Segurança da Informação como elemento de combate a fraudes!

As recentes notícias sobre fraudes na Prefeitura da Cidade de São Paulo, reforça o elemento segurança da informação como um forte componente para o combate de crimes deste tipo. Não se foge muito aos controles burlados: acesso indevido, acesso por identificação de outros usuários, poder demasiado para certas transações, falta de revisão periódica dos controles de segurança e falta de registros de auditoria (log).

Evidentemente para ocorrer fraudes nos volumes encontrados no caso acima citado, muitos fatores permitiram tal fato. Porém, a existência de rígidos controles de segurança da informação evitaria muitas situações, ou dificultaria a realização de determinadas transações ou possibilitaria uma identificação mais rápida de situações de fraudes.

Cito abaixo alguns controles básicos de segurança da informação que devem estar implantados e funcionando em qualquer organização que deseje combater a fraude que ocorre utilizando os sistemas de informação.

a) Identificação e autenticação
Cada usuário deve ter apenas uma identificação e deve ser rigorosamente autenticado. Sistemas que tratam diretamente com valores financeiros devem ter uma autenticação forte tipo biometria mais uma senha com rigorosa configuração de caracteres.

O uso de dispositivos tipo tokens usados pelas instituições financeiras no acesso à Internet é uma opção alternativa, mas o uso da biometria deve ser implementada.

Um controle complementar é a exigência de apenas o uso de um único acesso. Isto é, não é permitido o usuário estar realizando tarefas em paralelo.

b) Autorização de acesso
O uso de transações deve ser autorizado e revisado periodicamente. O fato de um usuário ter permissão de acesso hoje, não quer dizer que ele deverá ter este acesso para sempre.

c) Registro de auditoria
Tudo o que for realizado no ambiente computacional deve ser obrigatoriamente registrado para facilitar uma futura auditoria.

d) O Sistema aplicativo tem que ser seguro e inteligente
O sistema aplicativo em questão deve ter controles internos que bloqueiem ou exijam uma autorização para determinadas situações, tipo redução de valores de impostos. E mesmo que uma redução seja legítima esta ocorrência tem que estar amarrada a uma solicitação formal e legal. Não se pode deixar realizar ações de alteração de dados apenas por que o usuário autorizado assim quer fazer.

Estas ações de alteração de dados críticos devem ser registradas em um relatório especial e enviado para um funcionário de nível hierárquico mais alto. Ah! Isto acarreta mais trabalho? Sim, mas quem disse que a segurança da informação é grátis?

e) Gestão de riscos em segurança da informação
É obrigatória a existência de uma gestão de riscos em segurança da informação que nada mais é do que uma revisão periódica das ameaças, dos controles existentes e da probabilidade destas ameaças se concretizarem.

f) Gestor de Segurança da Informação
É fundamental que exista um profissional experiente em segurança da informação dedicado à Gestão da Segurança da Informação. Este Gestor precisa ter independência e autonomia para fazer acontecer o Processo Organizacional de Segurança da Informação. Sem esta independência e autonomia, este processo tenderá a um “faz de conta”.

Conclusão
Qual a segurança da informação que sua organização quer possuir? Qual a segurança da informação sua organização precisa ter para atender aos objetivos da organização?

A resposta é da sua organização. A resposta é dos executivos da organização.