Home / Artigo / Estrelas cadentes digitais? Exceção ou Regra…

Estrelas cadentes digitais? Exceção ou Regra…

Nos dias atuais, é totalmente possível confiar nos recursos de segurança oferecidos pelos bancos brasileiros? Apesar de grande parte da população acreditar que sim e da maçante divulgação de recursos de segurança cada vez mais avançados tecnologicamente, a resposta é não. E não existe exemplo mais consistente da imaturidade das equipes de Segurança da Informação nacionais do que a invasão realizada na última semana ao sistema do Banco Inter.

A notícia foi divulgada pela equipe do blog TechMundo, que recebeu o manifesto escrito por um hacker, identificado como John, acompanhado por um arquivo de 40 GB com dados de clientes do Banco Inter. O arquivo continha dados cadastrais, incluindo código de segurança e senha, de mais de 400 mil correntistas, além da base de cadastro Mastercard com informações completas, senhas dos cartões Mastercard e fluxo de senhas dos mesmos. Em conversa com a TechMundo, o hacker afirmou que os dados foram coletados por ele durante meses e continuam sendo extraídos. Também foram recolhidos todos os logs transacionais e transações bancárias realizadas pelos clientes e por contas PJ (pessoa jurídica), dados bancários daqueles que solicitaram crédito ou aumento do limite de crédito, centenas de fotografias de cheques de clientes, senhas de funcionários da Virtual Sistemas e do Grupo Magnus – empresas terceirizadas do Banco Inter.

A “porta de entrada” foi uma das mais óbvias, se tratando de Segurança da Informação – segundo o hacker, ele conseguiu invadir o sistema após um erro cometido por um funcionário. Para resumir o caso, que ainda está borbulhando nas redes sociais, a invasão teve como objetivo extorquir o Banco, que até o momento nega o vazamento de qualquer dado, além de faturar alto com a venda de dados na Deep Web: o pacote com os 40 GB de dados estava sendo vendido por 10 bitcoins, ou seja, 330 mil reais.

Frente a esse episódio, nos resta relembrar alguns princípios básicos. Enquanto não houver um engajamento maior de empreendedores, executivos, conselheiros e investidores nas temáticas de Cybersecurity, nenhuma empresa se verá livre de tais ameaças. O controle de privilégios também se faz central num programa de prevenção de invasões – assim como ocorreu no caso descrito, diariamente credenciais são imprudentemente distribuídas nas empresas, ou seja, os próprios executivos, que não possuem preparo ou entendimento suficiente sobre Cybersecurity, recebem acesso a todo o sistema de uma organização e consequentemente se tornam a chave de entrada para invasores de plantão.

Será que o problema é de segurança ou da velha e ultrapassada cultura de gestão de serviços de TI. Durante anos vemos empresas soprar ITIL e aplicar vaporaTIL. Normas como a ISO 20.000, ITIL, COBIT são usados pelas auditorias e negligenciados pelos CIOs. “Servem apenas para as auditorias”, será? Enquanto a taxa de produtividade do brasileiro é péssima frente os europeus, asiáticos e americanos, continuamos fazendo coisas “só pra ingles ver”, ainda em 2018. Será que foi esse mal que assolou o Banco Inter? Espero que não. Infelizmente usar métodos ageis ou tradicionais nada tem haver com gestão, processos, ciclos, tribos, inovação e produtividade. O nome que escolher vai depender mais da gestão de fato, indicadores, métricas e pessoas que outras coisas. Nenhum software de service desk substitui processos, protocolos e procedimentos bem aplicados, ressalvo APLICADOS e não escritos somente.

Espero que seja um caso isolado, mas os CyberTrends agora são a bola da vez, de FoxBit, Inter e outros, a gestão de privilegios e a gestão empresarial moderna precisarão se preparar rápido.

Sobre Jeferson D'Addario - CBCP, MBCI, CRISC

mm
Consultor sênior há mais de vinte anos em TI, gestão de riscos e continuidade de negócios, ganhador do prêmio SECMASTER 2006 na categoria “Melhor Contribuição para o Desenvolvimento de Mercado”. Possui mais de 35 projetos de Continuidade de Negócios para empresas líderes no Brasil e Exterior nos últimos dez anos. Certificado como CBCP pelo DRII-USA, MBCI pelo BCI-UK, CRISC pela ISACA, ISO 27001 lead auditor (BSI). Formação em Economia e TI. Foi o responsável por trazer e desenvolver os primeiros cursos de continuidade de negócios oficiais do DRII – Disaster Recovery Institute International para o Brasil em 2005. Desde 2010 é instrutor oficial do DRII e representante executivo para o Brasil. É Membro da ISACA-SP, sendo colaborador na tradução do COBIT 4.1. Possui ampla experiência em Gestão de TIC (ITIL e ISO 20.000) e Govenança de TIC (COBIT, ISO 38500), tendo sido gerente e diretor de TI em empresas nacionais, e participado de projetos de implementação e certificação. Criador, coordenador e professor da Pós-graduação em GTSI - Gestão e Tecnologia em Segurança da Informação, curso DARYUS aplicado na Faculdade Impacta Tecnologia (FIT) – SP/SP, desde 2003, atualmente na turma 15. É sócio-diretor e fundador da DARYUS Consultoria e Treinamento, e atualmente CEO do Grupo DARYUS. Possui ampla experiência em gestão empresarial de negócios, pessoas, educação, gestão de crises, comunicação empresarial, relacionamento executivo e gestão financeira, apoiando executivos de grandes empresas no Brasil em projetos de consultoria. Palestrante, articulista e colaborador em eventos nacionais e internacionais relacionados a GRC, TI, Continuidade e Gestão Empresarial. Foi reconhecido pela Infragard – Califórnia em 2010 pela contribuição na área de segurança da informação para o Brasil. Já lecionou anteriormente para IPEN – Instituto de Pesquisas Nucleares – USP – SP e Instituto Trevisan – SP.

Confira tambem

1° Encontro das Mulheres em Continuidade de Negócios na América Latina promovido pelo Disaster Recovery Institute International Foundation

Encontro propôs a união das profissionais em busca de maior representatividade no mercado e igualdade. …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *