As recentes notícias sobre fraudes na Prefeitura da Cidade de São Paulo, reforça o elemento segurança da informação como um forte componente para o combate de crimes deste tipo. Não se foge muito aos controles burlados: acesso indevido, acesso por identificação de outros usuários, poder demasiado para certas transações, falta de revisão periódica dos controles de segurança e falta de registros de auditoria (log).
Evidentemente para ocorrer fraudes nos volumes encontrados no caso acima citado, muitos fatores permitiram tal fato. Porém, a existência de rígidos controles de segurança da informação evitaria muitas situações, ou dificultaria a realização de determinadas transações ou possibilitaria uma identificação mais rápida de situações de fraudes.
Cito abaixo alguns controles básicos de segurança da informação que devem estar implantados e funcionando em qualquer organização que deseje combater a fraude que ocorre utilizando os sistemas de informação.
a) Identificação e autenticação
Cada usuário deve ter apenas uma identificação e deve ser rigorosamente autenticado. Sistemas que tratam diretamente com valores financeiros devem ter uma autenticação forte tipo biometria mais uma senha com rigorosa configuração de caracteres.
O uso de dispositivos tipo tokens usados pelas instituições financeiras no acesso à Internet é uma opção alternativa, mas o uso da biometria deve ser implementada.
Um controle complementar é a exigência de apenas o uso de um único acesso. Isto é, não é permitido o usuário estar realizando tarefas em paralelo.
b) Autorização de acesso
O uso de transações deve ser autorizado e revisado periodicamente. O fato de um usuário ter permissão de acesso hoje, não quer dizer que ele deverá ter este acesso para sempre.
c) Registro de auditoria
Tudo o que for realizado no ambiente computacional deve ser obrigatoriamente registrado para facilitar uma futura auditoria.
d) O Sistema aplicativo tem que ser seguro e inteligente
O sistema aplicativo em questão deve ter controles internos que bloqueiem ou exijam uma autorização para determinadas situações, tipo redução de valores de impostos. E mesmo que uma redução seja legítima esta ocorrência tem que estar amarrada a uma solicitação formal e legal. Não se pode deixar realizar ações de alteração de dados apenas por que o usuário autorizado assim quer fazer.
Estas ações de alteração de dados críticos devem ser registradas em um relatório especial e enviado para um funcionário de nível hierárquico mais alto. Ah! Isto acarreta mais trabalho? Sim, mas quem disse que a segurança da informação é grátis?
e) Gestão de riscos em segurança da informação
É obrigatória a existência de uma gestão de riscos em segurança da informação que nada mais é do que uma revisão periódica das ameaças, dos controles existentes e da probabilidade destas ameaças se concretizarem.
f) Gestor de Segurança da Informação
É fundamental que exista um profissional experiente em segurança da informação dedicado à Gestão da Segurança da Informação. Este Gestor precisa ter independência e autonomia para fazer acontecer o Processo Organizacional de Segurança da Informação. Sem esta independência e autonomia, este processo tenderá a um “faz de conta”.
Conclusão
Qual a segurança da informação que sua organização quer possuir? Qual a segurança da informação sua organização precisa ter para atender aos objetivos da organização?
A resposta é da sua organização. A resposta é dos executivos da organização.