Pr ogr ama Cer t i f i cação I nt er na em Conheci ment os

Gestão de seGurança
Brasília, agosto de 2008
GESTÃO DE
SEGURANÇA
S
1. Segurança................................................................................................................................9
. 1.1..Contextualização.............................................................................................................11
. 1.2..Visão.atual.da.segurança................................................................................................12
. 1.3..Segurança.nas.empresas...............................................................................................14
Segurançanasinstituiçõesfnanceiras..........................................................................15
Aspectosregulatóriosdagestãodesegurança..............................................................18
1.4.FatoresdoprocessodegestãodesegurançanoBancodoBrasil.................................19
. . Valores............................................................................................................................19
Ocorrênciaseagentes....................................................................................................19
. . Estratégias......................................................................................................................20
1.5.Segurançaeriscooperacional........................................................................................22
2. Gestão de segurança de pessoas e ambientes..................................................................27
2.1.Conceito..........................................................................................................................29
2.2.Quesitosdesegurançabancária–conceitosefnalidades............................................32
. . Plano.de.segurança........................................................................................................32
Vigilânciaarmada...........................................................................................................34
. . Sistema.de.alarme..........................................................................................................35
. . Outros.dispositivos.........................................................................................................36
ListadeVerifcaçãodeSegurança–LVS.......................................................................40
2.3.Procedimentospreventivos.............................................................................................40
. . Segurança.pessoal.........................................................................................................40
. . Segurança.de.ambientes................................................................................................43
3. Segurança da informação....................................................................................................45
3.1.Aspectosgerais...............................................................................................................45
. . A.informação...................................................................................................................45
. . A.segurança.da.informação............................................................................................51
Princípiosdasegurançadainformação.........................................................................52
Segurançadainformaçãoeriscooperacional...............................................................53
3.2.Políticadesegurançadainformação..............................................................................54
. . Desenvolvimento.da.PSI................................................................................................55
. . Etapas.da.implantação.da.PSI.......................................................................................57
. 3.3..Gestão.de.segurança.da.informação..............................................................................58
Classifcaçãodasinformações.......................................................................................59
Níveisdeclassifcação...................................................................................................60
Acessosaossistemas,redeseaplicativos....................................................................62
Senhas:cuidadosespeciais...........................................................................................65
3.4.Normaseprocedimentosparaatrocadeinformações..................................................67
Acordosparaatrocadeinformações.............................................................................67
Fornecimentodeinformaçõesaórgãosjudiciais,defscalizaçãoedecontrole............68
Mensagenseletrônicas...................................................................................................69
SUMÁRIO
Segurançalógica............................................................................................................70
Ameaçasmaiscomuns...................................................................................................72
. . Ferramentas.de.proteção...............................................................................................79
. . Novas.ferramentas.de.proteção.da.informação..............................................................79
. 3.5..Proteção.da.informação..................................................................................................88
Engenhariasocial...........................................................................................................88
4. Segurança em produtos, serviços e processos.................................................................93
4.1.Conceito..........................................................................................................................95
4.2.Autenticidade...................................................................................................................95
Documentoseinformaçõescadastrais...........................................................................96
Mandadojudicial,citação,intimaçãoenotifcação.........................................................99
Procuraçãoerepresentação........................................................................................100
Conferênciadeassinaturas..........................................................................................101
4.3.Guarda,movimentaçãoeencaixedenumerário..........................................................101
. 4.4..Pagamentos.de.valores.elevados.................................................................................103
. 4.5..Cheque..........................................................................................................................104
. 4.6..Contestação.de.débito..................................................................................................105
Prevençãoafraudesnoscanaisdeauto-atendimento................................................106
Fraudesdocumentais...................................................................................................109
5. Gestão da continuidade de negócios................................................................................113
5.1.Conceitos......................................................................................................................115
GCNnasinstituiçõesfnanceiras..................................................................................117
A.estrutura.de.GCN......................................................................................................118
5.2.Aspectoslegais,governançasemelhorespráticas......................................................125
5.3.MetodologiaadotadanoBancodoBrasil......................................................................128
VisãodoBancodoBrasil..............................................................................................128
ModelodeGCNdoBB.................................................................................................128
Avaliaçãodeprocessosestratégicos-APE.................................................................130
Gestãodeplanosedeprocedimentos.........................................................................131
Testeseexercícios.......................................................................................................132
Conscientizaçãoetreinamento....................................................................................132
. 5.4..Papéis.e.responsabilidades..........................................................................................132
Grupocoordenadordecontinuidade-GCC.................................................................133
5.5.Cenáriosdeameaçadecontinuidadedenegócios......................................................134
5.6.Estratégiasparagarantiadacontinuidadedenegócios...............................................135
Defnição.......................................................................................................................135
Formalização................................................................................................................136
Avaliação:testeseexercícios......................................................................................137
6. O papel das pessoas na segurança..................................................................................141
6.1.Conscientização,educaçãoetreinamento...................................................................143
Referências..............................................................................................................................145
IdentifcaroprocessodeGestãodeSegurança
eosprocedimentospreventivoscapazesde
mitigarosriscosinerentesaonegóciodas
instituiçõesfnanceiras.
O
OBJETIVO GERAL
Espera-sequeaofnaldoestudodestetemavocêpossa:
▪Relacionaranecessidadedesegurançacomacriminalidadena
sociedadeatual.
▪ Identifcaranecessidadedagestãodesegurançanasempresase
instituiçõesfnanceiras.
▪ Identifcaracontribuiçãodagestãodesegurançaparaosnegócios.
▪ Identifcarosaspectosregulatóriosdagestãodesegurança.
▪ IdentifcarosfatoresconsideradospeloBancodoBrasilnoprocesso
de.gestão.de.segurança.
▪ Relacionarriscooperacionalesegurança.
1
SEGURANÇA
Gestão de seGurança 11
Universidade Corporativa BB
1.1. CONTEXTUALIZAÇÃO
Para ser efetivo e alcançar os objetivos sociais e empresariais desejados,
qualquer negócio ou empreendimento deve ser estruturado levando-se em
conta diversos fenômenos ou fatores de infuência, entre outros, os sociais,
econômicos,psicológicos,políticosetecnológicos.Quandopesquisamos,de-
limitamos e controlamos esses aspectos, podemos defnir estratégias para
minimizarosseusefeitosnoambienteprodutivoesocialoumesmoutilizá-los
comofontesgeradorasdebenefícios.
Desde os primórdios, por exemplo, percebeu-se que o crime e a violência
eram fenômenos de causa social que, sem estar devidamente controlados,
poderiam causar sérias repercussões ou mesmo neutralizar o crescimento
econômicoeafetaraestabilidadesocialemqualquercontexto.
Esses aspectos devem ser levados em conta em todos os ambientes (pes-
soal,familiar,social,empresarial,etc.),sendohojeumapreocupaçãodego-
vernosemtodoomundo.Énessesentidoqueincluímosotemasegurança
noescopodagovernançacorporativa.Qualquerinstituição,paragarantirsua
efetividade, tem o dever de mapear de forma adequada os riscos inerentes
aos negócios e mercados com os quais atua ou pretende atuar. Quanto ao
ambienteinterno,deve-seteremvistaqueasegurançaéessencialparaga-
rantirumambientesaudável,ético,propícioàmotivaçãopessoal,àintegra-
çãoeàgeraçãoderesultados.
Com as profundas mudanças que ocorreram nas últimas décadas em todo
o planeta, a globalização, a rápida proliferação da internet, a multiplicação
deaçõesterroristas,amodernizaçãodocrimeorganizado,osurgimentode
tratadosinternacionaisparacombateàlavagemdedinheiroeaoterrorismo
eoutrosfenômenos,provocaramgrandesalteraçõesnavisãodegovernose
corporaçõesemtodoomundosobreotemasegurança.
Noambientecorporativo,aindaquehajamuitoarealizar,especialmentepor
serumprocessovivoedinâmico,asegurançapassouaservistacomouma
área de abrangência multidisciplinar que, embora conduzida com base em
pressupostosrespaldadosporciênciashumanas(sociologia,psicologiaetc.),
deve ser suportada por governança qualifcada, integração com o negócio,
equipes de excelência, tecnologias de ponta e inteligência estratégica, com
programaspermanentesdeeducaçãoecultura,considerandoqueaefcácia
ProGrama certificação interna em conhecimentos 12
Universidade Corporativa BB
doprocessodesegurançadependedoenvolvimentodetodasaspessoas.
1.2. VISÃO ATUAL DA SEGURANÇA
Temasestratégicosdegovernançacorporativaestãodiretamenterelaciona-
doscomasatividadesdesegurança.Aotrabalharparaolançamentodeum
produtoinédito,porexemplo,umaempresaprocuragarantirquenãohajadi-
vulgaçãoexternadotrabalho,especialmentequenenhumconcorrentetenha
conhecimentopréviodanovidade.Paraqueissoocorraénecessárioadotar
umasériedemedidasinternasrelacionadasàsegurançadainformação,de
talmaneiraque,aoserlançadonomercado,onovoprodutosejareconhecido
comonovidade,inclusivepelosconcorrentes.
Damesmaforma,quandooprodutoépostoàvenda,ocumprimentodere-
quisitosdesegurançavaiajudarnagarantiadarentabilidadedasvendasao
evitaroureduzirperdascomfalhas,fraudes,rouboseoutrosproblemas.Ao
sermosomissosquantoàsegurançaestamos,dealgumaforma,trabalhan-
docontranósmesmos,contraanossaempresaeasociedadedeummodo
geral. A omissão pode facilitar a ocorrência de ações ilícitas e alimentar o
mercadodocrimeque,atualmente,movimentabilhõesdedólaresemtodoo
mundo,comprometendoavida,aestabilidadesocialeaeconomiademuitas
pessoas,comunidadesenações.
Umagestãoefcazderiscoséfatorpreponderanteparaumaboaposiçãono
mercadoetranqüilidadedeacionistas.Emempresassujeitasaregulamenta-
ção,aefcáciadasatividadesdegestãoderiscos,decontroleedesegurança
éumapreocupaçãopermanentedosrespectivosórgãosreguladores.
Nasinstituiçõesfnanceiras,otemasegurançaestásemprepresentenostra-
balhosdeverifcaçãorealizadospeloBancoCentraldoBrasil.Aoexaminar,
porexemplo,aatuaçãodeumbanconaáreadecrédito,osauditoresquerem
tambémsabercomoestásendoaplicadooprincípio“conheçaoseucliente”
(princípiobásicodeprevençãoecombatealavagemdedinheiro),ouseja,se
a instituição fnanceira tem pleno conhecimento da atividade econômica de
cadacliente,semonitorasuamovimentaçãofnanceiraverifcandoacompa-
tibilidadeentrefaturamentoeatividadeeconômicaentreoutrosaspectos,evi-
tando,assim,queainstituiçãoavaliadasejausadaparaocrimedelavagem
de.dinheiro..
Gestão de seGurança 13
Universidade Corporativa BB
Estima-se que o crime movimenta anualmente cerca de US$ 3 trilhões em
todoomundo,representando,segundoaOrganizaçãodasNaçõesUnidas,de
2%a5%doPIBmundial.Asfontesgeradorasdessesrecursossãodiversas,
passandoporcrimescomoonarcotráfco,corrupção,contrabando,pirataria,
fraudes, roubos, seqüestros, tráfco de armas, tráfco de pessoas e órgãos
humanos,prostituição,pornografa,entreoutros.Deacordocomosmesmos
estudos,pelomenosUS$1,5trilhãocirculampelosistemafnanceiro.
OsdadosdaONUindicamqueasorganizaçõescriminosastambémutilizam,
parasuasoperaçõesfnanceirasilícitas,inclusivelavagemdedinheiro,dosis-
temafnanceiromundialcomassuasmodernasredesdecomunicaçãodeda-
doseamploníveldedisponibilidadeeacessoàclientelaviainternet banking..
Masosistemafnanceironãoestáapenassujeitoaserusadoparaoperações
fnanceiras ilícitas.Ao longo da história, os bancos têm sido vítimas diretas
decrimesfnanceirospraticadosporagentesinternosouexternos-algumas
vezespelosdois.UmexemploéobancofrancêsSocieté Generale.que.so-
freuperdasestimadasemUS$7bilhõesporfraudepraticadaporumúnico
funcionárioduranteoperíodode01ano(2007).Alémdoprejuízofnanceiro,a
fraudeinternateverepercussãomundialecausoudanosprofundosàimagem
doBancoeàvidadeseusdirigentesefuncionários.
Opreçodafaltadesegurançaedecontroleoudaomissãoquantoaesses
deverestemsidocadavezmaisaltoparaaspessoas,paraasinstituiçõesea
sociedadedeummodogeral.Asfacilidadeseasdisponibilidadesdoambien-
tetecnológicoemquevivemosgeraconforto,mas,aomesmotempo,coloca
ocrimecadavezmaispróximodaspessoas,exigindocuidadosadicionais.
Exemplodissoéainternetcomtodasassuasextraordináriaseatrativasfuncio-
nalidades.Masainternetsemcontroleesegurançatemcausadomuitasdores
decabeça,prejuízosesofrimentoparamuitagente.Ofatoéquepessoasines-
crupulosaseorganizaçõescriminosastambémencontraramnaredemundial
umfácilcaminhopararealizarseusnegócios,aumentandoassuasvítimas.
Aspossibilidadesdocrimepodemteraumentadocomasfacilidadesdeaces-
soàcomunicaçãoeasdisponibilidadesdoambientefnanceiroecomercial.
Contudo,adiferençaentreousoconfortável,sadioeprodutivodessesaspec-
tos passa por uma adequada atenção pessoal e corporativa com aspectos
ProGrama certificação interna em conhecimentos 14
Universidade Corporativa BB
básicosdecontroleesegurança.Esteparadigmaéválidoemtodasasdimen-
sões da nossa existência tendo estreita relação com a nossa vida pessoal
(saúde,família,costumesetc.),comosnossosnegócios,comasempresase
opróprioEstado.
O que vemos nos dias atuais é que a mudança dos processos, de mecâni-
cos para virtuais ou automatizados, provocaram também uma virtualização
docrime,criandométodosnovosderiscos,taiscomoroubodeinformações
pelainternet,invasãoderedesdecomunicaçãodedados,fraudeseletrônicas
e sabotagem virtual, causando paralisação de negócios.Algumas tipologias
decrimescomochamadousodaforçabrutanãosofrerammuitaalteração
como,porexemplo,osassaltos,seqüestrosearrombamentos,nãoincomuns
paraasinstituiçõesfnanceirasnoBrasil.
No contexto social, percebemos claramente o ciclo e a correlação de pro-
blemasgravesresultantesdeumambienteinstáveldopontodevistadese-
gurança. Qualquer esforço integrado entre o Estado e a sociedade/cidadão
podecontribuirparaareduçãodessesimpactos.Comoinstituiçãofnanceira,
expressamoscidadaniaquandonosesforçamosparaevitarqueocrime,de
qualquernatureza,aconteça,sealimentefnanceiramenteecresçaempreju-
ízodetodos.
Noambientecorporativo,oprocessodesegurança,porestardiretamenteen-
volvidocomaproteçãodosativoseaefcáciadosnegócios,mostrar-sede
formamaisobjetiva,dinâmicaaabrangente.Ofatoéqueagrandiosidadedos
riscos, especialmente nas instituições fnanceiras, provocou a incorporação
das estruturas de segurança aos primeiros níveis hierárquicos de grandes
bancos em todo o mundo, solidifcando a governança corporativa na pers-
pectivadeaumentarascondiçõesinternasparaaidentifcação,prevençãoe
respostaadelitos,alémdagestãodeplanosdecontinuidadedenegóciose
açõesdeeducaçãoeculturaemsegurança.
1.3. SEGURANÇA NAS EMPRESAS
Asempresasmantêm,necessariamente,compromissostácitoscomseusem-
pregados,fornecedores,clientes,acionistas,comasociedadeecomomeio
ambiente.Exige-seque,aomenos,busquemprotegerseusativoscontraris-
Gestão de seGurança 15
Universidade Corporativa BB
cos previsíveis, que podem não só comprometer o negócio, mas causar os
danossociaisepolíticosanteriormentecitados.
Ressalta-sequeamelhorformadeprevenirriscoséoconstanteexamedos
processos,omonitoramentodonegócio,apercepçãodecenárioseamanu-
tenção permanente das pessoas mobilizadas contra eventuais ocorrências.
Para tanto é necessária a participação integrada e sistematizada de toda a
empresa,deformaglobalecorporativa.
Maisdoqueapenasbuscarreduzirocorrênciasdedanosisoladamente,éne-
cessáriotambémorganizarecoordenartodooesforçocorporativonosentidode:
■ avaliarasameaçasaonegócioeoníveldesegurançadaorganização;
■ introduziradiscussãosobreocustoqueeventuaisdanospoderãooca-
sionar;
■ identifcarosrecursosnecessáriosparaevitaraspossíveisocorrências,
cujasperdasrepercutemdiretamentenosnegócios,noresultadoeconô-
micoenaimagemdaorganização.
Nessecontexto,asegurançanãopodemaissertratadaapenascomouma
estrutura específca, mas como uma atividade sistematizada, pressupondo
integraçãoemtodososníveisesegmentosinstitucionais.
A gestão de segurança constitui um processo contínuo, dinâmico e fexível,
depermanenteavaliaçãoeadequaçãodasmedidaseprocedimentosdese-
gurançadaspessoasedosativos,contraosriscoseameaçasreaisoupo-
tenciais.
Asempresasestãoconscientesdanecessidadedasegurançaparaapreser-
vaçãodeseusvalores,umavezqueasperdaspodeminfuenciardiretamente
noresultadofnanceiro.Poroutrolado,alegislaçãotambémobrigaaadoção
derequisitosdesegurança.Dessaforma,asorganizaçõessãolevadasain-
vestircontinuamenteemsoluçõesdesegurança.
Segurança nas instituições fnanceiras
A principal função de uma instituição fnanceira – estabelecer uma conexão
entreinvestidoresetomadoresdecréditos–abrangeoaspectointrínsecode
confança.OdicionárioAuréliodefneconfançacomo“segurançaíntimade
ProGrama certificação interna em conhecimentos 16
Universidade Corporativa BB
procedimento”.Apercepçãodesegurançaestáintimamenteligadaaonívelde
confançaqueédepositadoemumainstituiçãofnanceira.Afnal,ninguémquer
deixarseusbensdepositados“emconfança”senãoosperceberprotegidos.
Dessaforma,apercepçãodesegurança(posicionamentodeempresaquese
preocupacomasegurançadeclientes,ambientesefuncionários)torna-seum
itemaseragregadocomodiferencialnaatuaçãodessasempresas.
Tendênciasdeinovaçãoemmodelosdenegócio,reduçãodecustos,novas
iniciativasdemediçãoderesultados,monitoramentoderiscoeaspectosregu-
latóriosdeórgãossupervisoresocasionarammudançasnaposturadosban-
cosquantoàsegurança.
Aglobalizaçãotrouxeaestesegmentoaconseqüenteinternacionalizaçãode
negócioseasinstituiçõesfnanceirasmodernashojeatuamemoutrosmerca-
dos.Assim,ademandadeórgãosreguladoresportransparência,integridade
deinformações,gerenciamentodeperdascomoformadeotimizarresultados,
efciênciaoperacionalnousoderecursoseprodutos,vemaumentandosigni-
fcativamente.
Amaiorexigênciadosmercadosinternacionaisnosaspectosdesegurança,
controleegestãoderiscoseamaiorcompetitividadedessesmercadosoca-
sionaram,nosúltimosanos,omovimentodegrandesinstituiçõesfnanceiras
nacionaisnosentidodeintegrarem,emsuagestão,asegurançanoseucon-
ceitomaisabrangente,istoé,enquantopartedaestruturadegovernançae
dosnegóciosdaempresa.
Otrabalhoconjuntocomasáreasdenegóciospermiteomapeamentoeaná-
lisedasameaçaseriscosinerentesaosnovosprodutoseserviçosaserem
disponibilizados.Amplia-se, assim, o resultado na comercialização dos pro-
dutoseserviços,concretizadapelareduçãodapossibilidadedeperdas.Esta
análisepossibilitaadequaroprodutoouserviçodeformaaminimizarvulnera-
bilidades,colaborandoparaamanutençãodemargemderentabilidadeecon-
tribuição.Permitetambémaproposiçãodealternativasdesoluções,visando
tornarosprodutosrentáveiseagregarapercepçãodeconfançaesegurança
naexperiênciaderelacionamento,inserindooconceitodesegurançanacria-
çãoemanutençãodoprocessonegocial.
Gestão de seGurança 17
Universidade Corporativa BB
Aprevençãodeincidentesdesegurançarelativosapessoas,ativosfísicose
fnanceiros,imagemeinformações,melhoraaavaliaçãodaefciênciaopera-
cionaldosprocessosvinculadosaessesfatores,quandocomparam-seitens
comocustodoprocesso,possibilidadesdeperdaeoresultadoesperado.Evitar
ilícitos,emambientesfísicosouvirtuais,egarantiradisponibilidadedenegó-
cioseserviçosimpactamdiretamenteoresultado,objetivomaiordaempresa.
Asinstituiçõesfnanceirassãoumdossetoresdaeconomiamaisameaçado
por incidentes de segurança. Se comparado a outros setores da economia,
apresentamaiorpossibilidadedesofrerassaltos,extorsãomedianteseqües-
troefraudesfnanceiras,bemcomodeserutilizadoparaapráticadocrime
de.lavagem.de.dinheiro.
Pelas características de seu negócio, as instituições fnanceiras oferecem
umavastagamadeprodutoseserviçosque,associadosatecnologiasavan-
çadas,permitemacirculaçãoderecursoscomgrandevelocidade.Pormeio
de transações fnanceiras, o dinheiro de origem ilícita se mistura a valores
movimentados legalmente, favorecendo o processo de dissimulação da ori-
gemespúria.
Umaaçãobemestruturada,comboatecnologia,pessoasqualifcadas,treina-
dasecomprometidastornamuitomaisdifícilousodessasinstituiçõesparaa
realização.de.operações.de.lavagem.de.dinheiro..Dessa.forma.as.instituições.
fnanceirascontribuemparaareduçãodeatividadesilícitas,comoonarcotrá-
fco,ocontrabandodearmaseacorrupção,umavezquealavagemdedi-
nheiroéum“pré-requisito”paraqueoscriminosospossamusufruir,impunes,
dosrecursosgeradospelocrime.
Pormeiodoatendimentodosrequisitosdesegurança,asinstituiçõesfnan-
ceirasprevinemecombatemilícitoscomofraudes,assaltos,arrombamentos,
seqüestros, crimes cibernéticos, dissimulação de capitais etc. Dessa forma,
exercemseupapelrelacionadoàresponsabilidadesocial.
Segurançadainformaçãotambéméumapreocupaçãoconstanteecrescente
nasinstituiçõesfnanceiras.Roubosdesenhas,fraudeseletrônicas,acessos
nãoautorizadosasistemaseaplicaçõespodemtrazernãosóperdasimedia-
tas e mensuráveis fnanceiramente, mas, também, prejuízos a longo prazo
resultantesdoimpactosobreaimagemeamarca.Muitosbancosenvolvidos
ProGrama certificação interna em conhecimentos 18
Universidade Corporativa BB
comoperaçõesilícitasdeixaramdeexistireseusexecutivosfcaraminabilita-
dosparaatuarnosistemafnanceiro,alémderesponderemcriminalmentepor
seusatos,inclusiveporomissão.
Aspectos regulatórios da gestão de segurança
A. gestão. de. segurança. é. regulamentada. e. normatizada. em. suas. diversas.
dimensões.
Nasdécadasde60e70,asegurançapública,impossibilitadadedarassistên-
ciaaosBancos,os“estimulou”acriaremsuaprópriaguardaedeterminouque
suasagênciastivessemguardasprivadosearmados,comoobjetivodeinibir
ereagiraosassaltos.Aáreabancária,semmeiosprópriosparadesenvolver
a atividade de vigilância, optou pela extinção da segurança orgânica e pela
terceirizaçãodoserviço.Foiapartirdaíquesurgiuofcialmenteasegurança
privadanoBrasil,comoatividadeofcialeregulamentadaporLei.
Em 20 de junho de 1983, foi instituída a Lei nº 7.102 para regulamentar as
atividades de segurança privada, em especial a segurança dos estabeleci-
mentosfnanceiros,eofuncionamentodasempresasprestadorasdeserviços
desegurançaprivada.ALeinº9.017/95atribuiuaoDepartamentodePolícia
Federal a competência para fscalizar os estabelecimentos fnanceiros e as
empresas.de.segurança.privada.
ComoórgãosupervisordasegurançaprivadanoBrasil,aPolíciaFederalpu-
blicou, em 28 de agosto de 2006, a Portaria nº 387- DG/DPF, que altera e
consolidaasnormasdesegurançaprivada.ApresentePortariadisciplina,em
todooterritórionacional,asatividadesdesegurançaprivada,armadaoude-
sarmada,desenvolvidaspelasempresasespecializadas,pelasquepossuem
serviço orgânico de segurança e pelos profssionais que atuam nessas em-
presas.Alémdisso,regulamentaafscalizaçãodosplanosdesegurançados
estabelecimentosfnanceiros.
Comrelaçãoàpossibilidadedaocorrênciadocrimedelavagemouocultação
debens,direitosevalores,asinstituiçõesfnanceirasbrasileirasestãosujei-
tasàLei9.613/98,queinstituiuobrigaçõescomofmdeprevenirautilização
doSistemaFinanceiroparaapráticadessecrime.ParaoBancodoBrasil,a
prevençãoeocombateàlavagemdedinheiro,alémdeseremumaobrigação
legal,sãoumaresponsabilidadesocial,comoformadecombaterapráticade
Gestão de seGurança 19
Universidade Corporativa BB
crimesqueameaçamospoderesconstituídoseaordemdemocrática,lesam
osinteressescoletivosedegradamacondiçãohumana.
AsresoluçõesBACEN3.100e3.380que,respectivamente,dispõemsobrea
gestãodoriscoegerenciamentodoriscooperacional,oAcordodeBasiléia
II. e. a. lei. Sarbannes-Oxley, compõem o conjunto regulatório observado por
órgãossupervisores.
AsnormasABNTNBRISO/IEC,série27.000e15.999,disciplinamaseguran-
çadainformaçãoeagestãodacontinuidadedenegócios,abrangendoitens
comogestãodeativos,segurançaemrecursoshumanos,segurançafísicae
doambiente,controledeacessos,gerenciamentodeoperaçõesecomunica-
ções,sistemasdeinformaçõeseconformidade.
Foiaprovado,noSenadoFederal,oProjetodeLeiComplementar89/2003,
quetipifcaosilícitospraticadosnousodesistemaeletrônico,digitalousimi-
lares, de rede de computadores, ou contra dispositivos de comunicação ou
sistemas.informatizados.
1.4. FATORES DO PROCESSO DE GESTÃO DE SEGURANÇA NO BANCO
DO BRASIL
Oobjetivodasegurançaéresguardaraintegridadedaspessoas,dasinforma-
ções,dosativosfísicosefnanceirosedaimagemdaempresa.OBancodo
Brasilconsideraosseguintesfatoresdoprocessodegestãodesegurança:
Valores
Osvaloressãoos“objetos”daproteção.Representamtudooquedeveser
protegidoparaasseguraracontinuidadedosnegóciosecontribuirparaore-
sultadofnanceirodaempresa.
Pessoas:esteprimeirogrupodevaloresécompostodiretamentepelosfun-
cionáriosdaorganização,contratadosdiversos,clienteseusuários.Indireta-
mentedevemserincluídososfamiliaresdosfuncionários,quepodemservíti-
masdeocorrênciasrelacionadascomaatividadedosfuncionários,aexemplo
daextorsãomedianteseqüestro.
ProGrama certificação interna em conhecimentos 20
Universidade Corporativa BB
■ Ativos físicos e fnanceiros: podem ser citados o numerário (moeda
nacional em espécie) e outros valores (moeda estrangeira, travelers.
cheques,formuláriobasedechequesesimilares),equipamentos,insta-
laçõesfísicas.
■ Imagem: qualquer tipo de vinculação do nome da instituição e/ou de
seusfuncionárioscomfatosounotíciasdecaráternegativopodeprovo-
carsériosdanosàsuaimagem-umativointangível-e,porisso,neces-
sitademecanismosefcientesdeproteção.
■ Informações:asinformaçõesmerecemaltoníveldeproteção,poissua
perda pode gerar prejuízos incalculáveis às organizações. Podem ser
citados alguns exemplos de informações cujo vazamento pode gerar,
diretaouindiretamente,transtornosàsorganizações:dadospessoaisde
funcionários e clientes, informações sigilosas sobre clientes, assuntos
estratégicos(projetos,negócios,valores,planodesegurançaetc.),roti-
nasdeserviçosefunçõesespecífcasdefuncionários.Devefcarclaro
quecriminososprocuramconhecerasinformaçõeserotinasdasunida-
desparasubsidiarasaçõescontraoBanco.
Ocorrências e agentes
Asorganizaçõesestãosujeitasainúmerostiposdeocorrências,quevariam
deacordocomotipodenegócioecomasfragilidadesencontradasemcada
local.Valelembrarqueoscriminosostambémprocuramcorrersempreome-
nor risco, portanto a tendência é que a vítima seja sempre a empresa ou
unidademaisdespreparada,nãosósobaspectodeequipamentos,masprin-
cipalmentequantoaocomportamentodeseusfuncionários.
Exemplo
Paraarealizaçãodeumassaltoabanco,oscriminososavaliamas
condiçõesdesegurança(posturadosvigilantes,controledeaces-
so, utilização de dispositivos eletrônicos etc.) de várias agências.
Obviamenteaaçãoserácontraaquelaqueoscriminososjulgarem
maisvulnerável.
As ocorrências podem ser provocadas ou facilitadas por agentes internos e
externos.
Gestão de seGurança 21
Universidade Corporativa BB
■ Atores internos: funcionários e contratados. Erros de procedimento,
descumprimento de normas, negligência, vazamento de informações
e até mesmo dolo propiciam a ação criminosa. Daí a necessidade de
todos perceberem sua responsabilidade e se comprometerem com as
questões.de.segurança.
■ Atores externos: de maneira geral são os criminosos especializados,
responsáveispelosmaisvariadostiposdeataques,taiscomoseqües-
tros,assaltos,arrombamentos,furtos,fraudes,vandalismo,lavagemde
dinheiroecrimescibernéticos.Numaproporçãomenor,masresponsá-
veisporgrandestranstornos,ocorremosincidentesedesastresdena-
turezanãocriminosa(chuva,terremoto,etc.).
Estratégias
O terceiro fator considerado na gestão de segurança, e o mais relevante, é
constituídopelasestratégiasqueviabilizamessemacroprocesso:
■ Prevenção ou inibição:oobjetivoprincipalédeidentifcarcondições,
situaçõesoupessoasquepossamsercausadorasdeameaças,dema-
neiraasecriarfatoresqueinibamocorrências.Esteconceito,decerta
forma,abrangeosdemais,umavezqueoobjetivomaioréevitarosin-
cidentesdesegurança.Estãoentreasatividadesdeprevençãoouinibi-
ção:adisseminaçãodeinstruçõeseculturadesegurança,asaplicações
demetodologiasepolíticas,adefniçãodeespecifcaçõesdeferramen-
taseequipamentosdesegurança,análisederiscosetc.
■ Correção:apartirdeanálisesinternasedocenárioexterno,procura-se
manterdinâmicooprocessopreventivo,corrigindoeredefnindomecanis-
mos, ferramentas, práticas, instruções, estrutura tecnológica e humana,
jáexistenteseaplicados,deformaamanteraefcáciadasmedidasde
segurançaestabelecidasanteriormente.Estãoentreessasatividadesas
atualizaçõesdesistemaseequipamentos,monitoramentodetendências,
cenários,acompanhamentodaefetividadedasmedidasdeinibiçãoadota-
das,avaliaçãoecontroledesituaçõeseincidentesdecrise,entreoutras.
■ Recuperação:trata-sedaelaboraçãodeplanosdecontinuidadedene-
gócios.Seoincidenteocorrer,aempresadeveterprevistoumplanode
recuperaçãodesuasatividades.Poroutrolado,éfundamentalquese
utilizeoconhecimentogeradoporincidentesefetivados,parareavaliare
adaptarosmódulosanteriores,comointuitodeseevitarnovasocorrên-
ProGrama certificação interna em conhecimentos 22
Universidade Corporativa BB
cias.Oplanobuscatambémrecuperarosativoscomprometidospelos
incidentes.
■ Pesquisa estratégica:temporobjetivocoletarinformaçõesconsideradas
úteisparaasegurançapreventivadoBancoemtodasassuasdimensões.
Apesquisaestratégicaenvolverelacionamentocomoutrasinstituiçõesf-
nanceiras, grupos especializados em segurança na internet, órgãos go-
vernamentais,universidades,organismospoliciais,órgãosdeinteligência
eoutros.Pormeiodepesquisaestratégica,porexemplo,podemosgerar
subsídios para muitas decisões estratégicas, ações emergenciais para
evitardelitoscontraoBanco,aquisiçãodenovasferramentasdeseguran-
ça,elucidaçãodedelitoscontraoBancoentreoutros.
1.5. SEGURANÇA E RISCO OPERACIONAL
Aintegraçãoentreosmercadospormeiodoprocessodeglobalização,oau-
mentodasofsticaçãotecnológicaeasnovasregulamentaçõestornaramas
atividades,osprocessosfnanceiroseseusriscoscadavezmaiscomplexos.
Riscoéapossibilidadedeocorrênciadeumeventoadversoparaumadeter-
minadasituaçãoesperada,compotencialparacausardanoaopatrimônioda
empresa.
Asinstituiçõesfnanceiras,aodesempenharatividadesdeintermediação,tor-
nam-sevulneráveisadiversosriscos,taiscomooriscodecrédito,mercado,
liquidez,imagem,conjunturaeoperacional.
Agestãodestavulnerabilidadeécondiçãonecessáriaàsobrevivênciaeàso-
lidezdossistemasfnanceiros.Nestecontexto,reveste-sedamaiorimportân-
ciaodesenvolvimentoeimplementaçãodemedidasdesegurançacomvistas
aevitarouminimizarosefeitosdaídecorrentes.
No Banco do Brasil, o risco operacional é defnido como a possibilidade de
ocorrênciadeperdasresultantesdefalha,defciênciaouinadequaçãodepro-
cessosinternos,pessoasesistemas,oudeeventosexternos.
Adefniçãobaseia-senaevidênciadascausasdasperdasoperacionais,ca-
racterizadascomofatoresderisco.
Gestão de seGurança 23
Universidade Corporativa BB
Osfatoresderiscooperacionalpodemserinternosouexternosàinstituição:
■fatoresinternos:abrangempessoas,processosesistemas.
►pessoas:sintetizaaspectosrelacionadosàqualidadedevidanotra-
balho,conduta,competênciasecargadetrabalho;
►processos:dizrespeitoàmodelagemdeprodutoseserviçosfnancei-
rosenãofnanceiroseàconformidadecomleisenormasinternase
externas;
►sistemas: está fundamentalmente associado à infraestrutura tecno-
lógica,compreendendoacapacidade,velocidade,estabilidade,con-
fabilidade, performance e integridade de softwares. e. hardwares, à
segurançalógicaeàdisponibilidadededadosesistemas.
■fatoresexternos:abrangemoseventosexternos;vinculam-seadesas-
tresnaturaisecatástrofese,ainda,aomeioambiente,aoambienteso-
cialeregulatório,entreoutros.
Fazeragestãodesegurançacompreendeidentifcar,avaliar,monitorar,contro-
lareproporaçõesdemitigaçãoemrelaçãoaoriscooperacional.Essasetapas
visamprevenir,anularouminimizarasperdasatinentesaoriscooperacional.
Énecessáriodefniralgunstermosutilizadosnoprocessodegestãodesegu-
rançaparafacilitaracompreensãodasetapasdoestabelecimentoderequisi-
tosdesegurança(Quadro1):
Quadro.1
Termos utilizados em Gestão de Segurança
Ameaças Agentes ou condições que causam incidentes que
comprometem os ativos da organização por meio da
exploraçãodevulnerabilidadese,conseqüentemente,
causandoimpactosaosnegócios.
Vulnerabilidades Fragilidadespresentesouassociadasaativosque,ao
ser exploradas por ameaças, permitem a ocorrência
deincidentesdesegurança.
Incidente Umfatodecorrentedaaçãodeumaameaça,queex-
ploraumaoumaisvulnerabilidades,levandoaperdas.
ProGrama certificação interna em conhecimentos 24
Universidade Corporativa BB
Fatores de Risco Osfatoresderiscooperacional(Pessoas,Processos,
SistemaseEventosExternos)constituemabasepara
identifcaçãodoriscooperacionalaqueasinstituições
estão.expostas.e.se.desdobram.em.subfatores...................................
Perda Decréscimo,diminuiçãodeativosdequalquernature-
zacomoconseqüênciadedanorealoupotencial,cujos
efeitos,umavezmedidosequantifcados,expressam
prejuízopecuniáriodequalquermonta.
Impacto Abrangênciadosdanoscausadosporumincidentede
segurançasobreumoumaisprocessosdenegócio.
Probabilidade Conceitoflosófcoematemáticoquepermiteaquanti-
fcação da incerteza, permitindo que ela seja aferida,
analisada. e. usada. para. a. realização. de. previsões. ou.
para.a.orientação.de.intervenções..É.aquilo.que.torna.
possívellidardeformaracionalcomproblemasenvol-
vendooimprevisível.
Fonte:Sêmola(2003),comadaptações
Osconceitosacimaapresentadosremetemàdefniçãoderiscocomo“apro-
babilidadedeameaçascausaremincidentesapartirdaexploraçãodevulne-
rabilidades,gerandoimpactosnegativosnosnegócios”.
Deformasimilar,diz-sequeoobjetivodasegurançaéimpediraocorrênciade
incidentesqueprovoquemdanosaonegóciodasempresas.Casonãoexista
forma de impedir algum incidente, então a segurança procura minimizar os
impactosnegativosnonegócio.
Observa-sepelasdefniçõesacimaqueagestãodesegurançatemcomore-
levanteseucaráterpreventivo.
Sêmola(2003)separaasameaçasemtrêsgrandesgrupos:
1. Ameaças naturais: decorrentes de fenômenos da natureza - incêndios
naturais,enchentes,terremotos,poluiçãoetc.;
2. Voluntárias: são ameaças propositais causadas por agentes humanos:
fraudes,vandalismo,sabotagens,espionagem,invasõesefurtosdeinfor-
mações,entreoutros.
Gestão de seGurança 25
Universidade Corporativa BB
3. Involuntárias:ameaçasinconscientes,quasesemprecausadaspelodes-
conhecimento-acidentes,erros,faltadeenergiaetc.;
Asameaçassempreexistirameédeseesperarque,àmedidaqueatecnolo-
giasedesenvolva,tambémsurjamnovasformasatravésdasquaisosativos
daorganizaçãopossamfcarexpostos,gerandovulnerabilidadesquepodem
ser.exploradas..
Aavaliaçãodesegurançabuscarastreareidentifcarasvulnerabilidadesde
modoadefnirasmedidasdesegurançacapazesdeeliminarospontosfracos
dosambientesdenegóciomaissensíveis.
Vejanoquadrodoisalgumasvulnerabilidadesencontradasemorganizações.
Quadro.2
Vulnerabilidades das Organizações
Vulnerabilidades
físicas
Vulnerabilidades
naturais
Vulnerabilidades
de hardware
(computadores)
Vulnerabilidades
de softwares
(programas)
Vulnerabilidades
dos meios de
armazenamento
(disquetes, CDs,
DVDs.)
Vulnerabilidades
de comunicação
instalaçõesinadequadasdoespaçodetrabalho;
ausênciaderecursosparaocombateaincêndios;
disposiçãodesorganizadadoscabosdeenergiaederede;
não-identifcaçãodepessoasedelocais.
locaispróximosariospropensosainundações;
infra-estruturaincapazderesistiràsmanifestaçõesdanatureza,
comoterremotos,maremotos,furacõesetc.
ausênciadeatualizaçõesdeacordocomasorientaçõesdos
fabricantesdosprogramasutilizados;
conservaçãoinadequadadeequipamentos.
programas.de.e-mailquepermitemaexecuçãodecódigos
maliciosos;
editoresdetextoquepermitemaexecuçãodevírusdemacro;
programasutilizadosparaediçãodetextoeimagem,para
aautomatizaçãodeprocessosequepermitemaleiturade
informaçõesdeumapessoaouempresa,comoosnavegadores
depáginasdainternet.
prazodevalidadeedeexpiração;
defeitodefabricação;
usoincorreto;
localdearmazenamentoinsalubreoucomaltoníveldeumidade,
magnetismoouestática,mofoetc.
amáescolhadossistemasdecomunicaçãoparaenviode
mensagemdealtaprioridadedaempresapoderiafazercomque
elasnãoalcançassemodestinoesperadoouqueamensagem
fosseinterceptadanomeiodocaminho.
Fonte:AcademiaLatino-americanadeSegurançadaInformação–CursoBásicodeSegurançadaInformação,com
adaptações.
ProGrama certificação interna em conhecimentos 26
Universidade Corporativa BB
EmatendimentoàsorientaçõesdaResoluçãoCMN3.380,oBancodoBrasil
defniuestruturaespecífcadegerenciamentoderiscooperacional,composta
pelaDiretoriadeGestãodeRiscos,DiretoriadeControlesInternoseDiretoria
deGestãodaSegurança(Quadro3).
A Diretoria de Gestão da Segurança tem por atribuição, dentre outras, res-
ponderpelagovernançadeSegurançaCorporativa,observadoomodelode
gestão de risco operacional e os limites de exposição estabelecidos para o
Conglomerado.
Quadro.3
Gestão do risco operacional no BB
Diretoria de
Gestão de Riscos
Efciênciaeefcácia
noprocessode
GestãodoRisco
Operacional;
Mensuração;
Exigênciadecapital.
Diretoria de
Controles Internos
Conformidade;
Falhasemprocessos
enegócios;
Ambiente.
Regulatório.
Diretoria de
Gestão da Segurança
Prevençãoafraudes;
Prevençãoaincidentes
de.segurança.relativos.
aambientes,pessoas,
produtos,serviçose
processos;
Gestão.da.Continuidade.
denegócios;
Prevençãoecombateà
lavagemdedinheiro;
Inteligênciaestratégica.
Auditoria internaéresponsávelpelaverifcaçãodetodaaestruturade
gestãoderiscooperacional,comfoconosriscosaqueoConglomerado
estáexposto,avaliandoasaçõesdegerenciamentoderiscoseaequa-
çãodoscontrolesinternos.
Auditores externosavaliamaGestãodeRiscos,acadadoisanos.
Espera-sequeaofnaldoestudodestetemavocêpossa:
▪ConceituaragestãodasegurançadepessoaseambientesnoBB.
▪ Identifcarcritériosutilizadosparaoestabelecimentoe
monitoramentodeníveisdesegurançanosambientesdoBB.
▪ Descreverosquesitosdesegurançabancáriaesuasfnalidades.
▪ Identifcarprocedimentospreventivosdesegurançapessoalede
ambientescorporativos.
2
GESTÃO DE SEGURANÇA DE
PESSOAS E AMBIENTES
Gestão de seGurança 29
Universidade Corporativa BB
2.1. CONCEITO
ParaoBanco,agestãodesegurançadepessoaseambientesconsisteem
umsegmentodagestãopreventivadesegurançadirecionadoparaaproteção
dosfuncionários,seusfamiliares,clientesesociedadeemgeral,bemcomo
dosambientesdoconglomerado.Entende-secomoambientes,todasasuni-
dadesdaempresa-agências,tesourariasregionais,prédiosadministrativos
eoutros–esuasinstalações:tesouraria,bateriadecaixas-executivos,salas
deauto-atendimento,corredordeabastecimentodeterminaisdeauto-atendi-
mento,salasdetelecomunicaçõesesimilares.
Osambientesapresentamdiferentesníveisdecriticidadedevidoàscaracte-
rísticasintrínsecasdecadaumeagestãodesegurançadeambientesprecisa
consideraroníveldecriticidadedecadaambienteparadesenvolverasações
voltadasparaasegurançadesseslocais.Ambientesmaissensíveis(suscetí-
veisaataques)recebemummaiorníveldeproteção.
Aplica-se neste caso, a teoria dos círculos concêntricos, que pode ser def-
nidacomoaestratégiadepartirdomaissimplesparaomaiscomplexo,do
maispróximoparaomaisafastadoedomaisbaixoparaomaisaltonívelde
segurança.Noesquemadecírculosconcêntricospode-severosváriosníveis
de segurança, sendo que o círculo central representa a área ou instalação
(unidade)comníveldesegurançamaiselevado(Figura1).
Figura.1
Teoria dos círculos concêntricos
SegurançaPeriférica
SegurançaRoniteira
Segurança.Mediana
Segurança.Elevada
SegurançaExcepcional
Fonte:Mandarini(2006)
ProGrama certificação interna em conhecimentos 30
Universidade Corporativa BB
DeacordocomMandarini(2006),conformeaimportânciadolocal(ouunida-
de),podemosterasseguintesgradaçõesdesegurançaparaáreas,instala-
ções,unidadeseambientes:
■ segurança excepcional:áreadeexcepcionalsensibilidadeoupericu-
losidade, cujo acesso é restrito a pessoas estrita e institucionalmente
envolvidasnasatividadesaídesenvolvidas.Localestratégicoparaauni-
dadeouorganização,paraoqualoautorclassifcaocontroledeacesso
comoultra-secreto;
■ segurança elevada: área de elevada sensibilidade ou periculosidade,
cujoacessoérestritoapessoasíntimaeinstitucionalmenteenvolvidas
nas atividades aí desenvolvidas. O Controle de acesso neste caso é
classifcadocomosecreto;
■ segurança mediana:áreademedianasensibilidadeoupericulosidade,
comacessorestritoapessoasquetenhamrelaçõesinstitucionaiscom
asatividadesaídesenvolvidas.Paraestecaso,ocontroledeacessoé
classifcadocomoconfdencial;
■ segurança rotineira: área de baixa sensibilidade ou periculosidade,
cujoacessoérestritoapessoasquetenhamnecessidadedetratofun-
cionaloudenegócioscomasatividadesaídesenvolvidas.Normalmente
ocontroledeacessoéclassifcadocomoreservado;
■ segurança periférica: área isenta de sensibilidade ou periculosidade,
queintegraoslimitesdoperímetrodaunidadeouinstalação.
UtilizandoosambientesdoBancodoBrasil,podemosexemplifcaressaclas-
sifcaçãoconformeoquadroaseguir.Aclassifcaçãosegueaordemdecres-
centedeníveldecriticidadee,caberessaltar,elanãoéabsoluta.Dependen-
dodeoutrascaracterísticasdaunidadeedascondiçõesdesegurança,onível
declassifcaçãodecadaambientepodeserelevadooureduzido,conforme
quadro.quatro.
Quadro.4
Ambientes e níveis de Segurança
. Níveis de Segurança. Exemplos de ambientes do Banco
. Segurança excepcionalSalasdeservidoresdecentrostecnológicos;te-
souraria,corredoresdeabastecimentodetermi-
nais, bateria de caixas, ambiente de processa-
mento.do.SAO.
Gestão de seGurança 31
Universidade Corporativa BB
. Segurança elevada Centrosdeprocessamentodedados–CPD;sa-
lasdoscomitêsdeUnidadesEstratégicas.
. Segurança mediana Escritórios–estaçõesdetrabalho–deUnidade
Estratégica.
. Segurança rotineira Saguãodasagências,destinadoaoatendimento
aosclientes.
. Segurança periférica Estacionamentos, áreas externas (corredores,
fundosetc.)e,atémesmo,áreaspúblicas.Vale
destacar que para o Banco, estes ambientes
também apresentam sensibilidade, mesmo que
muito.baixa.
Assim, para a indicação de procedimentos de segurança, a área do Banco
responsávelpelagestãodesegurançadepessoaseambientesdesenvolve
constantes levantamentos e monitoramento do nível de segurança de suas
unidades.Entreosinstrumentosqueutilizaparaisso,estáamatrizdevulne-
rabilidades,atualizadaconstantemente.
Entre os aspectos analisados para o monitoramento do nível de segurança
estão:
■ região geográfca: existem diferenciações entre as ações criminosas
(modus operandi)nasdiversasregiõesdopaís,bemcomoentreointe-
riorecapitaldeEstadoeatémesmoentreasdiferentesregiõesdeuma
cidade,taiscomocentro,bairroeregiõeshistoricamentemaisviolentas;
■ localização:alocalizaçãodadependênciainterferenoseunívelderis-
co.Porexemplo,umaagênciasituadaàmargemdeumarodoviaouem
local de pouca movimentação noturna possui um maior nível de risco.
Poroutrolado,asdependênciaslocalizadasemshoppingsoupróximas
aorganismospoliciaisapresentamummenornívelderisco;
■ outras características:outrasvariáveisquetambéminterferemnorisco
equedevemserconsideradas,taiscomo:quantidadedepavimentosda
dependência,leiaute,estruturadosambientes,segmentonegocial,perfl
daclientela,históricodeocorrênciaselimitedenumerárioentreoutros.
Naelaboraçãodamatrizdevulnerabilidadessãoconsideradoscommaiorên-
faseosdadosrelativosaolimitedenumeráriodadependência,quantidadese
valoresdeocorrênciascriminosasdaunidadeedaregião,entreoutrosfatores
deanálise.
ProGrama certificação interna em conhecimentos 32
Universidade Corporativa BB
2.2. QUESITOS DE SEGURANÇA BANCÁRIA – CONCEITOS E
FINALIDADES
Partedosrecursosdesegurançaadotadospelasinstituiçõesfnanceirasde-
corrededispositivoslegais.Contudo,alémdosrecursosobrigatórios,asins-
tituiçõespodemadotaroutrosmecanismosdeproteção,deacordocomsuas
estratégias.de.segurança.
Os quesitos apresentados a seguir envolvem os procedimentos e recursos
obrigatórios,bemcomoassoluçõesemsegurançafísicadisponíveisnomer-
cado. O Banco emprega todos os itens, conforme o padrão de segurança
decadadependência,etambémutilizaaListadeVerifcaçãodeSegurança
-LVS,ferramentadesenvolvidainternamente.
Plano de segurança
É um documento exigido por lei (Lei 7.102/83, regulamentada pela Portaria
387/2006 - DPF) para todos os estabelecimentos fnanceiros que realizam
guardadevaloresoumovimentaçãodenumerário.Ofuncionamentodoses-
tabelecimentosestácondicionadoàaprovaçãodoplanopeloDepartamento
dePolíciaFederal-DPF.
Oplanodesegurançaapresentadetalhadamenteascondiçõeseoselemen-
tosdesegurançadoestabelecimentoedeveabordarosseguintesitens:
■ vigilânciaarmada;
■sistemadealarme;
■demaisdispositivosouequipamentodesegurançaexistentes(portacom
detectordemetais–PDM,sistemainternodetelevisão–CFTV,fecha-
duraeletrônicadetempoprogramávelparacofreeescudo).
APortaria387/06–DPFobrigaqueasdependênciassejamprovidasdevigi-
lânciaarmada,sistemadealarmeemaisumdosdispositivoscitadosnoitem
terceiroacima,porémtodosositensexistentesdevemconstarnoplano.De
acordocomessaPortaria,sãoexigidostambémcoletesaprovadebalaspara
os vigilantes, detector manual de metais (para dependências com PDM) e
vigilânciaarmadanasaladeauto-atendimentodurantehoráriodeexpediente
aopúblicodadependência.
Gestão de seGurança 33
Universidade Corporativa BB
NoBanco,aresponsabilidadepelaconfecçãodoplanoédaempresadevigi-
lânciaqueatendeadependência-comacompanhamentodefuncionárioco-
missionado–eaadministraçãodaunidadeéresponsávelpelasinformações
eprocedimentosneleexistentes.
Para a aprovação do plano de segurança, as comissões de vistoria do De-
partamento da Polícia Federal fscalizam as condições de segurança das
instituições fnanceiras e empresas de segurança privada. Nas instituições
fnanceirassãoverifcadosositenscitadosnoplano,comatençãoespecialà
vigilânciaarmada(postura,procedimentoseposicionamentodeacordocomo
indicadonoplano)ealarme(tempoderetornopelacentraldemonitoramento
notesterealizadocomoacionadordepânicosilencioso).
A.aprovação.do.plano.de.segurança.é.expressa.por.meio.da.emissão.de.por-
tariadeaprovação,comvalidadedeumano,acontardadatadesuaexpe-
dição.SeconstaroperíododevalidadenaprópriaPortaria,esteprevalecerá
sobre.a.data.de.expedição.
Ainexistênciadeplanodesegurançaaprovadosujeitaainstituiçãoaopaga-
mentodemultade1.000a20.000UFIR,porocorrência,podendochegaraté
a.interdição.da.unidade.
Quando forem constatas irregularidades ou necessidades de melhorias nos
quesitosdesegurança,aempresaénotifcadaouautuadapelacomissão.
Ainstituiçãotemumprazoparaprovidenciararegularizaçãodositensaponta-
dospelacomissãodevistoria.Seasprovidênciasforemacatadaspelacomis-
são,aportariadeaprovaçãodoplanodesegurançaéexpedidapelaPolícia
Federal.Casocontrário,ainstituiçãopoderáapresentardefesapelaimputa-
ção.NoBancodoBrasiladefesaemprimeirainstânciaérealizadapelaDijur,
paraapresentaçãoàDelegaciadeControledeSegurançaPrivada–Delesp.
ADelesppodeaceitarosargumentosdainstituição,sugerindooarquivamen-
todoprocessogeradopelanotifcaçãoounegaroprovimentoàdefesa,oque
ensejaaaberturadeprocessoadministrativo.Emambososcasos,adecisão
competeàCoordenaçãoGeralConsultivadeSegurançaPrivada–CGCSP,
que pode arquivar os processos ou encaminhá-los à Comissão Consultiva
paraAssuntosdeSegurançaPrivada–CCASP,parajulgamento.
ProGrama certificação interna em conhecimentos 34
Universidade Corporativa BB
ACCASPéumórgãocolegiadocompostopelosetordesegurançaprivadae
pelasagênciaspúblicasenvolvidasnaregulaçãoecontroledestaatividade.
É presidido pelo Diretor Executivo do DPF e conta com representantes das
seguintes.instituições:
■ ComandodoExército;
■ InstitutoRessegurosdoBrasil;
■ FederaçãoBrasileiradosBancos;
■ ConfederaçãoNacionaldosBancários;
■ FederaçãoNacionaldosSindicatosdasEmpresasdeVigilânciaeTrans-
portedeValores;
■ ConfederaçãoNacionaldosTrabalhadoresemVigilância;
■ AssociaçãoBrasileiradosCursosdeFormaçãoeAperfeiçoamentodos
Vigilantes;
■ AssociaçãodasEmpresasdeTransportedeValores;
■ SindicatodosEmpregadosnoTransportedeValoreseSimilaresdoDis-
tritoFederal;
■ AssociaçãoBrasileiradeEmpresasdeVigilânciaeSegurança;
■ FederaçãoNacionaldosEmpregadosemEmpresasdeVigilância,Trans-
portedeValoreseSimilares;
■ AssociaçãoBrasileiradeProfssionaisemSegurançaOrgânica.
Nessacomissãosãojulgadososméritosobjetosdasnotifcaçõeseautuações
epodemresultarnaspenascitadasanteriormente.
Devidoàsuaparticipaçãodiretanasquestõesrelacionadasàsegurançada
dependência, o administrador possui papel fundamental na adequação dos
processossobsuagestãoàsexigênciaslegais,deformaaevitarmultasdes-
necessáriasàinstituição.
Vigilância armada
Éoserviçoexigidoporlei,comoobjetivodeprotegerinstalações,bens,nu-
merário, pessoas e outros valores, contra furtos, arrombamentos, assaltos,
seqüestrosetc.
Gestão de seGurança 35
Universidade Corporativa BB
Oposicionamentodosvigilantesdeveconstarnoplanodesegurança.Apos-
turaostensivadosvigilantesinfuencianaavaliaçãoqueoscriminososfazem
arespeitodascondiçõesdesegurançadadependência.Podeserfatorde-
terminante.para.que.desistam.de.uma.ação.em.determinada.unidade.e.optem.
poroutra,consideradamaisvulnerável.
Ovigilantedeveestarpresenteemtodooperíodoquehouverfuncionáriosna
unidade,tendoemvistaqueosassaltosnãoocorremsomenteduranteoho-
ráriodeatendimentoaopúblico,mastambémantesedepoisdessehorário.
Sistema de alarme
O alarme é um equipamento de segurança eletrônico exigido por lei, com
ação preventiva e ostensiva contra assaltos, seqüestros e arrombamentos,
entreoutros.Visainformar,comtempestividade,àpolíciaouàcentraldemo-
nitoramentoainvestidadecriminososouapresençadepessoasemambiente
(ouhorário)nãopermitido,pormeiodeumcanaldecomunicação(telefone,
redededadosourádio).
Osistemadealarmepodeserdisparadopormeiodeacionadoresdepânico
silenciosos-fxosouremotos-,senhasdepânico(oudecoação)paradesa-
bilitarosistemadealarmeindicativasdeousuárioencontrar-sesobcoação,
ou.sensores.de.presença.
Osacionadorespodemserbotoeirasfxas,instaladasemambientesestrate-
gicamentedefnidos,ouremotos,distribuídosentreosvigilantesefuncioná-
rios.
Ossensorespodemserdeváriostipos,taiscomo:
■ passivo:adetecçãosedáporcaloremovimento,combinandoraioin-
fravermelhocommicroondas;
■ ativo:compostopormóduloemissoremóduloreceptordeluzinfraver-
melha,quedisparaquandoháocortedofeixe;
■ magnético: composto por duas partes de metal, utilizado geralmente
emportasejanelas,fxando-seumadaspartesnaesquadriaeaoutra
nafolha.Adetecçãosedápeloafastamentodaspartesdosensor,devi-
doàaberturadaporta,porexemplo.
ProGrama certificação interna em conhecimentos 36
Universidade Corporativa BB
■ sísmico:tambémconhecidocomosensordechoque.Essedispositivo
capta e analisa vibrações decorrentes de ataques às estruturas onde
está instalado.As vibrações são avaliadas segundo critérios de ampli-
tude, freqüência e tempo de atuação. Quando a vibração captada for
classifcadacomoumataque,osensoremitesinaldealarme.
Paragarantirmelhorescondiçõesdesegurança,osistemadealarmepermite
quesejamconfguradossetoresdiferentes,resultandoemprogramaçõesdis-
tintasconformeanecessidadedesegurançadecadaambiente.
Os disparos acidentais são os grandes vilões do sistema, tendo em conta
que causam transtornos à vizinhança, geram prejuízos decorrentes de taxa
deatendimentoachamadaindevida(cobradapelapolíciaemalgumaslocali-
dades).Alémdisso,provocamdescréditodosistemajuntoàpolícia,podendo
resultar em graves conseqüências para as pessoas e para a empresa, nos
casosderealnecessidade.
Outros dispositivos
■ Porta com detector de metais - PDM
Equipamentopreventivoedeaçãoostensivaqueconciliadispositivocapazde
identifcarmassametálicapormeiodeumcampomagnético,commecanismo
quetravaaporta,impedindooacessodepessoasemáreasprotegidas.Tais
equipamentosprevinemprincipalmenteassaltosàsunidadeseseqüestrosde
funcionárioseseusfamiliares.
DeacordocomaPortaria387/2006daPolíciaFederal,osestabelecimentos
fnanceirosnosquaisoacessoérealizadopormeiodeportacomdetectorde
metais,devempossuirtambémodetectormanualdemetais.
Alémdaportagiratória,existeaeclusaquetambémdetectamassametálicae
possuisistemadetravamento.Éumpequenoambiente,dotadodeduaspor-
tasparaocontroledeacesso.Asportassãointertravadas,ouseja,aabertura
deumasóépossívelmedianteofechamentodaoutra.
Oportaléumequipamentotambémutilizadonocontroledeacesso,masape-
nasdetectaamassametálica.DiferentementedaPDM,oportalnãobloqueia
Gestão de seGurança 37
Universidade Corporativa BB
a passagem de pessoas ou objetos. Portanto, deve ser utilizado em locais
dotadosdeoutrosmecanismosdebloqueioousupervisionados.Exemplode
utilizaçãosupervisionadasãoosportaisparaacessoàssalasdeembarque
dos.aeroportos.
NoBancodoBrasilsãoutilizadosostrêsequipamentos–portal,eclusaepor-
tagiratória–conformeotipodedependênciaouambiente.Taisequipamentos
devemsertestadosdiariamenteantesdoiníciodoexpedienteaopúblico,com
a passagem do vigilante armado, sob acompanhamento de funcionário do
Banco.
■ Circuito fechado de televisão - CFTV
É um sistema eletrônico de segurança dotado de câmeras e de sistema de
gravação.Oequipamentotemfunçãopreventivaeostensiva,comoobjetivo
deinibireidentifcaragentesdeocorrênciasirregulares,taiscomoassaltos,
seqüestros,arrombamentos,fraudes,furtosetc.Devepermaneceremfuncio-
namento.ininterrupto.e.ser.instalado.em.rackpróprio.
Paraagravaçãonoturnaosistemapodeutilizarcâmerasespeciais(infraver-
melho,day/night)ouutilizarsensoresparaacionarailuminaçãodoambiente.
Por meio da interligação dos sensores à iluminação, as luzes são acesas
sempre que alguma presença for detectada, possibilitando a gravação das
imagensdolocal.
.
Ossensoresdeiluminaçãoauxiliamnainibiçãodeaçõesirregularesporcau-
sarsurpresaeaindicação,aoinvasor,devigilânciaemonitoramentodoam-
biente.
■ Fechadura eletrônica de tempo programável
Equipamentoquepermiteprogramaçãodohorárioparaaaberturadocofre.
Possui também função que retarda a abertura em 15 minutos, no mínimo,
parausoduranteoexpediente.Poressemotivos,sãoconhecidascomofe-
chadurasderetardoesãoimportantesparaaprevençãodeassaltos,seqües-
tros.e.arrombamentos.
Essasfechaduraspossuemafunçãodeauditoria,quepermitearmazenare
disponibilizarosregistrosdeprogramaçãodeabertura,tempodeportaaberta
ProGrama certificação interna em conhecimentos 38
Universidade Corporativa BB
etodosasdemaistransaçõesrealizadaspeloequipamentoeusuários.
OusodesteequipamentonoBancodoBrasiléobrigatórioedeveserinsta-
ladoemtodososcofresecasasfortesutilizadosparaguardadenumerárioe
outros.valores.
■ Escudo blindado
É um anteparo blindado, com visor, atrás do qual se posiciona o vigilante.
Deve ser localizado em local estrategicamente defnido e indicado no plano
de.segurança.
Ousodeescudosblindados,peloBanco,estásendoreduzido.
■ Controle de acesso
Éasoluçãodesegurançaquevisaidentifcar,permitirounegaroacesso(en-
tradaousaída)depessoas,veículosouobjetosà(oude)áreascomacesso
restritoecontrolado.Osistemautilizacritériospré-confguradosparaaiden-
tifcação e registra todos os eventos da utilização diária (cadastramento de
usuários,acessos,tentativasdeacessonãoautorizado,entreoutros).
Aconcessãodeacessodevepermitirconfguraçõesvariadasparaquepes-
soasdiferentespossamteracessosaambientesdistintos,conformeonível
decriticidadedecadaumeaatividadedesenvolvidanaempresa.Ocontrole
tambémpodelimitaroacessoporfaixasdehorário,diasespecífcoseconf-
guraçõesafns.
Ossistemaspodemsermanuais,semi-automáticoseautomáticoseutilizam
critériosdeverifcação.Osmaismodernossãoautomáticoseoscritériosde
verifcaçãomaisusuaissãosenhas,cartõesedadosbiométricos.Paracada
critérioénecessárioocoletordedadosespecífco.Porexemplo,utilizam-se
tecladosparacoletarsenhas,leitorasdecartõesparalerosdadosgravados
eleitoresdecaracterísticasbiométricasparalerasimpressõesdigitais,geo-
metriademão,leituraderetinaouíris,timbresvocaisetc.Tambémépossível
conjugar vários critérios para elevar o nível de identifcação; neste caso, é
necessárioqueoscritérios,emconjunto,resultemnaidentifcaçãopositivado
usuário.
Gestão de seGurança 39
Universidade Corporativa BB
Exemplo
Paraousuárioreceberaautorizaçãodeacessoadeterminadaárea,
ele. digita. sua. senha. e. registra. sua. impressão. digital.. O. sistema.
deve validar conjuntamente ambos os critérios para considerar a
identifcaçãopositivaeconcederoacessosolicitado.
Para o controle de veículos e objetos, o sistema normalmente aplicado é o
AVI-TAG (de proximidade e RFID – identifcação por rádio freqüência). São
etiquetas(tagouadesivo)quearmazenamdadosepermitemaidentifcação
doveículooubem.
O.taginstaladoemveículoséumtransponder(feixedecanaisdecomunica-
çãoquefuncionacomorepetidora)queélidoàdistância.Quandooveículo
entraemumazonadeleitura,odispositivodoveículotrocainformaçãocomo
leitor.Seainformaçãoforpositiva,acancelaéaberta.Comoexemploexistem
os sistemas de cancelas automáticas instaladas em pedágios de rodovias,
queabremautomaticamenteparaveículoautorizado,detentordotag.
Ocontroledeveículostambémpodeserpormeiodecartõesdeproximidade,
utilizadopelosmotoristasemcancelas.
Osobjetoscontrolados,comonotebooks,porexemplo,utilizamtag.adesivos.
paraseremidentifcados.
Noconceitodecontroledeacesso,existemtambémosequipamentosdede-
tecção:detectordeexplosivos,detectordemetaiseequipamentosdeinspe-
ção.por.raio.X.
O sistema se complementa com as barreiras físicas, para que a pessoa, o
veículo ou o objeto seja impedido de passar pelo ponto de controle (porta,
portãoetc.).Asbarreirasmaisconhecidaseutilizadasnasorganizaçõessão
asroletas,catracas,torniquetes,portasdiversas,cancelasefechadurasele-
tromagnéticasoueletromecânicas.
ProGrama certificação interna em conhecimentos 40
Universidade Corporativa BB
Lista de Verifcação de Segurança – LVS
É um instrumento de controle e gestão dos dispositivos de segurança das
dependênciasdoBancodoBrasil.Seuobjetivoéaelevaçãodoníveldese-
gurança,pormeiodapadronizaçãodouso,dagarantiadafuncionalidadedos
equipamentosedamelhoriadaefciênciaequalidadedosserviçosprestados
porempresascontratadas.
ALVSconfgura-seemumavaliosaferramentaparagerireplanejarascon-
diçõesdesegurançadaunidade,umavezquelevaofuncionárioaverifcar
todososequipamentosdesegurança,cofreseterminaisdeauto-atendimen-
to,alémdeacompanharavalidadedoplanodesegurançaeaqualidadedo
serviçodevigilânciaarmada.
2.3. PROCEDIMENTOS PREVENTIVOS
Segurança pessoal
Osprocedimentospreventivosparaasegurançapessoaldevemfazerparte
do dia-a-dia das pessoas.A incorporação desses procedimentos traz bene-
fíciosquetranscendemaesferadaorganização,trazendomaiorsegurança
paraavidaparticulardaspessoasedosgruposaquepertencem.
■ visão de contexto do ambiente:éimprescindívelconhecertodaare-
giãodaresidênciaedolocaldetrabalho,principalmenteospontosde
maiorrisco,afmdeevitá-los.Éimportante,também,saberalocaliza-
ção,horáriosdefuncionamentoeasviasmaisrápidasparaacessaros
postospoliciais,delegaciasehospitais,paraoscasosdenecessidade;
■ residência:semprequepossível,devesersegura(bemiluminada,com
sistema de alarme, cães de guarda, chaves tetra e trancas adicionais
nasportaseportõesetc.)ebemlocalizada.Algunscuidadosdevemser
tomados:
►evitar a colocação de cadeado pelo lado de fora, pois demonstra a
ausênciadepessoasnolocal;
►manter na residência uma lista com telefones de emergência, tais
comoPolíciaMilitar,DelegaciadePolíciaCivil,CorpodeBombeiros,
hospitais,familiareseamigosaquemrecorreremfacedeproblemas;
Gestão de seGurança 41
Universidade Corporativa BB
►nãoatenderaportasemadevidaidentifcaçãoerecusarencomen-
das,serviçosevendedoresnãosolicitados,mesmoqueestejamuni-
formizados;
►contratarempregadosdomésticossomentecomreferênciasanterio-
res,indicadosporpessoasdeconfança.Verifcaremanteratualizado
oendereçodoempregadoedeseusparentes;
►tomarcuidadocomaschavesdaresidência.Evitardeixá-lascomem-
pregadosenãoutilizarchaveiroscomindicaçõesdosproprietáriosdo
imóvel;
►não prestar informações a estranhos sobre hábitos, compromissos
pessoais e de trabalho, viagens, assuntos familiares nem sobre o
patrimônio,sobretudosesolicitadasportelefone.Orientarosempre-
gados e os familiares, especialmente as crianças, a procederem da
mesmaforma;
►nãoentrarousairdecasasedesconfardapresençadepessoasou
veículosestranhosematitudesuspeita.Nestecaso,chamarapolícia
oudirigir-separaadelegacia,ouposto,policialmaispróximo;
►tomarcuidadocomarealizaçãodeobraspróximasàresidência,por-
quepodeestarservindocomoumpontodeobservaçãoparaosmar-
ginais.
■ caminhadas:procurarvariaropercursoeohorário,mas,principalmen-
te,evitarlocaispoucopovoados,ruasdesertas,trilhasisoladaseáreas
poucoiluminadas.Alémdisso,tomaroutroscuidados:
►ter cautela ao cumprimentar estranhos, ser respeitoso, mas manter
distânciaecontinuaremmovimento;
►caminhar no centro da calçada e contra o sentido do trânsito, para
poderperceberaaproximaçãodealgumveículosuspeito;
►usar pequena quantia de dinheiro para despesas com suco, água
etc.;
►evitarcaminhardesacompanhado.
■Informações:asinformaçõespodemserasresponsáveisporaçõesde
bandidoscontraumapessoa,suafamíliaeaempresaemquetrabalha.
Porisso,éconveniente:
►manterdiscriçãosobreasatividadesprofssionaisepessoais;
►nãocomentarcomqualquerpessoaosvaloresdosbens;
► ser reservado quanto às rotinas; contudo, é importante que algum
parenteouamigodeconfançasaibadoshorários,paraquepossam
identifcarpossíveissituaçõesirregulares;
ProGrama certificação interna em conhecimentos 42
Universidade Corporativa BB
►evitarousodeadesivosnosveículosdafamíliacontendonomesdos
flhos,escolas,academiaseoutrasinformaçõesquefacilitemomape-
amentoderotinaspeloscriminosos;
►orientarflhosefuncionáriosdaresidênciaanãodareminformações
pessoais solicitadas por estranhos.As abordagens costumam ocor-
reremparadasdeônibus,escolas,residência,portariasdeprédiose
condomínios,portelefoneeinternet,entreoutrosmeios;
►registrarocorrênciapolicial,mesmonocasodepequenosfurtos,pois
elespodemserindíciosdesondagemdehábitosparaumaaçãofu-
tura.e.mais.séria.
■ viagens: as residências, principalmente casas e chácaras fcam mais
vulneráveiscomaausênciadeseusmoradores,portantoénecessário
prevenir-se:
►solicitaraalguémdeconfançaquerecolhapossíveiscorrespondên-
cias,paradifcultarainformaçãodequeacasaestávazia;
► utilizar alguma lâmpada com célula fotoelétrica, para acendimento
apenasnoperíodonoturno;
►sepossível,desligaracampainha;
►retirarferramentaseescadasdasáreasexternas,poispodemserusa-
dasparaoarrombamento;
►deixartelefonedecontatocompessoasdeconfançaparaquesitua-
çõessuspeitaspossamsercomunicadas.
■ trânsito e veículos: quase todos os seqüestros acontecem no percur-
soresidência-trabalhoevice-versa.Algumasmedidaspodemajudara
evitá-los:
►variarotrajeto,conhecerpossíveispontosdeapoioemcasosdene-
cessidade,transitarporviasmovimentadasebemiluminadas;
►memorizar, nos percursos mais freqüentes, a localização de postos
policiais,telefonespúblicos,socorrosmecânicos,hospitaiserotasal-
ternativasseguras;
►nossinais,manterosvidrosfechadoseevitarafladaesquerda.Se
possívelcontrolaravelocidadeparamanterocarroemmovimento;
►manter distância razoável do carro da frente, para possíveis mano-
bras,edesconfardepessoaspedindoajuda;
►agircomcautelasenotarestarsendoseguido.Semdespertarsuspei-
ta,dirigir-sealocaismaismovimentadoseavisarapolíciaviacelular.
Procurar gravar características do veículo e ocupantes. Se o trajeto
permitir,pararnumpostopolicial;
Gestão de seGurança 43
Universidade Corporativa BB
► não estacionar de imediato se o pneu furar em local ermo; procurar
fazê-loemlocalseguro;
►procurarestacionaroveículoemlocaisseguros,movimentadosebem
iluminados;mantertodososobjetosquepossamchamaraatenção
deladrõesdentrodoportamalas;
►nuncadeixarpessoasdentrodocarroenquantoforfazeralgumacom-
pra,mesmoquerápida;
►desligaroveículo,tirarachavedaignição,ligaroalarmeetrancaro
veículo,mesmoemparadasrápidas;
►entrarousairdoveículocomrapidez,poisasabordagenscostumam
ocorrernestesmomentos.
■relacionamentos:
►autoridadespoliciaisejudiciárias-manterbomrelacionamento,pois
pode ser útil no aspecto de segurança.Ter sempre à mão seus nú-
meros de telefones porque em caso de emergência essas pessoas
poderãoajudar;
►vizinhosdeconfançatambémpodemcolaborarparaasegurançada
residência;éimportanteteronúmerodetelefoneparacontato.
Segurança de ambientes
Asorientaçõesaseguirvisamaproteçãodosambientescorporativosedas
pessoas,nasituaçãodetrabalho:
■Tesouraria, bateria de caixas, ambiente de processamento do Servi-
ço de Atendimento Opcional - SAO, corredor de abastecimento do
Terminal de Auto-atendimento - TAA e Salas de Telecomunicações
– TC:todososambientesinternossãorestritosaopúblico.Ocontrole
deacessodeveserefetivo,parapermitiraentradaapenasdepessoas
autorizadas.Osfuncionáriosevigilantesdevemestarpreparadospara
abordarem ou impedirem o acesso de estranhos. Prestadores de ser-
viços podem ter acesso sempre que necessário, desde que acompa-
nhados de funcionário autorizado.As portas desses ambientes devem
permanecertrancadaseaschavesdevemfcarempoderdefuncionário
responsável.Oacessodeveserpermitidoapenasaquemtrabalhenes-
teslocais.Taisambientesnãodevemserviraoutrafnalidade–como,por
exemplo,paralocalizaçãodearquivos–afmdediminuirotrânsitode
pessoas.Alémdisso,osambientesdevemestarequipadoscomsistema
de alarme e câmeras de CFTV para evitar e apurar ações criminosas.
ProGrama certificação interna em conhecimentos 44
Universidade Corporativa BB
A inobservância dessas recomendações e o descuido de funcionários
permitemaocorrênciadefurtosdenumerário,envelopesdedepósitos
eoutrosobjetos.
■ Sala de auto-atendimento: neste ambiente costuma haver diversas
ocorrências, desde fraude contra clientes até seqüestros.A prevenção
requerverifcaçãode:
►terminais de auto-atendimento -TAA:existênciade objetos espúrios
instalados nos TAA bem como seu fechamento (tampas e portas),
poisénecessárioarrombarosterminaisparaainstalaçãodealguns
equipamentosmaliciosos.
►câmerasdeTVesensores:posicionamentoepossívelobstrução(cha-
mado mascaramento) das câmeras e dos sensores do sistema de
alarme.Alteraçõesdoposicionamentoeobstruçõesservemparapre-
pararoambiente parafuturoataque,comoobjetivo dedifcultarou
inibiradetecçãodeintrusãoeaidentifcaçãodosbandidos;
►.presença.e.movimentação.de.pessoas.suspeitas.
Exemplo
Émuitocomumquecriminosos“visitem”aagênciaduranteo
expedienteepreparemoambienteparaaaçãocriminosaem
outrohorário.Elesobstruemoraiodecoberturadossensores
dealarmeemudamoposicionamentodascâmeras.Deacordo
comafacilidadeencontrada,osgolpistasinstalamequipamentos
espúriosparafraudarosclientes,taiscomoleitorasdecartão
magnético,tecladosemonitoressobrepostos,ouemsubstituição,
aos.equipamentos.originais.dos.TAA.
Espera-sequeaofnaldoestudodestetemavocêpossa:
▪Conceituarinformaçãoeidentifcaroseuciclodevida.
• Conceituarsegurançadainformação.
• Descreverosprincípiosdasegurançadainformação.
• Defnirpolíticadesegurançadainformaçãoeidentifcarasetapas
para.sua.implantação.
• Descreveroprocessodeclassifcaçãodasinformações.
• IdentifcaromodelodeclassifcaçãodasinformaçõesadotadonoBB.
• Conceituarcontroledeacessoeidentifcarsuasfnalidades.
• Identifcarmecanismosdecontroledeacesso.
• Identifcarcuidadosnecessáriosparaatrocadeinformaçõesem
decorrênciadaLeidosigilobancário.
• Identifcarasameaçasmaiscomunsnatrocadeinformaçõespor
meioeletrônico.
• Reconhecerprocedimentoseferramentasutilizadosnaproteçãoda
informação.
3
SEGURANÇA DA INFORMAÇÃO
Gestão de seGurança 47
Universidade Corporativa BB
3.1. ASPECTOS GERAIS
Aeradoconhecimentoquevivenciamoshojefazcomqueasinformaçõesse
confgurememumbempreciosodasempresas.Àmedidaquerepresentaum
patrimôniodevalor,asinformaçõesestratégicaspassamaserdeinteresse
deoutrasorganizaçõesconcorrentes,oudepessoasmalintencionadasque
desejamfazerusodelasparasatisfazerinteressespessoais.Asinformações
estãosobameaçae,comisso,asegurançatornou-sedeextremaimportância
paraasobrevivênciadasorganizações.
Com o advento da informática, a proteção da informação passou a fgurar
comoumadasprincipaispreocupaçõesdegrandesempresas.Naépocaem
queasinformaçõeseramarmazenadasempapel,asegurançaerarelativa-
mentesimples:erasufcienteguardarosdocumentosemarmáriostrancados
erestringiroacessofísicoàquelelocal.Atualmente,jánãoétãosimples.Com
as mudanças tecnológicas e com o uso de computadores de grande porte
paraarmazenarinformaçõesestratégicas,aestruturadesegurançaprecisou
evoluir,agoraenglobando,alémdoscontrolesfísicos,controleslógicos.
Comachegadadoscomputadorespessoaisedasredesintegradasdecom-
putadores, a informação passou a correr pelo mundo inteiro. Mas existem
aquelasinformaçõesque,porseremestratégicas,nãodevemteressenível
deexposição.Juntocomatecnologia,tambémevoluíramasformasdeburlar
ossistemasdesegurançaqueprotegeminformaçõessigilosas.Antes,para
alguémtomarconhecimentodeumsegredodeumagrandeempresa,deveria
desdobrar-se para conseguir, fsicamente, chegar àquele armário trancado,
arrombá-loelevarodocumento.Hoje,parachegaraodocumentovirtualar-
mazenadonocomputadordegrandeporte,ointeressadonãoprecisasairde
casa, mas, em contrapartida, deve deter conhecimentos sobre sistemas de
proteção lógica e de como fraudá-los. Os aspectos de segurança atingiram
tamanha complexidade que há a necessidade de desenvolvimento de equi-
pescadavezmaisespecializadasparasuaimplementaçãoegerenciamento.
Tudoparaprotegerasinformaçõesestratégicasdacorporação.
A informação
UmestudodosprofessoresLymaneVarian(2003)daUniversidadedaCa-
lifórnia em Berkeley - “How Much Information?” - concluiu que o volume de
ProGrama certificação interna em conhecimentos 48
Universidade Corporativa BB
informação produzida no mundo dobrou em três anos e aumenta cerca de
30%acadaano.Deacordocomoestudo,setodaainformaçãoanualfosse
digitalizada e dividida pelos cerca de 6,3 bilhões de habitantes do planeta,
cadapessoaseriaresponsávelpor800megabytes,oequivalenteaumapilha
de.livros.de.dez.metros.de.altura!
Oscientistasafrmamqueahumanidadeestásendoengolidaporumoceano
dedados.Segundoapesquisa,estima-sequeem2002cincohexabytes.de.
informação foram produzidos e estocados em meios físicos (papel, flme,
magnéticaeótica)etransmitidosportelefone,televisão,rádioeinternet.Os
dadosapuradospelapesquisadesteanoforamcomparadosaosdapesquisa
de2000,referentesa1999.
Amaiorpartedainformação–92%-foiarmazenadaemmeiodigital,amaio-
riaemdiscosrígidosdecomputadores.Orestantedosdadosestáemflme
(7%),papel(0,01%)eóptica(0,002).
A produção em papel aumentou consideravelmente: 43% em três anos. O
meioquemaisperdeespaçoéoflme,quepodesetornarinsignifcanteden-
tro de poucos anos.As fotos digitais também começam a superar aquelas
produzidasemflme.
Ainformaçãotransmitidaemmeioseletrônicos—telefone,rádio,TVeinter-
net—chegaa18hexabytes,sendoqueotelefoneéresponsávelporquase
todoessevolume(98%).
A pesquisa aponta também uma má distribuição da produção de dados no
mundo.SóosEUAproduzem40%dainformaçãototal.
O estudo justifca a convergência dos padrões de gestão de segurança da
informação em torno dos ativos de Tecnologia da Informação e ambientes
correlatos,emboraoconceitodeativosdeinformaçãosejamaisabrangente,
conformemencionaremosmaisadiante.
Masoqueéinformação?Elapodeserentendidacomo“oresultadodoproces-
samento,manipulaçãoeorganizaçãodedadosdetalformaquerepresenteuma
modifcação(quantitativaouqualitativa)noconhecimentodosistema(pessoa,
animaloumáquina)quearecebe”(www.wikipedia.org/wiki/Informação).Ainfor-
Gestão de seGurança 49
Universidade Corporativa BB
1
Normainternacionalquedescreveboaspráticasdesegurançaaplicáveisaorganizações,empregadaporempre-
sasdetodomundo,inclusivepeloBancodoBrasil.Aversãobrasileiradessanorma,criadapelaABNT,éaNBR
ISO/IEC17799:2001.
mação,porsuavez,geraoconhecimento,queéainformaçãoagregadadere-
fexãoesíntese(Figura2).Percebe-seassimquearelaçãoentreessesconcei-
tosevoluiparaumamaiorcomplexidade.Dessemodo,Alvim(1999)considerou
oconhecimentoumainformaçãocomvaloragregadoepassíveldeaplicação.
Figura.2
Conchecimento
Assim,todaequalquerinformaçãoéumelementoessencialparaosnegócios
deumaorganização,jáqueéabaseparaageraçãodoconhecimentoepara
atomadadedecisões.Portanto,deveserpreservadadeacordocomsuaim-
portância.
AISO/IEC17799
1
defnequeainformaçãoéumativo,terminologiaoriunda
daáreafnanceira,porserconsideradaumelementodevalorparaumindi-
víduoouorganizaçãoe,poressemotivo,necessitadeproteçãoadequada.
NaconcepçãodeMoreira(2001)ativoé“todoelementoquecompõeospro-
cessos que manipulam e processam a informação, a contar a própria infor-
mação, o meio em que ela é armazenada, os equipamentos em que ela é
manuseada,transportadaedescartada”.
DeacordocomaNBRISO/IEC17799,hámuitostiposdeativosassociados
comossistemasdeinformação,asaber:
■ informação:bancodedadosedearquivos,documentaçãodesistema,
manualdeusuários,materialdetreinamento,procedimentosoperacio-
naisoudesuporte,planosdecontinuidade,planosderecuperação,ar-
quivosdeinformação;
■ programas de aplicação,sistemas,utilitárioseferramentasdedesen-
volvimento;
DADOS INFORMAÇÃO CONHECIMENTO
ProGrama certificação interna em conhecimentos 50
Universidade Corporativa BB
■ físicos,comoequipamentosdecomputação(processadores,monitores,
laptops, modems), equipamentos de comunicação (roteadores, PABX,
máquinasdefax,equipamentosdetelefonia),mídiasmagnéticas(ftase
discos),outrosequipamentostécnicos(geradoresdeenergia,ar-condi-
cionado),móveis;
■ serviçosdecomunicaçãoecomputação,utilidadesemgeral,istoé,ca-
lefação,iluminação,energia,refrigeração;
■ pessoasesuasqualifcaçõeseconhecimentos;
■ intangíveis,taiscomoareputaçãoeaimagemdaorganização.
Navisãodesegurançadainformação,sãotrêsoselementosquecompõem
os.ativos:
■ asinformações;
■ osequipamentosesistemasqueoferecemsuporteaelas;
■ aspessoasqueascriameutilizam.
Todainformaçãopossuiumciclodevida.Vejaoesquemanafguratrês:
Figura.3
Ciclo da informação
C
r
i
a
ç
ã
o
U
s
o
A
r
m
a
z
e
n
a
m
e
n
t
o
Transporte
D
e
s
c
a
r
t
e
Criação:.momento.em.que.a.informação.é.produzida..Exemplos:.quando.nas-
ceumnovoprojetoouumanovaidéia.
Manuseio:.momento.em.que.a.informação.é.manipulada..Exemplos:.folhear.
ummaçodepapéis,digitarinformaçõescolhidasemumsite,utilizarsuase-
nhadeacessoparaautenticação.
Gestão de seGurança 51
Universidade Corporativa BB
Armazenamento:. momento. em. que. a. informação. é. guardada.. Exemplos:.
banco de dados compartilhado, anotação de papel postada em um arquivo
físico,mídiadedisquetedepositadanagavetanamesadetrabalho.
Transporte: momento.em.que.a.informação.é.movida.de.um.ponto.a.outro.
Exemplos:encaminharinformaçõesporcorreioeletrônico(e-mail),postardo-
cumentoviaaparelhodefax,prestarumainformaçãoaotelefone.
Descarte:momentoemqueainformaçãotorna-seinútil.Exemplos:depositar
na lixeira da empresa um material impresso, eliminar um arquivo eletrônico
emseucomputadordemesa,descartarumCDcominformaçõesdesatuali-
zadas.
Asegurançadainformaçãodeveprotegerainformaçãoemtodooseuciclode
vida,paragarantiracontinuidadedonegóciodaorganização.
A segurança da informação
Sendoainformaçãotãorelevanteparaasobrevivênciaorganizacional,ées-
sencial que seja adequadamente protegida contra diversos tipos de amea-
ças.
Ferreira(2003)defneSegurançadaInformaçãocomo“aproteçãocontraum
grande número de ameaças às informações, de forma a assegurar a conti-
nuidadedonegócio,minimizandodanoscomerciaisemaximizandooretorno
de investimentos e oportunidades”. Exemplos de ameaças às informações
podem ser o acesso não autorizado, as alterações indevidas ou a própria
perdadainformação.Asegurançadainformaçãocompreende,portanto,um
conjuntodemecanismosdeproteçãofrenteàsameaças.
Paradefniçãodosmecanismosdeproteçãosãoutilizadosparâmetrospara
identifcaroníveldesegurançaexistentee,comisto,estabelecernovospata-
mares.de.segurança.
A defnição dos mecanismos de proteção que serão utilizados depende do
nível de segurança pretendido. Em pequenas organizações, que possuem
umescritóriocompoucosfuncionários,oprocessodegestãodesegurança
dainformaçãoérelativamentemaissimples,jáqueosprocessos,oambiente
easpessoassãolimitados.Jáemgrandesorganizações,comoéocasodo
ProGrama certificação interna em conhecimentos 52
Universidade Corporativa BB
Banco do Brasil, a gestão de segurança da informação torna-se complexa.
Nessescasos,aempresadevedeterminaralgunspontosimportantes:o que
deve ser protegido, contra o que será necessário proteger e como será
feita a proteção.Essasescolhaspermitempriorizarosprocessosidentifca-
doscomomaiscríticos.
Porexemplo,umaáreadedesenvolvimentodeprojetosnoBBnecessitade
muitaproteçãoparasuasinformações,poisolançamentodeumnovoprodu-
toouserviçoouoaperfeiçoamentodeprodutosouserviçosexistentes,que
estáprogramadoparaserlançadonapróximasemananãopode,demaneira
alguma,chegaràsmãosdaconcorrência.JáemumabibliotecadoBBnãoé
necessárioresguardarainformação,poissuaspublicações-comolivros,pe-
riódicos,emonografas-sãocolocadasàdisposiçãodefuncionáriosedopú-
blicoexternoparaconsulta.Ofatorpreponderanteaquifoioníveldesigilodas
informações.Quantomaissigilosa,maisprotegidadeveserainformação.
Outropontoaserconsideradonadefniçãodemecanismosdeproteçãoéa
questãocustoebenefício.Umexemploéaimplementaçãodacriptografaem
ambientescomputacionais.Tendoemvistaoelevadocustodessasolução,opta-
sepor,prioritariamente,protegerasinformaçõesmaissensíveis.Nocasodo
BB,acriptografaéutilizadaparaprotegerasinformaçõesdosclientes(fnancei-
ras,cadastraisetc),porqueovazamentodessetipodeinformaçãorepresenta
quebradesigilobancário,expondoainstituiçãoaosriscosdeimagemelegal.
Princípios da segurança da informação
A tríade CIA (Confdentiality, Integrity and Availability) -- Confdencialidade,
Integridade e Disponibilidade -- representa os princípios que, atualmente,
orientamaanálise,oplanejamentoeaimplementaçãodasegurançaparaum
determinadogrupodeinformaçõesquesedesejaproteger(Figura4).
Confdencialidade:princípioquelimitaoacessoàinformaçãotãosomente
àsentidadeslegítimas,ouseja,àquelasautorizadaspeloproprietáriodain-
formação.Paraatenderaesseprincípio,todainformaçãodeveserprotegida
deacordocomograudesigilodeseuconteúdo,visandoalimitaçãodoseu
acessoeusoapenasàspessoasparaquemelaestádestinada.
Integridade: princípio que garante que a informação manipulada mantenha
Gestão de seGurança 53
Universidade Corporativa BB
todasascaracterísticasoriginaisestabelecidaspeloproprietáriodainforma-
ção, incluindo controle de mudanças e garantia do seu ciclo de vida (cria-
ção,manuseio,armazenamento,transporteedescarte).Paraatenderaesse
princípio,todainformaçãodevesermantidanamesmacondiçãoemquefoi
disponibilizadaporquemacriou.Deveestarprotegidacontraalteraçõesinde-
vidas,sejamintencionaisouacidentais.
Disponibilidade: princípio que garante que a informação esteja ao alcance
dousuário,quandonecessário.Paramanteradisponibilidadeénecessáriaa
prestaçãocontínuadedeterminadoserviço(como,porexemplo,oacessoa
umbancodedados),seminterrupçãonofornecimentodeinformações.
Figura.4
Princípios da segurança da informação
Outrosrequisitosimportantessãoonão-repúdioeaautenticidade.
Senãoderadevidaatençãoàsegurançadesuasinformações,aorganização
podechegarainviabilizaraprópriacontinuidade.Nessesentido,protegerre-
cursosdaempresa(oschamadosativos)temafnalidadedediminuironível
deexposiçãoaosriscosexistentesemtodososambientes(físicosevirtuais)
paraqueaempresapossagarantiroatendimentodosobjetivosdonegócio.
Segurança da informação e risco operacional
Asegurançadainformaçãocontribuiparaevitaraocorrênciaderiscosopera-
cionaisaosquaisaempresaestásujeita.
INFORMAÇÃO
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D
E
I
N
T
E
G
R
I
D
A
D
E
D
I
S
P
O
N
I
B
I
L
I
D
A
D
E
ProGrama certificação interna em conhecimentos 54
Universidade Corporativa BB
Ainformaçãopermeiatodososambientesdaorganizaçãoeconstituiabase
dopróprionegócio.Comooutrosativos,podeseralvodeameaçasqueim-
pactamosresultadosdaorganização.Ovazamentodeinformaçõessigilosas,
ocomprometimentodearquivosinformatizadosemdecorrênciadainfecção
doscomputadoresporvírus,aimpossibilidadedeacessareutilizarumain-
formação necessária à conclusão de um negócio podem ser exemplos de
ocorrênciasderiscooperacional.
Assim,aoassegurarosprincípiosdaconfdencialidade,integridadeedisponi-
bilidadedasinformações,osmecanismosdesegurançadainformaçãoevitam
aocorrênciadeincidentesresponsáveisporperdasoperacionais.
3.2. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Muitasorganizaçõestêmconsideradoasegurançadainformaçãocomouma
prioridade. Para auxiliar em uma correta gestão do processo de segurança
dainformação,odesenvolvimentodeumapolíticaconfgura-sepontocrucial
paraqueasmedidasdesegurançaaseremimplementadastenhamcoerência
entresi.Permitetambémquesejacriadoumplanoquesirvacomonorteador,
evitandoiniciativasisoladasque,muitasvezes,desperdiçamrecursosetêma
suaefetividadecomprometidapelafaltadeuniformidadeecoesão.
Pode-sedefnirapolíticadesegurançadainformação-PSIcomoumdocu-
mento que consolida os princípios balizadores da gestão de segurança de
informações.A observância da política é dever de todos os funcionários de
todososníveishierárquicos,inclusiveprestadoresdeserviçosterceirizados.
APSIdeveserformalizadaedivulgadaatodososusuáriosdasinformações
corporativas.
DeacordocomRamos(2006),“emlinhasgerais,apolíticaresumeosprincí-
piosdesegurançadainformaçãoqueaorganizaçãoreconhececomosendo
importantesequedevemestarpresentesnodia-a-diadesuasatividades”.
ApartirdodesenvolvimentodaPSI,épossíveltraçardiretrizes,normasepro-
cedimentosparaaimplementaçãodasegurançadainformação.
Paraperceberaimportânciadeumapolíticadesegurança,aspessoaspre-
Gestão de seGurança 55
Universidade Corporativa BB
cisamconhecerecompreenderintegralmenteasconseqüênciasdeviolação
dapolíticaaoexporsistemascríticosaatacantescriminosos,oucausardano
nãointencionalaoutrasorganizações.
Desenvolvimento da PSI
Paraoestabelecimentodeumapolítica,deve-selevaremconta:
■ riscosassociadosàfaltadesegurança;
■ benefícios;
■ custosdeimplementaçãodosmecanismos.
Procedimentosdesegurançanãodevemserimplementadossemumapolí-
ticaformalmentedefnida,sobpenadeperdadauniformidadeecoesãodos
processos.
APolíticadeSegurançadeInformação,bemcomoasdiretrizes,asnormase
osprocedimentosdeladecorrentesdevemser:
■ simples;
■ compreensíveis;
■ homologadospelaaltaadministração;
■ estruturadosdeformaapermitirsuaimplantaçãoporfases;
■ alinhadoscomasestratégiasdenegóciodaempresa,padrõeseproce-
dimentosjáexistentes;
■ orientados aos riscos (qualquer medida de proteção das informações
deveestardirecionadaparaosriscosqueimpactamaempresa);
■ fexíveis,istoé,moldáveisàsnovasdemandasdatecnologiaedonegó-
cio,dentreoutros;
■ positivosenãoapenasconcentradosemaçõesproibitivasoupunitivas.
Alémdofocoinerentedeprevenção,aPSIéumindicativoparaacontinuida-
de.e.sistematização.das.orientações.de.segurança..A.elaboração.de.uma.PSI.
pressupõemetodologiacriteriosaetécnica,demodoaobservarascaracte-
rísticasdonegócio.
APSIdáodirecionamentoestratégico;asnormassãocriadasapartirdelae
detalham situações, ambientes e processos específcos da empresa, forne-
cendoorientaçãoparaaarmazenagem,uso,transporteedescarteadequa-
dos das informações.A quantidade dessas normas varia de acordo com o
ProGrama certificação interna em conhecimentos 56
Universidade Corporativa BB
tamanhodaempresaedeseusprocessos.Apartirdessasnormassãocria-
dos procedimentos operacionais, que detalham as tarefas diárias e contém
umpasso-a-passopararealizaressastarefascomsegurança.Emrelaçãoàs
normas,osprocedimentosdesegurançadainformaçãotendemaserainda
emmaiorquantidade(Quadro5).
Quadro 5
Exemplo da cadeia Política, Diretriz, Norma e Procedimento.
Política Os acessos às informações são concedidos ao funcionário
doBancoporimposiçãodesuasfunçõeseatribuiçõesoupor
determinação.legal.
Diretriz Nossistemasdecontroledeacesso,cadausuárioéidenti-
fcado individualmente e é responsável, juntamente com o
administrador que concedeu esse direito, pelas atividades
realizadassobseucódigodeidentifcação.
Norma SomenteosAdministradoresdeAcessosdasUnidadesEs-
tratégicaspodemcriaremanterpacotesdetransaçõespara
utilização em sua Unidade e em dependências subordina-
das.
Procedimentos 1)Avalieanecessidadededisponibilizaçãodeumatransa-
çãoparaoexercíciodasfunçõesedagestãoadministrativa
dadependênciasolicitante.
2)Certifque-sequeasolicitaçãodeliberaçãodetransação
paraumadeterminadadependênciafoiassinadaporfuncio-
náriodenívelgerencialouporrepresentantelegaldainstitui-
çãoconveniada.
3)UtilizeaOPÇÃO1.22doSistemaACESSO.
4)....
Fonte:.Normativos.internos
Devidoatantasespecifcidades,éumgrandedesafoimplementaredissemi-
narumaPSIcomtodososseuscomponentes.Porisso,paragerenciaraPSI,a
organizaçãodevepossuirumaárearesponsávelespecifcamenteparadesem-
penharessatarefa.Éelaquedeveiniciaroprocessodeelaboraçãodapolítica
desegurançadeinformações,bemcomocoordenarsuaimplantação,aprová-
laerevisá-la,alémdedefnirresponsabilidadesrelativasaocumprimentodas
normasdesegurançaqueenglobamtodasasáreasdaorganização.
Apesar de existir uma área específca para gerenciamento da PSI, as deci-
Gestão de seGurança 57
Universidade Corporativa BB
sõesquantoàdefnição,implantaçãoerevisãodaPSIdevemsercolegiadas.
Éimportanteoenvolvimentodetodososfuncionários,demodoasentirem-se
co-responsáveispelaproteçãodasinformaçõescomasquaisinteragemno
dia-a-diae,conseqüentemente,pelasegurançaecontinuidadedonegócioda
organização.
Etapas da implantação da PSI
Oprocessodedesenvolvimentoeimplantaçãodapolítica,dasdiretrizes,das
normaseprocedimentosdesegurançadainformaçãoé,geralmente,dividido
emquatrofases.Oquadroseisprocurasintetizaressasfases.
Quadro.6
Etapas da implantação da PSI
Fonte:FerreiraeAraújo(2006),comadaptações.
O. melhor. momento. para. se. desenvolver. a. PSI. é. antes. que. qualquer. vulne-
rabilidade seja explorada. Contudo, nem sempre é o que ocorre. Algumas
empresas se viram obrigadas a implementar uma política de segurança da
informaçãoapósumvazamentosignifcativodeinformaçõesouapartirdeum
sério. problema. de. indisponibilidade. do. seu. serviço. na. internet.. Embora. não.
sejaideal,épossívelacriaçãodeumaPSIapósumincidente.Nestacircuns-
tância, deve-se procurar não priorizar a adoção de medidas de segurança
exclusivasparaasoluçãoouminimizaçãodoimpactodoincidente,buscando
FASE
Levantamento.de.informações
Desenvolvimentodoconteúdoda
políticaedasnormasdesegurança
da.informação
Elaboraçãodosprocedimentosde
segurança.da.informação
Revisão,aprovaçãoe
implementaçãodapolítica,das
normaseprocedimentosde
segurança.da.informação.
ALGUMAS ETAPAS
Obtenção.de.informações.quanto.ao.ambiente.
denegócios.
Obtenção.de.informações.sobre.o.ambiente.
tecnológico.
Atribuição.de.regras.e.responsabilidades.
Gerenciamentodapolíticadesegurança.
Pesquisassobreasmelhorespráticasem
segurança.da.informação.
Formalizaçãodosprocedimentosparaintegrá-
losàspolíticascorporativas.
Revisãoeaprovaçãodapolítica,dasnormase
procedimentosdesegurançadainformação.
Efetivaimplantaçãodaspolíticas,normase
procedimentosdesegurançadainformação.
ProGrama certificação interna em conhecimentos 58
Universidade Corporativa BB
entender o negócio e procurar agir de forma proativa em relação a outros
possíveisriscos.
É importante, ainda, que a PSI esteja permanentemente acessível a todos,
principalmenteporqueanãoobservânciadapolíticaacarretasanções.Quan-
doseidentifcaalgumaviolaçãodapolítica,devemseraveriguadasascausas,
conseqüênciasecircunstânciasemqueocorreu.Issoporquecertasviolações
ocorremdevidoaumsimplesacidenteouerro,mastambémpodemserfruto
denegligênciaoudeumaaçãodeliberadaefraudulenta.Aaveriguaçãopossi-
bilitaquevulnerabilidades,atéentãodesconhecidaspelosresponsáveispelo
gerenciamentodasegurançadainformação,passemaserconsideradas.Es-
sesfatostambémpodematéacarretaralteraçãodaPSI.
Emcasosespecífcosdeviolaçãodealgumapremissa,aprópriaPolíticade
SegurançadeInformaçõesprevêosprocedimentosaseremadotados:nor-
malmente abre-se um inquérito administrativo e a punição pode ser desde
umasimplesadvertênciaatéumaaçãojudicial,dependendodacriticidadedo
fatoocorrido.
CURIOSIDADE
Normas sobre PSI para a Administração Pública Federal
ODecreton.º3.505,de13dejunhode2000,instituiuaPolíticade
Segurança da Informação nos órgãos e entidades daAdministra-
çãoPúblicaFederal.Emlinhasgerais,osobjetivostraçadosnessa
PSIdizemrespeitoànecessidadedecapacitaçãoeconscientiza-
çãodaspessoaslotadasnosórgãoseentidadesdaAdministração
PúblicaFederalquantoaosaspectosdesegurançadainformação
eànecessidadedeelaboraçãoeediçãodeinstrumentosjurídicos,
normativoseorganizacionaisquepromovamaefetivaimplementa-
ção.da.segurança.da.informação.
AdaptadodoTCU(2007)–BoaspráticasemSegurançadaInformação
3.3. GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Nagestãodesegurançadainformaçãosãoobservadosdoisprincipaistemas:
aclassifcaçãodasinformaçõesecontroledeacesso.
Gestão de seGurança 59
Universidade Corporativa BB
Classifcação das informações
SegundoFerreiraeAraújo(2006),classifcaçãodasinformaçõesé“oprocesso
deestabelecerograudeimportânciamedianteseuimpactononegócio”.Ou
seja,quantomaisestratégicaedecisivaparaamanutençãoousucessodaor-
ganização,maiorserásuaimportância.Aimportânciadainformaçãoestádire-
tamenteligadaaoaspectodaconfdencialidade:quantomaioraimportância,
maiorosigilodainformação(Quadro7).Aclassifcaçãodeveserfeitaemqual-
quermeiodearmazenamento,físicooulógico,enomomentodesuacriação.
Quadro.7
Classifcação das informações
Classifcação Atividadepelaqualseatribuiráograudesigiloàsinforma-
çõessejaemmeioseletrônicos,sejamimpressos.
Proprietário Árearesponsávelpelagestãodainformação.
Custodiante Área responsável por assegurar que as informações estão
protegidasdeacordocomaclassifcaçãoestabelecidapelo
proprietário.
Perfl de acesso Defniçãodosdireitosdeacessoàsinformações,transações,
emmeioseletrônicosouimpressosdeacordocomaclassif-
cação.
Fonte:FerreiraeAraújo(2006),comadaptações
Éfundamentalclassifcarainformaçãodeacordocomseurealvaloregrau
desensibilidadeparaaplicaroníveldesegurançaadequado.Umsistemade
classifcaçãoidealdeveser:
■ simplesdeentendereadministrar;
■ efetivoparadeterminaroníveldeproteçãoquedeveserdadoàinforma-
ção;
■ aplicáveluniformementeportodaaorganização.
Osprincipaisativosdeinformaçãodevemterum“proprietário”defnido.Res-
ponsabilidadepelosativosajudaaassegurarqueaproteçãoadequadaseja
mantida. Devem ser identifcados “proprietários” para os principais ativos e
atribuir-lhes a responsabilidade pela manutenção de controles adequados.
As classifcações e os controles de proteção associados à informação devem
ProGrama certificação interna em conhecimentos 60
Universidade Corporativa BB
considerarasnecessidadesdonegócioquantoaocompartilhamentoourestrição
dainformaçãoeosimpactosnosnegóciosassociadosataisnecessidades.
Éimportantequeumconjuntoadequadodeprocedimentossejadefnidopara
a informação rotulada e que haja tratamento de acordo com o esquema de
classifcaçãoadotadopelaorganização.
A classifcação da informação deve ser observada por todo o ciclo de vida
da informação e deve ocorrer quando da sua criação. No caso de dúvida,
deveserempregadaaclassifcaçãomaisaltaemaissegura,conformeaISO
17799.Umdositensaserconsideradonesteprocessoéadeterminaçãodo
proprietário,queéoresponsávelpeladefniçãodoníveldecriticidadeepelo
auxílionaescolhadomeiodeproteção.
Umgrandedesafoqueasorganizaçõesenfrentaméestabelecerquaisinfor-
maçõesdevemserclassifcadas,efetivamente,comoaltamentesigilosas,de
acessolimitado.Istoporque,existeumatendênciaaconsiderarquetodasas
informações.que.trabalhamos.na.organização.são.muito.sigilosas..
Paraclassifcarainformaçãoénecessárioconheceronegóciodaorganiza-
ção,compreenderosprocessoseatividadesrealizadas.
Fatores especiais, incluindo exigências legais, devem ser considerados no
momento de estabelecer a classifcação. Em instituições fnanceiras, por
exemplo,diantedaobrigatoriedadedosigilodastransaçõesfnanceirasreali-
zadaspelosclientes,oextratobancárioassumealtograudesigilo.
Após a classifcação das informações, deve-se elaborar e implementar pro-
cedimentosparaomonitoramentocontínuodemodoapreveniraviolaçãoda
informação.
NoBanco,aclassifcaçãodasinformaçõesérealizadaportodososníveisda
organização,notadamentepelasUnidadesEstratégicas(Diretoriasgestoras).
Níveis de classifcação
Deve-seevitarníveisexcessivosdeclassifcaçõeseérecomendadoquecada
classifcaçãosejadefácilcompreensãoeclaramentedescritaparademons-
traradiferenciaçãoentreosníveis.
Gestão de seGurança 61
Universidade Corporativa BB
DeacordocomFerreiraeAraújo(2006),asseguintesclassesdeinformação
jásãoconsideradassufcientesparaumaboagestãodainformação:
■ informação pública:sãoaquelasquenãonecessitamdesigiloalgum,
podendoterlivreacessoparaoscolaboradores.Nãohánecessidadede
investimentosemrecursosdeproteção.Sãoinformaçõesqueseforem
divulgadasforadaorganizaçãonãotrarãoimpactosparaosnegócios;
■ informação interna:oacessoexternoàsinformaçõesdeveserevitado.
Entretanto,seessesdadostornarem-sepúblicos,asconseqüênciasnão
serãocríticas;
■ informação confdencial:asinformaçõesdestaclassedevemsercon-
fdenciaisdentrodaorganizaçãoeprotegidasdoacessoexterno.Seal-
gumadelasforacessadaporpessoasnãoautorizadasasoperaçõesda
organizaçãopoderãosercomprometidas,causandoperdasfnanceiras
enacompetitividade.
OBBclassifcaasinformaçõesemduascategoriasequatroclasses,confor-
me.quadro.oito.
Quadro.8
Classifcação das informações no BB
Não-sensível
Sensível
Pública
$10
Interna
$20
Restrita
$30
Crítica
$40
Informação.que.pode.ser.divulgada.sem.
restrição.ou.por.imposição.legal.e.que.não.
sujeitaoBancoariscos.
Informação.que.pode.ser.divulgada.sem.
restriçãoparaopúblicointernoouparao
públicoexternocombaseeminteressene-
gocial,observando-seasnormasinternas.
Informaçãoquerequercuidadosespeciais
quantoàpreservaçãodassuasproprie-
dadesecujadivulgaçãoindevidasujeitao
Bancoariscossignifcativos.
Informaçãocujapreservaçãodassuaspro-
priedadeséfundamentalparaacontinuida-
dedosnegóciosdoBancoedeseusobje-
tivosouqueadivulgaçãoindevidasujeitaa
Instituiçãoariscoselevados.
Fonte:.normativos.internos
ProGrama certificação interna em conhecimentos 62
Universidade Corporativa BB
CURIOSIDADE
Classifcaçãoadotadapelogovernobrasileiro:
■Ultra-secreto
■Secreto
■Confdencial
■Reservado
Acessos aos sistemas, redes e aplicativos.
Oscontroleslógicosdeacessoaosrecursosdetecnologiadainformação(TI)
sãobarreirasqueimpedemoulimitamoacessoàinformaçãoporpessoaou
processonãoautorizado.
Oscontrolesdeacessológicotêmopropósitodeassegurarque:
■ apenasusuárioseprocessosautorizadostenhamacessoaosrecursos;
■ osusuáriostenhamacessoapenasaosrecursosrealmentenecessários
paraaexecuçãodesuasatividades;
■ oacessoarecursoscríticossejaconstantementemonitoradoerestrito;
■ osusuáriossejamimpedidosdeexecutartransaçõesincompatíveiscom
a.sua.função.
ConformeFerreira(2003),“ocontroledeacessopodeserresumidoemter-
mosdefunçõesdeidentifcaçãoeautenticaçãodeusuários,gerenciamento
e monitoramento de privilégios, limitação e desabilitação de acessos e na
prevençãodeacessosnãoautorizados”.
Oprocessodeverifcaçãodaidentidadedousuárioéchamadodeautentica-
çãoeébaseadoematétrêsfatoresquepodemidentifcarexclusivamenteum
indivíduo.Sãoeles:
■ conhecimento:oqueapessoasabe(porexemplo,umasenha);
■ posse:oqueapessoatem(porexemplo,umtokenUSBouumsmart-
card);
■ característica física:queméapessoa(porexemplo,biometria).
Gestão de seGurança 63
Universidade Corporativa BB
Ocustoeaefetividadedeumsistemadecontroledeacessodependemda
conjugaçãodessestrêsfatores.
Nos sistemas informatizados atuais, a autenticação do usuário (login, por
exemplo)éoprimeiropassoparaoseuacessoaumaredeoutransaçãoele-
trônica.Écompostapelaidentifcaçãodousuário(umachave)epelaprovade
sualegitimidade(senha).Seimplementadascorretamente,assenhaspodem
oferecerumbomníveldesegurança.Porém,paraprotegerdadoscríticos,é
necessáriaumaautenticaçãomaisforte.
Aautenticaçãoforterequeraapresentaçãodedoisoumaisfatores,ouseja,
algoquevocêsabe,umasenha,ealgoquepossui,umtoken,smartcardetc.
Em geral, apenas um fator de autenticação não é sufciente. Por exemplo,
senhasdependemdoconhecimentoqueapenasumapessoaautorizadade-
veriater.Umapessoanãoautorizadaqueconsegueasenhadeoutratambém
podeconseguiroacessoàsinformaçõesseguras.Contudo,seaautenticação
do usuário for baseada na combinação de duas ou mais características, o
acessonãoautorizadosetornamaisdifícil.
Atualmente,existemdiversastecnologiasdeautenticaçãoquecombinamas
característicasdescritasacimaparafornecerdiferentesgrausdeequilíbrioen-
tresegurança,usabilidadeecusto.Alistaaseguirdescrevealgumasformas
deautenticaçãodomercadoeexplicacomoelaspodemajudarousuário:
■ smartcard:. é. um. tipo. de. token que, quando usado apropriadamente,
ofereceautenticaçãoforteparaoperaçõesdecredenciaisecriptografa
que.são.reunidas.dentro.de.um.chip.de.smartcard..Smartcards.também.
podemfornecersegurançalimitadaearmazenamentoportátil,quepo-
demserusadosparatransportarseguramentecredenciaisechavesde
usuários.
■ token USB: é um dispositivo externo conectado a uma porta USB ou
outrainterfacequeusaumchip.de.segurança.integrado.para.proteger.
credenciais e funções de criptografa críticas. Os tokens USB também
podemfornecersegurançalimitadaearmazenamentoportátil,quepo-
demserusadosparatransportarseguramentecredenciaisechavesde
usuários.
■ impressão digital biométrica:usaatecnologiadeleituradeimpressão
ProGrama certificação interna em conhecimentos 64
Universidade Corporativa BB
digital para oferecer uma alternativa mais conveniente para senhas e
tokens. Porém, a tecnologia biométrica também é suscetível a fatores
externos inevitáveis como cortes, dedos molhados, alta umidade etc.
Issopoderesultaremaltaincidênciadefalsosnegativos,causandoin-
satisfaçãoparaosusuários.
Apósaautenticaçãodousuáriopassamosàetapadeautorizaçãoparaacesso
àsfuncionalidadesdosrecursoscomputacionais,ouseja,osseusprivilégios.
Em segurança da informação, existe o conceito do privilégio mínimo, onde
o usuário deve ser autorizado a acessar os sistemas indispensáveis para a
realizaçãodesuasatividadesdeacordocomaexpectativadaempresapara
sua.função.
O processo de autorização decide se uma pessoa, programa ou dispositivo
tempermissãoparaacessardeterminadodado,programadecomputadorou
serviço.Amaioriadossistemasoperacionaismodernospossuiprocessosde
autorização.Apósumusuárioserautenticadoosistemadeautorizaçãoverif-
casefoiconcedidapermissãoparaousodedeterminadorecurso.Aspermis-
sõessãonormalmentedefnidasporumadministradordosistemanaforma
de políticas de aplicação de segurança, com base no princípio do privilégio
mínimo,lembrandoqueosusuáriosterãopermissãoapenasparaacessaros
recursosnecessáriosparaarealizaçãodesuastarefas.
Como exemplo, um funcionário da área de marketing de uma instituição f-
nanceira deve ter acesso a sistemas relacionados à sua área de atuação;
adicionalmente, deve ter acesso compatível ao cargo que ocupa. Em uma
agência,todososfuncionáriospossuemacessoàagênciadenotícias,assun-
todeinteressedetodos.Mas,sóaquelesquetrabalhamcomcontrataçãode
operaçõesdecréditopessoajurídicatêmacessoàopçãoderealizaraanálise
de determinado cliente. E só o comitê de administração da agência possui
acessoparadespacharessasoperações.
No Banco do Brasil, as autorizações nos sistemas e aplicativos são conce-
didaspelosadministradoresdeacessodecadadependência.Aelescabea
tarefadehabilitaroacessoaosusuáriosparacadaumdosrecursosdeTIe
também de retirar as autorizações quando não forem mais necessárias ao
usuárioparaodesempenhodesuasfunções.
Gestão de seGurança 65
Universidade Corporativa BB
Estadesabilitaçãoestárelacionadacomodesligamentodefuncionárioseco-
laboradoresetambémcommudançasdeáreasdeatuação.Umfuncionário,
gerentedecontasdeagência,aoserpromovidoparaumaDiretoria,teráuma
sériedeacessosdesabilitadosenovosacessosconcedidosemconseqüên-
ciadessapromoção.
Mesmocomosmecanismosdecontroledeacesso,aindaépossívelexistir
acessos por pessoas não autorizadas. Uma medida de segurança utilizada
para prevenir acessos de usuários não autorizados é o bloqueio da senha
incorreta depois de determinado número de tentativas. Outra boa medida é
disponibilizaraousuário,apóssuaentradanosistema,umrelatóriocontendo
asúltimastentativasdeacessorealizadasemsuaconta,oschamadoslog
3
..
Assim,ousuárioconsegueidentifcartentativasdeusonãoautorizadodeseu
loginecomunicaràáreadesegurança.
Senhas: cuidados especiais
Dentre as políticas utilizadas pelas grandes corporações, a composição da
senha, ou password, é a mais controversa. Por um lado profssionais com
difculdade de memorizar varias senhas de acesso, por outro, funcionários
displicentesqueanotamasenhasobotecladoougavetase,emcasosmais
graves,nomonitor.
Assim,paraseobterasegurançaqueassenhaspodemproporcionar,ore-
quisitofundamentaléaconscientizaçãodoscolaboradoresquantoaousoe
manutenção.adequados.das.senhas.
Recomenda-se, também, a adoção das seguintes regras para minimizar o
problema:
■ senha com data para expiração:adota-seumpadrãodefnidoondea
senhapossuiprazodevalidadecom30ou45dias,obrigandoocolabo-
radorouusuárioarenovarsuasenha;
■ inibir a repetição: adota-se por meio de regras predefnidas que uma
senha uma vez utilizada não poderá ter mais que 60% dos caracteres
repetidos.Porexemplo,asenha“123senha”aoserrenovadasópoderá
3
Conjuntoderegistrosquelistaasatividadesrealizadasporumamáquinaouusuárioespecífco.Umúnicoregistro
éconhecidocomo‘registrodelog’.Emtermosdesegurança,oslogsãousadosparaidentifcareinvestigaras
atividadessuspeitaseestudarastentativas(ouossucessos)dosataques,paraconhecimentodosmecanismos
usadoseaprimoramentodoníveldeefciênciadasegurança.
ProGrama certificação interna em conhecimentos 66
Universidade Corporativa BB
ter até 60% desses caracteres.A nova senha poderá ser “456seuze”,
repetindo-seapenasoscaracteres“s”e“e”;osdemaissãodiferentes.
■ obrigar a composição com número mínimo de caracteres numéri-
cos e alfabéticos:defne-seobrigatoriedadedequatrocaracteresalfa-
béticosequatrocaracteresnuméricoscomo,porexemplo,1s4e3u2s.É
possível,também,determinaraposição:osquatroprimeiroscaracteres
devemsernuméricoseosquatrosubseqüentesalfabéticos,porexem-
plo,1432seuz.
■ criar um conjunto possíveis senhas que não podem ser utilizadas:.
monta-seumabasededadoscomformatosconhecidosdesenhaseproibi-
seoseuuso.Porexemplo:proibirsenhascomosformatosDDMMAAAA
ou19XX,1883emcouI2B3M4etc.Ou,ainda,seousuáriochamar-seJosé
daSilva,proibirsenhascompartesdonomecomo1221jose,1212silvetc.
Éimportantequetambémosusuáriosadotemcuidadosemrelaçãoàssenhas
como,porexemplo,aescolhadesenhasseguras.Mascomoescolheruma
senhasegura?Primeiramente,deve-seevitarousodesenhasmuitocurtas
oumuitolongas.Assenhasmuitolongasnormalmenteobrigamosusuários
aescrevê-lasemumpedaçodepapelparalembrá-la.Tambéménecessário
termaisdeumasenhaparaoperardiversossistemasjáqueousodamesma
senhaemsistemasdistintoséumapráticavulnerável.Porexemplo,sevocê
utilizasuasenhaparaacessoàsuacontacorrenteigualàquelapararealizar
comprason-lineouigualàutilizadaparaacessarsuarevistaon-line,aquebra
desigilodealgumadelaspodeimplicaremvulnerabilidadesnosdemaissites..
Normalmente,quandouminvasordescobreumasenha,atendênciaétestá-la
em.outros.sistemas.
Osusuáriosdevemevitaracomposiçãodesenhascomosseguinteselementos:
■ nomedoprofssional;
■ númeroigualaodacontadeusuário;
■ nomesdemembrosdafamíliaouamigos;
■ nomesdelugares;
■ nomedosistemaoperacionaloudamáquinaqueestásendoutilizada;
■ datas;
■ númerosdetelefone,cartãodecrédito,carteiradeidentidadeoudeou-
trosdocumentospessoais;
■ placasoumarcasdecarro;
■ letrasounúmerosrepetidos;
Gestão de seGurança 67
Universidade Corporativa BB
■ letrasseguidasdoteclado(asdfg,yuiop,etc);
■ objetosoulocaisquepodemservistosapartirdamesadousuário.
É conveniente, também, que a senha, sempre que possível, não contenha
menosdoqueseiscaracteres.
Paraqueumasenhasejaconsideradasegura,énecessárioseguiralgumas
regras.ConformeMoreira(2001),paraseremconsideradasseguras,asse-
nhasdevemternomínimo:
■ letrasmaiúsculaseminúsculas;
■ dígitose/ousinaisdepontuaçãonomeio;
■ setecaracteresalfanuméricos.
Precisam,também,serfáceisdelembrar,deformaquenãosejanecessário
escrevê-las.
Umasenhasegurapodeserformadaporduaspalavraspequenasintercaladas
porumdígitoouumcaractereespecial(exemplo:uma-casa;senha9boa).
Ou,ainda,pormeiodasiniciaisdecadapalavradeumafrasecomfatosim-
portantesparaousuário,comodoquadronove.
Quadro.9
Exemplos de senhas seguras
. Frase Senha
. Em.2010.apresentarei.esta.dissertação.na.UFMG.. E10AEDNU
Pagareimeualugueldia20,todomês. PMAD20,TM
Meutimedefutebolfoicampeãoem2003 MTDFFCE03
Fonte:Moreira(2001),comadaptações.
3.4. NORMAS E PROCEDIMENTOS PARA A TROCA DE INFORMAÇÕES
Acordos para a troca de informações
Écomumvermosnoticiadonamídiaquepaísesfrmamaliançasdecoopera-
ção.Umadaspossíveisformasdecooperarentresiéapromoçãodeacordos
paratrocadeinformações.Alémdepaíses,instituiçõestambémpodemreali-
zaressetipodeintercâmbio.Hoje,porexemplo,oMinistérioPúblicoFederal
ProGrama certificação interna em conhecimentos 68
Universidade Corporativa BB
troca informações com a Comissão de Valores Mobiliários para prevenção,
investigaçãoerepressãoapráticaslesivasaomercadodecapitais.
Fornecimento de informações a órgãos judiciais, de fscalização e de
controle
Sigilo bancário
“Osigilobancárioéobrigaçãodenãorevelaraterceiros,semcausajustifcada,
os dados referentes a seus clientes que cheguem a seu conhecimento como
conseqüênciadasrelaçõesjurídicasqueosvinculam”.(MALAGARRIGA,citado
porRUEDAJUNIOR,2003).
Conformedicionáriojurídico,sigilobancárioéo
“Direitoqueoindivíduotemaosegredodastransaçõesbancáriaefetuadas,ao
segredodasmovimentaçõesdesuacontacorrente,poupança,aplicaçõesetc.A
quebradosigilosópodeserfeitaporautoridadecompetente(PoderJudiciário,
CPI)enoscasosadmitidosemlei,sobpenadeilegalidadeeconfguraçãode
crime. Vide art. 5º, X e XII, Constituição Federal.”(www.direitonet.com.br/dicio-
nário_jurídico).
ALeiComplementar105/2001determinaque“asinstituiçõesfnanceirascon-
servarão sigilo em suas operações ativas e passivas e serviços prestados”.
(www.bcb.gov.br/pre/leisedecretos).
Dessaforma,ofornecimentodeinformaçõesamparadaspelosigilobancário
eporoutrasmodalidadesdesigiloregulamentadasporleisespecífcas
3
sujei-
taoBancoeseusadministradoresàspenalidadescivisecriminaisprevistas
(riscolegaledeimagem).
Outro aspecto importante a se observar são os prazos estipulados para a
concessãodasinformações.Damesmaformaqueconstituicrimeaquebrade
sigilobancário,istoé,aprestaçãodeinformaçõesparapessoasnãoautoriza-
dasouórgãosincompetentes,tambémécrimeaomissão,oretardamentoou
afalsaprestaçãodasinformaçõesrequeridasporautoridadescompetentes.É
importanteque,emcasodesolicitaçãodeinformaçõesporpessoaautoriza-
da,ainformaçãosejaapresentadaomaistempestivamentepossível.
3.
Estãoprevistosatualmenteemlegislaçõesespecífcasossigilosbancário,fscalecomercial.
Gestão de seGurança 69
Universidade Corporativa BB
Nãoconfguraquebradosigilobancáriooencaminhamentodeinformações
solicitadasporautoridadesrequisitantescompetentes.
Alémdisso,outrassituaçõesnãoconfguramquebradesigilo
4
:
■ a troca de informações entre instituições fnanceiras, para fns cadas-
trais, inclusive por intermédio de centrais de risco, observadas as nor-
masbaixadaspeloConselhoMonetárioNacionalepeloBancoCentral
doBrasil;
■ ofornecimentodeinformaçõesconstantesdecadastrodeemitentesde
chequessemprovisãodefundosededevedoresinadimplentes,aen-
tidades de proteção ao crédito, observadas as normas baixadas pelo
ConselhoMonetárioNacionalepeloBancoCentraldoBrasil;
■ a comunicação, às autoridades competentes, da prática de ilícitos pe-
naisouadministrativos,abrangendoofornecimentodeinformaçõesso-
breoperaçõesqueenvolvamrecursosprovenientesdequalquerprática
criminosa;
■ arevelaçãodeinformaçõessigilosascomoconsentimentoexpressodos
interessados.
Autoridades requisitantes – competências
Nascircunstânciasnasquaisépossívelhaverquebradosigilobancário,con-
formeaLeinº105/2001,asinformaçõessomentepoderãoserprestadasse
requeridasporautoridadesquepossuamcompetênciaparataledesdeque
atendidas determinadas exigências. Essa competência deve ser analisada
cuidadosamentetendoemvistaquecadaautoridadepodesolicitarsomente
documentosrelativosaodesempenhodesuasatividades.
Osnormativosdobancodetalhamasautoridadesquepodemseratendidase
asrespectivasexigências.
Mensagens eletrônicas
Asmensagenseletrônicas(e-mail)representamummeiomuitoefcientede
setrocarinformações.Contudo,apresentagrandevulnerabilidade,podendo
ocorrerdesdeafalsifcaçãodasinformaçõesatéacontaminaçãoporvírus.
4.
ConformeLeiComplementar105/2001
ProGrama certificação interna em conhecimentos 70
Universidade Corporativa BB
Assim, é imprescindível a adoção de cuidados para a preservação das in-
formações. Mensagens confdenciais devem ser enviadas com a utilização
deprocedimentosespeciaisbaseadosemtécnicascriptográfcas,deformaa
garantirquesóodestinatáriotenhaacessoaoconteúdo.
.
Ousodocorreioeletrôniconoambientecorporativoparaenviodemensagens
deveterregrasbásicasqueorientemofuncionárioeminimizemaspossibili-
dadesdeincidentesnatrocadeinformações.Umadasregrasdevereferir-se
ao.uso.do.e-mailcorporativolimitadoaospropósitoscomerciais.Comumente
évistooseuusoparapropósitosparticulareseparaoutrosfnsquenãoode
negócios,oquetemlevadoasempresasaadotarempráticasparamonitora-
mentodoconteúdodose-mails.
Segurança lógica
Segurança.perfeita.não.existe..Isto.é.verdade.tanto.para.softwarescomoem
todososcamposdeinteressehumano.
Aexemplodequalqueratividaderealizadapelohomem,odesenvolvimento
de.softwareestásujeitoàfalhasemseuciclo,queseforemexploradas,cau-
sarãobrechasnasegurança.Seosoftwarepudesseserperfeitoisso,porsi
só, não resolveria o problema, pois a maioria dos ataques envolve, em um
nívelououtro,algumamanipulaçãodenaturezahumana-usualmentecha-
madodeEngenhariaSocial,assuntoqueveremosadiante.
Aumente o custo e a difculdade tecnológica dos ataques à segurança e as
pessoasmalintencionadasresponderãomudandoofocodatecnologiapara
o fator humano. Por isso, é vital o entendimento pelo usuário de seu papel
namanutençãodeumasegurançasólida,paranãosetornarumabrechana
segurançadeseuprópriosistema.
Éindispensávelteremmentedoispontosessenciais.Primeiro,asegurança
doambientelógicocompreendetantotecnologiaquantopolítica-ouseja,a
combinaçãodatecnologiaedecomoelaéusadadeterminaoquãoseguroé
oseusistema.Segundo,asegurançanãoéumdestino,massimumajornada
-elanãoéumproblemaquepodeser“resolvido”deumavezportodas;éuma
sérieconstantedemovimentosecontramedidasentreusuáriosdosistemae
pessoasmalintencionadas.
Gestão de seGurança 71
Universidade Corporativa BB
Internet
A Internet está repleta de recursos e serviços úteis para a vida do usuário,
apesardosriscosqueoferece.Ousodainternetpossibilitaumasériedefa-
cilidades:
■ recebimentodeinformaçõesedadosdefontesconhecidas,desdeque
osmesmostenhamsidosolicitados;
■ acessoapáginaseconteúdosdediversaspartesdomundo;
■ acessoasitessegurosparatransaçõescomerciaison line(identifcados
pelocertifcadodigitalemitidoporumaautoridadecertifcadoraconfável).
Assim como no dia-a-dia é possível escolher os lugares que freqüentamos
em função dos possíveis riscos, para usar a Internet com segurança é pre-
cisobomsensoeatençãoconstantenaescolhadossites.que.visitamos..No.
ambientedetrabalho,asempresaspreocupadascomasegurançaorientam
seusfuncionáriosquantoaousoadequadodestecanal,visandocoibirabusos
eexcessos.Namaioriadasempresas,comoéocasodoBancodoBrasil,o
nãocumprimentodasorientaçõessobreousocorretodaInternetpodeacar-
retardesdeumaadvertênciaverbalatéumademissãoporjustacausa.
Paraconseguirmanterasegurançadasinformaçõesutilizandoainternet,é
imprescindívelobservaralgumasrecomendações.Nessesentido,édesacon-
selhávelaousuário:
■ compartilharseusdadospessoaisouprofssionais;
■ conversarcomdesconhecidosqueoferecemvantagensemtrocadein-
formações;
■ abrirarquivosoumensagensnãosolicitados.
SegundoPatríciaPeck(2002),ocorrecrimeeletrônicoquando“seutilizainter-
net,computadoresecaixaseletrônicosparafnscontráriosàsleisvigentesno
País,ouquandoseacessaocomputadordeterceirosdeformanãoconven-
cionalenãoautorizada,comoobjetivodecometerfraudes”.
Ainternetpodeserummeiofacilitadordecrimes.Omaiorestímuloaoscrimes
virtuaisédadopelaconfançanoanonimatoepelacrençadequeomeiodi-
gitaléumambientenãosufcientementevigiadoetaiscrimesfcamimpunes.
Umdoscrimeseletrônicosquemaiscausamimpactoaosnegóciosdeinstitui-
çõesfnanceiraséafraude.
ProGrama certificação interna em conhecimentos 72
Universidade Corporativa BB
Normalmente,nãoéumatarefasimplesatacarefraudardadosemumser-
vidordeumainstituiçãobancáriaoucomercial.Então,pararealizarfraudes
comerciais e bancárias por meio da Internet os esforços se concentram na
exploraçãodefragilidadesdoscomputadores,sistemaseusuários.
Paraobtervantagens,osfraudadorestêmutilizadoamplamentee-mailscom
discursosquetentampersuadirousuárioafornecerseusdadospessoaisef-
nanceiros.Emmuitoscasos,ousuárioéinduzidoainstalaralgumcódigoma-
liciosoouacessarumapáginafraudulenta,paraquedadospessoaisesen-
síveis,comosenhasbancáriasenúmerosdecartõesdecrédito,possamser
furtados.Nositensaseguirserãoabordadasasameaçasmaiscomunsnoam-
bientevirtualeferramentasquebuscamprotegerosusuáriosdessasameaças.
Ameaças mais comuns
Vírus
Éumprogramadecomputador,normalmentemalicioso,quesepropagain-
fectando,istoé,inserindocópiasdesimesmoemoutrosprogramasearqui-
vosdeumcomputador
5
..
Normalmente o vírus tem controle sobre o computador, podendo tomar to-
das.as.ações.programadas.por.quem.o.desenvolveu..Essas.ações.vão.desde.
mostrar.uma.mensagem.até.alterar.ou.destruir.programas.e.arquivos.do.dis-
co.Paraqueumcomputadorsejainfectadoporumvírus,éprecisoqueum
programapreviamenteinfectadosejaexecutado.Ovíruspodeinstalar-seem
umarquivohospedeiroeposteriormentetornar-seativoedarcontinuidadeao
processodeinfecção.
Istopodeocorrerdediversasmaneiras,taiscomo:
■abrirarquivoscontaminadosanexadosaose-mails;
■abrirarquivosdoWord,Exceletc.quecontenhamvírusdemacro;
■abrirarquivosarmazenadosemoutroscomputadorespormeiodocom-
partilhamentodearquivos;
■ instalar programas de procedência duvidosa ou desconhecida, obtidos
pelaInternet,dedisquetes,pen drives,CD,DVDetc;
■teralgumamídiaremovívelinfectadaconectadaouinseridanocomputa-
dor.quando.ele.é.ligado.
5
Entende-seporcomputadorqualquerdispositivocomputacionalpassíveldeinfecçãoporvírus.Computadoresdo-
mésticos,notebooks,telefonescelularesePDAsãoexemplosdedispositivoscomputacionaispassíveisdeinfecção.
Gestão de seGurança 73
Universidade Corporativa BB
Existemvírusqueprocurampermanecerocultos,infectandoarquivosdodisco
e executando uma série de atividades sem o conhecimento do usuário. Há
outrostiposquepermaneceminativosdurantecertosperíodos,entrandoem
atividadeemdatasespecífcas.
Umanovidaderelativamenterecenteéovíruspropagadoporalgunstiposde
celular.Umvírusdecelularsepropagadetelefoneparatelefonepormeioda
tecnologiabluetoothoudatecnologiaMMS(Multimedia Message Service).A
infecçãoocorredaseguinteforma:
■ousuáriorecebeumamensagemquedizqueseutelefoneestáprestes
areceberumarquivo;
■ousuáriopermitequeoarquivoinfectadosejarecebido,instaladoeexe-
cutadoemseuaparelho;
■ovírus,então,continuaoprocessodepropagaçãoparaoutrostelefones,
pormeiodeumadastecnologiasmencionadasanteriormente.
Osvírusdecelulardiferemdosvírustradicionais,poisnormalmentenãoin-
serem cópias de si mesmos em outros arquivos armazenados no telefone
celular,maspodemserespecifcamenteprojetadosparasobrescreverarqui-
vos de aplicativos ou do sistema operacional instalado no aparelho. Depois
deinfectarumtelefonecelular,ovíruspoderealizardiversasatividades,tais
comodestruirousobrescreverarquivos,removercontatosdaagenda,efetuar
ligações telefônicas, drenar a carga da bateria, além de tentar propagar-se
para.outros.telefones.
Novasformasdeinfecçãoporvíruspodemsurgir.Portanto,éimportanteman-
ter-seinformadopormeiodejornaiserevistas.
Cavalo de Tróia (Trojan)
Contaamitologiagregaqueo“cavalodeTróia”foiumagrandeestátua,uti-
lizadacomoinstrumentodeguerrapelosgregosparaobteracessoacidade
deTróia.Aestátuadocavalofoirecheadacomsoldadosque,duranteanoite,
abriramosportõesdacidadepossibilitandoaentradadosgregoseadomina-
çãodeTróia.Daísurgiramostermos“presentedegrego”e“cavalodeTróia”.
No mundo virtual, um cavalo de Tróia (Trojan horse) é um programa, (por
exemplo,cartãovirtual,álbumdefotos,protetordetela,jogoetc),quealémde
executarfunçõesparaasquaisfoiaparentementeprojetado,tambémexecuta
ProGrama certificação interna em conhecimentos 74
Universidade Corporativa BB
outrasfunçõesnormalmentemaliciosasesemoconhecimentodousuário.É
necessárioqueocavalodeTróiasejaexecutadoparaqueeleseinstaleem
umcomputador.
Algumas das funções maliciosas que podem ser executadas por um cavalo
deTróiasão:
■furtodesenhaseoutrasinformaçõessensíveis,comonúmerosdecar-
tõesdecrédito;
■inclusãodebackdoors
6
,parapermitirqueumatacantetenhatotalcon-
trolesobreocomputador;
■alteraçãooudestruiçãodearquivos;
■criptografadearquivoscomacobrançaderesgateparadevolvê-los.
GeralmenteumcavalodeTróiavemanexadoaume-mailouestádisponível
em.algum.site.na.Internet..É.importante.ressaltar.que.existem.programas.leito-
res.de.e-mailsquepodemestarconfguradosparaexecutarautomaticamente
arquivos anexados às mensagens. Neste caso, o simples fato de ler uma
mensagemésufcienteparaqueumarquivoanexadosejaexecutado.
ExemploscomunsdecavalosdeTróiasãoprogramasrecebidosouobtidos
de.algum.siteequeparecemserapenascartõesvirtuaisanimados,álbunsde
fotosdealgumacelebridade,jogos,protetoresdetela,entreoutros.
Adware e Spyware
Adware (Advertising software).é.um.tipo.de.softwareespecifcamenteproje-
tado para apresentar propagandas, seja por meio de um browser, seja me-
diantealgumoutroprogramainstaladoemumcomputador.Emmuitoscasos,
os.adwarestêmsidoincorporadosasoftwareseserviços,constituindouma
formalegítimadepatrocínioouretornofnanceiroparaaquelesquedesenvol-
vem.software.livre.ou.prestam.serviços.gratuitos.
Spyware,porsuavez,éotermoutilizadoparasereferiraumagrandecate-
goria.de.softwarequetemoobjetivodemonitoraratividadesdeumsistemae
enviarasinformaçõescoletadasparaterceiros.
6
.Normalmente.um.hackerprocuragarantirumaformaderetornaraumcomputadorcomprometido,semprecisar
recorreraosmétodosutilizadosnarealizaçãodainvasão.Namaioriadoscasos,tambéméintençãodoatacante
poderretornaraocomputadorcomprometidosemsernotado.Backdoors.são.programas.que.permitem.o.retorno.
deuminvasoraumcomputadorcomprometido,utilizandoserviçoscriadosoumodifcadosparaestefm.
Gestão de seGurança 75
Universidade Corporativa BB
Existem. adwares que também são considerados um tipo de spyware, pois
sãoprojetadosparamonitoraroshábitosdousuárioduranteanavegaçãona
Internet,direcionandoaspropagandasqueserãoapresentadas.
Os. spywares, assim como os adwares, podem ser utilizados de forma legí-
tima, mas, na maioria das vezes, são utilizados de forma dissimulada, não
autorizadaemaliciosa.
Seguemalgumasfuncionalidadesimplementadasemspywares,quepodem
terrelaçãotantocomousolegítimoquantocomousomalicioso:
■monitoramentodeURLacessadasenquantoousuárionaveganaInter-
net;
■alteraçãodapáginainicialapresentadanobrowserdousuário;
■varreduradosarquivosarmazenadosnodiscorígidodocomputador;
■monitoramentoecapturadeinformaçõesinseridasemoutrosprogramas,
comoprocessadoresdetexto;
■instalaçãodeoutrosprogramasspyware;
■monitoramentodeteclasdigitadaspelousuárioouregiõesdatelapróxi-
masaocliquedomouse;
■capturadesenhasbancáriasenúmerosdecartõesdecrédito;
■capturadeoutrassenhasusadasemsitesdecomércioeletrônico.
Éimportanteteremmentequeestesprogramas,namaioriadasvezes,com-
prometem a privacidade do usuário e, pior, a segurança do computador do
usuário,dependendodasaçõesrealizadaspelospywarenocomputadorede
quaisinformaçõessãomonitoradaseenviadasparaterceiros.
Scam e Phishing
O.scam(ou“golpe”)équalqueresquemaouaçãoenganosaoufraudulenta
que,normalmente,temcomofnalidadeobtervantagensfnanceiras,pormeio
depáginasfalsasnaInternetourecebimentodee-mails.fraudulentos..Existem.
váriostiposdescam.e.novas.formas.surgem.todos.os.dias.
Phishing, também conhecido como phishing scam. ou. phishing/scam. foi. um.
termo originalmente criado para descrever o tipo de fraude que se dá me-
dianteoenviodemensagemnãosolicitada,supostamentedeumainstituição
conhecida,comoumbanco,empresaousitepopular,equeprocurainduziro
acessoapáginasfraudulentas,projetadasparafurtardadospessoaisefnan-
ceirosdeusuários.
ProGrama certificação interna em conhecimentos 76
Universidade Corporativa BB
A.palavra.phishing(de“fshing”)vemdeumaanalogiacriadapelosfraudado-
res,onde“iscas”(e-mails)sãousadaspara“pescar”senhasedadosfnancei-
rosdeusuáriosdaInternet.
Atualmente,essetermoéutilizadotambémparasereferiraosseguintescasos:
■mensagemqueprocurainduzirousuárioàinstalaçãodecódigosmalicio-
sos,projetadosparafurtardadospessoaisefnanceiros;
■mensagemque,nopróprioconteúdo,apresentaformuláriosparaopre-
enchimentoeenviodedadospessoaisefnanceirosdeusuários.
Algunsexemplosdetemaserespectivasdescriçõesdostextosencontrados
em.mensagens.deste.tipo.estão.no.quadro.dez.
Quadro.10
Exemplos de conteúdos de phishing
Tema Texto da mensagem
Cartõesvirtuais UOL, Voxcards, Humor Tadela, O Carteiro,
Emotioncard,CriançaEsperança,AACD/Te-
leton.
SERASAeSPC Débitos,restriçõesoupendênciasfnanceiras.
Serviçosdegovernoeletrônico CPF/CNPJpendenteoucancelado,Imposto
de Renda (nova versão ou correção para o
programa de declaração, consulta da resti-
tuição, dados incorretos ou incompletos na
declaração), eleições (título eleitoral cance-
lado,simulaçãodaurnaeletrônica).
Álbunsdefotos Pessoasupostamenteconhecida,celebrida-
des,relacionadoaalgumfatonoticiado(em
jornais, revistas, televisão), traição, nudez
oupornografa,serviçodeacompanhantes.
IBGE Censo.
Cabe ressaltar que a lista de temas na tabela acima não é exaustiva, nem
tampoucoseaplicaatodososcasos.Existemoutrostemasenovostemas
podem.surgir.
Spam
É.o.termo.usado.para.se.referir.aos.e-mailsnãosolicitados,quegeralmente
são enviados para um grande número de pessoas. Quando o conteúdo é
Gestão de seGurança 77
Universidade Corporativa BB
exclusivamente comercial, este tipo de mensagem também é referenciada
comoUCE(doinglêsUnsolicited Commercial E-mail).Osspammers.utilizam.
diversas.formas.para.obter.endereços.de.e-mail,desdeacompradebancos
dedadoscome-mailsvariados,atéaproduçãodesuasprópriaslistasdee-
mailsobtidosviaprogramasmaliciosos.
O. spam pode causar vários problemas para um usuário da Internet.Alguns
exemplos.são:
■Nãorecebimentodee-mails:.boa.parte.dos.provedores.de.Internet.limita.
otamanhodacaixapostaldousuárionoseuservidor.Casoonúmero
de.spamsrecebidossejamuitograndeousuáriocorreoriscodetersua
caixa postal lotada com mensagens não solicitadas. Se isto ocorrer, o
usuárionãoconseguirámaisrecebere-mailse,atéquepossaliberares-
paçoemsuacaixapostal,todasasmensagensrecebidasserãodevolvi-
dasaoremetente.Ousuáriotambémpodedeixarderecebere-mailsem
casosondeestejamsendoutilizadasregrasanti-spaminefcientes,por
exemplo,classifcandocomospammensagenslegítimas.
■gastodesnecessáriodetempo:paracadaspamrecebido,ousuárione-
cessitagastarumdeterminadotempoparaler,identifcaroe-mailcomo
spameremovê-lodacaixapostal;
■aumentodecustos:independentementedotipodeacessoainternetutili-
zado,quempagaacontapeloenviodospaméquemorecebe.Porexem-
plo,paraumusuárioqueutilizaacessodiscadoaInternet,cadaspam.
representaalgunssegundosamaisdeligaçãoqueeleestarápagando;
■perdadeprodutividade:paraquemutilizaoe-mailcomoumaferramenta
detrabalho,orecebimentodespamsaumentaotempodedicadoàtarefa
de.leitura.de.e-mails,alémdeexistirachancedemensagensimportan-
tesnãoseremlidas,seremlidascomatrasoouapagadasporengano;
■conteúdoimpróprioouofensivo:comoamaiorpartedosspams.são.en-
viadosparaconjuntosaleatóriosdeendereçosdee-mail,ébemprová-
velqueousuáriorecebamensagenscomconteúdoquejulgueimpróprio
ouofensivo;
■prejuízosfnanceiroscausadosporfraude:ospam.tem.sido.amplamente.
utilizadocomoveículoparadisseminaresquemasfraudulentos,queten-
taminduzirousuárioaacessarpáginasclonadasdeinstituiçõesfnan-
ceirasouainstalarprogramasmaliciososprojetadosparafurtardados
pessoaisefnanceiros.Estetipodespaméconhecidocomophishing/
scam.Ousuáriopodesofrergrandesprejuízosfnanceiros,casoforneça
ProGrama certificação interna em conhecimentos 78
Universidade Corporativa BB
asinformaçõesouexecuteasinstruçõessolicitadasnessetipodemen-
sagem.fraudulenta.
Alguns.dos.problemas.sentidos.pelos.provedores.e.empresas.são:
■impacto na banda:paraasempresaseprovedoresovolumedetráfego
geradoporcausadespamsosobrigaaaumentaracapacidadedeseus
linksdeconexãocomainternet.Comoocustodoslinkséalto,istodimi-
nuioslucrosdoprovedoremuitasvezespoderefetirnoaumentodos
custosparaousuário;
■má utilização dos servidores:.os.servidores.de.e-maildedicamboaparte
doseutempodeprocessamentoparatratardasmensagensnãosolicita-
das.Alémdisso,oespaçoemdiscoocupadopormensagensnãosolicita-
dasenviadasparaumgrandenúmerodeusuárioséconsiderável;
■inclusão em listas de bloqueio:oprovedorquetenhausuáriosenvolvi-
dosemcasosdespampodetersuaredeincluídaemlistasdebloqueio.
Esta inclusão pode prejudicar o recebimento de e-mails. por. parte. de.
seususuárioseocasionaraperdadeclientes.
■ investimento em pessoal e equipamentos:paralidarcomtodosospro-
blemas.gerados.pelo.spam,osprovedoresnecessitamcontratarmaistéc-
nicosespecializados,comprarequipamentoseacrescentarsistemasde
fltragemdespam.Comoconseqüênciaoscustosdoprovedoraumentam.
Worm
É um programa capaz de se propagar automaticamente através de redes,
enviandocópiasdesimesmodecomputadorparacomputador.Diferentedo
vírus,owormnãoembutecópiasdesimesmoemoutrosprogramasouar-
quivosenãonecessitaserexplicitamenteexecutadoparasepropagar.Sua
propagaçãosedápelaexploraçãodevulnerabilidadesexistentesoufalhasna
confguraçãodesoftwaresinstaladosemcomputadores.
Geralmente.o.wormnãotemcomoconseqüênciaosmesmosdanosgerados
por um vírus como, por exemplo, a infecção de programas e arquivos ou a
destruição.de.informações..Isto.não.quer.dizer.que.não.represente.uma.amea-
çaàsegurançadeumcomputador,ouquenãocausequalquertipodedano.
Wormssãonotadamenteresponsáveisporconsumirmuitosrecursos.Degra-
damsensivelmenteodesempenhoderedesepodemlotarodiscorígidode
computadores,devidoàgrandequantidadedecópiasdesimesmoquecos-
Gestão de seGurança 79
Universidade Corporativa BB
tumampropagar.Alémdisso,podemgerargrandestranstornosparaaqueles
queestãorecebendotaiscópias.
Detectarapresençadeumwormemumcomputadornãoéumatarefafácil.
Muitas.vezes.os.wormsrealizamumasériedeatividades,incluindosuapro-
pagação,semqueousuáriotenhaconhecimento.Emboraalgunsprogramas
antivíruspermitamdetectarapresençadeworms.e.até.mesmo.evitar.que.eles.
sepropaguem,istonemsempreépossível.
Ferramentas de proteção
Assimcomotomamosprecauçõesdesegurançaemnossacasaouautomó-
vel,tambémprecisamosteromesmocuidadoemrelaçãoaonossocomputa-
dor.Paraisso,énecessáriaautilizaçãodealgunsprogramasqueirãotrazer
umacamadadeproteçãocontraalgumasameaças.Estesprogramaspodem
serobtidosdediversosfabricantesempacotesintegradosoudeformaindivi-
dual.Pelomenostrêstiposdeproteçãosãonecessários:
■ antivírus: um programa antivírus irá proteger seu computador contra
osdenominados“vírusdecomputador”esuasvariantes,comoworms..
É imprescindível que o antivírus tenha “atualização automática”, para
garantir que o programa busque novas atualizações automaticamente,
comfreqüência,nomínimo,diária;
■ frewall pessoal: um programa denominado “frewall” irá manter uma
barreiralógicaentreseucomputadoreainternet,evitandoqueatacan-
tesfaçamacessosnãoautorizados;
■ anti-Spam:esteprogramairáauxiliarafltraroconteúdoindesejadode
e-mails,descartandoautomaticamenteaquelesqueforemconsiderados
spam.
Novas ferramentas de proteção da informação
Criptografa
Desde que o ser humano entendeu as vantagens que o conhecimento de
determinadasinformaçõespodemtrazer,surgiuanecessidadedeprotegê-las
deterceirosquepoderiamsebenefciardelas:assim,nasceuacriptografa.
Do.grego.kriptos,secreto,egraphos,escrita,acriptografasurgiucomoaci-
ência,ou,paraalguns,aartedeseescrevermensagensdeformacodifcada,
impossibilitandoaleituraparaterceirosnãoautorizados.
ProGrama certificação interna em conhecimentos 80
Universidade Corporativa BB
Hoje,apósséculosdeusoeevolução,acriptografacontinuasendoumadas
maispoderosasarmasparaaproteçãodasinformações,possibilitandoque
propriedadesimportantessejamalcançadas,dentreelas:
■ integridade
■ autenticidade
7
.
■ não-repúdio
8
.
■ confdencialidade
Atualmenteousodacriptografa-impulsionadopelosavançostecnológicos
-écrescente,desempenhandopapeldeextremarelevâncianocontextoda
segurança.da.informação.
Alémdetornardocumentosconfdenciais,acriptografatemoutrasutilidades.
Elapossibilitaacriaçãodeassinaturasdigitaiseavalidaçãodetransações
eletrônicas.
Umamensagemcodifcadaporummétododecriptografadeveserprivada,
ouseja,somenteaquelequeenvioueaquelequerecebeudevemteracesso
aoconteúdodamensagem.Alémdisso,umamensagemdevepoderserassi-
nada,ouseja,apessoaquearecebeudevepoder:
■ verifcarseoremetenteémesmoapessoaquedizser;e
■ identifcarseamensagemfoimodifcada.
Osmétodosdecriptografahojeutilizadossãoseguroseefcientesebaseiam-
senousodeumaoumaischaves.Achaveéumaseqüênciadecaracteres
quepodeconterletras,dígitosesímbolos(comoumasenha)queéconvertida
emumnúmero,utilizadopelosmétodosdecriptografaparacodifcaredeco-
difcarmensagens.
Atualmente,osmétodoscriptográfcospodemsersubdivididosemduasgran-
descategorias:acriptografasimétricaeaassimétrica.
Amaisantigadasformasdecriptografa,acriptografasimétrica,tambémco-
nhecidacomocriptografadechavecompartilhadaoudechavesecretapos-
sui.dois.elementos.fundamentais:.um.algoritmo
9
eumachave
10
.que.deve.ser.
compartilhada entre os participantes da comunicação, daí o nome de simé-
7
Qualidadedeumdocumentoseroquedizser,independentedesetratardeminuta,originaloucópia,equeé
livredeadulteraçõesouqualqueroutrotipodecorrupção.
8
Garantiaqueoemissordeumamensagemouapessoaqueexecutoudeterminadatransaçãodeformaeletrôni-
ca,nãopoderáposteriormentenegarsuaautoria.
9
Sériedeetapasutilizadasparacompletarumatarefa,procedimentooufórmulanasoluçãodeumproblema.
Usadocomochavesparacriptografadedados.
10
Éovalornuméricooucódigousadocomumalgoritmocriptográfcoparatransformar,validar,autenticar,cifrare
decifrardados.
Gestão de seGurança 81
Universidade Corporativa BB
tricaoudechavecompartilhada.Nacriptografasimétrica,amesmachaveé
usadaparacodifcaredecodifcarasmensagens(Figura5).
Figura.5
Criptografa de chave privada ou simétrica
A criptografa assimétrica, também conhecida por criptografa de chave pú-
blica,éummétodoqueutilizaumpardechaves:umachavepúblicaeuma
chave privada. A chave pública é distribuída livremente para todos os cor-
respondentes. via. e-mail ou outras formas, enquanto a chave privada deve
ser conhecida apenas pelo seu dono.As chaves públicas e privadas estão
completamenterelacionadas,detalformaqueparacadachavepúblicaexiste
umaúnicachaveprivadacorrespondente.
Nacriptografaassimétrica,quandoumamensagemécifradacomachavepú-
blica,somenteacorrespondenteprivadapoderádecifrá-la.Domesmomodo,
umamensagemassinadacomachaveprivadasomentepodeserconferida
pelasuachavepúblicacorrespondente(Figura6).
Figura.6
Criptografa de chave pública ou assimétrica
João
mensagem cifrador
mensagem
cifrada
Rede
pública
mensagem
original
decifrador
mensagem
cifrada
Maria
João
mensagem cifrador
mensagem
cifrada
Rede
pública
mensagem
original
decifrador
mensagem
cifrada
Maria
PúblicadeMaria
Privada.de.Maria
Fonte:NakamuraeGeus(2007).
Fonte:NakamuraeGeus(2007).
ProGrama certificação interna em conhecimentos 82
Universidade Corporativa BB
Comparação entre os métodos
ParaNakamuraeGeus(2007),osalgoritmosdechavesimétricaapresentam
rapideznaexecução.Porém,elesnãopermitemaassinaturaeacertifcação
digitaise,alémdisso,adistribuiçãoentreosusuáriosédifcultadapelafaltade
segurançanosmeiosdedistribuiçãodachave.Outrodifcultadoréaneces-
sidadedechavessecretasdiferentesparacadatipodecomunicaçãoepara
cadamensagem,tornandoogerenciamentodaschavesmuitocomplexo.
Umexemplodessacomplexidadepodeservistoemumambientenoqualtrês
usuáriossecomunicamcomumquartousuário.Cadaumdelesdevearmaze-
naregerenciartrêschavesdiferentes(Figura7).
Figura.7
As chaves secretas necessárias na criptografa simétrica
Fonte:NakamuraeGeus(2007)
Emcontrapartida,NakamuraeGeus(2007)enfatizamque“oalgoritmoassimé-
tricominimizaoproblemadetrocadechaves,poisnãoénecessárioumcanal
seguroparatal.Porém,eleécercade60a70vezesmaislentoqueosalgorit-
mossimétricos”.Afguraoitomostraasvantagensnadistribuiçãodechaves:
Figura.8
As chaves secretas necessárias na criptografa assimétrica
Fonte:NakamuraeGeus(2007)
João.......................1
Pedro......................2
Luís3
Maria
1
2
3
João.................PúblicadeMaria
Pedro................PúblicadeMaria
LuísPúblicadeMaria
Maria
Privada.de.Maria
PúblicadeMaria
Gestão de seGurança 83
Universidade Corporativa BB
Comosomenteachaveprivadaequivalenteécapazdedecifraramensagem
esomenteoreceptorapossui,osigilodamensagemégarantido.
Asaídaparaneutralizarasdesvantagensdaschavessimétrica(difculdadede
distribuição)eassimétrica(lentidãodoalgoritmo)estánautilizaçãodosdois
tiposdealgoritmoemconjunto.Pormeiodoalgoritmoassimétrico,constrói-
seumcanaldecomunicaçãoseguroporondepodeserdistribuídaachave
simétrica.
Certifcação Digital
Ousodacriptografaassimétricatornoupossívelarealizaçãodetransações
eletrônicaseacomunicaçãoemredeentreusuárioseorganizaçõesdeforma
segura,viabilizandoacriaçãodoscertifcadosdigitais.
Ocertifcadodigitaléumarquivoeletrônicoquecontémdadosdeumapessoa
ouinstituição,utilizadosparacomprovarsuaidentidade.
ExemplossemelhantesaumcertifcadodigitalsãooCNPJ,oRG,oCPFea
carteiradehabilitaçãodeumapessoa.Cadaumdelescontémumconjuntode
informaçõesqueidentifcamainstituiçãooupessoaeaautoridade(paraestes
exemplos,órgãospúblicos)quegarantesuavalidade.
Algumas das principais informações encontradas em um certifcado digital
são:
■ dadosqueidentifcamodono(nome,númerodeidentifcação,estadoetc);
■ nomedaAutoridadeCertifcadora(AC)queemitiuocertifcado;
■ númerodesérieeoperíododevalidadedocertifcado;
■ assinaturadigitaldaAC.
Aautoridadecertifcadoraéaentidaderesponsávelporemitircertifcadosdigi-
tais.Estescertifcadospodemseremitidosparaumapessoa,umcomputador,
umdepartamentodeumainstituição,umainstituiçãoetc.
OscertifcadosdigitaispossuemaassinaturaeletrônicadaACqueoemitiu.
Graçasàsuaidoneidade,aACénormalmentereconhecidaportodoscomo
confável,fazendoopapelde“cartórioeletrônico”.
ProGrama certificação interna em conhecimentos 84
Universidade Corporativa BB
Algunsexemplostípicosdousodecertifcadosdigitais:
■ quandovocêacessaumsitecomconexãoseguracomo,porexemplo,
oacessoasuacontabancáriapelaInternet,épossívelchecarseosite.
apresentadoérealmentedainstituiçãoquedizser,pelaverifcaçãode
seucertifcadodigital;
■ quandovocêconsultaseubancopelaInternet,estetemqueassegurar-
sedesuaidentidadeantesdefornecerinformaçõessobreaconta;
■ quandovocêenviaume-mailimportante,seuaplicativodee-mail.pode.
utilizarseucertifcadoparaassinardigitalmenteamensagem,demodo
aasseguraraodestinatárioqueoe-mail.é.seu.e.que.não.foi.adulterado.
entreoenvioeorecebimento.
A confabilidade desse sistema levou diversos países, entre eles o Brasil, a
criarumainfra-estruturaofcialdechavespúblicas,quepossibilitaaoscida-
dãoseempresasrealizaremtransaçõeseletrônicascomrespaldolegal.
Nessesentido,aInfra-EstruturadeChavesPúblicasBrasileira-ICP-Brasilfoi
instituídaparagarantiraautenticidade,aintegridadeeavalidadejurídicade
documentosemformaeletrônica,dasaplicaçõesdesuporteedasaplicações
habilitadasqueutilizemcertifcadosdigitais,bemcomoarealizaçãodetran-
saçõeseletrônicasseguras.
AICP-Brasilécompostaporumaautoridadegestoradepolíticasepelaca-
deia de autoridades certifcadoras.A estrutura da ICP-Brasil funciona numa
cadeiahierárquicaqueestabelecerelaçõesdeconfançaentreasentidades
queacompõemecomoutrasinstituiçõeseempresas.Arelaçãodeconfança
éfundamentalparaqueasentidadespossamserelacionarcommaiorsegu-
rançaemtransaçõeseletrônicas.
Acadeiadeautoridadescertifcadoras,quecompõemaestruturadaICP-Bra-
sil,éformadaporumaAutoridadeCertifcadoraRaiz-ACRaiz,Autoridades
Certifcadoras-ACeAutoridadesdeRegistro-AR(Figura9).
A primeira autoridade da cadeia é aAC-Raiz da ICP-Brasil, função desem-
penhadapeloInstitutoNacionaldeTecnologiadaInformação-ITI,órgãovin-
culadoàCasaCivildaPresidênciadaRepública.Esteórgãoéresponsável
poremitir,distribuir,revogaregerenciaroscertifcadosemitidos,revogadose
vencidos.Alémdisto,elefscalizaerealizaauditoriasnasautoridadescertif-
cadoraseautoridadesderegistro.
Gestão de seGurança 85
Universidade Corporativa BB
Figura.9
Estrutura da ICP-Brasil
TambémIntegraaICP-BrasiloComitêGestorqueéresponsávelpelaspolí-
ticasaseremexecutadaspelaACRaiz(Figura10).
Figura.10
Comitê Gestor da ICP - Brasil
.
O usuário, para obter o certifcado digital, deve dirigir-se a uma autoridade
deregistro.Estafazaidentifcaçãopresencial,pormeiodeseusagentesde
registro,conferindosuadocumentação,paraemseguidaencaminharasolici-
taçãoàautoridadecertifcadoraqueemitiráocertifcadodigital.
Ocertifcadodigitalpodeestararmazenadoemumcomputadorouemoutra
mídia,comoumsmartcard
11
.ou.um.token
12
.Adiferençabásicaentreumtoken.
COMITÊ GESTOR DA ICP-BRASIL
AC RAIZ
ITI
AC
AR
Determinaaspolíticasaserem
executadaspelaACRaiz
AplicaçãodaspolíticasdaICP-Brasil
Emitecertifcadosvinculando
paresdechavescriptográfcasao
respectivotilular
Identifcapresencialmente,cadastrae
encaminhasolicitaçõesdecertifcadosàs
AutoridadesCertifcadoras(AC).
11
Éumtipodecartãoplásticosemelhanteaumcartãodecrédito,comumoumaismicrochipsembutidos,capaz
dearmazenareprocessardados.
12
DispositivoparaarmazenamentodoCertifcadoDigitaldeformasegura,comfuncionamentoparecidocomo
smartcardequeconectacomocomputadorviaUSB.
ProGrama certificação interna em conhecimentos 86
Universidade Corporativa BB
USBeumsmartcardestánoformatoenotipodeinformaçõesnelescontidas.
O.smartcardésemelhanteaumcartãodecréditoepodeconter,porexemplo,
onome,oCPFouafotodotitulardocertifcado.UmtokenUSBnãotemnada
disso, tem no máximo o logotipo do fabricante ou da empresa que emitiu o
certifcado(Figuras11e12).
.
OBancodoBrasil,seguindorecomendaçãodaFederaçãoBrasileiradeBan-
cos-Febraban,adotaeentregaaoscienteseusuárioscertifcadosICP-Brasil
armazenadosemcartãointeligente-smartcard..
Atualmente,oe-CPFeoe-CNPJsãooscertifcadosdigitaismaisconhecidos
nomercado.AReceitaFederaléaresponsávelpelasuaemissão.Afgura13
trazoleiautedereferênciadaReceitaFederalparaoscertifcadose-CPFe
e-CNPJ;afgura14trazomodelodeleitoradesmartcard.
..
Smartcards:leiautedereferênciadaReceitaFederalparaoscertifcadose-
CPFee-CNPJ.
Ostitularesdecertifcadodigitaldevemadotarosseguintescuidadosnasua
utilização:
■ nãocompartilharcomninguémasenhadeacessoàchaveprivada;
■ após utilizar o certifcado digital, retirá-lo da leitora de smartcard. para.
evitarousoindevido;
■ em ambiente acessível a várias pessoas, como um escritório, utilizar
soluçõesdecontroledeacessoedeproteçãoaosistemaoperacional,
comosenhadesistemaouprotetordetelaprotegidoporsenha;
■ emcasodecomprometimento,oususpeitadecomprometimento,desua
chaveprivada,solicitaraimediatarevogaçãodocertifcado.
1
3
2
4
Figura.11
Token USB
Figura.12
Smart Card
1
3
2
4
1
3
2
4
e-CPF
e-CNPJ
1
3
2
4
..Figura.13
Leiaute de smartcard da RF
Figura.14
Leitora de smartcard
Gestão de seGurança 87
Universidade Corporativa BB
NoBanco,osclientestitularesdecertifcadosICP-Brasiljátêmasuadisposi-
ção.os.seguintes.serviços:
■ auto-atendimentointernetpessoafísica;
■ assinaturadigitaldecontratodecâmbio.
Assinatura digital em contratos de câmbio
Em2004,oBancoCentralautorizouaassinaturadigitalemcontratosdecâm-
biocomautilizaçãodecertifcadosdigitaisemitidosporentidadescredencia-
dasnaInfra-estruturadeChavesPúblicasBrasileira(ICP-Brasil).Comissofoi
possível:
■ agilizaroprocessodenegóciorelacionadoàcontrataçãodecâmbio;
■ automatizaroprocessodeassinatura;
■ reduziraquantidadeeofuxodepapéis;
■ melhorarosmecanismosdecontrole.
Autilizaçãodecertifcadosdigitaispodeserestendidaparaoutrosserviçose
soluções,taiscomo:
■ gerenciamentoeletrônicodedocumentos(GED);
■ gerenciadorfnanceiro;
■ compensaçãodigital;
■ trocadearquivos;
■ assinaturadenotasedocumentosnosdiversoscomitês.
CURIOSIDADE
UsodaCertifcaçãoDigitalnaSecretariadaReceitaFederal.
Parapermitirqueserviçosprotegidosporsigilofscalsejamdisponibiliza-
dosaoscontribuintesnainternet,aSRFcriouoCentrodeAtendimento
VirtualaoContribuinteconhecidocomoe-CAC.Háváriosserviçosque
jáestãodisponíveisparaocontribuinteviacertifcadodigital:
■ obtercópiadedeclarações;
■ providenciarcópiadepagamentos;
■ realizarretifcaçãodepagamentos;
■ negociarparcelamento;
■ pesquisarasituaçãofscal;
■ realizartransaçõesrelativasaoSistema
IntegradodeComércioExterior;
■ alterardadoscadastrais.
ProGrama certificação interna em conhecimentos 88
Universidade Corporativa BB
3.5. PROTEÇÃO DA INFORMAÇÃO
Comoditoanteriormente,asameaçasprocuramporvulnerabilidadesnossis-
temasdeproteção,causandoincidentesdesegurançae,porconseqüência,
danosaosnegóciosdaempresa.Paraprotegeroativoinformação,éneces-
sáriobuscarmecanismosquepermitampreservaraquelasinformaçõescon-
sideradassensíveisouestratégicasparaonegócio.
Atualmente, existem várias ferramentas de proteção implementadas: sejam
instrumentosquegarantamasegurançadoambientefísicoouasegurança
doambientelógico.Sãoferramentascaras,aexemplodocircuitofechadode
televisão,dasportasdetectorasdemetais,desoftwaresdeproteçãoàrede
(frewalls)edecentraisdemonitoramentoeprevençãodefraudeseletrônicas.
FerreiraeAraújo(2006)comentamque“poucaounenhumasegurançadeixa
asorganizaçõesvulneráveis.Entretanto,emexagero,atrapalhaaconduçãoe
ocrescimentodasatividadesdonegócio”.Alémdisso,somenteaimplementa-
çãodasferramentaséinsufcienteparagarantiraproteçãodasinformações.
Normalmente, pessoas mal-intencionadas costumam iniciar sua abordagem
paraconseguiralgumainformaçãoapartirdaqueleelodasegurançaconsi-
derado. o. mais. vital:. as. pessoas.. E. são. exatamente. as. pessoas. que. devem.
estarmaispreparadasparaprotegerainformação,sobapenadeseremres-
ponsabilizadas por algum incidente envolvendo vazamento de informações.
Todososfuncionários,dopresidenteaoescriturário,devemteremmenteque
asinformaçõesporelesmanuseadastêmvaloreseuvazamentopodecausar
grandesprejuízosparaaorganizaçãoondetrabalham.
Engenharia social
Engenhariasocialéoconjuntodeprocedimentoseaçõesquesãoutilizados
para.adquirir.informações.de.uma.organização.ou.de.uma.pessoa.por.meio.de.
contatosfalsossemousodaforça,doarrombamentofísicooudequalquer
meio.violento.
“Engenhariasocialéummétododeataqueondealguémfazusodapersuasão,
muitasvezesabusandodaingenuidadeouconfançadousuário,paraobterin-
formaçõesquepodemserutilizadasparateracesso,nãoautorizado,acompu-
tadoresouinformações”.
13
13
CERT.br–CentrodeEstudos,RespostaeTratamentodeIncidentesdeSegurançanoBrasil.Grupoderespos-
taaincidentesdesegurançaparaaInternetbrasileira,mantidopeloNúcleodeInformaçãoeCoordenaçãodo
PontoBr(entidadecivil,semfnslucrativos,queimplementaasdecisõeseprojetosdoComitêGestordaInternet
noBrasil).
Gestão de seGurança 89
Universidade Corporativa BB
Issoacontececommuitafreqüênciae,infelizmente,estamosmuitomaisvul-
neráveisdoqueavaliamos.Porisso,énecessárioquetodosnaorganização
estejamatentos,jáque,conformeFerreiraeAraújo(2006),“osucessonoata-
quedeengenhariasocialocorregeralmentequandoosalvossãoaspessoas
ingênuasouaquelasquesimplesmentedesconhecemasmelhorespráticas
desegurança”.
Tiposdeataquemaiscomuns:
■ no local de trabalho:pegarinformaçãorestrita(listaderamais,organo-
gramasetc.)quefoiindevidamenteexpostaemlocaisporondetransi-
tampessoas,funcionáriosounão;
■ por telefone:simularauxíliodaáreadeinformática.Oengenheirosocial
faz contato e diz ser da área de help-desk.. Informa. que. a. estação. de.
trabalhodousuárionecessitadeumaatualizaçãodesoftware,deforma
quefqueemconformidadecomasdemaisdaorganizaçãoemaissegu-
ra(patchdeemergência).Semvalidarseosujeitoéquemrealmentediz
ser,opobreusuárioprocederigorosamenteaoprocessodeinstalação
dealgumtipodeprogramamalicioso(spyware, trojan, worm, malware,
vírusetc)semterconhecimentoqueaaçãoestáocorrendo;
■ lixo:vasculharolixoparaencontrarinformaçõesdescartadasquepos-
suemvalorouqueforneçamdicasdeferramentasquepodemserutiliza-
dasemumataquedeengenhariasocial,taiscomonúmerosdetelefone,
ramais,organogramas,relaçãodeclientes,cargosetc;
■ on line:.enviar.e-mailpublicitário,oferecendobrindesparaqueousuá-
rio participe de sorteios, solicitando os dados pessoais e profssionais.
Conseqüentemente,oinvasorteráàsuadisposiçãoquasetudooqueé
necessárioparaumataque,semgrandeesforço;
■ inversa:fazer-sepassarporumaautoridadedaorganizaçãoapartirdos
conhecimentosadquiridospormeiodalistaderamaisouorganograma.
Emumaligaçãotelefônicaeleseidentifca,porexemplo,comoumge-
renteoudiretorepedeasinformaçõesdesejadas.
O termo e a prática da engenharia social se popularizou graças ao hacker.
americanoKevin Mitnick,condenadoporvárioscrimesdeinformática,dentre
elesoroubodecercade20.000númerosdecartãodecrédito.Kevin.adotava.
técnicascomoaprocuradeinformaçõesvaliosasnolixoinformáticoouconta-
tostelefônicos,simulandofuncionáriodaequipetécnicaesolicitandoinforma-
çõesrestritaspormeiodefax.EmseutestemunhoaoCongressonosEUA,
ProGrama certificação interna em conhecimentos 90
Universidade Corporativa BB
em2000,Kevinrevelouqueraramenteprecisavausarumataquetécnico,pois
aengenhariasocialjáofereciavulnerabilidadesufciente:eleconseguiavárias
informaçõessimplesmenteperguntandoaosfuncionáriosdasempresas.
Comoosengenheirossociaisagemebuscaminformaçõesdaorganização?
Vejaaspráticasmaiscomuns:
■ falam com conhecimento:aocontataralguémdaorganização,oenge-
nheiro social fala com propriedade sobre um determinado assunto. Se
estiverfalandodealguém,citaonomecomfamiliaridadeedizqueépa-
rente,ex-colegaoucolegaatual(nocasodeumagrandeorganização).
Pode citar também departamentos e locais da organização, e, se tiver
acesso à linguagem utilizada exclusivamente no local, pode alcançar
seusobjetivosfacilmente;
■ adquirem a confança do interlocutor:comtantasinformações,oin-
terlocutor pensa que o engenheiro social é uma pessoa de confança.
Muitasvezes,ofraudadornãotempressaevoltaatelefonaremoutra
ocasião.Aprimeiraligaçãoserveapenasparacriarumcanaldecomu-
nicaçãoeestabelecerumarelaçãodeconfança.Comotempo,cria-se
umvínculoentreofraudadoreavítima;
■ prestam favores: em caso de golpes e fraudes, o engenheiro social
pode até mesmo ajudar a vítima. O fraudador pode bloquear a comu-
nicaçãodocomputadordointerlocutoresepassarporalguémdohelp
desk,ajudandoaresolverumproblemaqueelepróprioplantou.Dessa
forma,avítimapassaaconfarnele.
Ficaclaroqueaproteçãodainformação,emcasosdeengenhariasocial,de-
pendediretamentedocomportamentodecadafuncionário.
Paraprevenirincidentesrelacionadosaengenheirossociais,aempresatam-
bémdeveadotarumasériedeações.Sãonecessáriasaimplementaçãofor-
maldapolíticadesegurançadainformaçãoearealizaçãodetreinamentose
palestrasparaosfuncionáriossobreoassunto.Alémdisso,aempresadeve
classifcarasinformações-deformaaesclareceraosfuncionáriosoquepode
serdivulgadoeoquenãopode-eimplementarcontrolesdeacessofísicoe
lógico-deformaaminimizaraexposiçãodasinformações.Porfm,aempre-
sadeveconscientizaroscolaboradoresarespeitodotema.
As pessoas que estão sujeitas ao engenheiro social devem desconfar de
grandespromoçõesedasofertasveiculadasnainternet.Tambéménecessá-
Gestão de seGurança 91
Universidade Corporativa BB
riodesconfarsemprequeforsurpreendidoporumtelefonemadealguémque
nãoconheça.Arecomendaçãoénuncadivulgarnadaepedirumnúmerode
retornoparaverifcarsealigaçãoéverdadeira.
Lembre-se:agrandemaioriadosincidentestemaintervençãohumana,seja
de forma acidental ou não.A segurança está relacionada a pessoas e pro-
cessos,antesdatecnologia.Conseqüentemente,denadavalerãoosmilhões
investidos em recursos de tecnologia da informação se o fator humano for
deixado em segundo plano. Quanto mais bem preparados os funcionários,
maisseguraestaráaorganização.
Espera-sequeaofnaldoestudodestetemavocêpossa:
▪Conceituarsegurançaemprodutos,serviçoseprocessos.
▪ Distinguirautenticidade,integralidadeeintegridade.
▪ Descreverositenseprocedimentosaseremobservadosnoexame
dedocumentosparaassegurarsuaautenticidade,integralidadee
integridade.
▪ Identifcarprocedimentospreventivosdesegurançanaguarda,
movimentaçãoeencaixedenumerário.
▪ Identifcaroscuidadosnecessáriosparaopagamentodevalores
elevados.
▪ Identifcarosquesitoseprocedimentosdesegurançanaprevenção
defraudesdocumentaiseeletrônicas.
4
SEGURANÇA EM PRODUTOS,
SERVIÇOS E PROCESSOS
Gestão de seGurança 95
Universidade Corporativa BB
4.1. CONCEITO
Osprodutoseserviçosoferecidosaosclientessãoplanejadoseelaborados
porUnidadesEstratégicasdoBancoespecializadasnessaatividade.AsUni-
dadesEstratégicasvisamatenderasnecessidadesdosclientescomacons-
tantebuscadaexcelênciaemprodutoseserviços.
Mastodooempenhonodesenvolvimentodenovosprodutoseserviçoscorre
o risco de perder-se diante das artimanhas de pessoas mal intencionadas,
quechegamaestudarosprocedimentosdoBancoafmdeidentifcareexplo-
rar,embenefíciopróprio,osprocessosdemaiorvulnerabilidade.
Oindivíduoadulteraouforjatodotipodedocumento–carteirasdeidentidade,
cheque,contratos,requisiçõeseatésentençasjudiciais–falsifcandoassina-
turas,adulterandoouclonandodadosdedocumentos.
As fraudes perpetradas acabam gerando prejuízos aos clientes, ao Banco
eatéaosfuncionáriosenvolvidosnoprocesso.Asocorrênciasdesgastama
imagemdaInstituição,geramperdadetempo,danosfnanceiros,demandas
judiciaise,principalmente,abalamaconfançadoclientenaEmpresa.
Segurançaemprodutoseserviçoséaaplicaçãodeumconjuntodequesitos
desegurançaedecontroleparaumdeterminadoproduto,serviçoouproces-
socomafnalidadedereduzirosriscosdefalhasefraudes.
4.2. AUTENTICIDADE
Entende-seporautenticidadeacertezaabsolutadequeumobjeto,sujeitode
análise,provémdasfontesanunciadasequenãofoialvodemodifcaçõesao
longodeumprocesso.Paraconfrmaraautenticidadeénecessárioobservar
aintegralidade,aintegridadebemcomoaorigemdodocumento.
Integralidade de documentos:éagarantiadequeodocumentoapresenta
ascaracterísticasfísicasoriginais,estácompletoeinteiroenãosofreumuti-
laçãooucomplemento,sejaporrecorte,colagem,raspagemououtratécnica.
Contudo,essascondiçõesnãosãosufcientesparagarantiraautenticidade
dodocumento,poisodocumentopodeterasuaintegralidadegarantidaeter
a.origem.duvidosa.
ProGrama certificação interna em conhecimentos 96
Universidade Corporativa BB
Integridade dos dados de documentos:éagarantiadanãocorrupçãodos
dadoseinformaçõeslançadasemcadacampododocumento.Garanteine-
xistênciaderasuras,sobreposições,complementosousupressãodedados,
sejaporlavagemquímicasejaporoutromeiodesupressãoousubstituição
de.dados.
Origem do documento:éacomprovaçãodequeodocumentofoiconfeccio-
nadoouemitidopelafonteanunciada.Paratanto,écomumaconferênciada
assinaturadoemitente,sejaestafísicaoueletrônica(certifcadodigital).
Aanálisedaregularidadedeemissãoedoconteúdoéumimportanteproce-
dimento,poispodeindicarafalsidadedeumdocumento.
Documentos e informações cadastrais
Osdocumentosnecessáriosparaaidentifcaçãodepessoas-sejaparaaber-
turadecontacorrente,sejaparaosimplessaquedeumcheque–sãolegal-
menteestipulados.Essesdocumentosestãorelacionadosnosnormativosde
cadaproduto.
É primordial dispensar atenção especial aos procedimentos de acolhimento
dedocumentoseinformaçõescadastraisdosclientes.Aaplicaçãodeproce-
dimentos básicos de segurança deve permear todas as situações de coleta
dedadoscadastrais.
Aautenticidadedosdocumentosdeidentifcaçãoeasinformaçõesfornecidas
peloclientedevemserverifcadasporfuncionárioqualifcadoparaestaativi-
dade.
Oexamedasinformaçõesprestadasérealizadosempreapartirdodocumen-
to original, seja para a identifcação ou para efeito de cadastro. Esta regra
valetambémquandoenvolverdocumentosparaoestabelecimentodelimite
decrédito.
Cópias de documentos, mesmo que de boa qualidade ou autenticadas em
cartório, não devem ser aceitas, pois não permitem a execução de exames
quegarantamasuaintegralidadeeaintegridadee,segundoparecerdoSer-
viçoJurídicodoBanco,aautenticaçãodecópiaemcartórioapenasgarante
Gestão de seGurança 97
Universidade Corporativa BB
quesetratadecópiafeldodocumentoapresentado,nãohavendogarantias
desuaautenticidade.
A ocorrência de falha no acolhimento de documentos pode acontecer pela
inobservânciadosprocedimentosdefnidosnanormadecadaprodutooude
fraudes nos documentos, como a falsifcação e adulteração do instrumento
apresentado.
A seguir, são relacionados os documentos mais freqüentemente apresenta-
dospelosclientesesuascaracterísticas.
Documento de identifcação
Éoinstrumentoofcialquetemafnalidadedecomprovaraidentidadedeuma
pessoafísica.Sãoconsideradosdocumentosdeidentidadetodososemitidos
porautoridadecompetente,comfépúblicaeregulamentadosporleiespecíf-
ca.Osdocumentosdeidentifcaçãoqueapresentamprazodevencimentosó
sãoaceitosdentrodadatadevalidade.
■cédulas de identidade (RG):emitidaspelasSecretariasdeSegurança
PúblicaEstaduaisouInstitutosdeIdentifcação
► contêm obrigatoriamente: número de registro, data da emissão, as-
sinaturaecarimboidentifcador;aassinaturaeachanceladodiretor
responsávelpeloórgãoemissordevemestarlimpas,legíveisebem
posicionadas;
►apartirde1984:foto3x4,microperfuradacomasigladoórgãoemissor;
►vedaçãoaousodeóculos,perucaseadornosnasfotos;
► fundo branco (para fotos preto e branco) e fundo claro (para fotos
coloridas);
►posiçãofrontal,semsorrisosesemexpressãofacial;
►vedadaaabreviaçãodenomedoportador,salvoraríssimasexceções.
►CPFopcionalnascédulasdeidentidadesomenteapartirde1984.
■carteira nacional de habilitação
►marcad’água“CNH”ebandeira;
►impressãocalcográfca;
►fotodigitalizada;
►imagemlatente“CNH”;
►microcaracteres;
►fundocamufado“BandeiraNacional”;
ProGrama certificação interna em conhecimentos 98
Universidade Corporativa BB
►fbrascoloridasefuorescentes;
►versocomefeitoíris,sensívelacópiacolorida.
■carteira de identidade de profssional
►emitidasporentidadesdeclasseeórgãosdoEstado,comemissão
e fé pública regulada em Lei. Suas características devem ser verif-
cadasjuntoaosórgãosouentidadesemitentes,sejaporsite,leique
regulamentaaemissãooudocumentointerno.
Outros documentos cadastrais
■ CPF
CadaindivíduotemapenasumCPFeestedeveestaremsituaçãonor-
mal junto a Receita Federal. Clientes portadores de CPF com status
pendente,canceladooususpensodevemprovidenciararegularização
juntoaReceitaFederal.
AexistênciademaisdeumCPFparaamesmapessoaémotivosuf-
cienteparaoencaminhamentodocasoaoadministradordadependên-
ciaparaanálisemaisdetida.
Apesquisapodeserrealizadanositedareceita(www.receita.fazenda.
gov.br)oudiretamentepeloaplicativoCLIENTES-40.
■comprovante de endereço
►númerodoidentifcadordousuário;
►consumodosúltimosmeses;
►datadaleitura/emissão/vencimento.
■comprovante de rendimentos
►compatibilidadeentreorendimentoeocargooufunçãodeclarados;
►otetomáximopararecolhimentodoINSS,IRRFeFGTS;
►naCTP,verifcarcontratodetrabalho(datadeassinatura,registrode
férias).
■comprovante de bens
AcomprovaçãodebensjuntoaoBancodeveserfeitacomaapresenta-
çãodedocumentosdepropriedade,porexemplo,títulooucertifcadode
propriedadeetc.
O exame desses documentos deve ser realizado por funcionário com
capacitaçãotécnica,competênciaealçadaparatal,considerandoopro-
duto.ou.serviço.a.que.se.destina.
Gestão de seGurança 99
Universidade Corporativa BB
Éexigidaaapresentaçãodedocumentooriginaledepoisdeexaminado,
sãoextraídascópiasparaarquivonoBanco.
Aorigemdosdocumentospodeserconfrmadajuntoaosemissores,tais
comocartóriosderegistrodeimóveis,DETRANetc.
Mandado judicial, citação, intimação e notifcação
Paraummelhordetalhamentodosprocedimentosnoacolhimentodessesdo-
cumentos,énecessáriofazermosadiferenciaçãoentreeles:
■ mandadojudicialéumaordememanadadojuiznosautosdeumpro-
cesso, subscrita pelo juiz ou pelo escrivão ou chefe de cartório, a ser
cumprida,emregra,peloofcialdejustiça,auxiliardojuízoencarregado
dasdiligênciasexternas;
■ intimação é uma comunicação escrita expedida por juiz e que leva às
partes conhecimento de atos e termos do processo e que solicita às
partesquefaçamoudeixemdefazeralgo,emvirtudedelei,peranteo
poderjudiciário;
■ citaçãoconsistenoatoprocessualnoqualaparteréécomunicadade
queselheestásendomovidoumprocessoeapartirdaqualarelação
triangulardestesefecha,comastrêspartesenvolvidasnolitígiodevida-
menteligadas:autor,réuejuiz;
■ notifcaçãoéoatopormeiodoqualsepodedarconhecimentoofciale
legaldotextodeumdocumentoregistradoadeterminadapessoa.
Emcasodecomarcasdistintas,ouseja,juizadosdiferentes,deveserutilizada
acartaprecatória;ojuizdacomarcadeorigemencaminhaumacartaparao
juizdacomarcadedestinoparaquesejaexpedidoomandadojudicial,cita-
ção,intimaçãoounotifcação,conformeocaso.
Aautenticidadeéconfrmadacomoexamedosaspectosfísicosdodocumen-
to,regularidadedeseuconteúdoeaassinaturadojuizqueoexpediue,ainda,
nosautosdoprocessoqueooriginou.
Devidoàcomplexidadedotema,pordecisãoadministrativa,asagênciassub-
metemaoServiçoJurídicotodososmandadosjudiciaisquandoenvolverem:
■ conglomeradoBancodoBrasilcomoumadaspartes;
■ cartasprecatórias;
ProGrama certificação interna em conhecimentos 100
Universidade Corporativa BB
■ contasemoutrasagências;
■ valoresestabelecidosnasnormas;
■ vendaoutransferênciadeaçõesoudedividendosebonifcações.
Essascondiçõesnãoimpedemconsultaaoserviçojurídicoquandorestarem
dúvidasacercadoacolhimentodomandado.
Casoocorratentativadecoaçãooususpeitadeirregularidadeaagênciadeve
manter contato com a Regional de Segurança – Reseg – e com o Serviço
Jurídicojurisdicionantes.
Procuração e representação
Procuração, segundo o Código Civil, art. 653, é o instrumento de mandato,
ondealguémrecebedeoutrempoderespara,emseunome,praticaratosou
administrarinteresses.Asprocuraçõespodemserpúblicasouparticulares.
Procuração pública:éemitidaemcartórioefrmadapelotabelião.Ooutor-
gantecompareceaocartório,éidentifcadoemanifestaaoutorgadepoderes
aotabelião,queprovidênciaaemissãodaprocuraçãopública.
Procuração particular:éemitidapelooutorganteenãohánecessidadede
registroemcartórioouqualquerórgão.
Aprocuraçãodeveseracolhidaeexaminadaporfuncionáriodetentordeco-
missãodosegmentogerencial,combasenaviaoriginaldodocumentoede
acordocomosprocedimentosdescritosnosnormativosdoBanco.
Oacolhimentodaprocuraçãodeveserprecedidodeexamesparaconstatar
suaautenticidade,integridadeeintegralidade,alémdaconferênciadaassina-
turadotabeliãoe/oudooutorgante.
Alémdisso,pormedidaadministrativa,oBancodeterminaquequalquerpro-
curaçãorecebidadeve:
■ teraassinaturadooutorgantereconhecidaemcartório,seinstrumento
particular;
■ serrevigoradaacadadoisanos,acontardadatadeemissãododocu-
mento..
Gestão de seGurança 101
Universidade Corporativa BB
DeacordocomosnormativosdoBancoeacritériodaadministraçãodaunida-
de,oreconhecimentodafrmadooutorganteemcartóriopodeserdispensado.
Conferência de assinaturas
A conferência da assinatura baseia-se na observação sistemática, que visa
verifcaraautenticidadedosgrafsmosoudeterminarasuaautoria,pormeio
das características que os individualizam. Essa técnica é conhecida como
grafoscopiaqueliteralmentesignifcaobservaçãodoescrito.
Pararealizaçãodeexamedeconferênciadeassinaturasofuncionáriodevees-
tarcapacitadoparatale,também,considerandoasespecifcidadesdealguns
serviçosedocumentos,estarinvestidodecompetênciaealçadanecessárias.
Alguns documentos de identifcação, como a CNH, têm as assinaturas dos
titularesdigitalizadase,porisso,nãoapresentatodososelementosdecon-
vicçãodaescrita,prejudicandooexamedaassinatura.Nessecaso,ofuncio-
náriopodesolicitaraapresentaçãodeoutrodocumentodeidentifcaçãoque
contenhaaassinaturaoriginal.
Cópias,faxearquivosdigitalizadosnãosãoaceitospeloBanco,umavezque
nãopossibilitamaconferênciadasassinaturas,detecçãodeadulteraçõese
garantia.da.origem.
4.3. GUARDA, MOVIMENTAÇÃO E ENCAIXE DE NUMERÁRIO
Atualmente os bancos oferecem um enorme leque de produtos e serviços
paraapopulação,masumadasatividadesprincipaisaindaéaguardaemo-
vimentaçãodenumerário.OBancodoBrasil,alémdecustodiaronumerário
destinadoàstransaçõesdesaques,depósitos,pagamentoserecebimentos
diversos (títulos, impostos, ordens de pagamento etc.), ainda tem a função
decustodiaresanearonumerárioparaasdemaisinstituiçõesfnanceiras,à
ordemdoBancoCentral.
EstasituaçãodespertaointeressedecriminososeobrigaoBancoaadotar
medidas para proteger os valores. Os cuidados são previstos em normas e
seucumprimentocontribuiparaasegurançadetodasaspessoasquetraba-
ProGrama certificação interna em conhecimentos 102
Universidade Corporativa BB
lhamoutransitampelasunidades,alémdopatrimôniodaempresa.Osprinci-
paiscuidadosquantoàmovimentaçãodenumeráriosão:
■informações sigilosas:. toda. informação. a. respeito. da. movimentação.
denumeráriodevesertratadacomomáximosigiloeseuconhecimento
deveestarrestritoaosfuncionáriosresponsáveispelosprocessos.Entre
outras,estãoasinformaçõessobresaldodebaús,datesourariaedeter-
minais;valoresdedepósitosoudesaquesdeclientesoudeoutrosban-
cos;recebimentodereforçooualíviodenumerário(inclusivedataehora
dasremessas);horáriodeaberturadocofre;nomeerotinadosrespon-
sáveispelatesourariaoupeloabastecimentodosterminais;identifcação
daempresadealarme.Écomum,porexemplo,ouvirfuncionárioscitando
onomedocolegaquevaiabrirocofreouabastecerosterminais.Essas
informaçõestambémsãocaptadaspelosbandidosouseusinformantes
e podem servir de subsídio para uma ação de seqüestro ou assalto.
■guarda do segredo e chaves do cofre:alémdadiscriçãosobreestas
informações,aschaveseosegredodocofredevemserrodiziadospe-
riodicamenteepermaneceremsobaguardadefuncionáriosdistintos,de
formaaquemguardarosegredonãoteraguardadaschaves,exceto
em unidades dotadas de apenas um funcionário. O segredo deve ser
trocado sempre que sua guarda for transferida para outro funcionário;
■ utilização do cofre ou casa forte:ocofreoucasafortedevepermane-
certrancado,devendoserabertoapenaspeloperíodoestritamentene-
cessárioparaaguardaouretiradadenumeráriooudocumentos.Quan-
do o cofre for trancado, a fechadura de retardo deve ser ativada. As
normasprevêemqueaprogramaçãodafechadurapermitaaaberturado
cofre15minutosantesdoexpedienteexterno.Ocofredevesertrancado
nomáximoatéduashorasapósoencerramentodoexpedienteexterno
(fechamento da unidade ao público). O numerário deve ser distribuído
nasprateleirasdocofre.Istoporquealgunscofressãoarrombadosape-
nascomaaberturadeumburacoemumadesuaslaterais;adifculdade
pararetirartodoonumerárioserámuitomaiorseestiverdistribuído.
■saldo de numerário mantido nas unidades:deveserosufcientepara
atenderademandadaagência,considerandoolimitedenumerárioea
possibilidade de reforço ou alívio do numerário excedente. Portanto, é
imprescindívelogerenciamentodofuxodenumerário,paraocontrole
dosaldodaunidade.Lembre-sequequantomaiorforo“atrativo”,mais
sujeitaaaçõescriminosasfcaaagência.
Gestão de seGurança 103
Universidade Corporativa BB
Principalmentenasagências,onumeráriofcadivididoemvárioslocais.São
osambientescomacessorestrito:tesouraria,bateriadecaixas,saladepro-
cessamento do SAO, corredor de abastecimento e os próprios terminais. O
controle de acesso a estes ambientes deve ser rigoroso e restrito apenas
aos funcionários responsáveis pelos processos de recolhimento de envelo-
pes,abastecimentodeterminaisdesaques,guardaecontroledonumerário,
processamento do SAO e atendimento aos clientes. Quando necessária a
presençadeprestadoresdeserviço,estadevesersempreacompanhadade
funcionáriodoBanco,responsávelpelosetorouserviço.
Énecessárioextremocuidadoeatenção,paraqueonumerárionãosejadei-
xado sem acompanhamento de funcionário durante os diversos processos
realizadospelasunidades.Algunsprocessosapresentamgrandefragilidade,
aexemplodoabastecimentooudorecolhimentodeenvelopesdosterminais.
Recomenda-sequeoprocessosejarealizadopordoisfuncionáriosequeo
serviçodevigilânciasejaalertado.
Émuitocomumaocorrênciadefurtosduranteestesprocessos,principalmen-
tequandorealizadosapenasporumfuncionário.Oscriminosostêmahabi-
lidade de interromper o serviço e distrair o funcionário durante a operação.
Enquantoisso,outrapessoaentranocorredoresubtraionumerárioe/ouos
envelopesquefcaramsemproteção.
Podehaveromesmotipodeocorrêncianosdemaisambientes,semprequeo
controledeacessoeaguardadonumerárionãoreceberanecessáriaatenção.
4.4. PAGAMENTOS DE VALORES ELEVADOS
OBancoestabelecealçadasecompetênciaspararealizaçãodeprocedimen-
tos,principalmenteparaaquelesqueenvolvemtransaçõesfnanceiras.
Nas agências, a defnição dos limites operacionais para liquidação de che-
quesoriundosdacompensaçãoeparapagamentonocaixaédecompetência
doComitêdeAdministraçãodadependênciaesãoatribuídasaosníveisdois
etrêsnosistemaonline,consideradasasnecessidadesdiárias.Astransa-
çõesqueextrapolamaalçadaestabelecidaparaoníveltrêssãoautorizadas
exclusivamenteporadministrador.
ProGrama certificação interna em conhecimentos 104
Universidade Corporativa BB
Oautorizadoréco-responsávelpeloexamedosdocumentoseassinaturas,
assim como possíveis ocorrências apontadas pelo sistema (insufciência de
saldo,contra-ordemetc.),edeveregistrarnodocumentoaexpressão“pague-
se”seguidaderubrica.
Considerandoquenemsempreasalçadasecompetênciassãocontroladas
pelossistemascorporativos,asnormasdosrespectivosprodutosouserviços
devemserconsultadassemprequenecessário.
Ausência de administradores
Naausênciadosadministradoresdasunidades,asautorizaçõesdevemser
realizadasobservando-sealateralidadedefnidaparaosrespectivosprodutos
eserviços.AlgumasautorizaçõessãoefetuadaspelaUnidadeAltaRendaou
pelasSuperintendências,conformeocaso.
Controle ou log
Para acompanhamento e eventual apuração de irregularidade, os sistemas
corporativosmantêmregistrodousuário,dadependência,dadataedohorá-
riodeacessoàstransaçõesrealizadas.
4.5. CHEQUE
Chequeéumaordemdepagamentoàvistaexpedidacontraumbancosobre
fundosdepositadosnacontadoemitente,parapagamentoaobenefciáriodo
cheque.
Os cheques são produzidos pelo Banco e fornecidos aos seus clientes em
suasagênciasouterminaisdeauto-atendimento.Quandosolicitado,podem
ser.remetidos.pelos.Correios..
Oschequessãoentreguesaosclientesmediantepedidoformal,sejaporre-
quisiçãofísicaoueletrônicanosterminais.Emambososcasos,hánecessi-
dadedeassinaturadocliente,deprópriopunho,ousenha.
Oschequessãoproduzidosempapelespecialesãodotadosdeumconjunto
deitensdesegurança,sendoalgunsfísicosoutroseletrônicos,osquaissão
utilizadosparaaverifcaçãodaautenticidadedodocumentoemconjuntocom
Gestão de seGurança 105
Universidade Corporativa BB
a.assinatura.do.emitente.
Osquesitosdesegurançafísicosdochequequedevemserobservadosna
sualiquidaçãooupagamentoconstamdafgura15:
Figura.15
Quesitos de segurança física do cheque
1.caracteresnuméricosvazadoscomrepetiçãoemnegativo;
2.ausênciadasbarrasdivisórias;
3.caracterespequenosdifcultandoadulteraçõesnessescampos;
4.leiauteecoresquedifcultamadulteraçõesepropiciamaidentifcaçãode
raspagens,banhosquímicoseoutrasmodalidadesdefraudesnocheque.
4.6. CONTESTAÇÃO DE DÉBITO
De maneira geral, fraude é um ato praticado com a intenção de prejudicar
alguém.Nocontextobancário,fraudessãoaçõesquevisamobtervantagens,
normalmentefnanceiras,pormeiodepráticasilícitascontraclientes.
Aincidênciadefraudespraticadascontraclientesdebancossegueemten-
dência crescente, na mesma medida em que aumenta a diversidade de re-
cursostecnológicosquesurgemnomercadoetambémdecanaisdeacessos
disponibilizadosaosclientesbancários.Paraefeitodecontroleemanutenção
debasesdeinformaçõesestatísticasegerenciais,asfraudespraticadascon-
traclientesdoBBsãoclassifcadas,internamente,como:
1
3
2
4
ProGrama certificação interna em conhecimentos 106
Universidade Corporativa BB
■ fraudeseletrônicas
■ fraudesdocumentais
Essaclassifcaçãoétransparenteparaoclienteque,emregra,quandonão
reconhecealgumlançamentoemsuaconta,dirige-seaumaagênciadoban-
coparaformalizaracontestação.Duranteaverifcaçãopreliminarqueéfeita
naagência,casonãosejaidentifcadaaorigemdolançamento,éabertoum
processonoqualserãoanalisadasascircunstânciasemqueelefoigerado.
Quandoolançamentocontestadopeloclienterefere-seaumdébitoemsua
conta,edesdequenãosejadecorrentedeumafalhajáconfrmadadesiste-
ma,oprocessoéconduzidodeformaaverifcarsehouvefraude.
Nessecaso,seguem-seprocedimentosespecífcosquedevemserobserva-
dospelaagênciae,dependendodosvaloresenvolvidos,tambémporinstân-
ciassuperioreseatéRegionaisdeSegurançadoBB.Asnormasestabelecem
prazos para que esses procedimentos sejam cumpridos por parte de cada
umadessasdependênciase,também,paraqueoclienterecebaaresposta
fnaldoBancoemrelaçãoàsuacontestação.
Adependerdoqueforapuradonoprocesso,acontestaçãoédeferidaounão.
Noprimeirocasoovalorcontestadoédevolvidoaocliente.
Prevenção a fraudes nos canais de auto-atendimento
Asinstituiçõesfnanceirasdisponibilizaminúmerosserviçosnosseuscanaisde
atendimentotaiscomoosterminaisdeauto-atendimento(TAA),pontosdeven-
da(POS,PDV),internet,lotéricos,redecompartilhada,Banco24horasetc.
14
NoBancodoBrasilistonãoédiferenteeestescanaissãocustomizadospara
cadasegmentodecliente.Alinhadaàsmelhorespráticasdomercadoeaos
conceitos de segurança da informação, a empresa protege as informações
quetransitamnessescanaispormeiodeferramentascomosenhas,códigos
deacessoecadastramento.
14
Conceitualmente,PDVePOSsãoexatamenteamesmacoisa:PontoDeVenda.POSéasiglaeminglês:Point Of
Sale.Nomundodasoperadorasdecartão,noentanto,háumadiferençasignifcativaentrePOSePDV:POSsão
aquelasmaquinetasutilizadasnocomércioemgeral,ondepassamosnossoscartõesparaefetuarpagamentos.
Elassãodepropriedadedecadabandeira(Visa,Master...).EssesequipamentossãoconhecidoscomoPDVquan-
do,nãopertencendoaumabandeiraespecífca,estãoinstaladosemredeprivativadeumaempresaeconectados
aumservidorcentral,tambémdaempresaque,porsuavez,efetuaaconexãocomarededeumaoumaisbandei-
ra.Podemoscitar,comoexemplodePOS,asmaquinetasexistentesempadariaseempequenoscomérciosem
geral.OsequipamentosinstaladosnoscaixasdegrandessupermercadossãooexemplomaiscomumdePDV.
Gestão de seGurança 107
Universidade Corporativa BB
Assim, para o cliente pessoa física, por exemplo, são disponibilizadas mo-
dalidades diferenciadas de senhas, que podem ser utilizadas isoladamente
ou combinadas entre si, dependendo do tipo de canal. utilizado. e. do. tipo
de transaçãoqueéefetuada.Nosexemplosabaixo,vaifcarclarocomoos
conceitosapresentadosnotópicoSegurançadaInformaçãosãoaplicadosna
prática,semprecomoobjetivodeproporcionarníveisadequadosdeseguran-
çanaexperiênciaderelacionamentocomocliente.
Atualmente,paraclientesdosegmentopessoa física,oBancodoBrasiluti-
lizatrêsmodalidadesdesenhasnuméricaseumaalfabética,estaconhecida
comoCódigodeAcesso.
Senha numérica
■senha de quatro dígitos:éexigidanaCentraldeAtendimentoBancodo
Brasil-CABBparaconfrmartransaçõesdepagamentos,transferências
eoutrastransaçõesqueapresentammaiorcriticidade;
■senha de seis dígitos:éexigidaemtrêscircunstâncias:
►paraarealizaçãodeoperaçõesfnanceiras,oudeconsulta,disponi-
bilizadas em canais que exigem a passagem do cartão:TAA, POS,
PDV,lotéricos,redecompartilhada,Banco24hetc;
► para confrmar, no canal auto-atendimento internet, a realização de
operaçõesfnanceiraseoutrastransaçõesqueapresentammaiorcri-
ticidade,comoaalteraçãodecadastro;
►paraautenticaçãodoacessoinicialàCABB.
■ senha de oito dígitos: é a senha exigida para autenticar o cliente no
acessoàsuacontapelocanalauto-atendimentointernet.
Senha Alfabética
Essamodalidadedesenha,utilizadaporclientespessoafísica,podesercom-
postaportrêsletras,trêssílabas,ouumacombinaçãodeletrasesílabas.O
códigodeacessoéexigidoparaconfrmararealizaçãodetransaçõesfnan-
ceiras, bem como outras transações consideradas de maior criticidade, nos
canaisqueutilizamcartão
15
..
OcódigodeacessoégeradoexclusivamentenosTAAdoBancodoBrasil,de
formaautomática,nãosendopossível,paraocliente,escolheracombinação
dasletras.Ocódigodeacessoéimpressoquandooclienteacessasuaconta
ProGrama certificação interna em conhecimentos 108
Universidade Corporativa BB
pelaprimeiravezemumTAA,ouemsituaçõesespecífcas,comandadaspela
agência,como,porexemplo,quandooclienteesqueceseucódigoatualou
quandoocódigoébloqueadoporalgummotivo.
Para clientes pessoa jurídica. e. governo o acesso a transações de conta
corrente também requer a utilização de senhas que podem ser numéricas,
alfanuméricasealfabéticas,dependendodocanaldeatendimentoutilizadoe
dotipodetransaçãoaserefetuada.Algumasdiferençasemrelaçãoàpessoa
físicapodemserobservadas:
Senha Numérica
■senha de quatro dígitos:éexigidaparaacessoàCABB,diferentemen-
tedaregraparaclientespessoafísica,queusamessasenhaparacon-
frmar transações de pagamentos, transferências e outras transações
queapresentammaiorcriticidade.ClientesPJeGovernonãodispõem
detransaçõesfnanceiraspelaCABB;
■senha de seis dígitos:éexigidaparaarealizaçãodeoperaçõesfnan-
ceirasoudeconsulta,disponibilizadasemcanaisqueexigemousodo
cartão:TAA,POS,PDV,lotéricos,redecompartilhada,Banco24hetc;
■senha de oito dígitos: senha utilizada no canal internet (auto-atendi-
mentoPJouauto-atendimentoSetorPúblico)paraconfrmartransações
fnanceirasetransaçõesdemaiorcriticidade.
Senha alfanumérica
■ éasenhautilizadaparaacessoinicialaocanalinternet.
Senha alfabética
■ adiferençaemrelaçãoapessoafísicaéque,paraessesclientes,ocó-
digodeacessoécompostoportrêsletras.Asdemaisregrasdefnidas
paraclientespessoafísicaaplicam-setambémparaapessoajurídica.
Finalmente,emrelaçãoaoauto-atendimentonainternet,nointuitodegarantir
níveismaiselevadosdesegurançaparaosclientesqueefetuamtransações
fnanceiras,oBancodoBrasilcrioualgumassoluçõesdesegurança.Algumas
dessas soluções atuam de forma praticamente transparente para o cliente,
protegendo-odurantesuanavegaçãopelaspáginasdoBBnaInternet.
15
OCódigodeAcessoéexigidonosTAA,Banco24heredecompartilhada,COBANMTeBancoPopulardoBrasil
Gestão de seGurança 109
Universidade Corporativa BB
Entre essas soluções, destacamos o cadastramento de computador, que
exigeumamanifestaçãoefetivadeaceitaçãoporpartedocliente,possuindo
regrasespecífcasdeuso.
Para clientes pessoa física, a adesão ao cadastramento de computadores
aindaéfacultativa.Clientespessoajurídicaegoverno,noentanto,sóutilizam
ocanalinternetpormeiodecomputadorescadastrados.
Clientepessoafísica(auto-atendimentoPF)queadereaocadastramentode
computadores tem compensações. Primeiro passam a ter mais segurança
ao efetuar suas transações fnanceiras pela Internet e, além disso, ganham
limites mais elevados para realizar essas transações.Além disso, algumas
transações,comoalteraçõesdecadastroerecargadecelularpré-pago,por
exemplo,sãorestritasacomputadorescadastrados.
Por ser uma adesão facultativa, o acesso à maior parte das transações de
consultaéliberadoparaclientesquenãoaderemaocadastramentodecom-
putadores.
Fraudes documentais
As modalidades de fraudes a seguir são comumente encontradas nos che-
ques, mas podem ocorrer em qualquer outro documento.A medida de se-
gurança adequada para evitar essas ocorrências é o exame cuidadoso dos
documentos,emseuacolhimento:
■recorte e colagem:essetipodefraudeocorrequandoofalsáriosubstitui
parte do documento original. Geralmente são adulterados os campos
referentesavalornumérico,extensoefavorecido.Essafraudeédetec-
tadaquandoseadotaalgunsprocedimentoscomo:
►observarodocumentocontraaluz(oscamposcoladosfcamnormal-
menteescurecidos);
►manusearodocumento,provocandooarqueamentonossentidosho-
rizontal e vertical. O papel se descola permitindo a identifcação da
adulteração;
■banho químico:nessamodalidadedefraude,odocumentoésubmeti-
doàlavagemcomprodutoquímicoparaaretiradadaescritaoriginalde
modoapermitirasalteraçõespretendidas.Nocasodoschequesessa
ProGrama certificação interna em conhecimentos 110
Universidade Corporativa BB
adulteraçãoocorrenoscamposdestinadosaosvaloresnuméricoeex-
tenso.Indíciosdessafraudesãooclareamentonacoloraçãodefundo
docheque(frenteeverso),asupressãodelinhas,tonalidadesdiferentes
datintaemanchasdiversas;
■raspagem: a adulteração nessa modalidade é feita pelo processo físi-
co,queconsistenaraspagemutilizandoborracha,lâminametálica,lixa,
pedra-pomeetc.,queremoveasfbrassuperfciais,noscamposdosva-
loresextensoenumérico,demodoapermitirasalteraçõespretendidas.
Algunsdetalhesdenunciamaraspagem,comoadivergênciadegrafs-
mo no mesmo texto, marcas de raspagens nos campos preenchíveis,
início da escrita do valor por extenso em cima da expressão impressa
“quantiade”desnecessariamente,caracteresdisformes.
Osquesitosdesegurançaeletrônicosdochequequedevemserobservados
na.sua.liquidação.ou.pagamento.são:
■ cheque cadastrado: os cheques fornecidos para os clientes têm sua
numeraçãocadastradaparaarespectivaconta.Aapresentaçãodeche-
quecomnumeraçãonãocadastradageraaocorrência“chequenãoper-
tenceàconta”;
■ situação do cheque:oschequescadastradostêmasuasituaçãocon-
troladapelosistema.Casoochequejátenhasidoliquidado,aoserapre-
sentadonovamentegeraaocorrência“chequejábaixado”;
■ controle de contra-ordem:osistemaapresentaaexistênciadecontra-
ordemouoposiçãodepagamentoparaochequeapresentado;
■ banda magnética inválida: todos os campos do CMC-7 (banda mag-
nética)sãoverifcados.Nocaixa,quandohouverdivergências,osiste-
manãopermiteopagamento.Nacompensaçãoégeradaaocorrência
“banda magnética inválida”, indicando que a agência deve redobrar a
atençãoeanalisarcomcuidadoodocumento.
Osquesitosdesegurançaeletrônicosdochequevisamobstarasseguintes
modalidades.de.fraudes:
■ clonagem:nestetipodefraudeéutilizadoumprogramadecomputador
paraimprimirosdadossimilaresadeumchequeexistente,comousem
ousodefolhadechequeoriginalobtidadeformaespúriaouextraviada.
Aassinaturadochequepodeserreproduzidapormeiodeimpressãoou
Gestão de seGurança 111
Universidade Corporativa BB
porfalsifcaçãomanual,seaassinaturaforfácildeserimitada;
■ reprocessamento de cheques roubados ou extraviados após a li-
quidação:afraudeconsisteemreapresentarparapagamentocheques
jáliquidadosouemcompensaçãoobtidosdeformaespúria(roubados
ouextraviados).
Espera-sequeaofnaldoestudodestetemavocêpossa:
▪ConceituarGestãodaContinuidadedeNegócios.
▪ IdentifcarainfuênciadaGestãodaContinuidadedeNegóciosno
desempenhodasinstituiçõesfnanceiras.
▪ DescreverociclodoprocessodeGestãodaContinuidadede
Negócios.
▪ IdentifcaraspectosqueregulamaGestãodaContinuidadede
Negócios.
▪ DescreveromodeloeciclodaGestãodaContinuidadedeNegócios
noBancodoBrasil.
▪ ReconhecerpapéiseresponsabilidadesnaGestãodaContinuidade
deNegóciosnoBB.
▪ Identifcarcenáriosdeameaçaaseremabordadosnaelaboração
dosplanosdecontinuidadedenegóciosdoBB.
▪ Conceituarestratégiadecontinuidadedenegócios;
▪ Distinguirprocedimentoseaspectosaseremconsideradosna
construçãoeavaliaçãodoPlanodeContinuidadedeNegócios.
5
GESTÃO DA CONTINUIDADE
DE NEGÓCIOS
Gestão de seGurança 115
Universidade Corporativa BB
5.1. CONCEITOS
Agestãodacontinuidadedenegócios-GCNéumadisciplinadegestãorelati-
vamente.nova.que.se.tornou.muito.importante.dado.o.ambiente.extremamente.
turbulento.em.que.as.organizações.estão.inseridas.
Atividades terroristas, mudanças climáticas drásticas, falhas ou danos nas
instalaçõesfísicas,interrupçãonacadeiadesuprimentoeameaçasdepan-
demias.humanas.e.animais.são.alguns.exemplos.dos.eventos.mais.relevantes.
quepodemresultareminterrupçõesemlargaescala,impactandoacapacida-
de.das.organizações.disponibilizarem.seus.produtos.e.serviços.
Enãosãoapenasesteseventosquepodemcausarrupturasnacontinuidade
dasoperaçõesdenegócio.UmaemcadacincoorganizaçõesdoReinoUnido
sofreparalisaçõesemsuasatividadesacadaano,causadasporincidentes
demenornívelderelevância,taiscomoincêndios,doenças,paradasdecor-
rentesdeproblemasemsuainfra-estruturatecnológica,negaçãodeacesso
aossistemasinformatizadosouperdadeumfornecedorchave.Esteseventos
podemnãoimpactartodaacoletividadeemqueaorganizaçãoestáinserida,
maspodelevá-laaperderclientesouaterproblemasemseufuxodecaixa.
Aoadotaragestãodacontinuidade,asorganizaçõesestãomaisbemprepa-
radasparasuperarosdesafosdeumainterrupçãoqualquerquesejaasua
causa.
Oconceitodecontinuidadedenegóciosfoidesenvolvidoapartirdametade
dadécadade80,comoumanovamaneiradegerenciarosriscosdenegó-
cio.AbasedaGCNéocomprometimentodocorpodiretivodaorganização
emgarantiracontinuidadedasfunçõesdenegócio,aqualquertempoesob
quaisquercircunstâncias.
AGCNdesenvolveu-seemcontrapontoàvisãoexistentenadécadade70,
de que era necessário prover condições de recuperação de desastres para
sistemasdeinformação.Tradicionalmente,osPlanosdeRecuperaçãodeDe-
sastre (PRD) concentravam-se na restauração das instalações físicas após
a ocorrência de graves incidentes (perdas da capacidade de processamen-
to ou de telecomunicações, perdas das edifcações devido a incêndios ou
inundações).Aresponsabilidadesobreessesplanoseradispersaemvários
segmentosorganizacionaisdentrodaempresa.Tipicamenteeramfeitospelas
áreasresponsáveispelaTIoupelasegurança.Emgeral,osPRDeramescri-
tosbaseadosnaspremissasdaocorrênciadeumeventodeinterrupçãoeda
ProGrama certificação interna em conhecimentos 116
Universidade Corporativa BB
adoçãodemedidasderecuperação.
Porém,eventosinesperadosnãoacontecemderepente;muitofreqüentemen-
tetêmsuacausa-raiznaprópriaorganização.Todasorganizaçõespossuem
fragilidades e podem fcar sujeitas a possibilidades de exploração de suas
vulnerabilidades.Examesmaisapuradosdascausasdosprincipaisdesastres
demonstramquesãodecorrentesdacombinaçãodessasfragilidades.
Agestãodacontinuidadedenegócioséfocadanaprevenção,nãosomente
nareaçãoàocorrênciadeincidentes.Nãodizrespeitoúnicaeexclusivamente
àcapacidadedelidarcomincidentes,quandoeseelesocorrerem,mastam-
bémemestabelecerumaculturaquebusqueconstruirmaiorresiliência,
16
.de.
formaagarantiraentregadeprodutoseserviçosaosclientes.
Em resumo, a GCN age proativamente ao estabelecer os fundamentos es-
tratégicos e operacionais para desenvolvimento da resiliência da organiza-
çãoaeventoscausadoresderuptura,interrupçãoouperdadacapacidadede
fornecerprodutoseserviços.Nãocontemplamedidaspuramentereativasa
seadotardepoisqueumincidenteocorre.Requerumaabordagemholística,
com planejamento abrangendo todas as esferas, uma vez que a resiliência
dependeigualmentedosníveisgerenciaiseoperacionaisedatecnologia.
Pesquisas realizadas demonstram que o impacto de desastres no valor de
mercadodasaçõesdasempresaspodesersignifcativo.Afaltadeconfança
nacapacidadedosgestoresemagirrápidaeprofssionalmenteemcasode
desastresãoascausasprincipaisdessadesvalorização.
AGCNrevelaacapacidadeestratégicaetáticadaorganizaçãoparaplanejar
e responder a incidentes e interrupção em seus negócios, administrando a
interrupçãoegarantindoaresiliêncianecessáriaaoenfrentamentodacrise,
demodoagarantiroretornodosnegóciosànormalidadenomenorperíodo
possível,protegersuaimagemesuamarca.
Em outras palavras, a GCN visa garantir a sobrevivência das organizações
mesmodiantedesituaçõesdeinterrupçãonassuasatividades,gravesame-
açasoucrisescorporativas.
Aofocarnoimpactodainterrupçãoeidentifcarosprodutoseserviçosmais
16
Resiliênciaéacapacidadedeumaorganizaçãodeseadequarànovarealidadeapósosefeitosdeumincidente,
nosentidodemantercapacidadeoperacionalqueatendaseusclientesedemaisintervenientes.
Gestão de seGurança 117
Universidade Corporativa BB
críticosparaasobrevivênciadaorganização,provendoumavisãorealistada
situaçãoeosmeiosparaminimizarosimpactosprovocadospelacrise,aGCN
sealinhaàgestãoderiscos.
Essavisãodoambientenegocial,comoretornodasoperaçõescríticasaní-
veisaceitáveisepré-defnidos,garanteàorganizaçãovantagemcompetitiva
ereduçãoemseusriscosoperacionais.
AGCNtememseuescopoumconjuntodeatividadesqueincluioconheci-
mento da organização e de suas necessidades estratégicas, a defnição de
estratégiasdecontinuidadedenegócios,odesenvolvimentoeimplementação
dasrespostasaosincidentesqueprovoquemainterrupçãonacontinuidadede
negócioseamanutençãoerevisãodosplanosdecontinuidade.Porém,não
considerasomenteasquestõestécnicas,mastambémadimensãohumana.
Reconhece que os funcionários, e possivelmente suas famílias, podem ser
atingidospelamesmaocorrênciaquedeuorigemaalgumtipodeinterrupção
eque,comoresultado,nemtodososfuncionáriosestarãodisponíveisparaa
organizaçãoduranteouimediatamenteapósincidentesoudesastres.
GCN nas instituições fnanceiras
Acontinuidadedenegócioséprioridadeparaaindústriafnanceiraeparaas
autoridades e reguladores do setor. Esses atores têm interesse comum no
aumentodacapacidadederesiliênciadosistemafnanceirofrenteagrandes
interrupções.Esteinteresseéresultadodemúltiplosfatores,incluindo:
■ opapelcrucialqueaintermediaçãofnanceiradesempenhaemfacilitar
epromoverasatividadeseconômicasnacionaisemundiais;
■ ainterrupçãodosprocessosdecompensaçãoeliquidação,feitodemodo
concentradonamaioriadospaíses,podeterefeitosadversosparaosis-
temafnanceirocomoumtodoeimpedirqueosparticipantescompletem
operaçõesecumpramsuasobrigações;
■ avelocidadecomqueodinheiroeosvaloresmobiliárioscirculamdiaria-
menteconsolidaoníveldeinterdependênciadasinstituiçõesfnanceiras
sobaformaderiscodeliquidaçãoe,emúltimaanálise,riscodecrédito
edeliquidez.Oresultadodeumainterrupçãoemumainstituiçãofnan-
ceiraparticipantedosistemapodeafetaroutracomsériasimplicações
pormeiodoefeitosistêmico;
■ apossibilidadedeataquesterroristasououtrosataquesorientados,di-
retaouindiretamente,àinfra-estruturadosistemafnanceiro;
ProGrama certificação interna em conhecimentos 118
Universidade Corporativa BB
■ repetidasouprolongadasinterrupçõesnofuncionamentodeumsistema
fnanceiropodemminaraconfançaeresultaremumaretiradadecapi-
talafetandoosistemanacionaleglobal.Aconfançadopúblicoémuito
importanteparaofuncionamentodossistemasfnanceiros.
Aomesmotempo,outroselementos,comoacrescentecomplexidadeeorisco
operacionalemtodasasáreasdosistemafnanceiro,aumentamodesafode
implementaracapacidadederesiliência.Porexemplo,osistemafnanceiro
é profundamente dependente da automatização que, por sua vez, depende
doselementosdainfra-estruturafísicaquedãosuporteaautomatização,tais
comotelecomunicaçõeseenergia.Enquantoasorganizaçõesquefornecem
asinstalaçõeseosserviços,queincluemainfra-estruturafísica,estão
empenhadasemmelhorarasuacapacidadeparasuportargrandesinterrup-
ções,asautoridadesfnanceiraseaindústriafnanceiranãotêmcontroledire-
tosobreassuasdecisões,quandodaocorrênciadestasinterrupções.
Compatívelcomofocoempreservarafuncionalidadedeumsistemafnancei-
ro,asautoridadesfnanceirastendemapriorizarosparticipantescríticosdo
mercado.Asliçõesqueseaprendecomaexperiênciadopassado,noentan-
to,sãoaplicáveisaumaaudiênciamaisampla.
Agestãoefcazdacontinuidadedenegóciosconcentra-senoimpactocausa-
do,emoposiçãoàorigemdainterrupção,eforneceàindústriafnanceiraeàs
autoridadesfnanceirasumamaiorfexibilidadeparatratarumamplolequede
interrupções.
A estrutura de GCN
AvisãomaisaceitadoassuntopercebeaGCNcomoumcicloquepermite
compreendermelhoraorganizaçãoeprepará-laparaoenfrentamentodecri-
ses,aodefnirosprocessoscríticos,fazeraavaliaçãoderiscoeimpactodes-
tesprocessos,defnirasestratégiasdecontinuidadedenegócios,determinar
responsabilidades,desenvolveretestarosplanosdecontinuidade.Grafca-
mente,podemosentenderesseciclocomodemonstradonafgura16.
Gestão de seGurança 119
Universidade Corporativa BB
OciclodeGCNpermiteumavisãoclaradasatividadesessenciais,categori-
zadasdeacordocomsuaprioridadederetomada,bemcomopermiteadef-
niçãodoperíodomáximodeinterrupçãoaceitávelparacadaprocessocrítico,
defnindorecursoseresponsáveis.
Agestãoefcazdacontinuidadedenegóciosécomposta:
■ pela análise de impacto (conhecida internacionalmente pela sua sigla
eminglês–BIA:Business Impact Analysis)ederisco(ouRisk Assess-
ment);
■ pelasestratégiasderecuperaçãoeosplanosdecontinuidade;
■ porumprogramadetestes,formaçãoesensibilizaçãodosfuncionários;
■ porumprogramadecomunicaçãoegestãodecrise.
Comessavisão,osresponsáveispelosprocessospodemavaliarotempode
retomadaemrelaçãoaocustodeimplementaçãodedeterminadaestratégia
decontinuidade,direcionandosuasdecisõesdeacordocomoriscoqueem-
presaestápreparadaparaaceitarouseexpor.
Como funciona o ciclo de GCN?
Em primeiro lugar é necessário compreender o negócio em sua totalidade,
perceberoseufocodeatuaçãoeobservarquaisprocessossãoessenciais
paraosucessonosnegócios.AexistênciadeumapolíticadeGCNdefnida
eaprovadanaesferadecisóriasuperiordaorganizaçãoéfundamentalcomo
Figura.16
Ciclo de gestão da continuidade de negócios
ProGrama certificação interna em conhecimentos 120
Universidade Corporativa BB
direcionadornestesentido.Apartirdaaprovaçãodapolítica,pode-sepassar
paraasetapasseguintes,quesãoaanálisederiscoeaanálisedeimpacto
dosprocessoscríticos.
Arealizaçãodaanálisedeimpactoéopontodepartida.Éumprocessodinâ-
micoquebuscaidentifcaroperaçõeseserviçoscríticos,dependênciasinter-
naseexternaseníveisderesiliênciaapropriados.Avaliaosriscoseimpactos
potenciaisdosvárioscenáriosdeinterrupçãonosprocessosdeumaorgani-
zaçãoenasuaimagemereputação.Osprocessoseatividadescríticassão
sustentadosporpessoas(funcionários,colaboradoresetc.)erecursos(tecno-
logias,infra-estruturafísicaedelogística,fornecedoresetc).Torna-seneces-
sárioperceberasameaçasaqueestãosujeitasaspessoaseosrecursos,as
vulnerabilidades e o impacto que a interrupção provocada por um incidente
possa causar nos negócios da empresa. Esta percepção é conseguida por
meiodaanálisederiscoeimpacto.
É fundamental a realização das análise de risco e impacto para perceber e
mensurararealcriticidadedosprocessos.Asanálisesderiscoeimpactofor-
necemsubsídiosparatomadadedecisão,permitindoumdirecionamentonas
açõescontingenciais,comvistasapriorizararetomadadosprocessosmais
importantes.para.a.organização.
Aestratégiadecontinuidadepartedosobjetivosderecuperaçãoedaspriori-
dades,baseando-senosresultadosdaanálisedeimpactonosnegócios.Entre
outrascoisas,estabeleceobjetivosparaoníveldeserviçoqueaorganização
buscaentregarnocasodeumainterrupçãoearetomadadasoperações.
Osplanosdecontinuidadeprovêemorientaçãodetalhadaparaimplementar
aestratégiaderecuperação.Elesestabelecemospapéisealocamresponsa-
bilidadesporadministrarassituaçõesemergenciaisduranteasinterrupções
egarantemorientaçõesclaras,relativasàalçadadedecisãodasequipesno
casodeumainterrupçãoqueincapaciteaspessoas-chave.
Asegurançadaspessoasnãopodeseresquecidaedeveserapreocupação
máximadosplanosdecontinuidadedosnegóciosdeumaorganização.
Éimportantelembrarqueaconfusãopodeserumgrandeobstáculoparauma
respostaefetivaaumainterrupçãosignifcativa.Nessesentido,papéis,res-
ponsabilidadeseautoridadeparaagir,bemcomooencadeamentodospla-
nos,devemserclaramentedescritosnoprogramadegestãodacontinuidade.
Gestão de seGurança 121
Universidade Corporativa BB
Análise de impacto nos negócios
AanálisedeimpactonosnegócioséopilarcentraldaGCN.Éresponsável
pelaidentifcação,quantifcaçãoequalifcaçãodoimpactonosnegóciosge-
rado pela perda, interrupção ou ruptura dos processos de negócio de uma
organizaçãoeprovêasinformaçõesquesubsidiarãoadeterminaçãodases-
tratégiasdecontinuidademaisadequadas.
Aanálisedeimpacto,aoidentifcar,quantifcarequalifcaroimpactonosne-
gócios,permite:
■ obterumamaiorcompreensãodosprocessosmaiscríticos,aprioridade
decadaumdeleseostemposmáximosderetomadaapósumainterrup-
çãonãoprogramada;
■ identifcarquaisimpactosnosnegóciossãomaisrelevantesparaaor-
ganização,considerando-seaspectoscomoimagem,reputação,perda
fnanceiraetc;
■ propiciar informações para as estratégias de recuperação se tornarem
maisefetivas;
■ identifcarquaisimpactospodemresultaremdanosàreputação,ativos
eposiçãodemercadodaorganização;
■ quantifcarotempomáximotoleradodeumainterrupçãoparacadapro-
cessodenegócio.
Ao avaliar os impactos, convém que a organização considere aqueles que
serelacionamaoatingimentodeseusobjetivoseàfuncionários,acionistas,
sociedadeedemaispartesinteressadas.Osimpactosaseremavaliadosin-
cluem:
■ impactoaobem-estardaspessoas;
■ danoouperdadeinstalações,tecnologiasouinformação;
■ nãocumprimentodedeveresouregulamentações;
■ danosàreputação;
■ danosàviabilidadefnanceira;
■ deterioraçãodaqualidadedeprodutosouserviços;
■ danosambientais.
Ocorre, então, uma análise dos recursos, das ameaças e vulnerabilidades,
paraquesepossaclassifcarograudeimpactoqueestasameaçaspoderão
provocarnocasodeumincidente.
ProGrama certificação interna em conhecimentos 122
Universidade Corporativa BB
Pararealizaraanálisedeimpactosãoutilizadosworkshops,aplicadosques-
tionáriosourealizadasentrevistascomosgestoresdosprocessos.
AsboaspráticasdeGCNindicamanecessidadederevisãomínimaanualdos
resultadosdaanálisedeimpacto.
Análise de riscos
Aanálisederisco,noâmbitodaGCN,érealizadaparaosprocessosconside-
radoscríticos.Oobjetivoédeterminareidentifcarosmodelosdeavaliação
deriscoseosníveisaceitáveisderiscoaosquaisaorganizaçãoestádisposta
a.enfrentar.
Paraisso,osriscosdosprocessossãomensuradoseclassifcadosdeacordo
comseugraudecriticidade.Aanálisederiscos,aoestudarprobabilidadede
ocorreroeventoeseuimpactonoprocesso,permiteidentifcarumasériede
ameaças.de.interrupção.
Aanálisederiscosdeveserfocadanosprocessosmaisurgentesidentifca-
dosduranteaanálisedeimpacto.Temcomopropósitoidentifcarasameaças
internaseexternasquepodemprovocardescontinuidadenosnegóciosesua
probabilidade e impacto; priorizar as ameaças de acordo com um método
aceitopelaorganização;eproverinformaçõesparaosplanosdeaçõesmiti-
gadorasdorisco.
Osprincipaistópicosaseremabordadosnaanálisederiscossão:
■ detalhamentodosimpactosedasprobabilidadesdeocorrênciaemor-
demdecriticidadeerelevância;
■ identifcaçãodasameaçasaosprocessosdemaiorimpactoidentifcados
nafasedeanálisedeimpacto;
■ estimativadoimpactodasameaçasnaorganizaçãousandoummétodo
únicodeavaliação;
■ determinaçãodosvaloresestatísticosassociadosàprobabilidadeoufre-
qüênciadecadaameaça;
■ cálculodorisco,combinandooimpactoeaprobabilidadedeocorrência
decadaameaça,utilizandométodopreviamentedefnido;
■ categorizaçãodosresultadosobtidos.
Gestão de seGurança 123
Universidade Corporativa BB
Adecisãodométododeavaliaçãoderiscosaseradotadoédaorganização,
maséimportantequeessemétodosejaapropriadoatodososrequisitosde
segurança.
As vulnerabilidades podem existir como fraquezas nos recursos e podem,
emalgumponto,serexploradaspelasameaças,como,porexemplo,pontos
únicosdefalhaeinadequaçõesnaproteçãocontraincêndio,eminstalações
elétricas,naquantidadedepessoasnaequipe,nasegurançaefacilidadede
recuperaçãodosrecursosdeTI.
Como resultado das análises de risco e impacto, o gestor pode escolher a
melhorestratégiadecontinuidade,reduziraprobabilidadeeoperíododein-
terrupçãooumesmolimitaroimpactoadeterminadosprodutosouserviços.
Defnição de estratégias
ParaumaboapráticadeGCN,todasasorganizaçõesdevemperceberquais
sãoseusprocessosmaiscríticosedesenvolverestratégiasparaminimizaro
impactonosnegócios,imagememarca,advindodeumainterrupção.
Paraodesenvolvimentodeboasestratégiasdecontinuidade,váriosfatores
devemserconsiderados,comoporexemplo:
■ aspessoasenvolvidasnosprocessos;
■ osrecursostecnológicosdisponíveis;
■ osfornecedores;
■ asegurançadainformação(atendendoaosrequisitosdeconfdenciali-
dade,integridadeedisponibilidade)
■ operíodoaceitáveldeinterrupção;
■ oscustosparaimplementaçãodasestratégias;
■ conseqüênciasdasações,graudetempestividadeeatédainação;
■ atendimentoàsexpectativasdosacionistaseclientes.
Asestratégiasdecontinuidadeoferecemsoluçõesalternativasparasemanter
operacionais os processos críticos de uma organização. São respostas de
proteçãoàsvulnerabilidadesdosprocessoscríticosapontadasnaanálisede
risco.Estassoluçõesdevemserpreparadasetestadasantesdeumainter-
rupçãonosnegócios,demodoagarantiraefcáciadaestratégiacomganhos
para.a.empresa.
ProGrama certificação interna em conhecimentos 124
Universidade Corporativa BB
Existemváriasestratégiaspossíveisdeutilizaçãoemcasodeinterrupçãonos
negócios.Autilizaçãoounãodessasestratégiasdependedograuderiscoe
impactolevantadosedadecisãodogestordosprocessos.
Asestratégiasdecontinuidadedenegóciostêmdeestaralinhadasàestraté-
giacorporativaeàdireçãofornecidapelaaltaadministraçãodaorganização.
Entre outros aspectos relevantes dessa estratégia encontram-se a revisão
regulardasanálisesderiscoeimpactodosprocessoscríticos,aformaçãode
equipeespecializadaemgestãodacontinuidadedenegócios,aimplantação
deumprogramacorporativodeGCNeaprovidênciadosrecursosnecessá-
riosparaumrápidoretornoànormalidadedosnegócios.
Formalização e divulgação das estratégias
Comojávisto,apósaanálisederiscoeimpactonosnegócios,osadministra-
doresadquiremumconjuntodeinformaçõesquepermiteatomadadedeci-
sãonocasodeumasituaçãodeinterrupçãonosnegócios.
Asestratégiasdecontinuidadedevemgarantiraefcácianaadoçãodeações
tempestivasporpartedaorganizaçãoemmomentosdecrise,alémdoretor-
no à normalidade no menor espaço possível de tempo.A formalização das
estratégiaséfeitapormeiodosplanoseprocedimentosdecontinuidadede
negócios.
O objetivo fnal de um plano de continuidade dos negócios é a restauração
integraldasoperaçõesdeumaorganização.Amaiorpartedosplanosprevêa
recuperaçãodasoperaçõesdeacordocomoseuimpactosobreaempresa,
priorizandoasoperaçõescríticasdaorganização.
Interrupçõesdediferentestiposeimpactosqueacontecemrotineiramente-
comofalhasemTI,interrupçõesnofornecimentodeenergiaelétricaeproble-
masnostransportes-devemestarcontempladosnosplanosdecontinuidade
dos negócios. De uma perspectiva empresarial, a resiliência tem uma clara
lógicacomercial–clientesdasorganizaçõescujossistemasregularmenteso-
freminterrupções,inevitavelmente,vãoescolherfazernegócioscominstitui-
çõesmaisresistentes.Emumambientecompetitivo,umaorganizaçãoirápe-
sarosbenefíciosdemedidasquemelhoremasuacapacidadederesistência
ainterrupçõesfrenteaocustodestasmedidas.
Gestão de seGurança 125
Universidade Corporativa BB
Testes e manutenção de planos
Testesdacapacidadederecuperaçãodasoperaçõescríticassãoelementos
essenciaisparaagestãoefcazdacontinuidadedenegócios.Taistestes,que
podemassumirmuitasformas,devemserrealizadosperiodicamente,coma
natureza,oescopoeaperiodicidadedeterminadapelacriticidadedasaplica-
çõesefunçõesdaempresa,opapeldaorganização,asoperaçõesdomerca-
do.e.alterações.sofridas.pela.organização.ou.no.ambiente.externo.
Alémdisso,essestestesdevemidentifcaranecessidadedeaprimoramento
dosplanosdecontinuidadeedeoutrosaspectosdagestãodacontinuidade
empresarial..
Em alguns casos, essa necessidade pode surgir como resultado de altera-
çõesnomodelodenegócio,responsabilidades,sistemas,software.e.hardwa-
re, pessoal, instalações ou no ambiente externo. Uma parte independente,
talcomoauditoriainternaouexterna,deveavaliaraefcáciadoprogramade
testesdaorganização,reverosresultadosdostesteseapresentarosseusre-
sultadosaoconselhodeadministração.Aaltaadministraçãoeoconselhode
administraçãodevemgarantirquetodasaslacunasoudefciênciasquelhes
sejamtransmitidassejamabordadasdeformaadequadaeoportuna.
Além de garantir que os planos de continuidade sejam avaliados e atuali-
zados, caso necessário, os testes também são essenciais para promover a
consciência, o conhecimento e o entendimento entre os funcionários sobre
suas atribuições e responsabilidades no caso de uma interrupção. É impor-
tantequeoprogramadetestesenvolvatodoopessoalquepodeseracionado
nasrespostasaincidentes.
5.2. ASPECTOS LEGAIS, GOVERNANÇAS E MELHORES PRÁTICAS
A dinâmica do sistema fnanceiro internacional, o processo de globalização
(que aumentou a integração dos mercados), a sofsticação tecnológica, a
crescente preocupação com a mitigação dos riscos nas organizações, alia-
dosaosescândalosenvolvendofraudesembalançosdegrandesempresas,
levouosgovernos,órgãosreguladoreseorganismosinternacionaisàimple-
mentarleis,regulamentos,normasepadrõesparagarantiracontinuidadede
negóciosnoscasosdeincidentescorporativos,tendocomoobjetivoprincipal
minimizarospossíveisprejuízosfnanceirosesociaiseimpedirapropagação
de.seus.efeitos.
ProGrama certificação interna em conhecimentos 126
Universidade Corporativa BB
Comopodemosobservar,existemdiversosfatoresquepodemcolocaremris-
coacontinuidadedosnegócios,sujeitandoasempresasàsameaçasdeinter-
rupção.Asameaçaspodemsernaturais,advindasdeproblemasambientais,
como enchentes, escassez de água, tempestades, incêndios naturais etc.,
que se apresentam ainda mais impactantes devido às alterações climáticas
mundiais;podemternaturezasocial,comoasrelacionadasàviolênciaeàs
atividadesdocrimeorganizado;epodemrelacionar-seaosrecursos,conside-
rando-se,emespecial,aaltadependênciadosrecursosdetecnologiadainfor-
maçãopararealizaçãodenegócios.Aconcretizaçãodasameaçasemeventos
de interrupção geram impactos que se apresentam de maneira mais inten-
saemalgunssetores,comoodetelecomunicaçõeseaindústriafnanceira.
Aatualconjunturafazcomquediversasgovernançasdosetorfnanceiroassu-
mamposturamaisdeterminantequantoàdefniçãoderegrasecontrolespara
minimização do risco operacional, bem como quanto à existência de ações
concretasparaenfrentamentodesituaçõesemergenciaisnasinstituiçõesf-
nanceiras, consolidadas em demonstrações efetivas do estabelecimento do
processodegestãodacontinuidadedenegócios.
Para tanto, foram criadas ou revistas diversas regulamentações e normas,
quesãoobservadaseimplementadaspelasprincipaisorganizaçõesdomun-
do.ComoexemploderegulamentaçõesenormasadotadasnoBrasil,temos
oAcordodeBasiléiaII,aLeiSarbanes-Oxley,aResolução3.380doBanco
CentraldoBrasileasnormasABNTNBR(15999-1e15999-2)eISO(27001
e27002).
Vejamoscommaisdetalhesalgumasdestasregulamentaçõesenormas:
Acordo de Basiléia II–OComitêdeSupervisãoBancáriadaBasiléia(BIS),
compostoporrepresentantesdosbancoscentraiseautoridadessupervisoras
dosbancosdosprincipaispaísesdomundo,defne,pormeiodeseusacor-
dos,asdiretrizesparasupervisãobancáriamundial.OacordodeBasiléiaII
recomendaqueasinstituiçõesfnanceirasmantenhamplanosdecontinuida-
dedenegóciosparaminimizaçãodosriscosoperacionais,pormeiodaado-
çãodepráticasdegestãoecontroledoriscooperacionalcapazesdeeliminar
ouminimizaraprobabilidadedeperdassignifcativasdecorrentesdeeventos
relacionados,entreoutros,a:
■ danos em ativos físicos (edifcações, prédios administrativos, instala-
çõescomerciaisouindustriais,datacenters)provocadosporincidentes
decorrentesdeatosterroristas,açõesdocrimeorganizado,vandalismo,
Gestão de seGurança 127
Universidade Corporativa BB
terremotos,incêndios,enchentes,desabamentos,inundações;
■ falhasdesistemaseinterrupçãonosnegócios,como,porexemplo,fa-
lhas.em.hardware.e.software,problemasdetelecomunicações,falhasna
prestaçãodeserviçoscomoofornecimentodeenergia,águaeteleco-
municações.
Parasubsidiarasaçõesdeimplementaçãodogerenciamentoderiscosope-
racionais,oBISdivulgoudocumentoindicandoaspráticasaseremadotadas
pelasinstituiçõesfnanceiraseexigidaspelosórgãosdesupervisãobancária.
OBancoCentraldoBrasilsegueessasorientaçõeseregulamentaaneces-
sidadedaexistênciadeplanosdecontinuidadedenegóciosnasinstituições
fnanceirasbrasileiras.
Lei.Sarbanes-Oxley–leiamericanaassinadaem30dejulhode2002.Moti-
vadaporescândalosfnanceiroscorporativos,foiredigidacomoobjetivode
evitaroesvaziamentodosinvestimentosfnanceiroseafugadosinvestido-
rescausadapelaaparenteinsegurançaarespeitodagovernançaadequada
dasempresas.Paraevitarfraudeserecuperaracredibilidadeemrelaçãoà
governança corporativa, a lei Sarbanes-Oxley. estipula. responsabilidades. e.
sanções.aos.administradores..Esta.lei.afeta.dezenas.de.empresas.brasileiras.
quemantémADRs(american depositary receipts)negociadasnaNYSEeo
BBéumadelas.
Resolução 3.380, de 29.06.2006-determinaqueasinstituiçõesfnanceiras
edemaisinstituiçõesautorizadasafuncionarpeloBancoCentraldoBrasilim-
plementemestruturadegerenciamentodoriscooperacional,contemplandoa
existênciadeplanosdecontinuidadeeestratégiasparaassegurarcondições
de continuidade das atividades e para limitar graves perdas decorrentes do
riscooperacional.
NBR 15.999-1 e 15.999-2–versãonacionaldanormabritânicaBS25999,pu-
blicadaem22deoutubrode2007,queestabeleceoprocesso,osprincípiose
aterminologiadagestãodacontinuidadedenegócios.Opropósitoéfornecer
umabaseparaquesepossaentender,desenvolvereimplementaracontinui-
dadedenegóciosemumaorganização.Elapermitetambémqueaorganiza-
çãoavaliesuacapacidadedeGCNdeumamaneiraconsistenteereconhecida.
NBR ISO/IEC 27001 e 27002–códigodepráticasparagestãodesistemas
deinformação,éaversãobrasileiradanormaISO,homologadapelaABNT.
Cobreosmaisdiversostópicosdaáreadesegurança,possuindoumgrande
ProGrama certificação interna em conhecimentos 128
Universidade Corporativa BB
númerodecontroleserequerimentosquedevemseratendidosparagarantir
a.segurança.das.informações.de.uma.empresa.
5.3. METODOLOGIA ADOTADA NO BANCO DO BRASIL
Visão do Banco do Brasil
OBancodoBrasildirecionasuaatuaçãopeloatendimentoàsexigênciasdo
ambienteregulatórioeoatendimentoàsexpectativasdosclientes,acionistas,
funcionáriosesociedade.
A preocupação com a GCN no Banco do Brasil se refete não apenas na
defnição da política de gestão da continuidade de negócios aprovada pelo
conselhodiretoreconselhodeadministração,mastambémnaimplantação
deumprocessodeGCNquelevaemcontaosaspectosfnanceiros,legais
e.de.imagem.que.possam.afetar.a.empresa.e.na.divulgação.de.orientações.
estratégicaseoperacionaisnosnormativosinternosenoscanaisdecomuni-
caçãocorporativos.
Desde 2004, em consonância com a política, com o modelo de gestão da
continuidadedenegóciosecomasdeterminaçõeslegaisespecífcasdosór-
gãosreguladoresdoSistemaFinanceiroNacional,aDiretoriadeGestãode
segurança-Digesvemcoordenandoaimplantaçãodeaçõesparagarantira
viabilização da operacionalização dos principais processos de negócios da
organização,mesmodiantedesituaçõesdecrisecorporativa.
Modelo de GCN do BB
OmodeloadotadonoBancocompreendeasatividadesdeanáliseedetermi-
naçãodosimpactosqueumainterrupçãosignifcativacausarianosprocessos
denegóciosdaempresa,bemcomoadefnição,implementaçãoevalidação
dasmedidasdemitigaçãodasconseqüênciasdeumaindisponibilidadeseve-
radosprocessosestratégicos.
As.premissas.que.norteiam.a.adoção.deste.modelo.são:
■ consolidaçãodaculturadeGCNnoBB;
■ aumentodaresiliênciadosprocessosestratégicosexistentesnoBanco;
■ atendimentodasdemandaserecomendaçõesfeitaspelasgovernanças
Gestão de seGurança 129
Universidade Corporativa BB
externas,deacordocomasnormas,regulamentosemelhorespráticas;
■ manutençãodascondiçõesdeoperacionalizaçãodosserviçosprioritá-
rioseessenciaisaofuncionamentodosnegócios,mesmodiantedece-
náriosdeinterrupçãooudecrisecorporativa.
Comofatoresmotivadoresdaadoçãodestemodelo,temos:
■ facilidadedeacompanhamentoeocontroledasaçõesemcadaetapa;
■ respeitoàculturaorganizacional;
■ simplifcaçãodomodelodeGCNadotadonoBB;
■ reduçãodoníveldeexposiçãoaoriscodeindisponibilidadedosprocessos.
Porsetratardeumprocessointerativoeevolutivo,asatividadesdeGCNfo-
ramestruturadasemcicloseetapas,conformefgura17.
Figura.17
Ciclos da GCN no BB
ADigesdisponibilizaregras,modelosepadrõesparaagestãodacontinuidade
denegóciosebusca,juntoàsunidadesestratégicas,identifcareclassifcar
osprocessos,considerandooimpactoeoriscodesuaindisponibilidadepara,
apartirdosresultadosobtidos,assessorá-lasnaproposição,implementação
etestesdasmedidasparamanterosprocessosoperacionais.
Cabe às unidades estratégicas orientar e direcionar as ações das unidades
táticaseoperacionaisquantoàgestãodacontinuidadedosnegócios,emseu
âmbito.de.atuação.


Agendamento,Realização
eElaboraçãodeRelatórios
deTestes/Exercícios
DefniçãodeEstratégias
e.Formalização.dos.
Planos
APE=AnálisedeRiscos
+Análisedeimpacto
ProGrama certificação interna em conhecimentos 130
Universidade Corporativa BB
ParaaimplementaçãodaGCNnoBBforamdefnidasasseguintesações:
■ classifcaçãodosprocessosquantoaoimpactoeaoriscodesuainope-
rânciaparaoBanco(avaliaçãodeprocessosestratégicos-APE);
■ defnição de atribuições e das responsabilidades de implementação -
pelasáreasgestorasdeprodutos,serviçosesistemas-demecanismos
e soluções para manter os processos operacionais, mesmo diante de
cenáriosdeinterrupçãooudecrisecorporativa;
■ documentaçãoformaldassoluçõesemecanismosquevisamacontinui-
dadedosprocessos;
■ avaliaçãodosmecanismosesoluçõespormeiodetesteseexercícios
doscenáriosparaosquaisseaplicam;
■ aprimoramentodosmecanismosesoluções,casonãoatendamaosre-
quisitosdeavaliação;
■ estabelecimentodefuxosespecífcosdeinformaçõesparadarsuporte
aoprocessodegestãodecrises;
■ nocasodecrisecorporativa,avaliaçãodosincidentesqueprovocaram
ainoperânciadeprocessosestratégicosedosplanosdecontinuidades
adotados.
Avaliação de processos estratégicos - APE
Aavaliaçãodeprocessosestratégicosenvolvetodasasunidadesestratégi-
casdoBancoresponsáveispelagestãodosprocessos,produtos,serviçose
sistemas, a fm de determinar os impactos operacionais decorrentes de in-
terrupçõesquepossamabalartodooBancoouasquepodemabalaranor-
malidadedosserviçosmaiscríticos.OfocodaAPEestánasobrevivênciado
Bancodiantedecenáriosdecrisescorporativas.
AAPEorientaadefniçãoeimplementaçãodemedidas,mecanismosesolu-
çõesquemantenhamofuncionamentodoBanco,noscenáriosdecrisecorpo-
rativaesubsidiaaaltadireçãonatomadadedecisõesestratégicasparaama-
nutençãodaoperacionalizaçãodoBanco,aindaqueemcondiçõesmínimas.
AAPEvisaàobtençãodeinformaçõesestruturadasequalifcadasquantoàs
característicasfundamentaisdosprocessosconsideradosestratégicosparaa
organização,abrangendoosseguintestópicos:
■ identifcaçãodosprocessos;
■ vinculaçãoderecursos:humanos,sistemaseserviçosterceirizados;
■ avaliaçãodeintervenientesdeentradaesaída(internoseexternos);
■ avaliaçãodoimpactodaindisponibilidadedosprocessos;
Gestão de seGurança 131
Universidade Corporativa BB
■ vinculaçãodeestratégiasparaoscenáriosdefnidos;
■ classifcaçãodosprocessosestratégicos.
Uma vez concluída aAPE e em função do grau de impacto e risco de sua
inoperância,osprocessossãoclassifcadosemcinconíveis(Figura18),de
acordocomapontuaçãoobtida:
■ baixo(>0e<=150);
■ moderado(>150e<=450);
■ signifcativo(>450e<=650);
■ elevado(>650e<=850);e,
■ extremo(>850e<=1000)
Figura.18
Classifcação dos Processos
A classifcação daAPE subsidia a priorização da retomada dos serviços de
TI, no ambiente de produção, a realização de investimentos para mitigação
de riscos e impacto nos negócios e a utilização de estratégias corporativas
implementadaspelasUnidadesEstratégicas.
Gestão de planos e de procedimentos
EsseciclodomodeloadotadonoBBabrangeasetapasdedefniçãodeestra-
tégiasedeformalizaçãoedivulgaçãodeestratégias,daestruturatradicional
de.GCN.
Comojávisto,apósarealizaçãodaavaliaçãodeprocessosestratégicos,o
gestorpossuiumconjuntodeinformaçõesquepermiteatomadadedecisão
e.a.gestão.dos.planos.elaborados.
ProGrama certificação interna em conhecimentos 132
Universidade Corporativa BB
Testes e exercícios
Ostesteseexercíciosservemparaverifcaraefcáciadasestratégiasemmo-
mentosdecriseeseosplanosatenderãoaosrequisitospré-defnidos.
Conscientização e treinamento
Aconscientizaçãodetodaaorganizaçãoquantoàimportânciadeseimple-
mentarumagestãodacontinuidadedenegócioséfundamentalparaosuces-
so.das.estratégias.
OsmeiosparaseconseguirreforçaraculturadeGCNpassampeloreconhe-
cimentodaaltaadministraçãodoBanco,umfuxodecomunicaçõesclaroe
defnidocomrelaçãoaosresponsáveiseoenvolvimentodetodocorpofuncio-
nalnagestãodacontinuidadedenegócios.
Os treinamentos em GCN estão ao alcance de todas pessoas relacionadas
com o tema. Objetivam ser de fácil entendimento, com o uso de linguagem
claraeacessível.Alémdaconceituaçãoteórica,demonstramousodasfer-
ramentasdisponibilizadasparasuportaragestão,permitindooenvolvimento
daspessoasnosprocessoseumarespostamaisrápidanocasodeumain-
terrupçãonosnegócios.
5.4. PAPÉIS E RESPONSABILIDADES
Asboaspráticasrecomendamumadefniçãoclaradospapéiseresponsabili-
dadesqueenvolvemagestãodacontinuidadedenegócios.
Elasnormalmentecomeçamcomadefniçãodapolíticadecontinuidadede
negócios no âmbito da organização e chegam até à designação da pessoa
responsávelporimplementarumprogramadeGCNnaempresaeaformação
deumaequipeespecializadaparatratardoassunto.
Oescopo,asregraseasresponsabilidadesemGCNdevemserdeconheci-
mentodetodaaorganização.Esteéocaminhonecessárioparaseimplantar
umaculturadegestãodacontinuidadedenegóciosnaempresa.
ParaqueoBBobtenhaaresiliêncianecessáriaaoenfrentamentodecrises
corporativas,todasasunidadesestratégicas,táticaseoperacionaisdevemter
Gestão de seGurança 133
Universidade Corporativa BB
sinergia.no.desempenho.de.seus.papéis.e.responsabilidades..As.atribuições.
dasunidadesquantoàgestãodacontinuidadedenegóciosestãobemdefni-
das.nos.normativos.internos.
As dependências devem constituir o grupo coordenador de continuidade
(GCC), realizar a análise de risco e impacto, elaborar os planos de conti-
nuidade de sua competência, defnir procedimentos para funcionamento da
dependênciaemsituaçõesemergenciaisetestarosplanosdecontinuidade
denegócios.
Grupo coordenador de continuidade - GCC
Oobjetivodogrupocoordenadordecontinuidadeéprepararadependência
paraenfrentaroscenáriosdeinterrupçãooudeameaçadeinterrupçãodos
negócios.Paratanto,seusintegrantesdevem:
■ identifcarasprincipaisameaçasdeinterrupçãodosnegócios;
■ coordenaraelaboraçãodosplanosdecontinuidadedadependência;
■ mantertodaadocumentaçãorelativaaosplanosdecontinuidadedade-
pendência-inclusivenormativoselistasdeacionamento-emlocalse-
guro,acessívelsomenteaosintegrantesdogrupocoordenadordecon-
tinuidadeeaosexecutoresdosprocedimentosprevistos;
■ defnir e implementar fuxo de informações para enfrentamento de cri-
ses;
■ identifcar e monitorar o risco à operacionalização dos processos do
Bancodecorrentedainterrupçãodaprestaçãodeserviçosterceirizados,
bemcomoavaliarosplanosdecontinuidadeelaboradospelosfornece-
doreseprestadoresdeserviço;
■ reunir-seperiodicamentecomvistasàadoçãodemedidaspreventivas
eadministrativasprevistasnosplanos,elaborandoatasdasreuniõese
arquivando-asparaverifcaçãopelaauditoriainterna.
Aconstituiçãodogrupocoordenadordecontinuidadeéumatoformal.Para
tanto,deveserelaboradoorespectivoatodeconstituição,conformeasinstru-
çõesvigentes.Odocumentodeveseratualizadosemprequenecessário,de
modoaoferecerinformaçõesseguraseconfáveisemcasodenecessidade.
ProGrama certificação interna em conhecimentos 134
Universidade Corporativa BB
5.5. CENÁRIOS DE AMEAÇA DE CONTINUIDADE DE NEGÓCIOS
São vários os cenários possíveis de ameaça à continuidade dos negócios.
Para a elaboração dos planos de continuidade de negócios o BB adota os
seguintescenáriosprincipais:
■ bloqueio de acesso – BA: impossibilidade de acesso aos ambientes
normaisdetrabalho,pormotivosrelacionadosexclusivaediretamente
aolocaldetrabalho,comomanifestaçõesdepessoasnasentradasdos
edifícios,problemasnainfra-estruturapredialqueimpeçamasuautiliza-
ção,interdiçãodasviaspúblicasdeacesso,comoplataformasoupistas
próximasàdependência,interdiçãodosprédiosdoBBemdecorrência
deincidentesenvolvendoedifíciosvizinhos;
■ falta de pessoal - FP:ausênciasdefuncionáriosnoslocaisdetrabalho,
voluntáriasouinvoluntárias;
■ indisponibilidade de sistemas - IS:inoperânciatotaldossistemascor-
porativos,casoosmecanismosdedisponibilidadedosambientesdeTI
nãofuncionemconformeprevisto;
■ indisponibilidade de serviços terceirizados - IST:.interrupção.na.pres-
taçãodosserviçosoudasatividadesexecutadasporempresascontrata-
das;
■ problemas na infra-estrutura predial – PIP:interrupçãodofunciona-
mentonormaldasinstalaçõesprediais,notocanteàinfra-estruturabási-
ca(sistemaselétrico,hidráulico,deáguaspluviais,esgotoededetecção
ecombateaincêndio)edeinstalaçõesespeciais(centraisdearcondi-
cionado,nobreaks,subestaçõesegeradores);
■ indisponibilidade da infra-estrutura de TI – IITI:incidentes,danosou
panesnosequipamentoseinstalações(hardware, software,processos
operacionais,aplicativoseambiente)queintegramainfra-estruturade
processamento,armazenamentoecomunicaçãodedados,queprovo-
quemainoperânciatotalouparcialdacapacidadedeproduçãodeum
doscentrosdeprocessamento;
■ ameaça à integridade física e patrimonial – AIFP:situaçõesquecau-
semameaçaàvidaouàintegridadefísicadaspessoasnosambientes
doBanco,bemcomoasquepossamatingirasinstalaçõesprediais.
Gestão de seGurança 135
Universidade Corporativa BB
5.6. ESTRATÉGIAS PARA GARANTIA DA CONTINUIDADE DE NEGÓ-
CIOS
Defnição
Asestratégiasdecontinuidadedenegóciossãoosmecanismosesoluções
defnidos com o objetivo de mitigar os riscos provenientes de uma indispo-
nibilidade que afetem direta ou indiretamente os processos estratégicos da
empresa.
As estratégias de continuidade devem ser detalhadas nos planos de conti-
nuidadedenegócios,paraseremativadasquandoocorreremoscenáriosde
interrupção.
Como vimos, a avaliação de processos estratégicos identifca os processos
críticoseclassifca-osporgraudeimpactoerisco.Ogestordeveperceberas
vulnerabilidadesdeseusprocessoseconfeccionarosplanosdecontinuidade.
Apósperceberquaisprocessospossuemmaiorgraudeimpactoerisco,al-
gumasdecisõesestratégicastêmdesertomadaspelogestor.Taisdecisões
envolvem identifcar as estratégias de continuidade, verifcar as estratégias
alternativas possíveis, analisar a relação custo e benefício da adoção das
estratégiasecomunicaràsinstânciasdecisóriasdaorganização,paraapro-
vação,asaçõesaseremtomadas.
Quantoàesferadecisória,asaçõespodemser:
■ nãofazernada:quandooriscoéaceitável;
■ mudaroufnalizaroprocesso:alinharoprocessoaoutrosprocessosda
organização;
■ garantirumseguro:providenciarrecursossufcientesmedianteacontra-
taçãodeapólicesdeseguroparagarantirapossívelperda;
■ baixaramitigação:providenciaraçõesparamitigarorisco;
■ desenvolverumplanodecontinuidadedenegócios:modomaisefcazde
proverresiliênciaàorganização,emcasodeinterrupçãonosnegócios.
Ogestoriráconsideraropçõesestratégicasparaosprocessosdemaiorgrau
deimpactoeriscoeparaosrecursosquecadaprocessoconsumirádurante
suarestauração.A(s)estratégia(s)mais(s)apropriada(s)depende(m)deuma
sériedefatores,como:
ProGrama certificação interna em conhecimentos 136
Universidade Corporativa BB
■ operíodomáximodeinterrupçãotolerável;
■ oscustosdeimplementaçãodeumaoumaisestratégias;
■ asconseqüênciasdenãoseagir.
Estratégiaspodemsernecessáriasparaosseguintesrecursos:
■ pessoas;
■ instalações;
■ tecnologia;
■ informação;
■ fornecedoresdesuprimentosouserviços.
Emcadacasoogestordeveevitarimplementarumasoluçãodecontinuidade
que possa ser afetada pelo mesmo incidente que causou a interrupção no
processodenegócio.
Formalização
Apósaidentifcaçãodosprocessoscríticos,aavaliaçãodeimpactoeriscoe
adefniçãodasestratégiasdecontinuidade,tornam-senecessáriosodetalha-
mento.e.a.formalização.dessas.estratégias.
As estratégias de continuidade são formalizadas por meio da elaboração e
documentaçãodosplanoseprocedimentosdecontinuidadedenegócios.Os
planosdecontinuidadesãoparteintegrantedociclodevidadosprocessosde
negócio,devendo,portanto,teratençãoespecialdoadministrador.
Váriosfatoresinfuenciamaelaboraçãodosplanosdecontinuidadedenegó-
cios:recursos,tempoderecuperação,prioridades,responsabilidades,estru-
turaorganizacional,listadeacionamentoetc.
Umplanodecontinuidadedeveserconciso,escritodeformaclaraeobjetiva,
defácilleituraecontertodasasinformaçõesrelevantesparaumamelhorto-
madadedecisãonomomentoinicialdainterrupção.
Vejaasprincipaisinformaçõesquedevemestarcontidasnosplanos:
■ objetivogeraldoplano;
■ listagemdosprocessosatendidospeloplano;
■ cenáriosparaosquaisoplanoseaplica;
■ estratégiasdecontinuidadeadotadas;
Gestão de seGurança 137
Universidade Corporativa BB
■ critériosdeavaliaçãodostesteseexercícios;
■ situaçãoparaadecretaçãoouativaçãodosplanos;
■ premissasouobservaçõesessenciaisparafuncionamentodoplano;
■ periodicidadederealizaçãodetestesouexercícios.
O plano de continuidade deve contemplar, também, procedimentos de pre-
venção,respostaeretorno:
■ prevenção:açõespreventivas,istoé,passosaseremseguidosantes
da concretização do cenário analisado. Os procedimentos desta fase
tambémenvolvemtestes,exercícioseconfguraçõesprévias;
■ resposta:açõesreativas,istoé,passosaseremseguidosnomomento
daconcretizaçãodocenárioanalisado.Osprocedimentosdestafaseen-
volvemaexecuçãoderotinasouacionamentodepessoaspreviamente
defnidas;
■ retorno: ações pós-incidente, isto é, passos a serem seguidos depois
da concretização do cenário analisado. Os procedimentos desta fase
envolvemaretomadadosserviçosrepresadosduranteoincidente;tem
foconoretornodosprocessosànormalidade.
Os procedimentos descrevem o detalhamento das ações que deverão ser
executadas,paraquesuasatividadescontinuemaserrealizadasmesmoem
situações.de.anormalidade.
Aodefniredetalharasestratégiasdecontinuidade,ogestordeveestimaros
recursosquecadaatividadeprevistanosplanosnecessitará,contemplando
nomínimoosseguintesaspectos:
■ recursosdepessoal,incluindoquantidade,habilidadeseconhecimento
(depessoas);
■ localizaçãodostrabalhoseinstalaçõesnecessárias;
■ tecnologia,equipamentoseinstalaçõesfísicas;
■ informação,eletrônicaouempapelsufcientementeatualizadaeprecisa
sobretrabalhosanterioresouemandamento,deformaapermitirqueas
atividadescontinuemnonívelacordado;
■ serviçosefornecedoresexternos(suprimentos).
ProGrama certificação interna em conhecimentos 138
Universidade Corporativa BB
Avaliação: testes e exercícios
Essa etapa da GCN engloba as ações de agendamento, realização e ela-
boraçãodosrelatóriosdetesteseexercíciosdosplanosdecontinuidadede
negócios.
Existemduasformasdeavaliarosplanosdecontinuidade:
■ testeéumaavaliaçãoemquehásimulaçãodocenáriodeinterrupçãoe
acionamentodomecanismoalternativodefuncionamento,masosresul-
tadosnãosãoconsideradosofciais;
■ exercícioéumaavaliaçãoemqueomecanismoalternativodefunciona-
mentoproduzresultadosquesãoconsideradosofciais,válidos.
Ostesteseexercíciospodem:
■ adiantarumresultadoprevisto,ouseja,quetenhasidoantecipadamente
planejadoeincluídonoescopo;ou
■ permitirqueoBancoimplementeaçõescorretivassemprequeosresul-
tadosnãoforemconsideradossatisfatórios.
Ostesteseexercíciosdevemterobjetivosclaramentedefnidos,seremrealis-
tas,planejadoscuidadosamenteeacordadoscomaspartesinteressadas,de
modoquehajaumriscomínimodeinterrupçãodosprocessosdenegócio.
As boas práticas recomendam a elaboração de relatórios e a realização de
análisesdeseusresultados,parademonstrarseosobjetivosforamalcança-
dos.Orelatóriodeve,semprequepossível,conterrecomendaçõesdemelho-
ria ou de correção dos problemas identifcados e a previsão de tempo para
implantaçãodestasrecomendaçõescomclaradefniçãoderesponsáveis.
Estesrelatóriosdevemteraprovaçãoformaldosgestoresdosprocessos,de
modo a garantir a execução das recomendações existentes e servir como
balizadorparacorreçõesnasestratégiasadotadas,atualizaçãodosplanose
adequaçãoaofocogerencial.
Osplanoseprocedimentosdevemseravaliadosaomenosumavezporano,
excetoseasituaçãodescritanoplanonãojustifcararealizaçãodaavaliação,
sejaporcausadaimpossibilidadedesimulação,altoriscodeimpacto,oupela
combinaçãodessesfatores.
Gestão de seGurança 139
Universidade Corporativa BB
Paradefniçãodaperiodicidadedeavaliaçãodeumplanodevemserconsi-
derados os aspectos de ordem legal ou normativa e constituída agenda de
realizaçãodetestesouexercícios.
DadasascaracterísticasdoBB,aquantidadeevariedadedeplanosdeconti-
nuidadeeáreasenvolvidas,torna-seimprescindívelacriaçãodemecanismos
degerenciamento(planejamentoecontrole)darealizaçãodetesteseexer-
cícios.
Estegerenciamentoéfeitoapartirdaadoçãodeumaagendacorporativaem
que.são.registrados:
■ osresponsáveis;
■ asdatasprevistasparaarealizaçãodostestesouexercícios;
■ acompanhamentodosresultados;
■ osintervenientes;
■ osrecursosnecessáriospararealizaçãodotesteouexercício.
Aagendadetestesouexercíciosdeveserelaboradadeformaque,aolongo
dotempo,possagarantir,objetivamente,queosplanosdecontinuidadefun-
cionarãocomoprevistoquandonecessário.Convémqueostesteseexercí-
cioscontemplem:
■ aspectostécnicos,logísticos,administrativos,deprocedimentoesiste-
mas;
■ asaçõespreparatóriaseainfra-estruturadeGCN,incluindopapéis,res-
ponsabilidadeselocaisdegerenciamentodeincidenteseáreasdetra-
balhoalternativas,entreoutros;e
■ avalidaçãodosrecursostecnológicosedetelecomunicaçõesnecessá-
rios,incluindoosaspectosdedisponibilidade,eosremanejamentosde
pessoal.
Todooprocessodeavaliação(testeouexercício)deveserdevidamentedo-
cumentado e arquivado para efeito não apenas de auditoria como também
paraservirdefontedeconsultaparamelhoriadosplanosdecontinuidadee
correçãodasestratégiasadotadas,senecessário.
Agora temos uma visão do que é a gestão da continuidade de negócios e
suaimportânciaparaasobrevivênciadasorganizações.Entenderepraticar
a GCN garante uma visão mais ampliada da empresa, de seus processos
essenciaisedaspossibilidadesdemitigaçãodosriscosenvolvidos,quando
ProGrama certificação interna em conhecimentos 140
Universidade Corporativa BB
daocorrênciadeinterrupçãonosnegócioscríticosoumesmoemsituaçãode
crisecorporativa.Apreocupaçãodasdiversasgovernançascomoassuntojá
demonstraanecessidadedeadaptaçãoconstantedasorganizaçõesarápi-
dasmudançasdecenárioseambientecadadiamaiscompetitivo.
Espera-sequeaofnaldoestudodestetemavocêpossa:
▪Identifcaropapeldaspessoasnoprocessodegestãodesegurança.
6
O PAPEL DAS PESSOAS
NA SEGURANÇA
Gestão de seGurança 143
Universidade Corporativa BB
Aspessoassãooelementocentraldeumsistemadesegurança.Partindodo
princípioqueumaorganizaçãopodeserdefnida,também,comoumconjunto
de pessoas que nela trabalham e que os incidentes de segurança sempre
envolvempessoas,fcafácilobservaroporquêdaspessoasseremoelemen-
to mais importante para a segurança. Mesmo nos incidentes que envolvem
fatoresnaturais,aspessoasprecisamprevertaisfatoreseprotegerosativos,
criandosalvaguardaseelaborandoplanosdecontinuidadedenegócios.
Quando nos referimos a pessoas que trabalham na empresa, estas não se
restringemaosfuncionários,masatodososcolaboradoresqueprestamser-
viçosàorganização.Nessesentido,alémdosfuncionáriostodososdemais
colaboradoresouterceirossãotambémpúblico-alvodasaçõesdeconscien-
tização, educação e treinamento em segurança. Todos devem receber trei-
namentoapropriadoeatualizaçõesregularessobreaspolíticasenormasda
organização.
6.1. CONSCIENTIZAÇÃO, EDUCAÇÃO E TREINAMENTO
O ser humano é dotado de iniciativa e criatividade, que lhe permitem ino-
varsempre.Aquelesquepraticamilícitosestãosemprecriandonovasformas
para fraudar e agem de maneira a surpreender suas vítimas. Daí a neces-
sidade de as pessoas estarem atentas, bem preparadas e conscientes da
importânciadeseobservarosprocedimentosdesegurança.Onãocumpri-
mentodeinstruçõeseprocedimentospelosfuncionáriosecolaboradoresde
umainstituiçãotornainefcazqualqueralternativaimplementadacomvistasà
salvaguarda.dos.valores.
Paratratardeformaadequadaaquestãodasatitudesdaspessoasfrenteà
segurança,énecessárioformaremanterumaculturadesegurançaquese
integre às atividades dos colaboradores e passe a ser vista pelos mesmos
comouminstrumentodeautoproteção.Aempresadevecompartilharares-
ponsabilidadecomcadaindivíduo,transformando-oemco-autordonívelde
segurançaalcançado.Somentedestaformaasempresasterãoemseusfun-
cionáriosaliadosnabatalhadereduçãoeadministraçãodosriscos.
ProGrama certificação interna em conhecimentos 144
Universidade Corporativa BB
Uma atitude positiva em relação à segurança é fruto de um processo edu-
cativo.Porenvolvermudançadecomportamento,asaçõesdesseprocesso
precisamserconstantesereavaliadassemprequenecessário.Nãobastam
campanhasefêmeraseisoladas.
Entreasdiretrizesparaqueaorganizaçãotenhasucessonessaconscienti-
zaçãodestacam-se:
■ envolvimento da alta direção em todo o processo–nadasuperaa
forçadoexemplo;
■ defnição clara do que a empresa espera–seoobjetivoforoenvolvi-
mentoeasensibilizaçãodaspessoassobreaimportânciadaseguran-
ça,nãobastaapenasdivulgarnormas;
■ compreender bem o universo dos colaboradores–quemsãoosato-
res,seustatusepapel,aspirações,padrõesdecomportamento,forma
comocostumamresolverosproblemasdodia-a-dia;
■ selecionar e ordenar os conteúdos,bemcomoescolhermetodologia
deabordagem;cadapúblico-alvopodeterpeculiaridadesquedevemser
tratadasdeformadistintadoqueécomumaosdemaispúblicos;
■ ter mecanismos de avaliação e controledoníveldeaprendizadoeda
evoluçãodograudeconscientização.
Sabendoondequeremoschegarecomochegarmosfcamaisfáciloprocesso
deconscientização.
ACADEMIALatino-americanadeSegurançadaInformação.Curso Básico de Segu-
rança da Informação–.ApostiladesenvolvidapeloMódulo Securityemparce-
riacomaMicrosoft Informática,2007.
ALVIM, Paulo César Rezende de Carvalho. Inteligência competitiva nas empre-
sas de pequeno porte. In: I Workshop Brasileiro de Inteligência Competitiva.
Semana do Conhecimento. Anais. Rio de Janeiro: PETROBRAS. FINEP. SE-
NAI/CIET.18a22out1999.
BRASIL.LeiComplementar105,10dejaneirode2001.Dispõesobreosigilodasope-
raçõesdeinstituiçõesfnanceirasedáoutrasprovidências.Disponívelem:www.
bcb.gov.br/pre/leisedecretos/Port/Lei_Compl105.pdf. Acesso em 28 jul 2008.
ENGENHARIASocial.Disponívelem:http://cartilha.cert.br/glossario/#e.Acessoem
23jul2008.
FERREIRA,FernandoNicolauFreitas.Segurança da Informação.RiodeJaneiro:
CiênciaModerna,2003.
FERREIRA,FernandoNicolauFreitas;ARAÚJO,MárcioTadeude.Política de Se-
gurança da Informação:guiapráticoparaelaboraçãoeimplementação.Riode
Janeiro:CiênciaModerna,2006.
INFORMAÇÃO. Disponível em: www.wikipedia.org/wiki/Informação. Acesso em 21
jul2008.
LYMANPeter;VARIANHalR.How Much Information?Disponívelem:<http://www.
sims.berkeley.edu/how-much-info-2003/execsum.htm>.Acessoem29jul2008.
MANDARINI,Marcos.Segurança Corporativa Estratégica.SãoPaulo:Manole,2006.
MOREIRA, Nilton S. Segurança mínima: uma visão corporativa da segurança de
informações.RiodeJaneiro:AxcelBooks,2001.
NAKAMURA,E.T;DEGEUS,P.L.Segurança de redes em ambientes corporati-
vos.SãoPaulo:Novatec,2007.
PECK,Patrícia.Direito Digital.SãoPaulo:Saraiva,2002.
RAMOS,Anderson(org.).Security Offcer – 1:Guiaofcialparaformaçãodegesto-
resemsegurançadainformação.PortoAlegre,RS:Zouk,2006.
RUEDA JUNIOR, Edson. Sigilo Bancário Análise Constitucional. Disponível em:
www.direitonet.com.br/artigos/x/10/34/1034/.Acessoem28jul2008.
SÊMOLA,Marcos.Gestão da segurança da informação:visãoexecutivadasegu-
rançadainformaçãoaplicadaaoSecurityOffcer.RiodeJaneiro:Elsevier,2003.
R
REFERÊNCIAS
ProGrama certificação interna em conhecimentos 146
Universidade Corporativa BB
SIGILO bancário. Disponível em: www.direitonet.com.br/dicionario_juridico/x/68/99/689/..
Acessoem28jul2008.
TRIBUNALdeContasdaUnião.Boaspráticasemsegurançadainformação.Brasí-
lia:TCU–SecretariadeFiscalizaçãodeTecnologiadaInformação,2007.
Outras fontes de consulta
BCI–The Business Continuity Institute..Good Practices Guidelines–A Framework
for Business Continuity Management..2005.
BIS–Bank for International Settlements..High-Level Principles for Business Con-
tinuity..2006.
BRASILIANO,AntonioCelsoRibeiro.Manual de Análise de Risco..São.Paulo:.Si-
curezza,2003.
BRASILIANO,AntonioCelsoRibeiro.Manual de Planejamento–GestãodeRiscos
Corporativos.SãoPaulo:Sicurezza,2003.
BRASILIANO,Antonio Celso Ribeiro. Manual de Planejamento Tático e Técnico
em Segurança Empresarial.SãoPaulo:Sicurezza,2003.
BRASILIANO, Antonio Celso Ribeiro. Planejamento da Segurança Empresarial..
SãoPaulo:Sicurezza,1999.
BSI – British Standards Institute. BS 25999-1. Business Continuity Management.
–Part 1: Code of Practice..2006.
CUNHA,SérgioSérvuloda.Dicionário Compacto do Direito–2ªed.rev.eampl
–SãoPaulo:Saraiva,2003.
CURSOSdoBancodoBrasil:AgentedeRegistro.CertifcaçãoDigital.Grafoscopia.
IntroduçãoàGestãodeRiscos.SegurançadaInformação.SegurançadePes-
soas.e.Ambientes.
DANTAS FILHO, Diógenes. Segurança e Planejamento. Rio de Janeiro: Ciência
Moderna,2004.
DANTASFILHO,Diógenes.Segurança Pessoal.RiodeJaneiro:CiênciaModerna,
2002.
FONTES,Edison.Segurança da informação:ousuáriofazadiferença.SãoPaulo:
Saraiva,2006.
GIL,AntoniodeLoureiro.Segurança Empresarial e Patrimonial.SãoPaulo:Atlas,
1995,
GODOY,MaxBianchi.A segurança da informação e sua importância para o su-
cesso das organizações.RiodeJaneiro:Kirios,2004.
HILES,Andrew.Business Continuity:.Best Practices – World-Class Business Con-
tinuity management 2nd Edition. Rothstein Associates Inc.–Brookfeld, Connec-
ticut USA..2004.
Gestão de seGurança 147
Universidade Corporativa BB
LOPESJUNIOR,RubenseSOUZA,MarceloB.de.Segurança Eletrônica Prote-
ção Ativa.SãoPaulo:Sicurezza,2000;
PEIXOTO,MárioCésarPintaudi.Engenharia social e segurança da informação
na gestão corporativa.RiodeJaneiro:Brasport,2006.
PORTELLA,PauloRobertoAguiar.Gestão de Segurança–História,Prevençãoe
SistemasdeProteção.RiodeJaneiro:EditoraRio,2005.
REVISTAProteger.Edição2006–AnoIX–nº53–julho/agostode2006.
REVISTAVeja.Edição1990–ano40–10dejaneirode2007.
SANTOS,Wilsondos.Manual Anti-seqüestro e Assalto.Curitiba-PR:Juruá,2004.
SERASA.Guiadeorientaçãoaocidadão.
SHARP,John.The Route Map to Business Continuity Management–Meeting the
Requirements of BS 25999. BSI – British Standards Institute..2008.
STROHLSystems..Business Continuity Planning Guide,1995.
www.abgs.org.br
www.abnt.org.br
www.bcb.gov.br
www.bis.org
www.bsonline.bsi-global.com
www.cert.org
www.contasabertas\uol
www.defesacivil.gov.br
www.dji.com.br/codigos/1940_dl_002848_cp/cp107a120.htm
www.drj.com
www.pcnbb.bb.com.br/site
www.portaldomarketing.com.br/Artigos/Maslow%20e%20Marketing.htm
www.receita.fazenda.gov.br
www.thebci.org
www.unodc.org
www.vademecum.com.br/iatros/incerteza.htm

Sign up to vote on this title
UsefulNot useful