu-


rança da Informação –. Apostila desenvolvida pelo Módulo Security em parce-
ria com a Microsoft Informática, 2007.
ALVIM, Paulo César Rezende de Carvalho. Inteligência competitiva nas empre-
sas de pequeno porte. In: I Workshop Brasileiro de Inteligência Competitiva.
Semana do Conhecimento. Anais. Rio de Janeiro: PETROBRAS. FINEP. SE-
NAI/CIET.18 a 22 out 1999.
BRASIL. Lei Complementar 105, 10 de janeiro de 2001. Dispõe sobre o sigilo das ope-
rações de instituições financeiras e dá outras providências. Disponível em: www.
bcb.gov.br/pre/leisedecretos/Port/Lei_Compl105.pdf. Acesso em 28 jul 2008.
ENGENHARIA Social. Disponível em: http://cartilha.cert.br/glossario/#e. Acesso em
23 jul 2008.
FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro:
Ciência Moderna, 2003.
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de Se-
gurança da Informação: guia prático para elaboração e implementação. Rio de
Janeiro: Ciência Moderna, 2006.
INFORMAÇÃO. Disponível em: www.wikipedia.org/wiki/Informação. Acesso em 21
jul 2008.
LYMAN Peter; VARIAN Hal R. How Much Information? Disponível em: <http://www.
sims.berkeley.edu/how-much-info-2003/execsum.htm>. Acesso em 29 jul 2008.
MANDARINI, Marcos. Segurança Corporativa Estratégica. São Paulo: Manole, 2006.
MOREIRA, Nilton S. Segurança mínima: uma visão corporativa da segurança de
informações. Rio de Janeiro: Axcel Books, 2001.
NAKAMURA, E.T; DE GEUS, P.L. Segurança de redes em ambientes corporati-
vos. São Paulo: Novatec, 2007.
PECK, Patrícia. Direito Digital. São Paulo: Saraiva, 2002.
RAMOS, Anderson (org.). Security Officer – 1: Guia oficial para formação de gesto-
res em segurança da informação. Porto Alegre, RS: Zouk, 2006.
RUEDA JUNIOR, Edson. Sigilo Bancário Análise Constitucional. Disponível em:
www.direitonet.com.br/artigos/x/10/34/1034/. Acesso em 28 jul 2008.
SÊMOLA, Marcos. Gestão da segurança da informação: visão executiva da segu-
rança da informação aplicada ao Security Officer. Rio de Janeiro: Elsevier, 2003.
146 Programa certificação interna em conhecimentos

SIGILO bancário. Disponível em: www.direitonet.com.br/dicionario_juridico/x/68/99/689/.


Acesso em 28 jul 2008.
TRIBUNAL de Contas da União. Boas práticas em segurança da informação. Brasí-
lia: TCU – Secretaria de Fiscalização de Tecnologia da Informação, 2007.

Outras fontes de consulta

BCI – The Business Continuity Institute. Good Practices Guidelines – A Framework


for Business Continuity Management. 2005.
BIS – Bank for International Settlements. High-Level Principles for Business Con-
tinuity. 2006.
BRASILIANO, Antonio Celso Ribeiro. Manual de Análise de Risco. São Paulo: Si-
curezza, 2003.
BRASILIANO, Antonio Celso Ribeiro. Manual de Planejamento – Gestão de Riscos
Corporativos. São Paulo: Sicurezza, 2003.
BRASILIANO, Antonio Celso Ribeiro. Manual de Planejamento Tático e Técnico
em Segurança Empresarial. São Paulo: Sicurezza, 2003.
BRASILIANO, Antonio Celso Ribeiro. Planejamento da Segurança Empresarial.
São Paulo: Sicurezza, 1999.
BSI – British Standards Institute. BS 25999-1. Business Continuity Management
– Part 1: Code of Practice. 2006.
CUNHA, Sérgio Sérvulo da. Dicionário Compacto do Direito – 2ª ed. rev. e ampl
– São Paulo: Saraiva, 2003.
CURSOS do Banco do Brasil: Agente de Registro. Certificação Digital. Grafoscopia.
Introdução à Gestão de Riscos. Segurança da Informação. Segurança de Pes-
soas e Ambientes.
DANTAS FILHO, Diógenes. Segurança e Planejamento. Rio de Janeiro: Ciência
Moderna, 2004.
DANTAS FILHO, Diógenes. Segurança Pessoal. Rio de Janeiro: Ciência Moderna,
2002.
FONTES, Edison. Segurança da informação: o usuário faz a diferença. São Paulo:
Saraiva, 2006.
GIL, Antonio de Loureiro. Segurança Empresarial e Patrimonial. São Paulo: Atlas,
1995,
GODOY, Max Bianchi. A segurança da informação e sua importância para o su-
cesso das organizações. Rio de Janeiro: Kirios, 2004.
HILES, Andrew. Business Continuity: Best Practices – World-Class Business Con-
tinuity management 2nd Edition. Rothstein Associates Inc. – Brookfield, Connec-
ticut USA. 2004.

Universidade Corporativa BB
Gestão de Segurança 147

LOPES JUNIOR, Rubens e SOUZA, Marcelo B. de. Segurança Eletrônica Prote-


ção Ativa. São Paulo: Sicurezza, 2000;
PEIXOTO, Mário César Pintaudi. Engenharia social e segurança da informação
na gestão corporativa. Rio de Janeiro: Brasport, 2006.
PORTELLA, Paulo Roberto Aguiar. Gestão de Segurança – História, Prevenção e
Sistemas de Proteção. Rio de Janeiro: Editora Rio, 2005.
REVISTA Proteger. Edição 2006 – Ano IX – nº 53 – julho/agosto de 2006.
REVISTA Veja. Edição 1990 – ano 40 – 10 de janeiro de 2007.
SANTOS, Wilson dos. Manual Anti-seqüestro e Assalto. Curitiba-PR: Juruá, 2004.
SERASA. Guia de orientação ao cidadão.
SHARP, John. The Route Map to Business Continuity Management – Meeting the
Requirements of BS 25999. BSI – British Standards Institute. 2008.
STROHL Systems. Business Continuity Planning Guide, 1995.
www.abgs.org.br
www.abnt.org.br
www.bcb.gov.br
www.bis.org
www.bsonline.bsi-global.com
www.cert.org
www.contasabertas\uol
www.defesacivil.gov.br
www.dji.com.br/codigos/1940_dl_002848_cp/cp107a120.htm
www.drj.com
www.pcnbb.bb.com.br/site
www.portaldomarketing.com.br/Artigos/Maslow%20e%20Marketing.htm
www.receita.fazenda.gov.br
www.thebci.org
www.unodc.org
www.vademecum.com.br/iatros/incerteza.htm

Universidade Corporativa BB