Ep. 03 Segurança Cibernética - Cenário atual das instituições


Salve, Pessoal!

Nesse post vou fazer um breve panorama sobre a situação das instituições financeiras do Brasil no tocante à cibersegurança.

Antes de chegar nos dados, vou começar explicando rapidamente alguns detalhes envolvidos na Gestão de Segurança Cibernética.

É consenso entre profissionais da área de segurança (seja ela cibernética ou não) que ideias como Risco Zero ou Segurança Total são mitos. Sabe-se, sim, que existe um trade-off entre Usabilidade e Segurança. Quanto mais "usável" uma ferramenta, mais ela tende à insegurança. Quanto mais se adiciona segurança, mais difícil de usá-la.

Pense na sua casa. Se não houvesse muro, portão, alarme, chave na porta? Era só parar o carro e entrar direto na casa, poupando alguns minutos por dia, certo? Esse é um cenário de baixa segurança e alta usabilidade. Do contrário, uma casa com mais de um portão, alarme, chave tetra, cachorro, etc. Exige do usuário um certo rito para chegar até a residência: Abrir os portões, segurar o cachorro, achar as chaves, abrir duas ou três fechaduras. Nesse exemplo temos alta segurança e baixa usabilidade.

Por essa ótica, computador 100% seguro é só aquele que está desligado, aeronave 100% segura é aquela que está no chão, etc. Em síntese, só teríamos segurança total quando um dado sistema deixasse de executar a função para a qual foi concebido.

Essa introdução foi para que o leitor compreenda que há uma certa "arte" envolvida na tarefa de gerenciar riscos. Essa "arte" deve levar em conta a natureza do negócio, o contexto, seus usuários, os agentes externos, enfim, uma miríade de fatores. No caso da segurança cibernética no contexto financeiro, o trabalho começa pela definição de um conjunto de boas práticas (normalmente baseadas em normas internacionais) que sejam ajustadas à realidade da instituição. 

Essas considerações e decisões são aglutinadas em um documento normalmente denominado Política de Segurança da Informação (PSI) e são implementadas, de fato, por meio de um Programa de Segurança Cibernética. Perceba que estes são documentos "guarda-chuva", que estabelecem orientações mais genéricas para que cada profissional de nível tático cuide de suas tarefas técnicas. É preciso lembrar, contudo, que sem essa definição prévia é difícil começar a caminhar em uma gestão eficiente de riscos.

No final de 2017 a ANBIMA promoveu uma pesquisa com as instituições financeiras do Brasil. Os resultados, ao meu ver, foram alarmantes. Àquela época, 29% das instituições não possuíam sequer um Programa formal de Segurança Cibernética. Das que tinham, 19% não eram atualizadas a mais de 12 meses. 

Acho alarmante porque o Programa é só um primeiro (e importante) passo, mas sua simples existência não assegura que medidas reais estão sendo tomadas. Abaixo dessa camada inicial, devem ser tomadas inúmeras ações jurídicas, técnicas e de compliance, não abordadas nessa pesquisa.

Veja os gráficos:
Fonte: http://www.anbima.com.br/pt_br/especial/ciberseguranca.htm

Presumo que você esteja se perguntando a mesma coisa que eu: "Será que a minha corretora tem esse programa?" Será que já aconteceu com outro cliente?

Há algumas semanas, mandei uma mensagem para o suporte de quatro corretoras onde possuo conta. Solicitei informações simples:

   1. A instituição financeira possui programa formal de segurança cibernética?
   2. Vocês possuem equipe de tratamento de incidentes cibernéticos e/ou de combate à fraude?
   3. Como devo proceder se notar alguma anomalia?
   4. A corretora está compliant com a legislação no que se refere a segurança?

Para a minha surpresa, recebi apenas uma resposta. Ela dizia que "nenhum cliente está autorizado a falar direto com a área de TI da empresa". As demais nem sequer responderam. Resta-me pensar que o helpdesk está mal treinado nesse assunto, ou que não é o tipo de pergunta que eles recebem normalmente.

Honestamente, eu duvido que o assunto seja ignorado internamente em corretoras, pois os "bancões" já estão bem preparados nesse assunto há algum tempo. Importante frisar que até um certo ponto da história, os bancos faziam uma rápida investigação para averiguar se era caso de auto-fraude (quando o próprio usuário simula um golpe) e, caso constatado que não, restituíam o valor imediatamente e assumiam o prejuízo.

Entretanto, com o crescimento do número de casos e por pressão das instituições bancárias, o entendimento jurídico começou a se virar "contra" o usuário e começaram a serem proferidas sentenças que atribuem ao usuário a responsabilidade solidária no incidente. Ou seja, se ficar comprovado que você não tomou nenhum tipo de cuidado (due dilligence) com sua segurança, a instituição pode se eximir da restituição.

Como não sou da área jurídica, não vou esmiuçar os detalhes, mas fica aqui um alerta importante. Se você não tomar um conjunto de medidas simples e for vítima de fraude, pode ficar sem sua grana e, por conseguinte, sem sua IF.

Se você tiver tempo, veja a "mesa redonda" da ANBIMA aqui:


Nos vemos no próximo post!

Abraços!

AdV



Comentários

  1. Vinícius25 de janeiro de 2019 às 04:18

    Conhece alguma corretora que implemente autenticação em dois fatores? As que tenho cadastro não possuem.

    ResponderExcluir
  2. Atitude de Valor25 de janeiro de 2019 às 05:22

    Salve, Vinícius!

    Eu tenho conta em algumas corretoras apenas para avaliar o serviço e vi que algumas possuem sim. Já faz um tempo que não opero em algumas delas, mas a XP e o BTGpactualdigital possuíam até alguns meses atrás.

    O mais importante é lembrar que segurança se faz por camadas, não há bala de prata (solução definitiva).

    A existência da autenticação em dois fatores (normalmente feita por aquele token recebido no celular) é mais uma dessas camadas e, ao meu ver, é uma boa prática sim. Se sua corretora não possui, recomendo que você encaminhe uma mensagem para o atendimento ao cliente sugerindo a sua adoção.

    Às vezes essas medidas de segurança são removidas pois apresentam "dificuldade" para o investidor... imagina um usuário mais leigo em tecnologia ou alguém que esteja sem o celular por perto, por exemplo.

    As corretoras adicionam ou removem essas camadas de acordo com o feedback da experiência dos usuários. Dessa forma, a existência ou não do token (ou qualquer outra forma de autenticação em dois fatores) pode variar ao longo do tempo.

    Um abraço e obrigado pelo comentário, foi o primeiro do blog!

    AdV

    ResponderExcluir
    Respostas
    1. Vinícius25 de janeiro de 2019 às 07:48

      Obrigado pela informação.

      Estou fora do mercado no momento, mas quando voltar essa questão será um fator determinante para escolher uma corretora. Muitas delas se resguardam no fato de geralmente só ser possível realizar movimentações financeiras para contas de mesma titularidade (TED D). Considero uma política frágil pois um atacante pode ficar bisbilhotando sua conta ou ainda fazer um estrago negociando ativos como você apontou em um post anterior.

      Vale lembrar que a autenticação por código recebido via SMS é bastante vulnerável devido ao risco de ter o número de celular sequestrado, o melhor mesmo são aqueles aplicativos que geram token.

      Sobre a questão da usabilidade vs. segurança eu fico confortável com serviços que requerem autentição 2FA no login mas depois as operações estão liberadas.

      Seu blog nasceu faz poucos dias e já tem um conteúdo diferenciado e de qualidade, em breve ficará mais movimentado por aqui!

      Excluir
    2. Atitude de Valor26 de janeiro de 2019 às 15:05

      Obrigado pela força, Vinícius!

      O TED D é uma camada de segurança interessante, mas não dá pra se calcar apenas nela, de fato.

      É bastante razoável supor que se a corretora foi comprometida, o banco também pode ter sido. Nesse cenário, a camada TED D não adianta nada.

      A mesma análise vale pro token: é mais uma camada não definitiva.

      Também gosto dessa implementação do 2FA (two factor authentication) eventual. pode ser no primeiro login, apenas para novos equipamentos ou uma vez por mês, por exemplo.

      Ab's!!

      AdV

      Excluir

Postar um comentário

Postagens mais visitadas deste blog

Ep. 04 Segurança Cibernética - Cenário nacional e dicas de prevenção

Imagem
Salve, pessoal! Nos primeiros posts, vimos alguns detalhes sobre como o Risco Cibernético pode ter impacto relevante na sua IF e demos um rápido overview sobre como as fraudes ocorrem. Agora vamos ao que provavelmente mais interessa: Como se prevenir. Antes de passar ao core  do post, é preciso fazer mais uma rápida contextualização. Por diversos motivos relacionados principalmente ao custo Brasil, os bancos nacionais investiram pesadamente em  Internet Banking  no início dos anos 2000. Isso conferiu ao Brasil uma larga dianteira em comparação ao restante do mundo quando analisados os aspectos capilaridade e diversidade. Durante os últimos dez anos, fomos reconhecidos como uma referência no desenvolvimento e implementação de produtos de banco eletrônico .  Alguém que já tenha morado nos EUA ou Europa sabe que até hoje existem alguns serviços bancários que são feitos apenas presencialmente ou pelos correios. Esse movimento fomentou a criação de uma "Jaboticaba
Leia mais

Ep. 02 Segurança Cibernética - Como ocorrem as fraudes?

Dando sequência a nossa série, passo a explicar como acontecem as fraudes eletrônicas, citando alguns exemplos. É importante ter em mente que existem diferentes níveis de ataque, começando por ataques genéricos, distribuídos quase que a esmo pela internet e culminando em campanhas focadas em grupos ou mesmo em indivíduos. Como o assunto é árido, bastante técnico e complexo, vou tentar simplificar as coisas o máximo que puder. Começarei dos Golpes mais óbvios e genéricos e irei avançando pelo critério da complexidade. 1. " Phishing Scam " A palavra phishing surgiu da contração das palavras " password phishing ", numa tradução livre, "pesca de senhas". Esse tipo de ataque é baseado no que se convencionou chamar de  Engenharia Social , técnica que explora as fragilidades do ser humano (vaidade, ganância, curiosidade, etc.) para a obtenção de informações. O exemplo mais clássico são aqueles e-mails que você recebe avisando que a "sua
Leia mais

Geoarbitragem - Proposta de um método objetivo

Imagem
Grandes amigos, bom dia! Geoarbitrage (geoarbitragem em pt-BR) é um conceito usado para descrever situações onde o aspecto geográfico assume papel preponderante na tomada de uma dada decisão. O termo foi abordado pelo Tim Ferris em seu clássico "Trabalhe 4 horas por semana" e passou a ser buzzword na época em que o estilo de vida "nômade digital" virou moda. No contexto financeiro e de qualidade de vida, a geoarbitragem é uma habilidade que precisa ser desenvolvida por quem almeja atingir algum estágio de liberdade financeira, notadamente para quem já está chegando na fase de desaceleração. Tenho alguma experiência nisso. Por conta da carreira, já precisei mudar de cidade dentro do Brasil quase uma dezena de vezes e, pelo menos para mim, os meses que antecedem as decisões sobre " se " e " para onde " mudar são sempre períodos de grande agitação. Quem já foi confrontado com esse dilema sabe bem como fica nossa cabeça. Ao longo dos d
Leia mais