Recentemente temos tido notícias de fraudes e falhas que impactaram fortemente várias organizações e até mesmo segmento. Neste mês o sistema financeiro nacional brasileiro sofreu o maior “assalto virtual” que temos registrados. Com certeza nos próximos tempos teremos esclarecimentos de como realmente aconteceu o assalto virtual, pois a Polícia Federal, a Polícia Civil e o BACEN estão investigando.
Mas, como as diversas organizações podem ser proativas contra criminosos, erros humanos e sua própria negligencia operacional e de controles?
Descrevo abaixo, de maneira resumida os controles e conjunto de controles que podem, devem estar definidos e obrigatoriamente implementados nas organizações.
Veja também: Liderança que protege: o papel do CEO na segurança da informação
- Arquitetura de Segurança da Informação
Arquitetura de Segurança da Informação é o conjunto de regras, estruturas, orientações, responsabilidades, padrões, diretrizes, abordagens ou qualquer etapa do tratamento de proteção, obrigatórias ou recomendadas, aprovadas pelo Corpo Diretivo, que define como a organização deve gerenciar, governar e garantir a sustentabilidade dos controles de segurança das informações sob sua responsabilidade para possibilitar o atendimento aos objetivos corporativos no que depende da informação. (Edison Fontes, 2025).
Sem uma Arquitetura de Segurança da Informação especifica, a organização estará como Alice no País das Maravilhas, quando pergunta ao Chapeleiro Maluco qual o caminho deve seguir. A resposta “Se você não sabe para onde quer ir, qualquer caminho serve.” (Alice no País das Maravilhas – Lewis Carroll)
- Abordagem Ciber Holística
Ciber Holística é um conceito que propõe uma abordagem abrangente, integrada e sistêmica para a cibersegurança, considerando não apenas aspectos técnicos, mas também organizacionais, humanos e sociais. O termo deriva da ideia de pensamento holístico, que busca compreender sistemas complexos em sua totalidade, ao invés de analisá-los de forma fragmentada.
Adotar o conceito de Ciber Holística significa considerar uma abordagem integrada e sistêmica para a segurança da informação considerando não apenas aspectos técnicos, mas também organizacionais, legais, mercadológicos, humanos, sociais, culturais, psicológicos, momento de vida da organização e atualmente eu acrescento o aspecto geopolítico mundial. Hoje vivemos a Informação Líquida.
- Implementação do Conceito Zero Trust
Zero Trust (Confiança Zero) é uma filosofia e abordagem de proteção para um ambiente, seja organizacional ou pessoal. Ao falarmos Zero Trust em Cibersegurança Corporativa, consideramos o escopo do ambiente de tecnologia que contém as informações sob responsabilidade da organização.
A informação em estrutura tradicional se transformou em “informação líquida”, termo que utilizo baseado no termo “sociedade líquida” desenvolvida pelo sociólogo polonês Zygmunt Bauman para descrever as mudanças nas estruturas da sociedade no mundo contemporâneo, em função de incertezas, instabilidades e mudanças rápidas.
Este novo ambiente demandou uma nova abordagem. Surgiu o conceito Zero Trust trazendo uma verificação continua e rigorosa. Seu lema é “nunca confiar e verificar sempre”. Cada tratamento da informação: uma nova verificação. Uma autorização passada não garante a autorização presente. Estar autorizado não significa autorização continua.
- Gestão de Controles, além dos controles isolados
Gestão de Controles é um conjunto de controles e meta controles referentes a recursos de informação que permitem a existência de um efetivo programa de segurança da informação. Controles precisam ser gerenciados e ter a garantia da sua efetividade.
- Gestão de Riscos de Segurança da Informação
A gestão de riscos de segurança da informação é um processo sistemático, contínuo e estruturado voltado para identificar, analisar, avaliar, tratar, monitorar e comunicar as ameaças que podem comprometer negativamente o tratamento da informação.
Seu objetivo é assegurar que os riscos relacionados as ameaças existentes sejam compreendidas e tratadas de maneira alinhada aos objetivos estratégicos, ao apetite de risco da organização e aos requisitos legais e regulatórios aplicáveis. Esse processo considera fatores tecnológicos, humanos, organizacionais e ambientais.
A grande falha que as organizações cometem em Gestão de Riscos é não considerar todas as ameaças possíveis em um plano de ação e não comunicar ao Comitê Executivo ou Conselho de Administração. São estes órgãos que definem o apetite de risco da organização.
- Avaliação Maturidade Gestão Segurança Informação
Identifica e efetividade dos controles de segurança da informação que a organização possui ou deveria possuir. Explicita para o Comitê Executivo ou o Conselho de Administração quão frágil ou quão robusta está a proteção da informação. Na minha experiencia a maioria das organizações no Brasil desconhece seu grau de maturidade.
- Gestão de Parceiros e Fornecedores
As organizações parceiras e/ou fornecedoras devem ter o mesmo ou melhor grau de rigidez dos controles de segurança da informação. Qualquer empresa que preste serviço para instituições financeiras deve ter o mesmo ou melhor conjunto de controles de tratamento da informação utilizado nas instituições financeira sob o controle do BACEN.
- Segregação de Função
O tratamento da informação deve considerar de maneira rígida a segregação de função nas atividades de negócio, de tecnologia e de segurança. Sem exceção. Por exemplo: um profissional desenvolve, outro profissional testa e outro profissional transporta para o ambiente de produção. E neste caso com uma efetiva Gestão de Mudanças.
- Controle de Acesso à Informação
O acesso à informação deve ter controles rígidos e sem exceções, evidentemente considerando a criticidade e importância para a organização em impactos negativos financeiros, de reputação, conformidade legal e operacional. Destaco:
- Identificação única e não compartilhada.
- Duplo fator de autenticação.
- Autenticação simultânea por mais de um usuário.
- Geolocalização e horários limitados.
- Análise comportamental – Movimentações atípicas
- Privilégio mínimo.
- Revisão mensal dos acessos concedidos. Ou menor tempo.
- Bloqueio quando ausências prolongadas.
- Aviso de acesso ao próprio usuário ou ao seu Gestor.
- Avaliação de exigência de acesso em mesmo equipamento físico.
- Ambiente Organizacional Sadio
O clima organizacional, o verdadeiro respeito pelos colaboradores, o exemplo dos executivos, a conformidade legal, a conformidade moral e a vivência da ética empresarial definida, ajuda a criar um clima de confiança e respeito entre todos. Como eu disse: ajuda!
Uma pesquisa sem identificação dos respondentes sobre o clima organizacional, como cada colaborador se sente, sobre como ele interpreta as ações dos executivos possibilita que falhas organizacionais sejam mais rapidamente identificadas e corrigidas. Quem já trabalhou em um ambiente tóxico e já trabalhou em um ambiente sadio, com certeza melhor entenderá este controle que coloco aqui.
CONCLUSÃO
A não execução ou pelo menos o não planejamento concreto para a implementação dos controles apresentados acima, pode gerar uma negligencia organizacional e consequentemente facilita a ocorrência de erros e ações de criminosos.
Este é um tema complexo. E não existe solução simples para situações complexas. Cada organização (seus executivos, gestores e colaboradores) deverá ter a sabedoria para melhor adaptar estes controles considerando os objetivos corporativos, o tipo de negócio, o momento e outros aspectos que afetam a empresa.
O que coloquei aqui, é fruto de experiencia e baseado em diversos Direcionadores Estruturais. Não estou falando de nenhum caso especifico.
Este é um assunto fascinante e prático. Desejando, vamos conversar!
Edison Fontes, CISM, CISA, CRISC, Ms. Chief Information Security Officer, Advisor & DPO Team @NAVA – Technology for business
Inscreva-se em nosso canal do Whatsapp e tenha acesso as principais notícias do mercado.
Fonte: TI INSIDE Online - Leia mais
