O Jornal Estado de São Paulo publicou nesta semana uma reportagem com fotos e filmes mostrando explicitamente a ocorrência de fraude no controle de presença em plenário dos Vereadores da Câmara Municipal da Cidade de São Paulo. Um Operador Master fazia o registro da presença de vereadores que não se encontravam no recinto. O procedimento correto é cada vereador marcar sua presença utilizando a autenticação biométrica.
Várias explicações foram dadas e muitas estórias narradas, mas as fotos e o filme são incontestáveis. Não sei do ponto de vista jurídico como prova. Mas, considerando os controles para a identificação e autenticação foram claros: ocorreram várias irregularidades.
Como na maioria dos casos de fraudes, a participação interna aconteceu neste caso. Um Operador Master, que tinha o poder de realizar transação de marcar a presença de Vereadores, utilizou este poder de maneira irregular. Com certeza a liberação de uma transação poderosa como esta foi feita com o objetivo de atender situações de exceção, de emergência, quando por algum motivo o sistema de autenticação não funcionasse para um determinado Vereador ou para um grupo de Vereadores. O negócio da organização não deveria parar, e, portanto se precisaria de um processo alternativo. Neste caso, existe uma situação peculiar: os Vereadores que tiveram sua identificação e autenticação fraudada foram beneficiados, pois caso contrário não receberiam o valor pela presença em cada sessão.
Agora, a questão está com a Polícia e o Ministério Público.
Mas, o que podemos aprender (ou relembrar) com este caso?
1. Um bom sistema de controle vale pelo conjunto.
Neste caso o reconhecimento (autenticação) por biometria é um excelente controle. Exige a presença física e as características biométricas são únicas. Mas, a falha acontece pelo processo como um todo.
2. Transações poderosas têm que ter controles poderosos.
Evidentemente é necessária a existência de transações poderosas disponibilizadas para um Administrador ou um Operador Master para que sejam utilizadas em situações de exceção. Mas elas precisam ser auditadas constantemente. Cada uso de uma dessas transações precisa ser justificada. A lógica é: alguém tem o poder (Operador Master) e outra pessoa (auditoria, segurança) verifica o uso dessas transações e exige esta formalização de uso em exceção.
3. As regras têm que valer para todos.
Em uma das situações filmadas pelo Jornal o Estado de São Paulo, um vereador chega (de verdade) no recinto e aparentemente fala com a pessoa que está ao lado da Mesa da Presidência e possui o perfil de Operador Master e este marca a sua presença. Rigorosamente neste caso ocorreu um não cumprimento do processo. Talvez o Vereador não quisesse ter o trabalho de ele marcar sua presença, ou se iniba com o uso da tecnologia. Mas, isto são desculpas que não podem ser aceitas para um controle de segurança. Usar um painel de controle com biometria, onde não se usa senha (que teria problema de lembrança) é de possível uso por uma pessoa como um Vereador. Nas organizações às vezes acontecem estas situações. Entendo que em paralelo com as regras e controles, deve-se ter um programa de treinamento.
4. Cada Organização tem a segurança que deseja ter.
Todas as organizações podem ter um bom processo de segurança da informação. Com uma gestão profissional e com a independência necessária o processo de segurança da informação pode proteger adequadamente a informação e assim proteger um dos bens mais preciosos para os acionistas. Neste caso, os acionistas são os cidadãos da Cidade de São Paulo, para quem a área de segurança da informação deveria se reportar.
5. Segurança da Informação é um processo que deve aprender com os erros.
Não sei detalhes do porque estes procedimentos aconteceram desta maneira, nem porque os controles foram sendo menos rigorosos. Entendo que muitas vezes não se consegue pensar em todas as situações de fragilidades que permitem erros e fraudes. Mas, o que tem que acontecer é a não repetição. Neste caso, não se pode admitir que esta fragilidade ou fragilidade similar continue acontecendo.
O Processo de Segurança da Informação exige recursos, necessita de tempo e deve ser um verdadeiro desejo dos acionistas (representados pelos executivos) da Organização. Somente assim a informação terá chances de ser adequadamente protegida.