Segurança da Informação como elemento de combate a fraudes

16 de dezembro de 2013
Compartilhe

As notícias sobre fraudes na Prefeitura da Cidade de São Paulo reforçam o elemento segurança da informação como um forte componente para o combate de crimes deste tipo. Não se foge muito aos controles burlados: acesso indevido, acesso por identificação de outros usuários, poder demasiado para certas transações, falta de revisão periódica dos controles de segurança e falta de registros de auditoria (log).

Evidentemente, para ocorrerem fraudes nos volumes encontrados no caso acima citado, muitos fatores permitiram tal fato. Porém, a existência de rígidos controles de segurança da informação evitaria muitas situações, dificultaria a realização de determinadas transações ou possibilitaria uma identificação mais rápida de situações de fraudes.

Cito abaixo alguns controles básicos de segurança da informação que devem estar implantados e funcionando em qualquer organização que deseje combater a fraude que ocorre utilizando os sistemas de informação.

a) Identificação e autenticação
Cada usuário deve ter apenas uma identificação e deve ser rigorosamente autenticado. Sistemas que tratam diretamente de valores financeiros devem ter uma autenticação forte, tipo biometria, mais uma senha com rigorosa configuração de caracteres.

O uso de dispositivos tipo tokens, usados pelas instituições financeiras no acesso à Internet, é uma opção alternativa, mas o uso da biometria deve ser implementada.

Um controle complementar é a exigência de uso de apenas um único acesso. Isto é, não é permitido ao usuário realizar tarefas em paralelo.

b) Autorização de acesso
O uso de transações deve ser autorizado e revisado periodicamente. O fato de um usuário ter permissão de acesso hoje, não quer dizer que ele deverá ter este acesso para sempre.

c) Registro de auditoria
Tudo o que for realizado no ambiente computacional deve ser obrigatoriamente registrado para facilitar uma futura auditoria.

d) O sistema aplicativo tem que ser seguro e inteligente
O sistema aplicativo em questão deve ter controles internos que bloqueiem ou exijam uma autorização para determinadas situações, tipo redução de valores de impostos. E mesmo que uma redução seja legítima, esta ocorrência tem que estar amarrada a uma solicitação formal e legal. Não se pode permitir a realização de ações de alteração de dados apenas porque o usuário autorizado assim quer fazer.

Estas ações de alteração de dados críticos devem ser registradas em um relatório especial e enviado para um funcionário de nível hierárquico mais alto. Ah! Isto acarreta mais trabalho? Sim, mas quem disse que a segurança da informação é grátis?

e) Gestão de riscos em segurança da informação
É obrigatória a existência de uma gestão de riscos em segurança da informação que nada mais é do que uma revisão periódica das ameaças, dos controles existentes e da probabilidade destas ameaças se concretizarem.

f) Gestor de segurança da informação
É fundamental que exista um profissional experiente em segurança da informação dedicado à Gestão da Segurança da Informação. Este Gestor precisa ter independência e autonomia para fazer acontecer o Processo Organizacional de Segurança da Informação. Sem esta independência e autonomia, este processo tenderá a um “faz de conta”.

Conclusão
Qual a segurança da informação que sua organização quer possuir? Qual a segurança da informação que sua organização precisa ter para atender aos objetivos dela?

A resposta é da sua organização. A resposta é dos executivos da organização.

*Edison Fontes. Mestre em Tecnologia, possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.

 

 

 

Últimas Notícias
Rock Innovation Experience: FIAP e Rock New Ventures realizam evento de inovação que conecta startups, empresas e investidores Leia mais
Aprendizagem contínua favorece reinserção de profissionais 50+ no mercado Leia mais
Carreira em Y estimula busca por diferentes tipos de pós-graduação Leia mais
União entre tecnologia e negócios impulsiona crescimento profissional e sucesso empresarial Leia mais

Nosso site armazena cookies para coletar informações e melhorar sua experiência. Gerencie seus cookies ou consulte nossa política.

Prosseguir

Configure seus cookies

Pensando em nossos alunos, fazemos o uso de cookies para melhorar a experiência de navegação em nosso site e otimizar constantemente os nossos serviços. Os cookies armazenam temporariamente algumas informações básicas da sua interação com as nossas páginas.

Cookies indispensáveis

Estes cookies não podem ser desativados pois são necessários para que o site funcione corretamente ou para melhorar o desempenho funcionalidades diversas. Eles estão relacionados com a realização de login no Portal do Aluno, o preenchimento de formulários, contagem de visitas para a medição de performance de páginas, entre outros. Todos armazenados sem a possibilidade de identificação pessoal. Ao configurar seu navegador para bloquear esses cookies, algumas partes do site podem não funcionar.

Cookies de publicidade

Habilitado

Estes cookies são estabelecidos por nossos parceiros de publicidade e podem ser usados para compor um perfil sobre seus interesses e, a partir disso, mostrar anúncios relevantes para você em outros sites. As informações armazenadas são baseadas na identificação exclusiva do seu navegador e dispositivo de internet, sem armazenar diretamente informações pessoais. Ao configurar seu navegador para bloquear esses cookies, você terá menos publicidade direcionada.