Pr ogr ama Cer t i f i cação I nt er na em Conheci ment os

Gestão de seGurança
Brasília, agosto de 2008
GESTÃO DE
SEGURANÇA
S
1. Segurança................................................................................................................................9
. 1.1..Contextualização.............................................................................................................11
. 1.2..Visão.atual.da.segurança................................................................................................12
. 1.3..Segurança.nas.empresas...............................................................................................14
Segurançanasinstituiçõesfnanceiras..........................................................................15
Aspectosregulatóriosdagestãodesegurança..............................................................18
1.4.FatoresdoprocessodegestãodesegurançanoBancodoBrasil.................................19
. . Valores............................................................................................................................19
Ocorrênciaseagentes....................................................................................................19
. . Estratégias......................................................................................................................20
1.5.Segurançaeriscooperacional........................................................................................22
2. Gestão de segurança de pessoas e ambientes..................................................................27
2.1.Conceito..........................................................................................................................29
2.2.Quesitosdesegurançabancária–conceitosefnalidades............................................32
. . Plano.de.segurança........................................................................................................32
Vigilânciaarmada...........................................................................................................34
. . Sistema.de.alarme..........................................................................................................35
. . Outros.dispositivos.........................................................................................................36
ListadeVerifcaçãodeSegurança–LVS.......................................................................40
2.3.Procedimentospreventivos.............................................................................................40
. . Segurança.pessoal.........................................................................................................40
. . Segurança.de.ambientes................................................................................................43
3. Segurança da informação....................................................................................................45
3.1.Aspectosgerais...............................................................................................................45
. . A.informação...................................................................................................................45
. . A.segurança.da.informação............................................................................................51
Princípiosdasegurançadainformação.........................................................................52
Segurançadainformaçãoeriscooperacional...............................................................53
3.2.Políticadesegurançadainformação..............................................................................54
. . Desenvolvimento.da.PSI................................................................................................55
. . Etapas.da.implantação.da.PSI.......................................................................................57
. 3.3..Gestão.de.segurança.da.informação..............................................................................58
Classifcaçãodasinformações.......................................................................................59
Níveisdeclassifcação...................................................................................................60
Acessosaossistemas,redeseaplicativos....................................................................62
Senhas:cuidadosespeciais...........................................................................................65
3.4.Normaseprocedimentosparaatrocadeinformações..................................................67
Acordosparaatrocadeinformações.............................................................................67
Fornecimentodeinformaçõesaórgãosjudiciais,defscalizaçãoedecontrole............68
Mensagenseletrônicas...................................................................................................69
SUMÁRIO
Segurançalógica............................................................................................................70
Ameaçasmaiscomuns...................................................................................................72
. . Ferramentas.de.proteção...............................................................................................79
. . Novas.ferramentas.de.proteção.da.informação..............................................................79
. 3.5..Proteção.da.informação..................................................................................................88
Engenhariasocial...........................................................................................................88
4. Segurança em produtos, serviços e processos.................................................................93
4.1.Conceito..........................................................................................................................95
4.2.Autenticidade...................................................................................................................95
Documentoseinformaçõescadastrais...........................................................................96
Mandadojudicial,citação,intimaçãoenotifcação.........................................................99
Procuraçãoerepresentação........................................................................................100
Conferênciadeassinaturas..........................................................................................101
4.3.Guarda,movimentaçãoeencaixedenumerário..........................................................101
. 4.4..Pagamentos.de.valores.elevados.................................................................................103
. 4.5..Cheque..........................................................................................................................104
. 4.6..Contestação.de.débito..................................................................................................105
Prevençãoafraudesnoscanaisdeauto-atendimento................................................106
Fraudesdocumentais...................................................................................................109
5. Gestão da continuidade de negócios................................................................................113
5.1.Conceitos......................................................................................................................115
GCNnasinstituiçõesfnanceiras..................................................................................117
A.estrutura.de.GCN......................................................................................................118
5.2.Aspectoslegais,governançasemelhorespráticas......................................................125
5.3.MetodologiaadotadanoBancodoBrasil......................................................................128
VisãodoBancodoBrasil..............................................................................................128
ModelodeGCNdoBB.................................................................................................128
Avaliaçãodeprocessosestratégicos-APE.................................................................130
Gestãodeplanosedeprocedimentos.........................................................................131
Testeseexercícios.......................................................................................................132
Conscientizaçãoetreinamento....................................................................................132
. 5.4..Papéis.e.responsabilidades..........................................................................................132
Grupocoordenadordecontinuidade-GCC.................................................................133
5.5.Cenáriosdeameaçadecontinuidadedenegócios......................................................134
5.6.Estratégiasparagarantiadacontinuidadedenegócios...............................................135
Defnição.......................................................................................................................135
Formalização................................................................................................................136
Avaliação:testeseexercícios......................................................................................137
6. O papel das pessoas na segurança..................................................................................141
6.1.Conscientização,educaçãoetreinamento...................................................................143
Referências..............................................................................................................................145
IdentifcaroprocessodeGestãodeSegurança
eosprocedimentospreventivoscapazesde
mitigarosriscosinerentesaonegóciodas
instituiçõesfnanceiras.
O
OBJETIVO GERAL
Espera-sequeaofnaldoestudodestetemavocêpossa:
▪Relacionaranecessidadedesegurançacomacriminalidadena
sociedadeatual.
▪ Identifcaranecessidadedagestãodesegurançanasempresase
instituiçõesfnanceiras.
▪ Identifcaracontribuiçãodagestãodesegurançaparaosnegócios.
▪ Identifcarosaspectosregulatóriosdagestãodesegurança.
▪ IdentifcarosfatoresconsideradospeloBancodoBrasilnoprocesso
de.gestão.de.segurança.
▪ Relacionarriscooperacionalesegurança.
1
SEGURANÇA
Gestão de seGurança 11
Universidade Corporativa BB
1.1. CONTEXTUALIZAÇÃO
Para ser efetivo e alcançar os objetivos sociais e empresariais desejados,
qualquer negócio ou empreendimento deve ser estruturado levando-se em
conta diversos fenômenos ou fatores de infuência, entre outros, os sociais,
econômicos,psicológicos,políticosetecnológicos.Quandopesquisamos,de-
limitamos e controlamos esses aspectos, podemos defnir estratégias para
minimizarosseusefeitosnoambienteprodutivoesocialoumesmoutilizá-los
comofontesgeradorasdebenefícios.
Desde os primórdios, por exemplo, percebeu-se que o crime e a violência
eram fenômenos de causa social que, sem estar devidamente controlados,
poderiam causar sérias repercussões ou mesmo neutralizar o crescimento
econômicoeafetaraestabilidadesocialemqualquercontexto.
Esses aspectos devem ser levados em conta em todos os ambientes (pes-
soal,familiar,social,empresarial,etc.),sendohojeumapreocupaçãodego-
vernosemtodoomundo.Énessesentidoqueincluímosotemasegurança
noescopodagovernançacorporativa.Qualquerinstituição,paragarantirsua
efetividade, tem o dever de mapear de forma adequada os riscos inerentes
aos negócios e mercados com os quais atua ou pretende atuar. Quanto ao
ambienteinterno,deve-seteremvistaqueasegurançaéessencialparaga-
rantirumambientesaudável,ético,propícioàmotivaçãopessoal,àintegra-
çãoeàgeraçãoderesultados.
Com as profundas mudanças que ocorreram nas últimas décadas em todo
o planeta, a globalização, a rápida proliferação da internet, a multiplicação
deaçõesterroristas,amodernizaçãodocrimeorganizado,osurgimentode
tratadosinternacionaisparacombateàlavagemdedinheiroeaoterrorismo
eoutrosfenômenos,provocaramgrandesalteraçõesnavisãodegovernose
corporaçõesemtodoomundosobreotemasegurança.
Noambientecorporativo,aindaquehajamuitoarealizar,especialmentepor
serumprocessovivoedinâmico,asegurançapassouaservistacomouma
área de abrangência multidisciplinar que, embora conduzida com base em
pressupostosrespaldadosporciênciashumanas(sociologia,psicologiaetc.),
deve ser suportada por governança qualifcada, integração com o negócio,
equipes de excelência, tecnologias de ponta e inteligência estratégica, com
programaspermanentesdeeducaçãoecultura,considerandoqueaefcácia
ProGrama certificação interna em conhecimentos 12
Universidade Corporativa BB
doprocessodesegurançadependedoenvolvimentodetodasaspessoas.
1.2. VISÃO ATUAL DA SEGURANÇA
Temasestratégicosdegovernançacorporativaestãodiretamenterelaciona-
doscomasatividadesdesegurança.Aotrabalharparaolançamentodeum
produtoinédito,porexemplo,umaempresaprocuragarantirquenãohajadi-
vulgaçãoexternadotrabalho,especialmentequenenhumconcorrentetenha
conhecimentopréviodanovidade.Paraqueissoocorraénecessárioadotar
umasériedemedidasinternasrelacionadasàsegurançadainformação,de
talmaneiraque,aoserlançadonomercado,onovoprodutosejareconhecido
comonovidade,inclusivepelosconcorrentes.
Damesmaforma,quandooprodutoépostoàvenda,ocumprimentodere-
quisitosdesegurançavaiajudarnagarantiadarentabilidadedasvendasao
evitaroureduzirperdascomfalhas,fraudes,rouboseoutrosproblemas.Ao
sermosomissosquantoàsegurançaestamos,dealgumaforma,trabalhan-
docontranósmesmos,contraanossaempresaeasociedadedeummodo
geral. A omissão pode facilitar a ocorrência de ações ilícitas e alimentar o
mercadodocrimeque,atualmente,movimentabilhõesdedólaresemtodoo
mundo,comprometendoavida,aestabilidadesocialeaeconomiademuitas
pessoas,comunidadesenações.
Umagestãoefcazderiscoséfatorpreponderanteparaumaboaposiçãono
mercadoetranqüilidadedeacionistas.Emempresassujeitasaregulamenta-
ção,aefcáciadasatividadesdegestãoderiscos,decontroleedesegurança
éumapreocupaçãopermanentedosrespectivosórgãosreguladores.
Nasinstituiçõesfnanceiras,otemasegurançaestásemprepresentenostra-
balhosdeverifcaçãorealizadospeloBancoCentraldoBrasil.Aoexaminar,
porexemplo,aatuaçãodeumbanconaáreadecrédito,osauditoresquerem
tambémsabercomoestásendoaplicadooprincípio“conheçaoseucliente”
(princípiobásicodeprevençãoecombatealavagemdedinheiro),ouseja,se
a instituição fnanceira tem pleno conhecimento da atividade econômica de
cadacliente,semonitorasuamovimentaçãofnanceiraverifcandoacompa-
tibilidadeentrefaturamentoeatividadeeconômicaentreoutrosaspectos,evi-
tando,assim,queainstituiçãoavaliadasejausadaparaocrimedelavagem
de.dinheiro..
Gestão de seGurança 13
Universidade Corporativa BB
Estima-se que o crime movimenta anualmente cerca de US$ 3 trilhões em
todoomundo,representando,segundoaOrganizaçãodasNaçõesUnidas,de
2%a5%doPIBmundial.Asfontesgeradorasdessesrecursossãodiversas,
passandoporcrimescomoonarcotráfco,corrupção,contrabando,pirataria,
fraudes, roubos, seqüestros, tráfco de armas, tráfco de pessoas e órgãos
humanos,prostituição,pornografa,entreoutros.Deacordocomosmesmos
estudos,pelomenosUS$1,5trilhãocirculampelosistemafnanceiro.
OsdadosdaONUindicamqueasorganizaçõescriminosastambémutilizam,
parasuasoperaçõesfnanceirasilícitas,inclusivelavagemdedinheiro,dosis-
temafnanceiromundialcomassuasmodernasredesdecomunicaçãodeda-
doseamploníveldedisponibilidadeeacessoàclientelaviainternet banking..
Masosistemafnanceironãoestáapenassujeitoaserusadoparaoperações
fnanceiras ilícitas.Ao longo da história, os bancos têm sido vítimas diretas
decrimesfnanceirospraticadosporagentesinternosouexternos-algumas
vezespelosdois.UmexemploéobancofrancêsSocieté Generale.que.so-
freuperdasestimadasemUS$7bilhõesporfraudepraticadaporumúnico
funcionárioduranteoperíodode01ano(2007).Alémdoprejuízofnanceiro,a
fraudeinternateverepercussãomundialecausoudanosprofundosàimagem
doBancoeàvidadeseusdirigentesefuncionários.
Opreçodafaltadesegurançaedecontroleoudaomissãoquantoaesses
deverestemsidocadavezmaisaltoparaaspessoas,paraasinstituiçõesea
sociedadedeummodogeral.Asfacilidadeseasdisponibilidadesdoambien-
tetecnológicoemquevivemosgeraconforto,mas,aomesmotempo,coloca
ocrimecadavezmaispróximodaspessoas,exigindocuidadosadicionais.
Exemplodissoéainternetcomtodasassuasextraordináriaseatrativasfuncio-
nalidades.Masainternetsemcontroleesegurançatemcausadomuitasdores
decabeça,prejuízosesofrimentoparamuitagente.Ofatoéquepessoasines-
crupulosaseorganizaçõescriminosastambémencontraramnaredemundial
umfácilcaminhopararealizarseusnegócios,aumentandoassuasvítimas.
Aspossibilidadesdocrimepodemteraumentadocomasfacilidadesdeaces-
soàcomunicaçãoeasdisponibilidadesdoambientefnanceiroecomercial.
Contudo,adiferençaentreousoconfortável,sadioeprodutivodessesaspec-
tos passa por uma adequada atenção pessoal e corporativa com aspectos
ProGrama certificação interna em conhecimentos 14
Universidade Corporativa BB
básicosdecontroleesegurança.Esteparadigmaéválidoemtodasasdimen-
sões da nossa existência tendo estreita relação com a nossa vida pessoal
(saúde,família,costumesetc.),comosnossosnegócios,comasempresase
opróprioEstado.
O que vemos nos dias atuais é que a mudança dos processos, de mecâni-
cos para virtuais ou automatizados, provocaram também uma virtualização
docrime,criandométodosnovosderiscos,taiscomoroubodeinformações
pelainternet,invasãoderedesdecomunicaçãodedados,fraudeseletrônicas
e sabotagem virtual, causando paralisação de negócios.Algumas tipologias
decrimescomochamadousodaforçabrutanãosofrerammuitaalteração
como,porexemplo,osassaltos,seqüestrosearrombamentos,nãoincomuns
paraasinstituiçõesfnanceirasnoBrasil.
No contexto social, percebemos claramente o ciclo e a correlação de pro-
blemasgravesresultantesdeumambienteinstáveldopontodevistadese-
gurança. Qualquer esforço integrado entre o Estado e a sociedade/cidadão
podecontribuirparaareduçãodessesimpactos.Comoinstituiçãofnanceira,
expressamoscidadaniaquandonosesforçamosparaevitarqueocrime,de
qualquernatureza,aconteça,sealimentefnanceiramenteecresçaempreju-
ízodetodos.
Noambientecorporativo,oprocessodesegurança,porestardiretamenteen-
volvidocomaproteçãodosativoseaefcáciadosnegócios,mostrar-sede
formamaisobjetiva,dinâmicaaabrangente.Ofatoéqueagrandiosidadedos
riscos, especialmente nas instituições fnanceiras, provocou a incorporação
das estruturas de segurança aos primeiros níveis hierárquicos de grandes
bancos em todo o mundo, solidifcando a governança corporativa na pers-
pectivadeaumentarascondiçõesinternasparaaidentifcação,prevençãoe
respostaadelitos,alémdagestãodeplanosdecontinuidadedenegóciose
açõesdeeducaçãoeculturaemsegurança.
1.3. SEGURANÇA NAS EMPRESAS
Asempresasmantêm,necessariamente,compromissostácitoscomseusem-
pregados,fornecedores,clientes,acionistas,comasociedadeecomomeio
ambiente.Exige-seque,aomenos,busquemprotegerseusativoscontraris-
Gestão de seGurança 15
Universidade Corporativa BB
cos previsíveis, que podem não só comprometer o negócio, mas causar os
danossociaisepolíticosanteriormentecitados.
Ressalta-sequeamelhorformadeprevenirriscoséoconstanteexamedos
processos,omonitoramentodonegócio,apercepçãodecenárioseamanu-
tenção permanente das pessoas mobilizadas contra eventuais ocorrências.
Para tanto é necessária a participação integrada e sistematizada de toda a
empresa,deformaglobalecorporativa.
Maisdoqueapenasbuscarreduzirocorrênciasdedanosisoladamente,éne-
cessáriotambémorganizarecoordenartodooesforçocorporativonosentidode:
■ avaliarasameaçasaonegócioeoníveldesegurançadaorganização;
■ introduziradiscussãosobreocustoqueeventuaisdanospoderãooca-
sionar;
■ identifcarosrecursosnecessáriosparaevitaraspossíveisocorrências,
cujasperdasrepercutemdiretamentenosnegócios,noresultadoeconô-
micoenaimagemdaorganização.
Nessecontexto,asegurançanãopodemaissertratadaapenascomouma
estrutura específca, mas como uma atividade sistematizada, pressupondo
integraçãoemtodososníveisesegmentosinstitucionais.
A gestão de segurança constitui um processo contínuo, dinâmico e fexível,
depermanenteavaliaçãoeadequaçãodasmedidaseprocedimentosdese-
gurançadaspessoasedosativos,contraosriscoseameaçasreaisoupo-
tenciais.
Asempresasestãoconscientesdanecessidadedasegurançaparaapreser-
vaçãodeseusvalores,umavezqueasperdaspodeminfuenciardiretamente
noresultadofnanceiro.Poroutrolado,alegislaçãotambémobrigaaadoção
derequisitosdesegurança.Dessaforma,asorganizaçõessãolevadasain-
vestircontinuamenteemsoluçõesdesegurança.
Segurança nas instituições fnanceiras
A principal função de uma instituição fnanceira – estabelecer uma conexão
entreinvestidoresetomadoresdecréditos–abrangeoaspectointrínsecode
confança.OdicionárioAuréliodefneconfançacomo“segurançaíntimade
ProGrama certificação interna em conhecimentos 16
Universidade Corporativa BB
procedimento”.Apercepçãodesegurançaestáintimamenteligadaaonívelde
confançaqueédepositadoemumainstituiçãofnanceira.Afnal,ninguémquer
deixarseusbensdepositados“emconfança”senãoosperceberprotegidos.
Dessaforma,apercepçãodesegurança(posicionamentodeempresaquese
preocupacomasegurançadeclientes,ambientesefuncionários)torna-seum
itemaseragregadocomodiferencialnaatuaçãodessasempresas.
Tendênciasdeinovaçãoemmodelosdenegócio,reduçãodecustos,novas
iniciativasdemediçãoderesultados,monitoramentoderiscoeaspectosregu-
latóriosdeórgãossupervisoresocasionarammudançasnaposturadosban-
cosquantoàsegurança.
Aglobalizaçãotrouxeaestesegmentoaconseqüenteinternacionalizaçãode
negócioseasinstituiçõesfnanceirasmodernashojeatuamemoutrosmerca-
dos.Assim,ademandadeórgãosreguladoresportransparência,integridade
deinformações,gerenciamentodeperdascomoformadeotimizarresultados,
efciênciaoperacionalnousoderecursoseprodutos,vemaumentandosigni-
fcativamente.
Amaiorexigênciadosmercadosinternacionaisnosaspectosdesegurança,
controleegestãoderiscoseamaiorcompetitividadedessesmercadosoca-
sionaram,nosúltimosanos,omovimentodegrandesinstituiçõesfnanceiras
nacionaisnosentidodeintegrarem,emsuagestão,asegurançanoseucon-
ceitomaisabrangente,istoé,enquantopartedaestruturadegovernançae
dosnegóciosdaempresa.
Otrabalhoconjuntocomasáreasdenegóciospermiteomapeamentoeaná-
lisedasameaçaseriscosinerentesaosnovosprodutoseserviçosaserem
disponibilizados.Amplia-se, assim, o resultado na comercialização dos pro-
dutoseserviços,concretizadapelareduçãodapossibilidadedeperdas.Esta
análisepossibilitaadequaroprodutoouserviçodeformaaminimizarvulnera-
bilidades,colaborandoparaamanutençãodemargemderentabilidadeecon-
tribuição.Permitetambémaproposiçãodealternativasdesoluções,visando
tornarosprodutosrentáveiseagregarapercepçãodeconfançaesegurança
naexperiênciaderelacionamento,inserindooconceitodesegurançanacria-
çãoemanutençãodoprocessonegocial.
Gestão de seGurança 17
Universidade Corporativa BB
Aprevençãodeincidentesdesegurançarelativosapessoas,ativosfísicose
fnanceiros,imagemeinformações,melhoraaavaliaçãodaefciênciaopera-
cionaldosprocessosvinculadosaessesfatores,quandocomparam-seitens
comocustodoprocesso,possibilidadesdeperdaeoresultadoesperado.Evitar
ilícitos,emambientesfísicosouvirtuais,egarantiradisponibilidadedenegó-
cioseserviçosimpactamdiretamenteoresultado,objetivomaiordaempresa.
Asinstituiçõesfnanceirassãoumdossetoresdaeconomiamaisameaçado
por incidentes de segurança. Se comparado a outros setores da economia,
apresentamaiorpossibilidadedesofrerassaltos,extorsãomedianteseqües-
troefraudesfnanceiras,bemcomodeserutilizadoparaapráticadocrime
de.lavagem.de.dinheiro.
Pelas características de seu negócio, as instituições fnanceiras oferecem
umavastagamadeprodutoseserviçosque,associadosatecnologiasavan-
çadas,permitemacirculaçãoderecursoscomgrandevelocidade.Pormeio
de transações fnanceiras, o dinheiro de origem ilícita se mistura a valores
movimentados legalmente, favorecendo o processo de dissimulação da ori-
gemespúria.
Umaaçãobemestruturada,comboatecnologia,pessoasqualifcadas,treina-
dasecomprometidastornamuitomaisdifícilousodessasinstituiçõesparaa
realização.de.operações.de.lavagem.de.dinheiro..Dessa.forma.as.instituições.
fnanceirascontribuemparaareduçãodeatividadesilícitas,comoonarcotrá-
fco,ocontrabandodearmaseacorrupção,umavezquealavagemdedi-
nheiroéum“pré-requisito”paraqueoscriminosospossamusufruir,impunes,
dosrecursosgeradospelocrime.
Pormeiodoatendimentodosrequisitosdesegurança,asinstituiçõesfnan-
ceirasprevinemecombatemilícitoscomofraudes,assaltos,arrombamentos,
seqüestros, crimes cibernéticos, dissimulação de capitais etc. Dessa forma,
exercemseupapelrelacionadoàresponsabilidadesocial.
Segurançadainformaçãotambéméumapreocupaçãoconstanteecrescente
nasinstituiçõesfnanceiras.Roubosdesenhas,fraudeseletrônicas,acessos
nãoautorizadosasistemaseaplicaçõespodemtrazernãosóperdasimedia-
tas e mensuráveis fnanceiramente, mas, também, prejuízos a longo prazo
resultantesdoimpactosobreaimagemeamarca.Muitosbancosenvolvidos
ProGrama certificação interna em conhecimentos 18
Universidade Corporativa BB
comoperaçõesilícitasdeixaramdeexistireseusexecutivosfcaraminabilita-
dosparaatuarnosistemafnanceiro,alémderesponderemcriminalmentepor
seusatos,inclusiveporomissão.
Aspectos regulatórios da gestão de segurança
A. gestão. de. segurança. é. regulamentada. e. normatizada. em. suas. diversas.
dimensões.
Nasdécadasde60e70,asegurançapública,impossibilitadadedarassistên-
ciaaosBancos,os“estimulou”acriaremsuaprópriaguardaedeterminouque
suasagênciastivessemguardasprivadosearmados,comoobjetivodeinibir
ereagiraosassaltos.Aáreabancária,semmeiosprópriosparadesenvolver
a atividade de vigilância, optou pela extinção da segurança orgânica e pela
terceirizaçãodoserviço.Foiapartirdaíquesurgiuofcialmenteasegurança
privadanoBrasil,comoatividadeofcialeregulamentadaporLei.
Em 20 de junho de 1983, foi instituída a Lei nº 7.102 para regulamentar as
atividades de segurança privada, em especial a segurança dos estabeleci-
mentosfnanceiros,eofuncionamentodasempresasprestadorasdeserviços
desegurançaprivada.ALeinº9.017/95atribuiuaoDepartamentodePolícia
Federal a competência para fscalizar os estabelecimentos fnanceiros e as
empresas.de.segurança.privada.
ComoórgãosupervisordasegurançaprivadanoBrasil,aPolíciaFederalpu-
blicou, em 28 de agosto de 2006, a Portaria nº 387- DG/DPF, que altera e
consolidaasnormasdesegurançaprivada.ApresentePortariadisciplina,em
todooterritórionacional,asatividadesdesegurançaprivada,armadaoude-
sarmada,desenvolvidaspelasempresasespecializadas,pelasquepossuem
serviço orgânico de segurança e pelos profssionais que atuam nessas em-
presas.Alémdisso,regulamentaafscalizaçãodosplanosdesegurançados
estabelecimentosfnanceiros.
Comrelaçãoàpossibilidadedaocorrênciadocrimedelavagemouocultação
debens,direitosevalores,asinstituiçõesfnanceirasbrasileirasestãosujei-
tasàLei9.613/98,queinstituiuobrigaçõescomofmdeprevenirautilização
doSistemaFinanceiroparaapráticadessecrime.ParaoBancodoBrasil,a
prevençãoeocombateàlavagemdedinheiro,alémdeseremumaobrigação
legal,sãoumaresponsabilidadesocial,comoformadecombaterapráticade
Gestão de seGurança 19
Universidade Corporativa BB
crimesqueameaçamospoderesconstituídoseaordemdemocrática,lesam
osinteressescoletivosedegradamacondiçãohumana.
AsresoluçõesBACEN3.100e3.380que,respectivamente,dispõemsobrea
gestãodoriscoegerenciamentodoriscooperacional,oAcordodeBasiléia
II. e. a. lei. Sarbannes-Oxley, compõem o conjunto regulatório observado por
órgãossupervisores.
AsnormasABNTNBRISO/IEC,série27.000e15.999,disciplinamaseguran-
çadainformaçãoeagestãodacontinuidadedenegócios,abrangendoitens
comogestãodeativos,segurançaemrecursoshumanos,segurançafísicae
doambiente,controledeacessos,gerenciamentodeoperaçõesecomunica-
ções,sistemasdeinformaçõeseconformidade.
Foiaprovado,noSenadoFederal,oProjetodeLeiComplementar89/2003,
quetipifcaosilícitospraticadosnousodesistemaeletrônico,digitalousimi-
lares, de rede de computadores, ou contra dispositivos de comunicação ou
sistemas.informatizados.
1.4. FATORES DO PROCESSO DE GESTÃO DE SEGURANÇA NO BANCO
DO BRASIL
Oobjetivodasegurançaéresguardaraintegridadedaspessoas,dasinforma-
ções,dosativosfísicosefnanceirosedaimagemdaempresa.OBancodo
Brasilconsideraosseguintesfatoresdoprocessodegestãodesegurança:
Valores
Osvaloressãoos“objetos”daproteção.Representamtudooquedeveser
protegidoparaasseguraracontinuidadedosnegóciosecontribuirparaore-
sultadofnanceirodaempresa.
Pessoas:esteprimeirogrupodevaloresécompostodiretamentepelosfun-
cionáriosdaorganização,contratadosdiversos,clienteseusuários.Indireta-
mentedevemserincluídososfamiliaresdosfuncionários,quepodemservíti-
masdeocorrênciasrelacionadascomaatividadedosfuncionários,aexemplo
daextorsãomedianteseqüestro.
ProGrama certificação interna em conhecimentos 20
Universidade Corporativa BB
■ Ativos físicos e fnanceiros: podem ser citados o numerário (moeda
nacional em espécie) e outros valores (moeda estrangeira, travelers.
cheques,formuláriobasedechequesesimilares),equipamentos,insta-
laçõesfísicas.
■ Imagem: qualquer tipo de vinculação do nome da instituição e/ou de
seusfuncionárioscomfatosounotíciasdecaráternegativopodeprovo-
carsériosdanosàsuaimagem-umativointangível-e,porisso,neces-
sitademecanismosefcientesdeproteção.
■ Informações:asinformaçõesmerecemaltoníveldeproteção,poissua
perda pode gerar prejuízos incalculáveis às organizações. Podem ser
citados alguns exemplos de informações cujo vazamento pode gerar,
diretaouindiretamente,transtornosàsorganizações:dadospessoaisde
funcionários e clientes, informações sigilosas sobre clientes, assuntos
estratégicos(projetos,negócios,valores,planodesegurançaetc.),roti-
nasdeserviçosefunçõesespecífcasdefuncionários.Devefcarclaro
quecriminososprocuramconhecerasinformaçõeserotinasdasunida-
desparasubsidiarasaçõescontraoBanco.
Ocorrências e agentes
Asorganizaçõesestãosujeitasainúmerostiposdeocorrências,quevariam
deacordocomotipodenegócioecomasfragilidadesencontradasemcada
local.Valelembrarqueoscriminosostambémprocuramcorrersempreome-
nor risco, portanto a tendência é que a vítima seja sempre a empresa ou
unidademaisdespreparada,nãosósobaspectodeequipamentos,masprin-
cipalmentequantoaocomportamentodeseusfuncionários.
Exemplo
Paraarealizaçãodeumassaltoabanco,oscriminososavaliamas
condiçõesdesegurança(posturadosvigilantes,controledeaces-
so, utilização de dispositivos eletrônicos etc.) de várias agências.
Obviamenteaaçãoserácontraaquelaqueoscriminososjulgarem
maisvulnerável.
As ocorrências podem ser provocadas ou facilitadas por agentes internos e
externos.
Gestão de seGurança 21
Universidade Corporativa BB
■ Atores internos: funcionários e contratados. Erros de procedimento,
descumprimento de normas, negligência, vazamento de informações
e até mesmo dolo propiciam a ação criminosa. Daí a necessidade de
todos perceberem sua responsabilidade e se comprometerem com as
questões.de.segurança.
■ Atores externos: de maneira geral são os criminosos especializados,
responsáveispelosmaisvariadostiposdeataques,taiscomoseqües-
tros,assaltos,arrombamentos,furtos,fraudes,vandalismo,lavagemde
dinheiroecrimescibernéticos.Numaproporçãomenor,masresponsá-
veisporgrandestranstornos,ocorremosincidentesedesastresdena-
turezanãocriminosa(chuva,terremoto,etc.).
Estratégias
O terceiro fator considerado na gestão de segurança, e o mais relevante, é
constituídopelasestratégiasqueviabilizamessemacroprocesso:
■ Prevenção ou inibição:oobjetivoprincipalédeidentifcarcondições,
situaçõesoupessoasquepossamsercausadorasdeameaças,dema-
neiraasecriarfatoresqueinibamocorrências.Esteconceito,decerta
forma,abrangeosdemais,umavezqueoobjetivomaioréevitarosin-
cidentesdesegurança.Estãoentreasatividadesdeprevençãoouinibi-
ção:adisseminaçãodeinstruçõeseculturadesegurança,asaplicações
demetodologiasepolíticas,adefniçãodeespecifcaçõesdeferramen-
taseequipamentosdesegurança,análisederiscosetc.
■ Correção:apartirdeanálisesinternasedocenárioexterno,procura-se
manterdinâmicooprocessopreventivo,corrigindoeredefnindomecanis-
mos, ferramentas, práticas, instruções, estrutura tecnológica e humana,
jáexistenteseaplicados,deformaamanteraefcáciadasmedidasde
segurançaestabelecidasanteriormente.Estãoentreessasatividadesas
atualizaçõesdesistemaseequipamentos,monitoramentodetendências,
cenários,acompanhamentodaefetividadedasmedidasdeinibiçãoadota-
das,avaliaçãoecontroledesituaçõeseincidentesdecrise,entreoutras.
■ Recuperação:trata-sedaelaboraçãodeplanosdecontinuidadedene-
gócios.Seoincidenteocorrer,aempresadeveterprevistoumplanode
recuperaçãodesuasatividades.Poroutrolado,éfundamentalquese
utilizeoconhecimentogeradoporincidentesefetivados,parareavaliare
adaptarosmódulosanteriores,comointuitodeseevitarnovasocorrên-
ProGrama certificação interna em conhecimentos 22
Universidade Corporativa BB
cias.Oplanobuscatambémrecuperarosativoscomprometidospelos
incidentes.
■ Pesquisa estratégica:temporobjetivocoletarinformaçõesconsideradas
úteisparaasegurançapreventivadoBancoemtodasassuasdimensões.
Apesquisaestratégicaenvolverelacionamentocomoutrasinstituiçõesf-
nanceiras, grupos especializados em segurança na internet, órgãos go-
vernamentais,universidades,organismospoliciais,órgãosdeinteligência
eoutros.Pormeiodepesquisaestratégica,porexemplo,podemosgerar
subsídios para muitas decisões estratégicas, ações emergenciais para
evitardelitoscontraoBanco,aquisiçãodenovasferramentasdeseguran-
ça,elucidaçãodedelitoscontraoBancoentreoutros.
1.5. SEGURANÇA E RISCO OPERACIONAL
Aintegraçãoentreosmercadospormeiodoprocessodeglobalização,oau-
mentodasofsticaçãotecnológicaeasnovasregulamentaçõestornaramas
atividades,osprocessosfnanceiroseseusriscoscadavezmaiscomplexos.
Riscoéapossibilidadedeocorrênciadeumeventoadversoparaumadeter-
minadasituaçãoesperada,compotencialparacausardanoaopatrimônioda
empresa.
Asinstituiçõesfnanceiras,aodesempenharatividadesdeintermediação,tor-
nam-sevulneráveisadiversosriscos,taiscomooriscodecrédito,mercado,
liquidez,imagem,conjunturaeoperacional.
Agestãodestavulnerabilidadeécondiçãonecessáriaàsobrevivênciaeàso-
lidezdossistemasfnanceiros.Nestecontexto,reveste-sedamaiorimportân-
ciaodesenvolvimentoeimplementaçãodemedidasdesegurançacomvistas
aevitarouminimizarosefeitosdaídecorrentes.
No Banco do Brasil, o risco operacional é defnido como a possibilidade de
ocorrênciadeperdasresultantesdefalha,defciênciaouinadequaçãodepro-
cessosinternos,pessoasesistemas,oudeeventosexternos.
Adefniçãobaseia-senaevidênciadascausasdasperdasoperacionais,ca-
racterizadascomofatoresderisco.
Gestão de seGurança 23
Universidade Corporativa BB
Osfatoresderiscooperacionalpodemserinternosouexternosàinstituição:
■fatoresinternos:abrangempessoas,processosesistemas.
►pessoas:sintetizaaspectosrelacionadosàqualidadedevidanotra-
balho,conduta,competênciasecargadetrabalho;
►processos:dizrespeitoàmodelagemdeprodutoseserviçosfnancei-
rosenãofnanceiroseàconformidadecomleisenormasinternase
externas;
►sistemas: está fundamentalmente associado à infraestrutura tecno-
lógica,compreendendoacapacidade,velocidade,estabilidade,con-
fabilidade, performance e integridade de softwares. e. hardwares, à
segurançalógicaeàdisponibilidadededadosesistemas.
■fatoresexternos:abrangemoseventosexternos;vinculam-seadesas-
tresnaturaisecatástrofese,ainda,aomeioambiente,aoambienteso-
cialeregulatório,entreoutros.
Fazeragestãodesegurançacompreendeidentifcar,avaliar,monitorar,contro-
lareproporaçõesdemitigaçãoemrelaçãoaoriscooperacional.Essasetapas
visamprevenir,anularouminimizarasperdasatinentesaoriscooperacional.
Énecessáriodefniralgunstermosutilizadosnoprocessodegestãodesegu-
rançaparafacilitaracompreensãodasetapasdoestabelecimentoderequisi-
tosdesegurança(Quadro1):
Quadro.1
Termos utilizados em Gestão de Segurança
Ameaças Agentes ou condições que causam incidentes que
comprometem os ativos da organização por meio da
exploraçãodevulnerabilidadese,conseqüentemente,
causandoimpactosaosnegócios.
Vulnerabilidades Fragilidadespresentesouassociadasaativosque,ao
ser exploradas por ameaças, permitem a ocorrência
deincidentesdesegurança.
Incidente Umfatodecorrentedaaçãodeumaameaça,queex-
ploraumaoumaisvulnerabilidades,levandoaperdas.
ProGrama certificação interna em conhecimentos 24
Universidade Corporativa BB
Fatores de Risco Osfatoresderiscooperacional(Pessoas,Processos,
SistemaseEventosExternos)constituemabasepara
identifcaçãodoriscooperacionalaqueasinstituições
estão.expostas.e.se.desdobram.em.subfatores...................................
Perda Decréscimo,diminuiçãodeativosdequalquernature-
zacomoconseqüênciadedanorealoupotencial,cujos
efeitos,umavezmedidosequantifcados,expressam
prejuízopecuniáriodequalquermonta.
Impacto Abrangênciadosdanoscausadosporumincidentede
segurançasobreumoumaisprocessosdenegócio.
Probabilidade Conceitoflosófcoematemáticoquepermiteaquanti-
fcação da incerteza, permitindo que ela seja aferida,
analisada. e. usada. para. a. realização. de. previsões. ou.
para.a.orientação.de.intervenções..É.aquilo.que.torna.
possívellidardeformaracionalcomproblemasenvol-
vendooimprevisível.
Fonte:Sêmola(2003),comadaptações
Osconceitosacimaapresentadosremetemàdefniçãoderiscocomo“apro-
babilidadedeameaçascausaremincidentesapartirdaexploraçãodevulne-
rabilidades,gerandoimpactosnegativosnosnegócios”.
Deformasimilar,diz-sequeoobjetivodasegurançaéimpediraocorrênciade
incidentesqueprovoquemdanosaonegóciodasempresas.Casonãoexista
forma de impedir algum incidente, então a segurança procura minimizar os
impactosnegativosnonegócio.
Observa-sepelasdefniçõesacimaqueagestãodesegurançatemcomore-
levanteseucaráterpreventivo.
Sêmola(2003)separaasameaçasemtrêsgrandesgrupos:
1. Ameaças naturais: decorrentes de fenômenos da natureza - incêndios
naturais,enchentes,terremotos,poluiçãoetc.;
2. Voluntárias: são ameaças propositais causadas por agentes humanos:
fraudes,vandalismo,sabotagens,espionagem,invasõesefurtosdeinfor-
mações,entreoutros.
Gestão de seGurança 25
Universidade Corporativa BB
3. Involuntárias:ameaçasinconscientes,quasesemprecausadaspelodes-
conhecimento-acidentes,erros,faltadeenergiaetc.;
Asameaçassempreexistirameédeseesperarque,àmedidaqueatecnolo-
giasedesenvolva,tambémsurjamnovasformasatravésdasquaisosativos
daorganizaçãopossamfcarexpostos,gerandovulnerabilidadesquepodem
ser.exploradas..
Aavaliaçãodesegurançabuscarastreareidentifcarasvulnerabilidadesde
modoadefnirasmedidasdesegurançacapazesdeeliminarospontosfracos
dosambientesdenegóciomaissensíveis.
Vejanoquadrodoisalgumasvulnerabilidadesencontradasemorganizações.
Quadro.2
Vulnerabilidades das Organizações
Vulnerabilidades
físicas
Vulnerabilidades
naturais
Vulnerabilidades
de hardware
(computadores)
Vulnerabilidades
de softwares
(programas)
Vulnerabilidades
dos meios de
armazenamento
(disquetes, CDs,
DVDs.)
Vulnerabilidades
de comunicação
instalaçõesinadequadasdoespaçodetrabalho;
ausênciaderecursosparaocombateaincêndios;
disposiçãodesorganizadadoscabosdeenergiaederede;
não-identifcaçãodepessoasedelocais.
locaispróximosariospropensosainundações;
infra-estruturaincapazderesistiràsmanifestaçõesdanatureza,
comoterremotos,maremotos,furacõesetc.
ausênciadeatualizaçõesdeacordocomasorientaçõesdos
fabricantesdosprogramasutilizados;
conservaçãoinadequadadeequipamentos.
programas.de.e-mailquepermitemaexecuçãodecódigos
maliciosos;
editoresdetextoquepermitemaexecuçãodevírusdemacro;
programasutilizadosparaediçãodetextoeimagem,para
aautomatizaçãodeprocessosequepermitemaleiturade
informaçõesdeumapessoaouempresa,comoosnavegadores
depáginasdainternet.
prazodevalidadeedeexpiração;
defeitodefabricação;
usoincorreto;
localdearmazenamentoinsalubreoucomaltoníveldeumidade,
magnetismoouestática,mofoetc.
amáescolhadossistemasdecomunicaçãoparaenviode
mensagemdealtaprioridadedaempresapoderiafazercomque
elasnãoalcançassemodestinoesperadoouqueamensagem
fosseinterceptadanomeiodocaminho.
Fonte:AcademiaLatino-americanadeSegurançadaInformação–CursoBásicodeSegurançadaInformação,com
adaptações.
ProGrama certificação interna em conhecimentos 26
Universidade Corporativa BB
EmatendimentoàsorientaçõesdaResoluçãoCMN3.380,oBancodoBrasil
defniuestruturaespecífcadegerenciamentoderiscooperacional,composta
pelaDiretoriadeGestãodeRiscos,DiretoriadeControlesInternoseDiretoria
deGestãodaSegurança(Quadro3).
A Diretoria de Gestão da Segurança tem por atribuição, dentre outras, res-
ponderpelagovernançadeSegurançaCorporativa,observadoomodelode
gestão de risco operacional e os limites de exposição estabelecidos para o
Conglomerado.
Quadro.3
Gestão do risco operacional no BB
Diretoria de
Gestão de Riscos
Efciênciaeefcácia
noprocessode
GestãodoRisco
Operacional;
Mensuração;
Exigênciadecapital.
Diretoria de
Controles Internos
Conformidade;
Falhasemprocessos
enegócios;
Ambiente.
Regulatório.
Diretoria de
Gestão da Segurança
Prevençãoafraudes;
Prevençãoaincidentes
de.segurança.relativos.
aambientes,pessoas,
produtos,serviçose
processos;
Gestão.da.Continuidade.
denegócios;
Prevençãoecombateà
lavagemdedinheiro;
Inteligênciaestratégica.
Auditoria internaéresponsávelpelaverifcaçãodetodaaestruturade
gestãoderiscooperacional,comfoconosriscosaqueoConglomerado
estáexposto,avaliandoasaçõesdegerenciamentoderiscoseaequa-
çãodoscontrolesinternos.
Auditores externosavaliamaGestãodeRiscos,acadadoisanos.
Espera-sequeaofnaldoestudodestetemavocêpossa:
▪ConceituaragestãodasegurançadepessoaseambientesnoBB.
▪ Identifcarcritériosutilizadosparaoestabelecimentoe
monitoramentodeníveisdesegurançanosambientesdoBB.
▪ Descreverosquesitosdesegurançabancáriaesuasfnalidades.
▪ Identifcarprocedimentospreventivosdesegurançapessoalede
ambientescorporativos.
2
GESTÃO DE SEGURANÇA DE
PESSOAS E AMBIENTES
Gestão de seGurança 29
Universidade Corporativa BB
2.1. CONCEITO
ParaoBanco,agestãodesegurançadepessoaseambientesconsisteem
umsegmentodagestãopreventivadesegurançadirecionadoparaaproteção
dosfuncionários,seusfamiliares,clientesesociedadeemgeral,bemcomo
dosambientesdoconglomerado.Entende-secomoambientes,todasasuni-
dadesdaempresa-agências,tesourariasregionais,prédiosadministrativos
eoutros–esuasinstalações:tesouraria,bateriadecaixas-executivos,salas
deauto-atendimento,corredordeabastecimentodeterminaisdeauto-atendi-
mento,salasdetelecomunicaçõesesimilares.
Osambientesapresentamdiferentesníveisdecriticidadedevidoàscaracte-
rísticasintrínsecasdecadaumeagestãodesegurançadeambientesprecisa
consideraroníveldecriticidadedecadaambienteparadesenvolverasações
voltadasparaasegurançadesseslocais.Ambientesmaissensíveis(suscetí-
veisaataques)recebemummaiorníveldeproteção.
Aplica-se neste caso, a teoria dos círculos concêntricos, que pode ser def-
nidacomoaestratégiadepartirdomaissimplesparaomaiscomplexo,do
maispróximoparaomaisafastadoedomaisbaixoparaomaisaltonívelde
segurança.Noesquemadecírculosconcêntricospode-severosváriosníveis
de segurança, sendo que o círculo central representa a área ou instalação
(unidade)comníveldesegurançamaiselevado(Figura1).
Figura.1
Teoria dos círculos concêntricos
SegurançaPeriférica
SegurançaRoniteira
Segurança.Mediana
Segurança.Elevada
SegurançaExcepcional
Fonte:Mandarini(2006)
ProGrama certificação interna em conhecimentos 30
Universidade Corporativa BB
DeacordocomMandarini(2006),conformeaimportânciadolocal(ouunida-
de),podemosterasseguintesgradaçõesdesegurançaparaáreas,instala-
ções,unidadeseambientes:
■ segurança excepcional:áreadeexcepcionalsensibilidadeoupericu-
losidade, cujo acesso é restrito a pessoas estrita e institucionalmente
envolvidasnasatividadesaídesenvolvidas.Localestratégicoparaauni-
dadeouorganização,paraoqualoautorclassifcaocontroledeacesso
comoultra-secreto;
■ segurança elevada: área de elevada sensibilidade ou periculosidade,
cujoacessoérestritoapessoasíntimaeinstitucionalmenteenvolvidas
nas atividades aí desenvolvidas. O Controle de acesso neste caso é
classifcadocomosecreto;
■ segurança mediana:áreademedianasensibilidadeoupericulosidade,
comacessorestritoapessoasquetenhamrelaçõesinstitucionaiscom
asatividadesaídesenvolvidas.Paraestecaso,ocontroledeacessoé
classifcadocomoconfdencial;
■ segurança rotineira: área de baixa sensibilidade ou periculosidade,
cujoacessoérestritoapessoasquetenhamnecessidadedetratofun-
cionaloudenegócioscomasatividadesaídesenvolvidas.Normalmente
ocontroledeacessoéclassifcadocomoreservado;
■ segurança periférica: área isenta de sensibilidade ou periculosidade,
queintegraoslimitesdoperímetrodaunidadeouinstalação.
UtilizandoosambientesdoBancodoBrasil,podemosexemplifcaressaclas-
sifcaçãoconformeoquadroaseguir.Aclassifcaçãosegueaordemdecres-
centedeníveldecriticidadee,caberessaltar,elanãoéabsoluta.Dependen-
dodeoutrascaracterísticasdaunidadeedascondiçõesdesegurança,onível
declassifcaçãodecadaambientepodeserelevadooureduzido,conforme
quadro.quatro.
Quadro.4
Ambientes e níveis de Segurança
. Níveis de Segurança. Exemplos de ambientes do Banco
. Segurança excepcionalSalasdeservidoresdecentrostecnológicos;te-
souraria,corredoresdeabastecimentodetermi-
nais, bateria de caixas, ambiente de processa-
mento.do.SAO.
Gestão de seGurança 31
Universidade Corporativa BB
. Segurança elevada Centrosdeprocessamentodedados–CPD;sa-
lasdoscomitêsdeUnidadesEstratégicas.
. Segurança mediana Escritórios–estaçõesdetrabalho–deUnidade
Estratégica.
. Segurança rotineira Saguãodasagências,destinadoaoatendimento
aosclientes.
. Segurança periférica Estacionamentos, áreas externas (corredores,
fundosetc.)e,atémesmo,áreaspúblicas.Vale
destacar que para o Banco, estes ambientes
também apresentam sensibilidade, mesmo que
muito.baixa.
Assim, para a indicação de procedimentos de segurança, a área do Banco
responsávelpelagestãodesegurançadepessoaseambientesdesenvolve
constantes levantamentos e monitoramento do nível de segurança de suas
unidades.Entreosinstrumentosqueutilizaparaisso,estáamatrizdevulne-
rabilidades,atualizadaconstantemente.
Entre os aspectos analisados para o monitoramento do nível de segurança
estão:
■ região geográfca: existem diferenciações entre as ações criminosas
(modus operandi)nasdiversasregiõesdopaís,bemcomoentreointe-
riorecapitaldeEstadoeatémesmoentreasdiferentesregiõesdeuma
cidade,taiscomocentro,bairroeregiõeshistoricamentemaisviolentas;
■ localização:alocalizaçãodadependênciainterferenoseunívelderis-
co.Porexemplo,umaagênciasituadaàmargemdeumarodoviaouem
local de pouca movimentação noturna possui um maior nível de risco.
Poroutrolado,asdependênciaslocalizadasemshoppingsoupróximas
aorganismospoliciaisapresentamummenornívelderisco;
■ outras características:outrasvariáveisquetambéminterferemnorisco
equedevemserconsideradas,taiscomo:quantidadedepavimentosda
dependência,leiaute,estruturadosambientes,segmentonegocial,perfl
daclientela,históricodeocorrênciaselimitedenumerárioentreoutros.
Naelaboraçãodamatrizdevulnerabilidadessãoconsideradoscommaiorên-
faseosdadosrelativosaolimitedenumeráriodadependência,quantidadese
valoresdeocorrênciascriminosasdaunidadeedaregião,entreoutrosfatores
deanálise.
ProGrama certificação interna em conhecimentos 32
Universidade Corporativa BB
2.2. QUESITOS DE SEGURANÇA BANCÁRIA – CONCEITOS E
FINALIDADES
Partedosrecursosdesegurançaadotadospelasinstituiçõesfnanceirasde-
corrededispositivoslegais.Contudo,alémdosrecursosobrigatórios,asins-
tituiçõespodemadotaroutrosmecanismosdeproteção,deacordocomsuas
estratégias.de.segurança.
Os quesitos apresentados a seguir envolvem os procedimentos e recursos
obrigatórios,bemcomoassoluçõesemsegurançafísicadisponíveisnomer-
cado. O Banco emprega todos os itens, conforme o padrão de segurança
decadadependência,etambémutilizaaListadeVerifcaçãodeSegurança
-LVS,ferramentadesenvolvidainternamente.
Plano de segurança
É um documento exigido por lei (Lei 7.102/83, regulamentada pela Portaria
387/2006 - DPF) para todos os estabelecimentos fnanceiros que realizam
guardadevaloresoumovimentaçãodenumerário.Ofuncionamentodoses-
tabelecimentosestácondicionadoàaprovaçãodoplanopeloDepartamento
dePolíciaFederal-DPF.
Oplanodesegurançaapresentadetalhadamenteascondiçõeseoselemen-
tosdesegurançadoestabelecimentoedeveabordarosseguintesitens:
■ vigilânciaarmada;
■sistemadealarme;
■demaisdispositivosouequipamentodesegurançaexistentes(portacom
detectordemetais–PDM,sistemainternodetelevisão–CFTV,fecha-
duraeletrônicadetempoprogramávelparacofreeescudo).
APortaria387/06–DPFobrigaqueasdependênciassejamprovidasdevigi-
lânciaarmada,sistemadealarmeemaisumdosdispositivoscitadosnoitem
terceiroacima,porémtodosositensexistentesdevemconstarnoplano.De
acordocomessaPortaria,sãoexigidostambémcoletesaprovadebalaspara
os vigilantes, detector manual de metais (para dependências com PDM) e
vigilânciaarmadanasaladeauto-atendimentodurantehoráriodeexpediente
aopúblicodadependência.
Gestão de seGurança 33
Universidade Corporativa BB
NoBanco,aresponsabilidadepelaconfecçãodoplanoédaempresadevigi-
lânciaqueatendeadependência-comacompanhamentodefuncionárioco-
missionado–eaadministraçãodaunidadeéresponsávelpelasinformações
eprocedimentosneleexistentes.
Para a aprovação do plano de segurança, as comissões de vistoria do De-
partamento da Polícia Federal fscalizam as condições de segurança das
instituições fnanceiras e empresas de segurança privada. Nas instituições
fnanceirassãoverifcadosositenscitadosnoplano,comatençãoespecialà
vigilânciaarmada(postura,procedimentoseposicionamentodeacordocomo
indicadonoplano)ealarme(tempoderetornopelacentraldemonitoramento
notesterealizadocomoacionadordepânicosilencioso).
A.aprovação.do.plano.de.segurança.é.expressa.por.meio.da.emissão.de.por-
tariadeaprovação,comvalidadedeumano,acontardadatadesuaexpe-
dição.SeconstaroperíododevalidadenaprópriaPortaria,esteprevalecerá
sobre.a.data.de.expedição.
Ainexistênciadeplanodesegurançaaprovadosujeitaainstituiçãoaopaga-
mentodemultade1.000a20.000UFIR,porocorrência,podendochegaraté
a.interdição.da.unidade.
Quando forem constatas irregularidades ou necessidades de melhorias nos
quesitosdesegurança,aempresaénotifcadaouautuadapelacomissão.
Ainstituiçãotemumprazoparaprovidenciararegularizaçãodositensaponta-
dospelacomissãodevistoria.Seasprovidênciasforemacatadaspelacomis-
são,aportariadeaprovaçãodoplanodesegurançaéexpedidapelaPolícia
Federal.Casocontrário,ainstituiçãopoderáapresentardefesapelaimputa-
ção.NoBancodoBrasiladefesaemprimeirainstânciaérealizadapelaDijur,
paraapresentaçãoàDelegaciadeControledeSegurançaPrivada–Delesp.
ADelesppodeaceitarosargumentosdainstituição,sugerindooarquivamen-
todoprocessogeradopelanotifcaçãoounegaroprovimentoàdefesa,oque
ensejaaaberturadeprocessoadministrativo.Emambososcasos,adecisão
competeàCoordenaçãoGeralConsultivadeSegurançaPrivada–CGCSP,
que pode arquivar os processos ou encaminhá-los à Comissão Consultiva
paraAssuntosdeSegurançaPrivada–CCASP,parajulgamento.
ProGrama certificação interna em conhecimentos 34
Universidade Corporativa BB
ACCASPéumórgãocolegiadocompostopelosetordesegurançaprivadae
pelasagênciaspúblicasenvolvidasnaregulaçãoecontroledestaatividade.
É presidido pelo Diretor Executivo do DPF e conta com representantes das
seguintes.instituições:
■ ComandodoExército;
■ InstitutoRessegurosdoBrasil;
■ FederaçãoBrasileiradosBancos;
■ ConfederaçãoNacionaldosBancários;
■ FederaçãoNacionaldosSindicatosdasEmpresasdeVigilânciaeTrans-
portedeValores;
■ ConfederaçãoNacionaldosTrabalhadoresemVigilância;
■ AssociaçãoBrasileiradosCursosdeFormaçãoeAperfeiçoamentodos
Vigilantes;
■ AssociaçãodasEmpresasdeTransportedeValores;
■ SindicatodosEmpregadosnoTransportedeValoreseSimilaresdoDis-
tritoFederal;
■ AssociaçãoBrasileiradeEmpresasdeVigilânciaeSegurança;
■ FederaçãoNacionaldosEmpregadosemEmpresasdeVigilância,Trans-
portedeValoreseSimilares;
■ AssociaçãoBrasileiradeProfssionaisemSegurançaOrgânica.
Nessacomissãosãojulgadososméritosobjetosdasnotifcaçõeseautuações
epodemresultarnaspenascitadasanteriormente.
Devidoàsuaparticipaçãodiretanasquestõesrelacionadasàsegurançada
dependência, o administrador possui papel fundamental na adequação dos
processossobsuagestãoàsexigênciaslegais,deformaaevitarmultasdes-
necessáriasàinstituição.
Vigilância armada
Éoserviçoexigidoporlei,comoobjetivodeprotegerinstalações,bens,nu-
merário, pessoas e outros valores, contra furtos, arrombamentos, assaltos,
seqüestrosetc.
Gestão de seGurança 35
Universidade Corporativa BB
Oposicionamentodosvigilantesdeveconstarnoplanodesegurança.Apos-
turaostensivadosvigilantesinfuencianaavaliaçãoqueoscriminososfazem
arespeitodascondiçõesdesegurançadadependência.Podeserfatorde-
terminante.para.que.desistam.de.uma.ação.em.determinada.unidade.e.optem.
poroutra,consideradamaisvulnerável.
Ovigilantedeveestarpresenteemtodooperíodoquehouverfuncionáriosna
unidade,tendoemvistaqueosassaltosnãoocorremsomenteduranteoho-
ráriodeatendimentoaopúblico,mastambémantesedepoisdessehorário.
Sistema de alarme
O alarme é um equipamento de segurança eletrônico exigido por lei, com
ação preventiva e ostensiva contra assaltos, seqüestros e arrombamentos,
entreoutros.Visainformar,comtempestividade,àpolíciaouàcentraldemo-
nitoramentoainvestidadecriminososouapresençadepessoasemambiente
(ouhorário)nãopermitido,pormeiodeumcanaldecomunicação(telefone,
redededadosourádio).
Osistemadealarmepodeserdisparadopormeiodeacionadoresdepânico
silenciosos-fxosouremotos-,senhasdepânico(oudecoação)paradesa-
bilitarosistemadealarmeindicativasdeousuárioencontrar-sesobcoação,
ou.sensores.de.presença.
Osacionadorespodemserbotoeirasfxas,instaladasemambientesestrate-
gicamentedefnidos,ouremotos,distribuídosentreosvigilantesefuncioná-
rios.
Ossensorespodemserdeváriostipos,taiscomo:
■ passivo:adetecçãosedáporcaloremovimento,combinandoraioin-
fravermelhocommicroondas;
■ ativo:compostopormóduloemissoremóduloreceptordeluzinfraver-
melha,quedisparaquandoháocortedofeixe;
■ magnético: composto por duas partes de metal, utilizado geralmente
emportasejanelas,fxando-seumadaspartesnaesquadriaeaoutra
nafolha.Adetecçãosedápeloafastamentodaspartesdosensor,devi-
doàaberturadaporta,porexemplo.
ProGrama certificação interna em conhecimentos 36
Universidade Corporativa BB
■ sísmico:tambémconhecidocomosensordechoque.Essedispositivo
capta e analisa vibrações decorrentes de ataques às estruturas onde
está instalado.As vibrações são avaliadas segundo critérios de ampli-
tude, freqüência e tempo de atuação. Quando a vibração captada for
classifcadacomoumataque,osensoremitesinaldealarme.
Paragarantirmelhorescondiçõesdesegurança,osistemadealarmepermite
quesejamconfguradossetoresdiferentes,resultandoemprogramaçõesdis-
tintasconformeanecessidadedesegurançadecadaambiente.
Os disparos acidentais são os grandes vilões do sistema, tendo em conta
que causam transtornos à vizinhança, geram prejuízos decorrentes de taxa
deatendimentoachamadaindevida(cobradapelapolíciaemalgumaslocali-
dades).Alémdisso,provocamdescréditodosistemajuntoàpolícia,podendo
resultar em graves conseqüências para as pessoas e para a empresa, nos
casosderealnecessidade.
Outros dispositivos
■ Porta com detector de metais - PDM
Equipamentopreventivoedeaçãoostensivaqueconciliadispositivocapazde
identifcarmassametálicapormeiodeumcampomagnético,commecanismo
quetravaaporta,impedindooacessodepessoasemáreasprotegidas.Tais
equipamentosprevinemprincipalmenteassaltosàsunidadeseseqüestrosde
funcionárioseseusfamiliares.
DeacordocomaPortaria387/2006daPolíciaFederal,osestabelecimentos
fnanceirosnosquaisoacessoérealizadopormeiodeportacomdetectorde
metais,devempossuirtambémodetectormanualdemetais.
Alémdaportagiratória,existeaeclusaquetambémdetectamassametálicae
possuisistemadetravamento.Éumpequenoambiente,dotadodeduaspor-
tasparaocontroledeacesso.Asportassãointertravadas,ouseja,aabertura
deumasóépossívelmedianteofechamentodaoutra.
Oportaléumequipamentotambémutilizadonocontroledeacesso,masape-
nasdetectaamassametálica.DiferentementedaPDM,oportalnãobloqueia
Gestão de seGurança 37
Universidade Corporativa BB
a passagem de pessoas ou objetos. Portanto, deve ser utilizado em locais
dotadosdeoutrosmecanismosdebloqueioousupervisionados.Exemplode
utilizaçãosupervisionadasãoosportaisparaacessoàssalasdeembarque
dos.aeroportos.
NoBancodoBrasilsãoutilizadosostrêsequipamentos–portal,eclusaepor-
tagiratória–conformeotipodedependênciaouambiente.Taisequipamentos
devemsertestadosdiariamenteantesdoiníciodoexpedienteaopúblico,com
a passagem do vigilante armado, sob acompanhamento de funcionário do
Banco.
■ Circuito fechado de televisão - CFTV
É um sistema eletrônico de segurança dotado de câmeras e de sistema de
gravação.Oequipamentotemfunçãopreventivaeostensiva,comoobjetivo
deinibireidentifcaragentesdeocorrênciasirregulares,taiscomoassaltos,
seqüestros,arrombamentos,fraudes,furtosetc.Devepermaneceremfuncio-
namento.ininterrupto.e.ser.instalado.em.rackpróprio.
Paraagravaçãonoturnaosistemapodeutilizarcâmerasespeciais(infraver-
melho,day/night)ouutilizarsensoresparaacionarailuminaçãodoambiente.
Por meio da interligação dos sensores à iluminação, as luzes são acesas
sempre que alguma presença for detectada, possibilitando a gravação das
imagensdolocal.
.
Ossensoresdeiluminaçãoauxiliamnainibiçãodeaçõesirregularesporcau-
sarsurpresaeaindicação,aoinvasor,devigilânciaemonitoramentodoam-
biente.
■ Fechadura eletrônica de tempo programável
Equipamentoquepermiteprogramaçãodohorárioparaaaberturadocofre.
Possui também função que retarda a abertura em 15 minutos, no mínimo,
parausoduranteoexpediente.Poressemotivos,sãoconhecidascomofe-
chadurasderetardoesãoimportantesparaaprevençãodeassaltos,seqües-
tros.e.arrombamentos.
Essasfechaduraspossuemafunçãodeauditoria,quepermitearmazenare
disponibilizarosregistrosdeprogramaçãodeabertura,tempodeportaaberta
ProGrama certificação interna em conhecimentos 38
Universidade Corporativa BB
etodosasdemaistransaçõesrealizadaspeloequipamentoeusuários.
OusodesteequipamentonoBancodoBrasiléobrigatórioedeveserinsta-
ladoemtodososcofresecasasfortesutilizadosparaguardadenumerárioe
outros.valores.
■ Escudo blindado
É um anteparo blindado, com visor, atrás do qual se posiciona o vigilante.
Deve ser localizado em local estrategicamente defnido e indicado no plano
de.segurança.
Ousodeescudosblindados,peloBanco,estásendoreduzido.
■ Controle de acesso
Éasoluçãodesegurançaquevisaidentifcar,permitirounegaroacesso(en-
tradaousaída)depessoas,veículosouobjetosà(oude)áreascomacesso
restritoecontrolado.Osistemautilizacritériospré-confguradosparaaiden-
tifcação e registra todos os eventos da utilização diária (cadastramento de
usuários,acessos,tentativasdeacessonãoautorizado,entreoutros).
Aconcessãodeacessodevepermitirconfguraçõesvariadasparaquepes-
soasdiferentespossamteracessosaambientesdistintos,conformeonível
decriticidadedecadaumeaatividadedesenvolvidanaempresa.Ocontrole
tambémpodelimitaroacessoporfaixasdehorário,diasespecífcoseconf-
guraçõesafns.
Ossistemaspodemsermanuais,semi-automáticoseautomáticoseutilizam
critériosdeverifcação.Osmaismodernossãoautomáticoseoscritériosde
verifcaçãomaisusuaissãosenhas,cartõesedadosbiométricos.Paracada
critérioénecessárioocoletordedadosespecífco.Porexemplo,utilizam-se
tecladosparacoletarsenhas,leitorasdecartõesparalerosdadosgravados
eleitoresdecaracterísticasbiométricasparalerasimpressõesdigitais,geo-
metriademão,leituraderetinaouíris,timbresvocaisetc.Tambémépossível
conjugar vários critérios para elevar o nível de identifcação; neste caso, é
necessárioqueoscritérios,emconjunto,resultemnaidentifcaçãopositivado
usuário.
Gestão de seGurança 39
Universidade Corporativa BB
Exemplo
Paraousuárioreceberaautorizaçãodeacessoadeterminadaárea,
ele. digita. sua. senha. e. registra. sua. impressão. digital.. O. sistema.
deve validar conjuntamente ambos os critérios para considerar a
identifcaçãopositivaeconcederoacessosolicitado.
Para o controle de veículos e objetos, o sistema normalmente aplicado é o
AVI-TAG (de proximidade e RFID – identifcação por rádio freqüência). São
etiquetas(tagouadesivo)quearmazenamdadosepermitemaidentifcação
doveículooubem.
O.taginstaladoemveículoséumtransponder(feixedecanaisdecomunica-
çãoquefuncionacomorepetidora)queélidoàdistância.Quandooveículo
entraemumazonadeleitura,odispositivodoveículotrocainformaçãocomo
leitor.Seainformaçãoforpositiva,acancelaéaberta.Comoexemploexistem
os sistemas de cancelas automáticas instaladas em pedágios de rodovias,
queabremautomaticamenteparaveículoautorizado,detentordotag.
Ocontroledeveículostambémpodeserpormeiodecartõesdeproximidade,
utilizadopelosmotoristasemcancelas.
Osobjetoscontrolados,comonotebooks,porexemplo,utilizamtag.adesivos.
paraseremidentifcados.
Noconceitodecontroledeacesso,existemtambémosequipamentosdede-
tecção:detectordeexplosivos,detectordemetaiseequipamentosdeinspe-
ção.por.raio.X.
O sistema se complementa com as barreiras físicas, para que a pessoa, o
veículo ou o objeto seja impedido de passar pelo ponto de controle (porta,
portãoetc.).Asbarreirasmaisconhecidaseutilizadasnasorganizaçõessão
asroletas,catracas,torniquetes,portasdiversas,cancelasefechadurasele-
tromagnéticasoueletromecânicas.
ProGrama certificação interna em conhecimentos 40
Universidade Corporativa BB
Lista de Verifcação de Segurança – LVS
É um instrumento de controle e gestão dos dispositivos de segurança das
dependênciasdoBancodoBrasil.Seuobjetivoéaelevaçãodoníveldese-
gurança,pormeiodapadronizaçãodouso,dagarantiadafuncionalidadedos
equipamentosedamelhoriadaefciênciaequalidadedosserviçosprestados
porempresascontratadas.
ALVSconfgura-seemumavaliosaferramentaparagerireplanejarascon-
diçõesdesegurançadaunidade,umavezquelevaofuncionárioaverifcar
todososequipamentosdesegurança,cofreseterminaisdeauto-atendimen-
to,alémdeacompanharavalidadedoplanodesegurançaeaqualidadedo
serviçodevigilânciaarmada.
2.3. PROCEDIMENTOS PREVENTIVOS
Segurança pessoal
Osprocedimentospreventivosparaasegurançapessoaldevemfazerparte
do dia-a-dia das pessoas.A incorporação desses procedimentos traz bene-
fíciosquetranscendemaesferadaorganização,trazendomaiorsegurança
paraavidaparticulardaspessoasedosgruposaquepertencem.
■ visão de contexto do ambiente:éimprescindívelconhecertodaare-
giãodaresidênciaedolocaldetrabalho,principalmenteospontosde
maiorrisco,afmdeevitá-los.Éimportante,também,saberalocaliza-
ção,horáriosdefuncionamentoeasviasmaisrápidasparaacessaros
postospoliciais,delegaciasehospitais,paraoscasosdenecessidade;
■ residência:semprequepossível,devesersegura(bemiluminada,com
sistema de alarme, cães de guarda, chaves tetra e trancas adicionais
nasportaseportõesetc.)ebemlocalizada.Algunscuidadosdevemser
tomados:
►evitar a colocação de cadeado pelo lado de fora, pois demonstra a
ausênciadepessoasnolocal;
►manter na residência uma lista com telefones de emergência, tais
comoPolíciaMilitar,DelegaciadePolíciaCivil,CorpodeBombeiros,
hospitais,familiareseamigosaquemrecorreremfacedeproblemas;
Gestão de seGurança 41
Universidade Corporativa BB
►nãoatenderaportasemadevidaidentifcaçãoerecusarencomen-
das,serviçosevendedoresnãosolicitados,mesmoqueestejamuni-
formizados;
►contratarempregadosdomésticossomentecomreferênciasanterio-
res,indicadosporpessoasdeconfança.Verifcaremanteratualizado
oendereçodoempregadoedeseusparentes;
►tomarcuidadocomaschavesdaresidência.Evitardeixá-lascomem-
pregadosenãoutilizarchaveiroscomindicaçõesdosproprietáriosdo
imóvel;
►não prestar informações a estranhos sobre hábitos, compromissos
pessoais e de trabalho, viagens, assuntos familiares nem sobre o
patrimônio,sobretudosesolicitadasportelefone.Orientarosempre-
gados e os familiares, especialmente as crianças, a procederem da
mesmaforma;
►nãoentrarousairdecasasedesconfardapresençadepessoasou
veículosestranhosematitudesuspeita.Nestecaso,chamarapolícia
oudirigir-separaadelegacia,ouposto,policialmaispróximo;
►tomarcuidadocomarealizaçãodeobraspróximasàresidência,por-
quepodeestarservindocomoumpontodeobservaçãoparaosmar-
ginais.
■ caminhadas:procurarvariaropercursoeohorário,mas,principalmen-
te,evitarlocaispoucopovoados,ruasdesertas,trilhasisoladaseáreas
poucoiluminadas.Alémdisso,tomaroutroscuidados:
►ter cautela ao cumprimentar estranhos, ser respeitoso, mas manter
distânciaecontinuaremmovimento;
►caminhar no centro da calçada e contra o sentido do trânsito, para
poderperceberaaproximaçãodealgumveículosuspeito;
►usar pequena quantia de dinheiro para despesas com suco, água
etc.;
►evitarcaminhardesacompanhado.
■Informações:asinformaçõespodemserasresponsáveisporaçõesde
bandidoscontraumapessoa,suafamíliaeaempresaemquetrabalha.
Porisso,éconveniente:
►manterdiscriçãosobreasatividadesprofssionaisepessoais;
►nãocomentarcomqualquerpessoaosvaloresdosbens;
► ser reservado quanto às rotinas; contudo, é importante que algum
parenteouamigodeconfançasaibadoshorários,paraquepossam
identifcarpossíveissituaçõesirregulares;
ProGrama certificação interna em conhecimentos 42
Universidade Corporativa BB
►evitarousodeadesivosnosveículosdafamíliacontendonomesdos
flhos,escolas,academiaseoutrasinformaçõesquefacilitemomape-
amentoderotinaspeloscriminosos;
►orientarflhosefuncionáriosdaresidênciaanãodareminformações
pessoais solicitadas por estranhos.As abordagens costumam ocor-
reremparadasdeônibus,escolas,residência,portariasdeprédiose
condomínios,portelefoneeinternet,entreoutrosmeios;
►registrarocorrênciapolicial,mesmonocasodepequenosfurtos,pois
elespodemserindíciosdesondagemdehábitosparaumaaçãofu-
tura.e.mais.séria.
■ viagens: as residências, principalmente casas e chácaras fcam mais
vulneráveiscomaausênciadeseusmoradores,portantoénecessário
prevenir-se:
►solicitaraalguémdeconfançaquerecolhapossíveiscorrespondên-
cias,paradifcultarainformaçãodequeacasaestávazia;
► utilizar alguma lâmpada com célula fotoelétrica, para acendimento
apenasnoperíodonoturno;
►sepossível,desligaracampainha;
►retirarferramentaseescadasdasáreasexternas,poispodemserusa-
dasparaoarrombamento;
►deixartelefonedecontatocompessoasdeconfançaparaquesitua-
çõessuspeitaspossamsercomunicadas.
■ trânsito e veículos: quase todos os seqüestros acontecem no percur-
soresidência-trabalhoevice-versa.Algumasmedidaspodemajudara
evitá-los:
►variarotrajeto,conhecerpossíveispontosdeapoioemcasosdene-
cessidade,transitarporviasmovimentadasebemiluminadas;
►memorizar, nos percursos mais freqüentes, a localização de postos
policiais,telefonespúblicos,socorrosmecânicos,hospitaiserotasal-
ternativasseguras;
►nossinais,manterosvidrosfechadoseevitarafladaesquerda.Se
possívelcontrolaravelocidadeparamanterocarroemmovimento;
►manter distância razoável do carro da frente, para possíveis mano-
bras,edesconfardepessoaspedindoajuda;
►agircomcautelasenotarestarsendoseguido.Semdespertarsuspei-
ta,dirigir-sealocaismaismovimentadoseavisarapolíciaviacelular.
Procurar gravar características do veículo e ocupantes. Se o trajeto
permitir,pararnumpostopolicial;
Gestão de seGurança 43
Universidade Corporativa BB
► não estacionar de imediato se o pneu furar em local ermo; procurar
fazê-loemlocalseguro;
►procurarestacionaroveículoemlocaisseguros,movimentadosebem
iluminados;mantertodososobjetosquepossamchamaraatenção
deladrõesdentrodoportamalas;
►nuncadeixarpessoasdentrodocarroenquantoforfazeralgumacom-
pra,mesmoquerápida;
►desligaroveículo,tirarachavedaignição,ligaroalarmeetrancaro
veículo,mesmoemparadasrápidas;
►entrarousairdoveículocomrapidez,poisasabordagenscostumam
ocorrernestesmomentos.
■relacionamentos:
►autoridadespoliciaisejudiciárias-manterbomrelacionamento,pois
pode ser útil no aspecto de segurança.Ter sempre à mão seus nú-
meros de telefones porque em caso de emergência essas pessoas
poderãoajudar;
►vizinhosdeconfançatambémpodemcolaborarparaasegurançada
residência;éimportanteteronúmerodetelefoneparacontato.
Segurança de ambientes
Asorientaçõesaseguirvisamaproteçãodosambientescorporativosedas
pessoas,nasituaçãodetrabalho:
■Tesouraria, bateria de caixas, ambiente de processamento do Servi-
ço de Atendimento Opcional - SAO, corredor de abastecimento do
Terminal de Auto-atendimento - TAA e Salas de Telecomunicações
– TC:todososambientesinternossãorestritosaopúblico.Ocontrole
deacessodeveserefetivo,parapermitiraentradaapenasdepessoas
autorizadas.Osfuncionáriosevigilantesdevemestarpreparadospara
abordarem ou impedirem o acesso de estranhos. Prestadores de ser-
viços podem ter acesso sempre que necessário, desde que acompa-
nhados de funcionário autorizado.As portas desses ambientes devem
permanecertrancadaseaschavesdevemfcarempoderdefuncionário
responsável.Oacessodeveserpermitidoapenasaquemtrabalhenes-
teslocais.Taisambientesnãodevemserviraoutrafnalidade–como,por
exemplo,paralocalizaçãodearquivos–afmdediminuirotrânsitode
pessoas.Alémdisso,osambientesdevemestarequipadoscomsistema
de alarme e câmeras de CFTV para evitar e apurar ações criminosas.
ProGrama certificação interna em conhecimentos 44
Universidade Corporativa BB
A inobservância dessas recomendações e o descuido de funcionários
permitemaocorrênciadefurtosdenumerário,envelopesdedepósitos
eoutrosobjetos.
■ Sala de auto-atendimento: neste ambiente costuma haver diversas
ocorrências, desde fraude contra clientes até seqüestros.A prevenção
requerverifcaçãode:
►terminais de auto-atendimento -TAA:existênciade objetos espúrios
instalados nos TAA bem como seu fechamento (tampas e portas),
poisénecessárioarrombarosterminaisparaainstalaçãodealguns
equipamentosmaliciosos.
►câmerasdeTVesensores:posicionamentoepossívelobstrução(cha-
mado mascaramento) das câmeras e dos sensores do sistema de
alarme.Alteraçõesdoposicionamentoeobstruçõesservemparapre-
pararoambiente parafuturoataque,comoobjetivo dedifcultarou
inibiradetecçãodeintrusãoeaidentifcaçãodosbandidos;
►.presença.e.movimentação.de.pessoas.suspeitas.
Exemplo
Émuitocomumquecriminosos“visitem”aagênciaduranteo
expedienteepreparemoambienteparaaaçãocriminosaem
outrohorário.Elesobstruemoraiodecoberturadossensores
dealarmeemudamoposicionamentodascâmeras.Deacordo
comafacilidadeencontrada,osgolpistasinstalamequipamentos
espúriosparafraudarosclientes,taiscomoleitorasdecartão
magnético,tecladosemonitoressobrepostos,ouemsubstituição,
aos.equipamentos.originais.dos.TAA.
Espera-sequeaofnaldoestudodestetemavocêpossa:
▪Conceituarinformaçãoeidentifcaroseuciclodevida.
• Conceituarsegurançadainformação.
• Descreverosprincípiosdasegurançadainformação.
• Defnirpolíticadesegurançadainformaçãoeidentifcarasetapas
para.sua.implantação.
• Descreveroprocessodeclassifcaçãodasinformações.
• IdentifcaromodelodeclassifcaçãodasinformaçõesadotadonoBB.
• Conceituarcontroledeacessoeidentifcarsuasfnalidades.
• Identifcarmecanismosdecontroledeacesso.
• Identifcarcuidadosnecessáriosparaatrocadeinformaçõesem
decorrênciadaLeidosigilobancário.
• Identifcarasameaçasmaiscomunsnatrocadeinformaçõespor
meioeletrônico.
• Reconhecerprocedimentoseferramentasutilizadosnaproteçãoda
informação.
3
SEGURANÇA DA INFORMAÇÃO
Gestão de seGurança 47
Universidade Corporativa BB
3.1. ASPECTOS GERAIS
Aeradoconhecimentoquevivenciamoshojefazcomqueasinformaçõesse
confgurememumbempreciosodasempresas.Àmedidaquerepresentaum
patrimôniodevalor,asinformaçõesestratégicaspassamaserdeinteresse
deoutrasorganizaçõesconcorrentes,oudepessoasmalintencionadasque
desejamfazerusodelasparasatisfazerinteressespessoais.Asinformações
estãosobameaçae,comisso,asegurançatornou-sedeextremaimportância
paraasobrevivênciadasorganizações.
Com o advento da informática, a proteção da informação passou a fgurar
comoumadasprincipaispreocupaçõesdegrandesempresas.Naépocaem
queasinformaçõeseramarmazenadasempapel,asegurançaerarelativa-
mentesimples:erasufcienteguardarosdocumentosemarmáriostrancados
erestringiroacessofísicoàquelelocal.Atualmente,jánãoétãosimples.Com
as mudanças tecnológicas e com o uso de computadores de grande porte
paraarmazenarinformaçõesestratégicas,aestruturadesegurançaprecisou
evoluir,agoraenglobando,alémdoscontrolesfísicos,controleslógicos.
Comachegadadoscomputadorespessoaisedasredesintegradasdecom-
putadores, a informação passou a correr pelo mundo inteiro. Mas existem
aquelasinformaçõesque,porseremestratégicas,nãodevemteressenível
deexposição.Juntocomatecnologia,tambémevoluíramasformasdeburlar
ossistemasdesegurançaqueprotegeminformaçõessigilosas.Antes,para
alguémtomarconhecimentodeumsegredodeumagrandeempresa,deveria
desdobrar-se para conseguir, fsicamente, chegar àquele armário trancado,
arrombá-loelevarodocumento.Hoje,parachegaraodocumentovirtualar-
mazenadonocomputadordegrandeporte,ointeressadonãoprecisasairde
casa, mas, em contrapartida, deve deter conhecimentos sobre sistemas de
proteção lógica e de como fraudá-los. Os aspectos de segurança atingiram
tamanha complexidade que há a necessidade de desenvolvimento de equi-
pescadavezmaisespecializadasparasuaimplementaçãoegerenciamento.
Tudoparaprotegerasinformaçõesestratégicasdacorporação.
A informação
UmestudodosprofessoresLymaneVarian(2003)daUniversidadedaCa-
lifórnia em Berkeley - “How Much Information?” - concluiu que o volume de
ProGrama certificação interna em conhecimentos 48
Universidade Corporativa BB
informação produzida no mundo dobrou em três anos e aumenta cerca de
30%acadaano.Deacordocomoestudo,setodaainformaçãoanualfosse
digitalizada e dividida pelos cerca de 6,3 bilhões de habitantes do planeta,
cadapessoaseriaresponsávelpor800megabytes,oequivalenteaumapilha
de.livros.de.dez.metros.de.altura!
Oscientistasafrmamqueahumanidadeestásendoengolidaporumoceano
dedados.Segundoapesquisa,estima-sequeem2002cincohexabytes.de.
informação foram produzidos e estocados em meios físicos (papel, flme,
magnéticaeótica)etransmitidosportelefone,televisão,rádioeinternet.Os
dadosapuradospelapesquisadesteanoforamcomparadosaosdapesquisa
de2000,referentesa1999.
Amaiorpartedainformação–92%-foiarmazenadaemmeiodigital,amaio-
riaemdiscosrígidosdecomputadores.Orestantedosdadosestáemflme
(7%),papel(0,01%)eóptica(0,002).
A produção em papel aumentou consideravelmente: 43% em três anos. O
meioquemaisperdeespaçoéoflme,quepodesetornarinsignifcanteden-
tro de poucos anos.As fotos digitais também começam a superar aquelas
produzidasemflme.
Ainformaçãotransmitidaemmeioseletrônicos—telefone,rádio,TVeinter-
net—chegaa18hexabytes,sendoqueotelefoneéresponsávelporquase
todoessevolume(98%).
A pesquisa aponta também uma má distribuição da produção de dados no
mundo.SóosEUAproduzem40%dainformaçãototal.
O estudo justifca a convergência dos padrões de gestão de segurança da
informação em torno dos ativos de Tecnologia da Informação e ambientes
correlatos,emboraoconceitodeativosdeinformaçãosejamaisabrangente,
conformemencionaremosmaisadiante.
Masoqueéinformação?Elapodeserentendidacomo“oresultadodoproces-
samento,manipulaçãoeorganizaçãodedadosdetalformaquerepresenteuma
modifcação(quantitativaouqualitativa)noconhecimentodosistema(pessoa,
animaloumáquina)quearecebe”(www.wikipedia.org/wiki/Informação).Ainfor-
Gestão de seGurança 49
Universidade Corporativa BB
1
Normainternacionalquedescreveboaspráticasdesegurançaaplicáveisaorganizações,empregadaporempre-
sasdetodomundo,inclusivepeloBancodoBrasil.Aversãobrasileiradessanorma,criadapelaABNT,éaNBR
ISO/IEC17799:2001.
mação,porsuavez,geraoconhecimento,queéainformaçãoagregadadere-
fexãoesíntese(Figura2).Percebe-seassimquearelaçãoentreessesconcei-
tosevoluiparaumamaiorcomplexidade.Dessemodo,Alvim(1999)considerou
oconhecimentoumainformaçãocomvaloragregadoepassíveldeaplicação.
Figura.2
Conchecimento
Assim,todaequalquerinformaçãoéumelementoessencialparaosnegócios
deumaorganização,jáqueéabaseparaageraçãodoconhecimentoepara
atomadadedecisões.Portanto,deveserpreservadadeacordocomsuaim-
portância.
AISO/IEC17799
1
defnequeainformaçãoéumativo,terminologiaoriunda
daáreafnanceira,porserconsideradaumelementodevalorparaumindi-
víduoouorganizaçãoe,poressemotivo,necessitadeproteçãoadequada.
NaconcepçãodeMoreira(2001)ativoé“todoelementoquecompõeospro-
cessos que manipulam e processam a informação, a contar a própria infor-
mação, o meio em que ela é armazenada, os equipamentos em que ela é
manuseada,transportadaedescartada”.
DeacordocomaNBRISO/IEC17799,hámuitostiposdeativosassociados
comossistemasdeinformação,asaber:
■ informação:bancodedadosedearquivos,documentaçãodesistema,
manualdeusuários,materialdetreinamento,procedimentosoperacio-
naisoudesuporte,planosdecontinuidade,planosderecuperação,ar-
quivosdeinformação;
■ programas de aplicação,sistemas,utilitárioseferramentasdedesen-
volvimento;
DADOS INFORMAÇÃO CONHECIMENTO
ProGrama certificação interna em conhecimentos 50
Universidade Corporativa BB
■ físicos,comoequipamentosdecomputação(processadores,monitores,
laptops, modems), equipamentos de comunicação (roteadores, PABX,
máquinasdefax,equipamentosdetelefonia),mídiasmagnéticas(ftase
discos),outrosequipamentostécnicos(geradoresdeenergia,ar-condi-
cionado),móveis;
■ serviçosdecomunicaçãoecomputação,utilidadesemgeral,istoé,ca-
lefação,iluminação,energia,refrigeração;
■ pessoasesuasqualifcaçõeseconhecimentos;
■ intangíveis,taiscomoareputaçãoeaimagemdaorganização.
Navisãodesegurançadainformação,sãotrêsoselementosquecompõem
os.ativos:
■ asinformações;
■ osequipamentosesistemasqueoferecemsuporteaelas;
■ aspessoasqueascriameutilizam.
Todainformaçãopossuiumciclodevida.Vejaoesquemanafguratrês:
Figura.3
Ciclo da informação
C
r
i
a
ç
ã
o
U
s
o
A
r
m
a
z
e
n
a
m
e
n
t
o
Transporte
D
e
s
c
a
r
t
e
Criação:.momento.em.que.a.informação.é.produzida..Exemplos:.quando.nas-
ceumnovoprojetoouumanovaidéia.
Manuseio:.momento.em.que.a.informação.é.manipulada..Exemplos:.folhear.
ummaçodepapéis,digitarinformaçõescolhidasemumsite,utilizarsuase-
nhadeacessoparaautenticação.
Gestão de seGurança 51
Universidade Corporativa BB
Armazenamento:. momento. em. que. a. informação. é. guardada.. Exemplos:.
banco de dados compartilhado, anotação de papel postada em um arquivo
físico,mídiadedisquetedepositadanagavetanamesadetrabalho.
Transporte: momento.em.que.a.informação.é.movida.de.um.ponto.a.outro.
Exemplos:encaminharinformaçõesporcorreioeletrônico(e-mail),postardo-
cumentoviaaparelhodefax,prestarumainformaçãoaotelefone.
Descarte:momentoemqueainformaçãotorna-seinútil.Exemplos:depositar
na lixeira da empresa um material impresso, eliminar um arquivo eletrônico
emseucomputadordemesa,descartarumCDcominformaçõesdesatuali-
zadas.
Asegurançadainformaçãodeveprotegerainformaçãoemtodooseuciclode
vida,paragarantiracontinuidadedonegóciodaorganização.
A segurança da informação
Sendoainformaçãotãorelevanteparaasobrevivênciaorganizacional,ées-
sencial que seja adequadamente protegida contra diversos tipos de amea-
ças.
Ferreira(2003)defneSegurançadaInformaçãocomo“aproteçãocontraum
grande número de ameaças às informações, de forma a assegurar a conti-
nuidadedonegócio,minimizandodanoscomerciaisemaximizandooretorno
de investimentos e oportunidades”. Exemplos de ameaças às informações
podem ser o acesso não autorizado, as alterações indevidas ou a própria
perdadainformação.Asegurançadainformaçãocompreende,portanto,um
conjuntodemecanismosdeproteçãofrenteàsameaças.
Paradefniçãodosmecanismosdeproteçãosãoutilizadosparâmetrospara
identifcaroníveldesegurançaexistentee,comisto,estabelecernovospata-
mares.de.segurança.
A defnição dos mecanismos de proteção que serão utilizados depende do
nível de segurança pretendido. Em pequenas organizações, que possuem
umescritóriocompoucosfuncionários,oprocessodegestãodesegurança
dainformaçãoérelativamentemaissimples,jáqueosprocessos,oambiente
easpessoassãolimitados.Jáemgrandesorganizações,comoéocasodo
ProGrama certificação interna em conhecimentos 52
Universidade Corporativa BB
Banco do Brasil, a gestão de segurança da informação torna-se complexa.
Nessescasos,aempresadevedeterminaralgunspontosimportantes:o que
deve ser protegido, contra o que será necessário proteger e como será
feita a proteção.Essasescolhaspermitempriorizarosprocessosidentifca-
doscomomaiscríticos.
Porexemplo,umaáreadedesenvolvimentodeprojetosnoBBnecessitade
muitaproteçãoparasuasinformações,poisolançamentodeumnovoprodu-
toouserviçoouoaperfeiçoamentodeprodutosouserviçosexistentes,que
estáprogramadoparaserlançadonapróximasemananãopode,demaneira
alguma,chegaràsmãosdaconcorrência.JáemumabibliotecadoBBnãoé
necessárioresguardarainformação,poissuaspublicações-comolivros,pe-
riódicos,emonografas-sãocolocadasàdisposiçãodefuncionáriosedopú-
blicoexternoparaconsulta.Ofatorpreponderanteaquifoioníveldesigilodas
informações.Quantomaissigilosa,maisprotegidadeveserainformação.
Outropontoaserconsideradonadefniçãodemecanismosdeproteçãoéa
questãocustoebenefício.Umexemploéaimplementaçãodacriptografaem
ambientescomputacionais.Tendoemvistaoelevadocustodessasolução,opta-
sepor,prioritariamente,protegerasinformaçõesmaissensíveis.Nocasodo
BB,acriptografaéutilizadaparaprotegerasinformaçõesdosclientes(fnancei-
ras,cadastraisetc),porqueovazamentodessetipodeinformaçãorepresenta
quebradesigilobancário,expondoainstituiçãoaosriscosdeimagemelegal.
Princípios da segurança da informação
A tríade CIA (Confdentiality, Integrity and Availability) -- Confdencialidade,
Integridade e Disponibilidade -- representa os princípios que, atualmente,
orientamaanálise,oplanejamentoeaimplementaçãodasegurançaparaum
determinadogrupodeinformaçõesquesedesejaproteger(Figura4).
Confdencialidade:princípioquelimitaoacessoàinformaçãotãosomente
àsentidadeslegítimas,ouseja,àquelasautorizadaspeloproprietáriodain-
formação.Paraatenderaesseprincípio,todainformaçãodeveserprotegida
deacordocomograudesigilodeseuconteúdo,visandoalimitaçãodoseu
acessoeusoapenasàspessoasparaquemelaestádestinada.
Integridade: princípio que garante que a informação manipulada mantenha
Gestão de seGurança 53
Universidade Corporativa BB
todasascaracterísticasoriginaisestabelecidaspeloproprietáriodainforma-
ção, incluindo controle de mudanças e garantia do seu ciclo de vida (cria-
ção,manuseio,armazenamento,transporteedescarte).Paraatenderaesse
princípio,todainformaçãodevesermantidanamesmacondiçãoemquefoi
disponibilizadaporquemacriou.Deveestarprotegidacontraalteraçõesinde-
vidas,sejamintencionaisouacidentais.
Disponibilidade: princípio que garante que a informação esteja ao alcance
dousuário,quandonecessário.Paramanteradisponibilidadeénecessáriaa
prestaçãocontínuadedeterminadoserviço(como,porexemplo,oacessoa
umbancodedados),seminterrupçãonofornecimentodeinformações.
Figura.4
Princípios da segurança da informação
Outrosrequisitosimportantessãoonão-repúdioeaautenticidade.
Senãoderadevidaatençãoàsegurançadesuasinformações,aorganização
podechegarainviabilizaraprópriacontinuidade.Nessesentido,protegerre-
cursosdaempresa(oschamadosativos)temafnalidadedediminuironível
deexposiçãoaosriscosexistentesemtodososambientes(físicosevirtuais)
paraqueaempresapossagarantiroatendimentodosobjetivosdonegócio.
Segurança da informação e risco operacional
Asegurançadainformaçãocontribuiparaevitaraocorrênciaderiscosopera-
cionaisaosquaisaempresaestásujeita.
INFORMAÇÃO
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D
E
I
N
T
E
G
R
I
D
A
D
E
D
I
S
P
O
N
I
B
I
L
I
D
A
D
E
ProGrama certificação interna em conhecimentos 54
Universidade Corporativa BB
Ainformaçãopermeiatodososambientesdaorganizaçãoeconstituiabase
dopróprionegócio.Comooutrosativos,podeseralvodeameaçasqueim-
pactamosresultadosdaorganização.Ovazamentodeinformaçõessigilosas,
ocomprometimentodearquivosinformatizadosemdecorrênciadainfecção
doscomputadoresporvírus,aimpossibilidadedeacessareutilizarumain-
formação necessária à conclusão de um negócio podem ser exemplos de
ocorrênciasderiscooperacional.
Assim,aoassegurarosprincípiosdaconfdencialidade,integridadeedisponi-
bilidadedasinformações,osmecanismosdesegurançadainformaçãoevitam
aocorrênciadeincidentesresponsáveisporperdasoperacionais.
3.2. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Muitasorganizaçõestêmconsideradoasegurançadainformaçãocomouma
prioridade. Para auxiliar em uma correta gestão do processo de segurança
dainformação,odesenvolvimentodeumapolíticaconfgura-sepontocrucial
paraqueasmedidasdesegurançaaseremimplementadastenhamcoerência
entresi.Permitetambémquesejacriadoumplanoquesirvacomonorteador,
evitandoiniciativasisoladasque,muitasvezes,desperdiçamrecursosetêma
suaefetividadecomprometidapelafaltadeuniformidadeecoesão.
Pode-sedefnirapolíticadesegurançadainformação-PSIcomoumdocu-
mento que consolida os princípios balizadores da gestão de segurança de
informações.A observância da política é dever de todos os funcionários de
todososníveishierárquicos,inclusiveprestadoresdeserviçosterceirizados.
APSIdeveserformalizadaedivulgadaatodososusuáriosdasinformações
corporativas.
DeacordocomRamos(2006),“emlinhasgerais,apolíticaresumeosprincí-
piosdesegurançadainformaçãoqueaorganizaçãoreconhececomosendo
importantesequedevemestarpresentesnodia-a-diadesuasatividades”.
ApartirdodesenvolvimentodaPSI,épossíveltraçardiretrizes,normasepro-
cedimentosparaaimplementaçãodasegurançadainformação.
Paraperceberaimportânciadeumapolíticadesegurança,aspessoaspre-
Gestão de seGurança 55
Universidade Corporativa BB
cisamconhecerecompreenderintegralmenteasconseqüênciasdeviolação
dapolíticaaoexporsistemascríticosaatacantescriminosos,oucausardano
nãointencionalaoutrasorganizações.
Desenvolvimento da PSI
Paraoestabelecimentodeumapolítica,deve-selevaremconta:
■ riscosassociadosàfaltadesegurança;
■ benefícios;
■ custosdeimplementaçãodosmecanismos.
Procedimentosdesegurançanãodevemserimplementadossemumapolí-
ticaformalmentedefnida,sobpenadeperdadauniformidadeecoesãodos
processos.
APolíticadeSegurançadeInformação,bemcomoasdiretrizes,asnormase
osprocedimentosdeladecorrentesdevemser:
■ simples;
■ compreensíveis;
■ homologadospelaaltaadministração;
■ estruturadosdeformaapermitirsuaimplantaçãoporfases;
■ alinhadoscomasestratégiasdenegóciodaempresa,padrõeseproce-
dimentosjáexistentes;
■ orientados aos riscos (qualquer medida de proteção das informações
deveestardirecionadaparaosriscosqueimpactamaempresa);
■ fexíveis,istoé,moldáveisàsnovasdemandasdatecnologiaedonegó-
cio,dentreoutros;
■ positivosenãoapenasconcentradosemaçõesproibitivasoupunitivas.
Alémdofocoinerentedeprevenção,aPSIéumindicativoparaacontinuida-
de.e.sistematização.das.orientações.de.segurança..A.elaboração.de.uma.PSI.
pressupõemetodologiacriteriosaetécnica,demodoaobservarascaracte-
rísticasdonegócio.
APSIdáodirecionamentoestratégico;asnormassãocriadasapartirdelae
detalham situações, ambientes e processos específcos da empresa, forne-
cendoorientaçãoparaaarmazenagem,uso,transporteedescarteadequa-
dos das informações.A quantidade dessas normas varia de acordo com o
ProGrama certificação interna em conhecimentos 56
Universidade Corporativa BB
tamanhodaempresaedeseusprocessos.Apartirdessasnormassãocria-
dos procedimentos operacionais, que detalham as tarefas diárias e contém
umpasso-a-passopararealizaressastarefascomsegurança.Emrelaçãoàs
normas,osprocedimentosdesegurançadainformaçãotendemaserainda
emmaiorquantidade(Quadro5).
Quadro 5
Exemplo da cadeia Política, Diretriz, Norma e Procedimento.
Política Os acessos às informações são concedidos ao funcionário
doBancoporimposiçãodesuasfunçõeseatribuiçõesoupor
determinação.legal.
Diretriz Nossistemasdecontroledeacesso,cadausuárioéidenti-
fcado individualmente e é responsável, juntamente com o
administrador que concedeu esse direito, pelas atividades
realizadassobseucódigodeidentifcação.
Norma SomenteosAdministradoresdeAcessosdasUnidadesEs-
tratégicaspodemcriaremanterpacotesdetransaçõespara
utilização em sua Unidade e em dependências subordina-
das.
Procedimentos 1)Avalieanecessidadededisponibilizaçãodeumatransa-
çãoparaoexercíciodasfunçõesedagestãoadministrativa
dadependênciasolicitante.
2)Certifque-sequeasolicitaçãodeliberaçãodetransação
paraumadeterminadadependênciafoiassinadaporfuncio-
náriodenívelgerencialouporrepresentantelegaldainstitui-
çãoconveniada.
3)UtilizeaOPÇÃO1.22doSistemaACESSO.
4)....
Fonte:.Normativos.internos
Devidoatantasespecifcidades,éumgrandedesafoimplementaredissemi-
narumaPSIcomtodososseuscomponentes.Porisso,paragerenciaraPSI,a
organizaçãodevepossuirumaárearesponsávelespecifcamenteparadesem-
penharessatarefa.Éelaquedeveiniciaroprocessodeelaboraçãodapolítica
desegurançadeinformações,bemcomocoordenarsuaimplantação,aprová-
laerevisá-la,alémdedefnirresponsabilidadesrelativasaocumprimentodas
normasdesegurançaqueenglobamtodasasáreasdaorganização.
Apesar de existir uma área específca para gerenciamento da PSI, as deci-
Gestão de seGurança 57
Universidade Corporativa BB
sõesquantoàdefnição,implantaçãoerevisãodaPSIdevemsercolegiadas.
Éimportanteoenvolvimentodetodososfuncionários,demodoasentirem-se
co-responsáveispelaproteçãodasinformaçõescomasquaisinteragemno
dia-a-diae,conseqüentemente,pelasegurançaecontinuidadedonegócioda
organização.
Etapas da implantação da PSI
Oprocessodedesenvolvimentoeimplantaçãodapolítica,dasdiretrizes,das
normaseprocedimentosdesegurançadainformaçãoé,geralmente,dividido
emquatrofases.Oquadroseisprocurasintetizaressasfases.
Quadro.6
Etapas da implantação da PSI
Fonte:FerreiraeAraújo(2006),comadaptações.
O. melhor. momento. para. se. desenvolver. a. PSI. é. antes. que. qualquer. vulne-
rabilidade seja explorada. Contudo, nem sempre é o que ocorre. Algumas
empresas se viram obrigadas a implementar uma política de segurança da
informaçãoapósumvazamentosignifcativodeinformaçõesouapartirdeum
sério. problema. de. indisponibilidade. do. seu. serviço. na. internet.. Embora. não.
sejaideal,épossívelacriaçãodeumaPSIapósumincidente.Nestacircuns-
tância, deve-se procurar não priorizar a adoção de medidas de segurança
exclusivasparaasoluçãoouminimizaçãodoimpactodoincidente,buscando
FASE
Levantamento.de.informações
Desenvolvimentodoconteúdoda
políticaedasnormasdesegurança
da.informação
Elaboraçãodosprocedimentosde
segurança.da.informação
Revisão,aprovaçãoe
implementaçãodapolítica,das
normaseprocedimentosde
segurança.da.informação.
ALGUMAS ETAPAS
Obtenção.de.informações.quanto.ao.ambiente.
denegócios.
Obtenção.de.informações.sobre.o.ambiente.
tecnológico.
Atribuição.de.regras.e.responsabilidades.
Gerenciamentodapolíticadesegurança.
Pesquisassobreasmelhorespráticasem
segurança.da.informação.
Formalizaçãodosprocedimentosparaintegrá-
losàspolíticascorporativas.
Revisãoeaprovaçãodapolítica,dasnormase
procedimentosdesegurançadainformação.
Efetivaimplantaçãodaspolíticas,normase
procedimentosdesegurançadainformação.
ProGrama certificação interna em conhecimentos 58
Universidade Corporativa BB
entender o negócio e procurar agir de forma proativa em relação a outros
possíveisriscos.
É importante, ainda, que a PSI esteja permanentemente acessível a todos,
principalmenteporqueanãoobservânciadapolíticaacarretasanções.Quan-
doseidentifcaalgumaviolaçãodapolítica,devemseraveriguadasascausas,
conseqüênciasecircunstânciasemqueocorreu.Issoporquecertasviolações
ocorremdevidoaumsimplesacidenteouerro,mastambémpodemserfruto
denegligênciaoudeumaaçãodeliberadaefraudulenta.Aaveriguaçãopossi-
bilitaquevulnerabilidades,atéentãodesconhecidaspelosresponsáveispelo
gerenciamentodasegurançadainformação,passemaserconsideradas.Es-
sesfatostambémpodematéacarretaralteraçãodaPSI.
Emcasosespecífcosdeviolaçãodealgumapremissa,aprópriaPolíticade
SegurançadeInformaçõesprevêosprocedimentosaseremadotados:nor-
malmente abre-se um inquérito administrativo e a punição pode ser desde
umasimplesadvertênciaatéumaaçãojudicial,dependendodacriticidadedo
fatoocorrido.
CURIOSIDADE
Normas sobre PSI para a Administração Pública Federal
ODecreton.º3.505,de13dejunhode2000,instituiuaPolíticade
Segurança da Informação nos órgãos e entidades daAdministra-
çãoPúblicaFederal.Emlinhasgerais,osobjetivostraçadosnessa
PSIdizemrespeitoànecessidadedecapacitaçãoeconscientiza-
çãodaspessoaslotadasnosórgãoseentidadesdaAdministração
PúblicaFederalquantoaosaspectosdesegurançadainformação
eànecessidadedeelaboraçãoeediçãodeinstrumentosjurídicos,
normativoseorganizacionaisquepromovamaefetivaimplementa-
ção.da.segurança.da.informação.
AdaptadodoTCU(2007)–BoaspráticasemSegurançadaInformação
3.3. GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Nagestãodesegurançadainformaçãosãoobservadosdoisprincipaistemas:
aclassifcaçãodasinformaçõesecontroledeacesso.
Gestão de seGurança 59
Universidade Corporativa BB
Classifcação das informações
SegundoFerreiraeAraújo(2006),classifcaçãodasinformaçõesé“oprocesso
deestabelecerograudeimportânciamedianteseuimpactononegócio”.Ou
seja,quantomaisestratégicaedecisivaparaamanutençãoousucessodaor-
ganização,maiorserásuaimportância.Aimportânciadainformaçãoestádire-
tamenteligadaaoaspectodaconfdencialidade:quantomaioraimportância,
maiorosigilodainformação(Quadro7).Aclassifcaçãodeveserfeitaemqual-
quermeiodearmazenamento,físicooulógico,enomomentodesuacriação.
Quadro.7
Classifcação das informações
Classifcação Atividadepelaqualseatribuiráograudesigiloàsinforma-
çõessejaemmeioseletrônicos,sejamimpressos.
Proprietário Árearesponsávelpelagestãodainformação.
Custodiante Área responsável por assegurar que as informações estão
protegidasdeacordocomaclassifcaçãoestabelecidapelo
proprietário.
Perfl de acesso Defniçãodosdireitosdeacessoàsinformações,transações,
emmeioseletrônicosouimpressosdeacordocomaclassif-
cação.
Fonte:FerreiraeAraújo(2006),comadaptações
Éfundamentalclassifcarainformaçãodeacordocomseurealvaloregrau
desensibilidadeparaaplicaroníveldesegurançaadequado.Umsistemade
classifcaçãoidealdeveser:
■ simplesdeentendereadministrar;
■ efetivoparadeterminaroníveldeproteçãoquedeveserdadoàinforma-
ção;
■ aplicáveluniformementeportodaaorganização.
Osprincipaisativosdeinformaçãodevemterum“proprietário”defnido.Res-
ponsabilidadepelosativosajudaaassegurarqueaproteçãoadequadaseja
mantida. Devem ser identifcados “proprietários” para os principais ativos e
atribuir-lhes a responsabilidade pela manutenção de controles adequados.
As classifcações e os controles de proteção associados à informação devem
ProGrama certificação interna em conhecimentos 60
Universidade Corporativa BB
considerarasnecessidadesdonegócioquantoaocompartilhamentoourestrição
dainformaçãoeosimpactosnosnegóciosassociadosataisnecessidades.
Éimportantequeumconjuntoadequadodeprocedimentossejadefnidopara
a informação rotulada e que haja tratamento de acordo com o esquema de
classifcaçãoadotadopelaorganização.
A classifcação da informação deve ser observada por todo o ciclo de vida
da informação e deve ocorrer quando da sua criação. No caso de dúvida,
deveserempregadaaclassifcaçãomaisaltaemaissegura,conformeaISO
17799.Umdositensaserconsideradonesteprocessoéadeterminaçãodo
proprietário,queéoresponsávelpeladefniçãodoníveldecriticidadeepelo
auxílionaescolhadomeiodeproteção.
Umgrandedesafoqueasorganizaçõesenfrentaméestabelecerquaisinfor-
maçõesdevemserclassifcadas,efetivamente,comoaltamentesigilosas,de
acessolimitado.Istoporque,existeumatendênciaaconsiderarquetodasas
informações.que.trabalhamos.na.organização.são.muito.sigilosas..
Paraclassifcarainformaçãoénecessárioconheceronegóciodaorganiza-
ção,compreenderosprocessoseatividadesrealizadas.
Fatores especiais, incluindo exigências legais, devem ser considerados no
momento de estabelecer a classifcação. Em instituições fnanceiras, por
exemplo,diantedaobrigatoriedadedosigilodastransaçõesfnanceirasreali-
zadaspelosclientes,oextratobancárioassumealtograudesigilo.
Após a classifcação das informações, deve-se elaborar e implementar pro-
cedimentosparaomonitoramentocontínuodemodoapreveniraviolaçãoda
informação.
NoBanco,aclassifcaçãodasinformaçõesérealizadaportodososníveisda
organização,notadamentepelasUnidadesEstratégicas(Diretoriasgestoras).
Níveis de classifcação
Deve-seevitarníveisexcessivosdeclassifcaçõeseérecomendadoquecada
classifcaçãosejadefácilcompreensãoeclaramentedescritaparademons-
traradiferenciaçãoentreosníveis.
Gestão de seGurança 61
Universidade Corporativa BB
DeacordocomFerreiraeAraújo(2006),asseguintesclassesdeinformação
jásãoconsideradassufcientesparaumaboagestãodainformação:
■ informação pública:sãoaquelasquenãonecessitamdesigiloalgum,
podendoterlivreacessoparaoscolaboradores.Nãohánecessidadede
investimentosemrecursosdeproteção.Sãoinformaçõesqueseforem
divulgadasforadaorganizaçãonãotrarãoimpactosparaosnegócios;
■ informação interna:oacessoexternoàsinformaçõesdeveserevitado.
Entretanto,seessesdadostornarem-sepúblicos,asconseqüênciasnão
serãocríticas;
■ informação confdencial:asinformaçõesdestaclassedevemsercon-
fdenciaisdentrodaorganizaçãoeprotegidasdoacessoexterno.Seal-
gumadelasforacessadaporpessoasnãoautorizadasasoperaçõesda
organizaçãopoderãosercomprometidas,causandoperdasfnanceiras
enacompetitividade.
OBBclassifcaasinformaçõesemduascategoriasequatroclasses,confor-
me.quadro.oito.
Quadro.8
Classifcação das informações no BB
Não-sensível
Sensível
Pública
$10
Interna
$20
Restrita
$30
Crítica
$40
Informação.que.pode.ser.divulgada.sem.
restrição.ou.por.imposição.legal.e.que.não.
sujeitaoBancoariscos.
Informação.que.pode.ser.divulgada.sem.
restriçãoparaopúblicointernoouparao
públicoexternocombaseeminteressene-
gocial,observando-seasnormasinternas.
Informaçãoquerequercuidadosespeciais
quantoàpreservaçãodassuasproprie-
dadesecujadivulgaçãoindevidasujeitao
Bancoariscossignifcativos.
Informaçãocujapreservaçãodassuaspro-
priedadeséfundamentalparaacontinuida-
dedosnegóciosdoBancoedeseusobje-
tivosouqueadivulgaçãoindevidasujeitaa
Instituiçãoariscoselevados.
Fonte:.normativos.internos
ProGrama certificação interna em conhecimentos 62
Universidade Corporativa BB
CURIOSIDADE
Classifcaçãoadotadapelogovernobrasileiro:
■Ultra-secreto
■Secreto
■Confdencial
■Reservado
Acessos aos sistemas, redes e aplicativos.
Oscontroleslógicosdeacessoaosrecursosdetecnologiadainformação(TI)
sãobarreirasqueimpedemoulimitamoacessoàinformaçãoporpessoaou
processonãoautorizado.
Oscontrolesdeacessológicotêmopropósitodeassegurarque:
■ apenasusuárioseprocessosautorizadostenhamacessoaosrecursos;
■ osusuáriostenhamacessoapenasaosrecursosrealmentenecessários
paraaexecuçãodesuasatividades;
■ oacessoarecursoscríticossejaconstantementemonitoradoerestrito;
■ osusuáriossejamimpedidosdeexecutartransaçõesincompatíveiscom
a.sua.função.
ConformeFerreira(2003),“ocontroledeacessopodeserresumidoemter-
mosdefunçõesdeidentifcaçãoeautenticaçãodeusuários,gerenciamento
e monitoramento de privilégios, limitação e desabilitação de acessos e na
prevençãodeacessosnãoautorizados”.
Oprocessodeverifcaçãodaidentidadedousuárioéchamadodeautentica-
çãoeébaseadoematétrêsfatoresquepodemidentifcarexclusivamenteum
indivíduo.Sãoeles:
■ conhecimento:oqueapessoasabe(porexemplo,umasenha);
■ posse:oqueapessoatem(porexemplo,umtokenUSBouumsmart-
card);
■ característica física:queméapessoa(porexemplo,biometria).
Gestão de seGurança 63
Universidade Corporativa BB
Ocustoeaefetividadedeumsistemadecontroledeacessodependemda
conjugaçãodessestrêsfatores.
Nos sistemas informatizados atuais, a autenticação do usuário (login, por
exemplo)éoprimeiropassoparaoseuacessoaumaredeoutransaçãoele-
trônica.Écompostapelaidentifcaçãodousuário(umachave)epelaprovade
sualegitimidade(senha).Seimplementadascorretamente,assenhaspodem
oferecerumbomníveldesegurança.Porém,paraprotegerdadoscríticos,é
necessáriaumaautenticaçãomaisforte.
Aautenticaçãoforterequeraapresentaçãodedoisoumaisfatores,ouseja,
algoquevocêsabe,umasenha,ealgoquepossui,umtoken,smartcardetc.
Em geral, apenas um fator de autenticação não é sufciente. Por exemplo,
senhasdependemdoconhecimentoqueapenasumapessoaautorizadade-
veriater.Umapessoanãoautorizadaqueconsegueasenhadeoutratambém
podeconseguiroacessoàsinformaçõesseguras.Contudo,seaautenticação
do usuário for baseada na combinação de duas ou mais características, o
acessonãoautorizadosetornamaisdifícil.
Atualmente,existemdiversastecnologiasdeautenticaçãoquecombinamas
característicasdescritasacimaparafornecerdiferentesgrausdeequilíbrioen-
tresegurança,usabilidadeecusto.Alistaaseguirdescrevealgumasformas
deautenticaçãodomercadoeexplicacomoelaspodemajudarousuário:
■ smartcard:. é. um. tipo. de. token que, quando usado apropriadamente,
ofereceautenticaçãoforteparaoperaçõesdecredenciaisecriptografa
que.são.reunidas.dentro.de.um.chip.de.smartcard..Smartcards.também.
podemfornecersegurançalimitadaearmazenamentoportátil,quepo-
demserusadosparatransportarseguramentecredenciaisechavesde
usuários.
■ token USB: é um dispositivo externo conectado a uma porta USB ou
outrainterfacequeusaumchip.de.segurança.integrado.para.proteger.
credenciais e funções de criptografa críticas. Os tokens USB também
podemfornecersegurançalimitadaearmazenamentoportátil,quepo-
demserusadosparatransportarseguramentecredenciaisechavesde
usuários.
■ impressão digital biométrica:usaatecnologiadeleituradeimpressão
ProGrama certificação interna em conhecimentos 64
Universidade Corporativa BB
digital para oferecer uma alternativa mais conveniente para senhas e
tokens. Porém, a tecnologia biométrica também é suscetível a fatores
externos inevitáveis como cortes, dedos molhados, alta umidade etc.
Issopoderesultaremaltaincidênciadefalsosnegativos,causandoin-
satisfaçãoparaosusuários.
Apósaautenticaçãodousuáriopassamosàetapadeautorizaçãoparaacesso
àsfuncionalidadesdosrecursoscomputacionais,ouseja,osseusprivilégios.
Em segurança da informação, existe o conceito do privilégio mínimo, onde
o usuário deve ser autorizado a acessar os sistemas indispensáveis para a
realizaçãodesuasatividadesdeacordocomaexpectativadaempresapara
sua.função.
O processo de autorização decide se uma pessoa, programa ou dispositivo
tempermissãoparaacessardeterminadodado,programadecomputadorou
serviço.Amaioriadossistemasoperacionaismodernospossuiprocessosde
autorização.Apósumusuárioserautenticadoosistemadeautorizaçãoverif-
casefoiconcedidapermissãoparaousodedeterminadorecurso.Aspermis-
sõessãonormalmentedefnidasporumadministradordosistemanaforma
de políticas de aplicação de segurança, com base no princípio do privilégio
mínimo,lembrandoqueosusuáriosterãopermissãoapenasparaacessaros
recursosnecessáriosparaarealizaçãodesuastarefas.
Como exemplo, um funcionário da área de marketing de uma instituição f-
nanceira deve ter acesso a sistemas relacionados à sua área de atuação;
adicionalmente, deve ter acesso compatível ao cargo que ocupa. Em uma
agência,todososfuncionáriospossuemacessoàagênciadenotícias,assun-
todeinteressedetodos.Mas,sóaquelesquetrabalhamcomcontrataçãode
operaçõesdecréditopessoajurídicatêmacessoàopçãoderealizaraanálise
de determinado cliente. E só o comitê de administração da agência possui
acessoparadespacharessasoperações.
No Banco do Brasil, as autorizações nos sistemas e aplicativos são conce-
didaspelosadministradoresdeacessodecadadependência.Aelescabea
tarefadehabilitaroacessoaosusuáriosparacadaumdosrecursosdeTIe
também de retirar as autorizações quando não forem mais necessárias ao
usuárioparaodesempenhodesuasfunções.
Gestão de seGurança 65
Universidade Corporativa BB
Estadesabilitaçãoestárelacionadacomodesligamentodefuncionárioseco-
laboradoresetambémcommudançasdeáreasdeatuação.Umfuncionário,
gerentedecontasdeagência,aoserpromovidoparaumaDiretoria,teráuma
sériedeacessosdesabilitadosenovosacessosconcedidosemconseqüên-
ciadessapromoção.
Mesmocomosmecanismosdecontroledeacesso,aindaépossívelexistir
acessos por pessoas não autorizadas. Uma medida de segurança utilizada
para prevenir acessos de usuários não autorizados é o bloqueio da senha
incorreta depois de determinado número de tentativas. Outra boa medida é
disponibilizaraousuário,apóssuaentradanosistema,umrelatóriocontendo
asúltimastentativasdeacessorealizadasemsuaconta,oschamadoslog
3
..
Assim,ousuárioconsegueidentifcartentativasdeusonãoautorizadodeseu
loginecomunicaràáreadesegurança.
Senhas: cuidados especiais
Dentre as políticas utilizadas pelas grandes corporações, a composição da
senha, ou password, é a mais controversa. Por um lado profssionais com
difculdade de memorizar varias senhas de acesso, por outro, funcionários
displicentesqueanotamasenhasobotecladoougavetase,emcasosmais
graves,nomonitor.
Assim,paraseobterasegurançaqueassenhaspodemproporcionar,ore-
quisitofundamentaléaconscientizaçãodoscolaboradoresquantoaousoe
manutenção.adequados.das.senhas.
Recomenda-se, também, a adoção das seguintes regras para minimizar o
problema:
■ senha com data para expiração:adota-seumpadrãodefnidoondea
senhapossuiprazodevalidadecom30ou45dias,obrigandoocolabo-
radorouusuárioarenovarsuasenha;
■ inibir a repetição: adota-se por meio de regras predefnidas que uma
senha uma vez utilizada não poderá ter mais que 60% dos caracteres
repetidos.Porexemplo,asenha“123senha”aoserrenovadasópoderá
3
Conjuntoderegistrosquelistaasatividadesrealizadasporumamáquinaouusuárioespecífco.Umúnicoregistro
éconhecidocomo‘registrodelog’.Emtermosdesegurança,oslogsãousadosparaidentifcareinvestigaras
atividadessuspeitaseestudarastentativas(ouossucessos)dosataques,paraconhecimentodosmecanismos
usadoseaprimoramentodoníveldeefciênciadasegurança.
ProGrama certificação interna em conhecimentos 66
Universidade Corporativa BB
ter até 60% desses caracteres.A nova senha poderá ser “456seuze”,
repetindo-seapenasoscaracteres“s”e“e”;osdemaissãodiferentes.
■ obrigar a composição com número mínimo de caracteres numéri-
cos e alfabéticos:defne-seobrigatoriedadedequatrocaracteresalfa-
béticosequatrocaracteresnuméricoscomo,porexemplo,1s4e3u2s.É
possível,também,determinaraposição:osquatroprimeiroscaracteres
devemsernuméricoseosquatrosubseqüentesalfabéticos,porexem-
plo,1432seuz.
■ criar um conjunto possíveis senhas que não podem ser utilizadas:.
monta-seumabasededadoscomformatosconhecidosdesenhaseproibi-
seoseuuso.Porexemplo:proibirsenhascomosformatosDDMMAAAA
ou19XX,1883emcouI2B3M4etc.Ou,ainda,seousuáriochamar-seJosé
daSilva,proibirsenhascompartesdonomecomo1221jose,1212silvetc.
Éimportantequetambémosusuáriosadotemcuidadosemrelaçãoàssenhas
como,porexemplo,aescolhadesenhasseguras.Mascomoescolheruma
senhasegura?Primeiramente,deve-seevitarousodesenhasmuitocurtas
oumuitolongas.Assenhasmuitolongasnormalmenteobrigamosusuários
aescrevê-lasemumpedaçodepapelparalembrá-la.Tambéménecessário
termaisdeumasenhaparaoperardiversossistemasjáqueousodamesma
senhaemsistemasdistintoséumapráticavulnerável.Porexemplo,sevocê
utilizasuasenhaparaacessoàsuacontacorrenteigualàquelapararealizar
comprason-lineouigualàutilizadaparaacessarsuarevistaon-line,aquebra
desigilodealgumadelaspodeimplicaremvulnerabilidadesnosdemaissites..
Normalmente,quandouminvasordescobreumasenha,atendênciaétestá-la
em.outros.sistemas.
Osusuáriosdevemevitaracomposiçãodesenhascomosseguinteselementos:
■ nomedoprofssional;
■ númeroigualaodacontadeusuário;
■ nomesdemembrosdafamíliaouamigos;
■ nomesdelugares;
■ nomedosistemaoperacionaloudamáquinaqueestásendoutilizada;
■ datas;
■ númerosdetelefone,cartãodecrédito,carteiradeidentidadeoudeou-
trosdocumentospessoais;
■ placasoumarcasdecarro;
■ letrasounúmerosrepetidos;
Gestão de seGurança 67
Universidade Corporativa BB
■ letrasseguidasdoteclado(asdfg,yuiop,etc);
■ objetosoulocaisquepodemservistosapartirdamesadousuário.
É conveniente, também, que a senha, sempre que possível, não contenha
menosdoqueseiscaracteres.
Paraqueumasenhasejaconsideradasegura,énecessárioseguiralgumas
regras.ConformeMoreira(2001),paraseremconsideradasseguras,asse-
nhasdevemternomínimo:
■ letrasmaiúsculaseminúsculas;
■ dígitose/ousinaisdepontuaçãonomeio;
■ setecaracteresalfanuméricos.
Precisam,também,serfáceisdelembrar,deformaquenãosejanecessário
escrevê-las.
Umasenhasegurapodeserformadaporduaspalavraspequenasintercaladas
porumdígitoouumcaractereespecial(exemplo:uma-casa;senha9boa).
Ou,ainda,pormeiodasiniciaisdecadapalavradeumafrasecomfatosim-
portantesparaousuário,comodoquadronove.
Quadro.9
Exemplos de senhas seguras
. Frase Senha
. Em.2010.apresentarei.esta.dissertação.na.UFMG.. E10AEDNU
Pagareimeualugueldia20,todomês. PMAD20,TM
Meutimedefutebolfoicampeãoem2003 MTDFFCE03
Fonte:Moreira(2001),comadaptações.
3.4. NORMAS E PROCEDIMENTOS PARA A TROCA DE INFORMAÇÕES
Acordos para a troca de informações
Écomumvermosnoticiadonamídiaquepaísesfrmamaliançasdecoopera-
ção.Umadaspossíveisformasdecooperarentresiéapromoçãodeacordos
paratrocadeinformações.Alémdepaíses,instituiçõestambémpodemreali-
zaressetipodeintercâmbio.Hoje,porexemplo,oMinistérioPúblicoFederal
ProGrama certificação interna em conhecimentos 68
Universidade Corporativa BB
troca informações com a Comissão de Valores Mobiliários para prevenção,
investigaçãoerepressãoapráticaslesivasaomercadodecapitais.
Fornecimento de informações a órgãos judiciais, de fscalização e de
controle
Sigilo bancário
“Osigilobancárioéobrigaçãodenãorevelaraterceiros,semcausajustifcada,
os dados referentes a seus clientes que cheguem a seu conhecimento como
conseqüênciadasrelaçõesjurídicasqueosvinculam”.(MALAGARRIGA,citado
porRUEDAJUNIOR,2003).
Conformedicionáriojurídico,sigilobancárioéo
“Direitoqueoindivíduotemaosegredodastransaçõesbancáriaefetuadas,ao
segredodasmovimentaçõesdesuacontacorrente,poupança,aplicaçõesetc.A
quebradosigilosópodeserfeitaporautoridadecompetente(PoderJudiciário,
CPI)enoscasosadmitidosemlei,sobpenadeilegalidadeeconfguraçãode
crime. Vide art. 5º, X e XII, Constituição Federal.”(www.direitonet.com.br/dicio-
nário_jurídico).
ALeiComplementar105/2001determinaque“asinstituiçõesfnanceirascon-
servarão sigilo em suas operações ativas e passivas e serviços prestados”.
(www.bcb.gov.br/pre/leisedecretos).
Dessaforma,ofornecimentodeinformaçõesamparadaspelosigilobancário
eporoutrasmodalidadesdesigiloregulamentadasporleisespecífcas
3
sujei-
taoBancoeseusadministradoresàspenalidadescivisecriminaisprevistas
(riscolegaledeimagem).
Outro aspecto importante a se observar são os prazos estipulados para a
concessãodasinformações.Damesmaformaqueconstituicrimeaquebrade
sigilobancário,istoé,aprestaçãodeinformaçõesparapessoasnãoautoriza-
dasouórgãosincompetentes,tambémécrimeaomissão,oretardamentoou
afalsaprestaçãodasinformaçõesrequeridasporautoridadescompetentes.É
importanteque,emcasodesolicitaçãodeinformaçõesporpessoaautoriza-
da,ainformaçãosejaapresentadaomaistempestivamentepossível.
3.
Estãoprevistosatualmenteemlegislaçõesespecífcasossigilosbancário,fscalecomercial.
Gestão de seGurança 69
Universidade Corporativa BB
Nãoconfguraquebradosigilobancáriooencaminhamentodeinformações
solicitadasporautoridadesrequisitantescompetentes.
Alémdisso,outrassituaçõesnãoconfguramquebradesigilo
4
:
■ a troca de informações entre instituições fnanceiras, para fns cadas-
trais, inclusive por intermédio de centrais de risco, observadas as nor-
masbaixadaspeloConselhoMonetárioNacionalepeloBancoCentral
doBrasil;
■ ofornecimentodeinformaçõesconstantesdecadastrodeemitentesde
chequessemprovisãodefundosededevedoresinadimplentes,aen-
tidades de proteção ao crédito, observadas as normas baixadas pelo
ConselhoMonetárioNacionalepeloBancoCentraldoBrasil;
■ a comunicação, às autoridades competentes, da prática de ilícitos pe-
naisouadministrativos,abrangendoofornecimentodeinformaçõesso-
breoperaçõesqueenvolvamrecursosprovenientesdequalquerprática
criminosa;
■ arevelaçãodeinformaçõessigilosascomoconsentimentoexpressodos
interessados.
Autoridades requisitantes – competências
Nascircunstânciasnasquaisépossívelhaverquebradosigilobancário,con-
formeaLeinº105/2001,asinformaçõessomentepoderãoserprestadasse
requeridasporautoridadesquepossuamcompetênciaparataledesdeque
atendidas determinadas exigências. Essa competência deve ser analisada
cuidadosamentetendoemvistaquecadaautoridadepodesolicitarsomente
documentosrelativosaodesempenhodesuasatividades.
Osnormativosdobancodetalhamasautoridadesquepodemseratendidase
asrespectivasexigências.
Mensagens eletrônicas
Asmensagenseletrônicas(e-mail)representamummeiomuitoefcientede
setrocarinformações.Contudo,apresentagrandevulnerabilidade,podendo
ocorrerdesdeafalsifcaçãodasinformaçõesatéacontaminaçãoporvírus.
4.
ConformeLeiComplementar105/2001
ProGrama certificação interna em conhecimentos 70
Universidade Corporativa BB
Assim, é imprescindível a adoção de cuidados para a preservação das in-
formações. Mensagens confdenciais devem ser enviadas com a utilização
deprocedimentosespeciaisbaseadosemtécnicascriptográfcas,deformaa
garantirquesóodestinatáriotenhaacessoaoconteúdo.
.
Ousodocorreioeletrôniconoambientecorporativoparaenviodemensagens
deveterregrasbásicasqueorientemofuncionárioeminimizemaspossibili-
dadesdeincidentesnatrocadeinformações.Umadasregrasdevereferir-se
ao.uso.do.e-mailcorporativolimitadoaospropósitoscomerciais.Comumente
évistooseuusoparapropósitosparticulareseparaoutrosfnsquenãoode
negócios,oquetemlevadoasempresasaadotarempráticasparamonitora-
mentodoconteúdodose-mails.
Segurança lógica
Segurança.perfeita.não.existe..Isto.é.verdade.tanto.para.softwarescomoem
todososcamposdeinteressehumano.
Aexemplodequalqueratividaderealizadapelohomem,odesenvolvimento
de.softwareestásujeitoàfalhasemseuciclo,queseforemexploradas,cau-
sarãobrechasnasegurança.Seosoftwarepudesseserperfeitoisso,porsi
só, não resolveria o problema, pois a maioria dos ataques envolve, em um
nívelououtro,algumamanipulaçãodenaturezahumana-usualmentecha-
madodeEngenhariaSocial,assuntoqueveremosadiante.
Aumente o custo e a difculdade tecnológica dos ataques à segurança e as
pessoasmalintencionadasresponderãomudandoofocodatecnologiapara
o fator humano. Por isso, é vital o entendimento pelo usuário de seu papel
namanutençãodeumasegurançasólida,paranãosetornarumabrechana
segurançadeseuprópriosistema.
Éindispensávelteremmentedoispontosessenciais.Primeiro,asegurança
doambientelógicocompreendetantotecnologiaquantopolítica-ouseja,a
combinaçãodatecnologiaedecomoelaéusadadeterminaoquãoseguroé
oseusistema.Segundo,asegurançanãoéumdestino,massimumajornada
-elanãoéumproblemaquepodeser“resolvido”deumavezportodas;éuma
sérieconstantedemovimentosecontramedidasentreusuáriosdosistemae
pessoasmalintencionadas.
Gestão de seGurança 71
Universidade Corporativa BB
Internet
A Internet está repleta de recursos e serviços úteis para a vida do usuário,
apesardosriscosqueoferece.Ousodainternetpossibilitaumasériedefa-
cilidades:
■ recebimentodeinformaçõesedadosdefontesconhecidas,desdeque
osmesmostenhamsidosolicitados;
■ acessoapáginaseconteúdosdediversaspartesdomundo;
■ acessoasitessegurosparatransaçõescomerciaison line(identifcados
pelocertifcadodigitalemitidoporumaautoridadecertifcadoraconfável).
Assim como no dia-a-dia é possível escolher os lugares que freqüentamos
em função dos possíveis riscos, para usar a Internet com segurança é pre-
cisobomsensoeatençãoconstantenaescolhadossites.que.visitamos..No.
ambientedetrabalho,asempresaspreocupadascomasegurançaorientam
seusfuncionáriosquantoaousoadequadodestecanal,visandocoibirabusos
eexcessos.Namaioriadasempresas,comoéocasodoBancodoBrasil,o
nãocumprimentodasorientaçõessobreousocorretodaInternetpodeacar-
retardesdeumaadvertênciaverbalatéumademissãoporjustacausa.
Paraconseguirmanterasegurançadasinformaçõesutilizandoainternet,é
imprescindívelobservaralgumasrecomendações.Nessesentido,édesacon-
selhávelaousuário:
■ compartilharseusdadospessoaisouprofssionais;
■ conversarcomdesconhecidosqueoferecemvantagensemtrocadein-
formações;
■ abrirarquivosoumensagensnãosolicitados.
SegundoPatríciaPeck(2002),ocorrecrimeeletrônicoquando“seutilizainter-
net,computadoresecaixaseletrônicosparafnscontráriosàsleisvigentesno
País,ouquandoseacessaocomputadordeterceirosdeformanãoconven-
cionalenãoautorizada,comoobjetivodecometerfraudes”.
Ainternetpodeserummeiofacilitadordecrimes.Omaiorestímuloaoscrimes
virtuaisédadopelaconfançanoanonimatoepelacrençadequeomeiodi-
gitaléumambientenãosufcientementevigiadoetaiscrimesfcamimpunes.
Umdoscrimeseletrônicosquemaiscausamimpactoaosnegóciosdeinstitui-
çõesfnanceiraséafraude.
ProGrama certificação interna em conhecimentos 72
Universidade Corporativa BB
Normalmente,nãoéumatarefasimplesatacarefraudardadosemumser-
vidordeumainstituiçãobancáriaoucomercial.Então,pararealizarfraudes
comerciais e bancárias por meio da Internet os esforços se concentram na
exploraçãodefragilidadesdoscomputadores,sistemaseusuários.
Paraobtervantagens,osfraudadorestêmutilizadoamplamentee-mailscom
discursosquetentampersuadirousuárioafornecerseusdadospessoaisef-
nanceiros.Emmuitoscasos,ousuárioéinduzidoainstalaralgumcódigoma-
liciosoouacessarumapáginafraudulenta,paraquedadospessoaisesen-
síveis,comosenhasbancáriasenúmerosdecartõesdecrédito,possamser
furtados.Nositensaseguirserãoabordadasasameaçasmaiscomunsnoam-
bientevirtualeferramentasquebuscamprotegerosusuáriosdessasameaças.
Ameaças mais comuns
Vírus
Éumprogramadecomputador,normalmentemalicioso,quesepropagain-
fectando,istoé,inserindocópiasdesimesmoemoutrosprogramasearqui-
vosdeumcomputador
5
..
Normalmente o vírus tem controle sobre o computador, podendo tomar to-
das.as.ações.programadas.por.quem.o.desenvolveu..Essas.ações.vão.desde.
mostrar.uma.mensagem.até.alterar.ou.destruir.programas.e.arquivos.do.dis-
co.Paraqueumcomputadorsejainfectadoporumvírus,éprecisoqueum
programapreviamenteinfectadosejaexecutado.Ovíruspodeinstalar-seem
umarquivohospedeiroeposteriormentetornar-seativoedarcontinuidadeao
processodeinfecção.
Istopodeocorrerdediversasmaneiras,taiscomo:
■abrirarquivoscontaminadosanexadosaose-mails;
■abrirarquivosdoWord,Exceletc.quecontenhamvírusdemacro;
■abrirarquivosarmazenadosemoutroscomputadorespormeiodocom-
partilhamentodearquivos;
■ instalar programas de procedência duvidosa ou desconhecida, obtidos
pelaInternet,dedisquetes,pen drives,CD,DVDetc;
■teralgumamídiaremovívelinfectadaconectadaouinseridanocomputa-
dor.quando.ele.é.ligado.
5
Entende-seporcomputadorqualquerdispositivocomputacionalpassíveldeinfecçãoporvírus.Computadoresdo-
mésticos,notebooks,telefonescelularesePDAsãoexemplosdedispositivoscomputacionaispassíveisdeinfecção.
Gestão de seGurança 73
Universidade Corporativa BB
Existemvírusqueprocurampermanecerocultos,infectandoarquivosdodisco
e executando uma série de atividades sem o conhecimento do usuário. Há
outrostiposquepermaneceminativosdurantecertosperíodos,entrandoem
atividadeemdatasespecífcas.
Umanovidaderelativamenterecenteéovíruspropagadoporalgunstiposde
celular.Umvírusdecelularsepropagadetelefoneparatelefonepormeioda
tecnologiabluetoothoudatecnologiaMMS(Multimedia Message Service).A
infecçãoocorredaseguinteforma:
■ousuáriorecebeumamensagemquedizqueseutelefoneestáprestes
areceberumarquivo;
■ousuáriopermitequeoarquivoinfectadosejarecebido,instaladoeexe-
cutadoemseuaparelho;
■ovírus,então,continuaoprocessodepropagaçãoparaoutrostelefones,
pormeiodeumadastecnologiasmencionadasanteriormente.
Osvírusdecelulardiferemdosvírustradicionais,poisnormalmentenãoin-
serem cópias de si mesmos em outros arquivos armazenados no telefone
celular,maspodemserespecifcamenteprojetadosparasobrescreverarqui-
vos de aplicativos ou do sistema operacional instalado no aparelho. Depois
deinfectarumtelefonecelular,ovíruspoderealizardiversasatividades,tais
comodestruirousobrescreverarquivos,removercontatosdaagenda,efetuar
ligações telefônicas, drenar a carga da bateria, além de tentar propagar-se
para.outros.telefones.
Novasformasdeinfecçãoporvíruspodemsurgir.Portanto,éimportanteman-
ter-seinformadopormeiodejornaiserevistas.
Cavalo de Tróia (Trojan)
Contaamitologiagregaqueo“cavalodeTróia”foiumagrandeestátua,uti-
lizadacomoinstrumentodeguerrapelosgregosparaobteracessoacidade
deTróia.Aestátuadocavalofoirecheadacomsoldadosque,duranteanoite,
abriramosportõesdacidadepossibilitandoaentradadosgregoseadomina-
çãodeTróia.Daísurgiramostermos“presentedegrego”e“cavalodeTróia”.
No mundo virtual, um cavalo de Tróia (Trojan horse) é um programa, (por
exemplo,cartãovirtual,álbumdefotos,protetordetela,jogoetc),quealémde
executarfunçõesparaasquaisfoiaparentementeprojetado,tambémexecuta
ProGrama certificação interna em conhecimentos 74
Universidade Corporativa BB
outrasfunçõesnormalmentemaliciosasesemoconhecimentodousuário.É
necessárioqueocavalodeTróiasejaexecutadoparaqueeleseinstaleem
umcomputador.
Algumas das funções maliciosas que podem ser executadas por um cavalo
deTróiasão:
■furtodesenhaseoutrasinformaçõessensíveis,comonúmerosdecar-
tõesdecrédito;
■inclusãodebackdoors
6
,parapermitirqueumatacantetenhatotalcon-
trolesobreocomputador;
■alteraçãooudestruiçãodearquivos;
■criptografadearquivoscomacobrançaderesgateparadevolvê-los.
GeralmenteumcavalodeTróiavemanexadoaume-mailouestádisponível
em.algum.site.na.Internet..É.importante.ressaltar.que.existem.programas.leito-
res.de.e-mailsquepodemestarconfguradosparaexecutarautomaticamente
arquivos anexados às mensagens. Neste caso, o simples fato de ler uma
mensagemésufcienteparaqueumarquivoanexadosejaexecutado.
ExemploscomunsdecavalosdeTróiasãoprogramasrecebidosouobtidos
de.algum.siteequeparecemserapenascartõesvirtuaisanimados,álbunsde
fotosdealgumacelebridade,jogos,protetoresdetela,entreoutros.
Adware e Spyware
Adware (Advertising software).é.um.tipo.de.softwareespecifcamenteproje-
tado para apresentar propagandas, seja por meio de um browser, seja me-
diantealgumoutroprogramainstaladoemumcomputador.Emmuitoscasos,
os.adwarestêmsidoincorporadosasoftwareseserviços,constituindouma
formalegítimadepatrocínioouretornofnanceiroparaaquelesquedesenvol-
vem.software.livre.ou.prestam.serviços.gratuitos.
Spyware,porsuavez,éotermoutilizadoparasereferiraumagrandecate-
goria.de.softwarequetemoobjetivodemonitoraratividadesdeumsistemae
enviarasinformaçõescoletadasparaterceiros.
6
.Normalmente.um.hackerprocuragarantirumaformaderetornaraumcomputadorcomprometido,semprecisar
recorreraosmétodosutilizadosnarealizaçãodainvasão.Namaioriadoscasos,tambéméintençãodoatacante
poderretornaraocomputadorcomprometidosemsernotado.Backdoors.são.programas.que.permitem.o.retorno.
deuminvasoraumcomputadorcomprometido,utilizandoserviçoscriadosoumodifcadosparaestefm.
Gestão de seGurança 75
Universidade Corporativa BB
Existem. adwares que também são considerados um tipo de spyware, pois
sãoprojetadosparamonitoraroshábitosdousuárioduranteanavegaçãona
Internet,direcionandoaspropagandasqueserãoapresentadas.
Os. spywares, assim como os adwares, podem ser utilizados de forma legí-
tima, mas, na maioria das vezes, são utilizados de forma dissimulada, não
autorizadaemaliciosa.
Seguemalgumasfuncionalidadesimplementadasemspywares,quepodem
terrelaçãotantocomousolegítimoquantocomousomalicioso:
■monitoramentodeURLacessadasenquantoousuárionaveganaInter-
net;
■alteraçãodapáginainicialapresentadanobrowserdousuário;
■varreduradosarquivosarmazenadosnodiscorígidodocomputador;
■monitoramentoecapturadeinformaçõesinseridasemoutrosprogramas,
comoprocessadoresdetexto;
■instalaçãodeoutrosprogramasspyware;
■monitoramentodeteclasdigitadaspelousuárioouregiõesdatelapróxi-
masaocliquedomouse;
■capturadesenhasbancáriasenúmerosdecartõesdecrédito;
■capturadeoutrassenhasusadasemsitesdecomércioeletrônico.
Éimportanteteremmentequeestesprogramas,namaioriadasvezes,com-
prometem a privacidade do usuário e, pior, a segurança do computador do
usuário,dependendodasaçõesrealizadaspelospywarenocomputadorede
quaisinformaçõessãomonitoradaseenviadasparaterceiros.
Scam e Phishing
O.scam(ou“golpe”)équalqueresquemaouaçãoenganosaoufraudulenta
que,normalmente,temcomofnalidadeobtervantagensfnanceiras,pormeio
depáginasfalsasnaInternetourecebimentodee-mails.fraudulentos..Existem.
váriostiposdescam.e.novas.formas.surgem.todos.os.dias.
Phishing, também conhecido como phishing scam. ou. phishing/scam. foi. um.
termo originalmente criado para descrever o tipo de fraude que se dá me-
dianteoenviodemensagemnãosolicitada,supostamentedeumainstituição
conhecida,comoumbanco,empresaousitepopular,equeprocurainduziro
acessoapáginasfraudulentas,projetadasparafurtardadospessoaisefnan-
ceirosdeusuários.
ProGrama certificação interna em conhecimentos 76
Universidade Corporativa BB
A.palavra.phishing(de“fshing”)vemdeumaanalogiacriadapelosfraudado-
res,onde“iscas”(e-mails)sãousadaspara“pescar”senhasedadosfnancei-
rosdeusuáriosdaInternet.
Atualmente,essetermoéutilizadotambémparasereferiraosseguintescasos:
■mensagemqueprocurainduzirousuárioàinstalaçãodecódigosmalicio-
sos,projetadosparafurtardadospessoaisefnanceiros;
■mensagemque,nopróprioconteúdo,apresentaformuláriosparaopre-
enchimentoeenviodedadospessoaisefnanceirosdeusuários.
Algunsexemplosdetemaserespectivasdescriçõesdostextosencontrados
em.mensagens.deste.tipo.estão.no.quadro.dez.
Quadro.10
Exemplos de conteúdos de phishing
Tema Texto da mensagem
Cartõesvirtuais UOL, Voxcards, Humor Tadela, O Carteiro,
Emotioncard,CriançaEsperança,AACD/Te-
leton.
SERASAeSPC Débitos,restriçõesoupendênciasfnanceiras.
Serviçosdegovernoeletrônico CPF/CNPJpendenteoucancelado,Imposto
de Renda (nova versão ou correção para o
programa de declaração, consulta da resti-
tuição, dados incorretos ou incompletos na
declaração), eleições (título eleitoral cance-
lado,simulaçãodaurnaeletrônica).
Álbunsdefotos Pessoasupostamenteconhecida,celebrida-
des,relacionadoaalgumfatonoticiado(em
jornais, revistas, televisão), traição, nudez
oupornografa,serviçodeacompanhantes.
IBGE Censo.
Cabe ressaltar que a lista de temas na tabela acima não é exaustiva, nem
tampoucoseaplicaatodososcasos.Existemoutrostemasenovostemas
podem.surgir.
Spam
É.o.termo.usado.para.se.referir.aos.e-mailsnãosolicitados,quegeralmente
são enviados para um grande número de pessoas. Quando o conteúdo é
Gestão de seGurança 77
Universidade Corporativa BB
exclusivamente comercial, este tipo de mensagem também é referenciada
comoUCE(doinglêsUnsolicited Commercial E-mail).Osspammers.utilizam.
diversas.formas.para.obter.endereços.de.e-mail,desdeacompradebancos
dedadoscome-mailsvariados,atéaproduçãodesuasprópriaslistasdee-
mailsobtidosviaprogramasmaliciosos.
O. spam pode causar vários problemas para um usuário da Internet.Alguns
exemplos.são:
■Nãorecebimentodee-mails:.boa.parte.dos.provedores.de.Internet.limita.
otamanhodacaixapostaldousuárionoseuservidor.Casoonúmero
de.spamsrecebidossejamuitograndeousuáriocorreoriscodetersua
caixa postal lotada com mensagens não solicitadas. Se isto ocorrer, o
usuárionãoconseguirámaisrecebere-mailse,atéquepossaliberares-
paçoemsuacaixapostal,todasasmensagensrecebidasserãodevolvi-
dasaoremetente.Ousuáriotambémpodedeixarderecebere-mailsem
casosondeestejamsendoutilizadasregrasanti-spaminefcientes,por
exemplo,classifcandocomospammensagenslegítimas.
■gastodesnecessáriodetempo:paracadaspamrecebido,ousuárione-
cessitagastarumdeterminadotempoparaler,identifcaroe-mailcomo
spameremovê-lodacaixapostal;
■aumentodecustos:independentementedotipodeacessoainternetutili-
zado,quempagaacontapeloenviodospaméquemorecebe.Porexem-
plo,paraumusuárioqueutilizaacessodiscadoaInternet,cadaspam.
representaalgunssegundosamaisdeligaçãoqueeleestarápagando;
■perdadeprodutividade:paraquemutilizaoe-mailcomoumaferramenta
detrabalho,orecebimentodespamsaumentaotempodedicadoàtarefa
de.leitura.de.e-mails,alémdeexistirachancedemensagensimportan-
tesnãoseremlidas,seremlidascomatrasoouapagadasporengano;
■conteúdoimpróprioouofensivo:comoamaiorpartedosspams.são.en-
viadosparaconjuntosaleatóriosdeendereçosdee-mail,ébemprová-
velqueousuáriorecebamensagenscomconteúdoquejulgueimpróprio
ouofensivo;
■prejuízosfnanceiroscausadosporfraude:ospam.tem.sido.amplamente.
utilizadocomoveículoparadisseminaresquemasfraudulentos,queten-
taminduzirousuárioaacessarpáginasclonadasdeinstituiçõesfnan-
ceirasouainstalarprogramasmaliciososprojetadosparafurtardados
pessoaisefnanceiros.Estetipodespaméconhecidocomophishing/
scam.Ousuáriopodesofrergrandesprejuízosfnanceiros,casoforneça
ProGrama certificação interna em conhecimentos 78
Universidade Corporativa BB
asinformaçõesouexecuteasinstruçõessolicitadasnessetipodemen-
sagem.fraudulenta.
Alguns.dos.problemas.sentidos.pelos.provedores.e.empresas.são:
■impacto na banda:paraasempresaseprovedoresovolumedetráfego
geradoporcausadespamsosobrigaaaumentaracapacidadedeseus
linksdeconexãocomainternet.Comoocustodoslinkséalto,istodimi-
nuioslucrosdoprovedoremuitasvezespoderefetirnoaumentodos
custosparaousuário;
■má utilização dos servidores:.os.servidores.de.e-maildedicamboaparte
doseutempodeprocessamentoparatratardasmensagensnãosolicita-
das.Alémdisso,oespaçoemdiscoocupadopormensagensnãosolicita-
dasenviadasparaumgrandenúmerodeusuárioséconsiderável;
■inclusão em listas de bloqueio:oprovedorquetenhausuáriosenvolvi-
dosemcasosdespampodetersuaredeincluídaemlistasdebloqueio.
Esta inclusão pode prejudicar o recebimento de e-mails. por. parte. de.
seususuárioseocasionaraperdadeclientes.
■ investimento em pessoal e equipamentos:paralidarcomtodosospro-
blemas.gerados.pelo.spam,osprovedoresnecessitamcontratarmaistéc-
nicosespecializados,comprarequipamentoseacrescentarsistemasde
fltragemdespam.Comoconseqüênciaoscustosdoprovedoraumentam.
Worm
É um programa capaz de se propagar automaticamente através de redes,
enviandocópiasdesimesmodecomputadorparacomputador.Diferentedo
vírus,owormnãoembutecópiasdesimesmoemoutrosprogramasouar-
quivosenãonecessitaserexplicitamenteexecutadoparasepropagar.Sua
propagaçãosedápelaexploraçãodevulnerabilidadesexistentesoufalhasna
confguraçãodesoftwaresinstaladosemcomputadores.
Geralmente.o.wormnãotemcomoconseqüênciaosmesmosdanosgerados
por um vírus como, por exemplo, a infecção de programas e arquivos ou a
destruição.de.informações..Isto.não.quer.dizer.que.não.represente.uma.amea-
çaàsegurançadeumcomputador,ouquenãocausequalquertipodedano.
Wormssãonotadamenteresponsáveisporconsumirmuitosrecursos.Degra-
damsensivelmenteodesempenhoderedesepodemlotarodiscorígidode
computadores,devidoàgrandequantidadedecópiasdesimesmoquecos-
Gestão de seGurança 79
Universidade Corporativa BB
tumampropagar.Alémdisso,podemgerargrandestranstornosparaaqueles
queestãorecebendotaiscópias.
Detectarapresençadeumwormemumcomputadornãoéumatarefafácil.
Muitas.vezes.os.wormsrealizamumasériedeatividades,incluindosuapro-
pagação,semqueousuáriotenhaconhecimento.Emboraalgunsprogramas
antivíruspermitamdetectarapresençadeworms.e.até.mesmo.evitar.que.eles.
sepropaguem,istonemsempreépossível.
Ferramentas de proteção
Assimcomotomamosprecauçõesdesegurançaemnossacasaouautomó-
vel,tambémprecisamosteromesmocuidadoemrelaçãoaonossocomputa-
dor.Paraisso,énecessáriaautilizaçãodealgunsprogramasqueirãotrazer
umacamadadeproteçãocontraalgumasameaças.Estesprogramaspodem
serobtidosdediversosfabricantesempacotesintegradosoudeformaindivi-
dual.Pelomenostrêstiposdeproteçãosãonecessários:
■ antivírus: um programa antivírus irá proteger seu computador contra
osdenominados“vírusdecomputador”esuasvariantes,comoworms..
É imprescindível que o antivírus tenha “atualização automática”, para
garantir que o programa busque novas atualizações automaticamente,
comfreqüência,nomínimo,diária;
■ frewall pessoal: um programa denominado “frewall” irá manter uma
barreiralógicaentreseucomputadoreainternet,evitandoqueatacan-
tesfaçamacessosnãoautorizados;
■ anti-Spam:esteprogramairáauxiliarafltraroconteúdoindesejadode
e-mails,descartandoautomaticamenteaquelesqueforemconsiderados
spam.
Novas ferramentas de proteção da informação
Criptografa
Desde que o ser humano entendeu as vantagens que o conhecimento de
determinadasinformaçõespodemtrazer,surgiuanecessidadedeprotegê-las
deterceirosquepoderiamsebenefciardelas:assim,nasceuacriptografa.
Do.grego.kriptos,secreto,egraphos,escrita,acriptografasurgiucomoaci-
ência,ou,paraalguns,aartedeseescrevermensagensdeformacodifcada,
impossibilitandoaleituraparaterceirosnãoautorizados.
ProGrama certificação interna em conhecimentos 80
Universidade Corporativa BB
Hoje,apósséculosdeusoeevolução,acriptografacontinuasendoumadas
maispoderosasarmasparaaproteçãodasinformações,possibilitandoque
propriedadesimportantessejamalcançadas,dentreelas:
■ integridade
■ autenticidade
7
.
■ não-repúdio
8
.
■ confdencialidade
Atualmenteousodacriptografa-impulsionadopelosavançostecnológicos
-écrescente,desempenhandopapeldeextremarelevâncianocontextoda
segurança.da.informação.
Alémdetornardocumentosconfdenciais,acriptografatemoutrasutilidades.
Elapossibilitaacriaçãodeassinaturasdigitaiseavalidaçãodetransações
eletrônicas.
Umamensagemcodifcadaporummétododecriptografadeveserprivada,
ouseja,somenteaquelequeenvioueaquelequerecebeudevemteracesso
aoconteúdodamensagem.Alémdisso,umamensagemdevepoderserassi-
nada,ouseja,apessoaquearecebeudevepoder:
■ verifcarseoremetenteémesmoapessoaquedizser;e
■ identifcarseamensagemfoimodifcada.
Osmétodosdecriptografahojeutilizadossãoseguroseefcientesebaseiam-
senousodeumaoumaischaves.Achaveéumaseqüênciadecaracteres
quepodeconterletras,dígitosesímbolos(comoumasenha)queéconvertida
emumnúmero,utilizadopelosmétodosdecriptografaparacodifcaredeco-
difcarmensagens.
Atualmente,osmétodoscriptográfcospodemsersubdivididosemduasgran-
descategorias:acriptografasimétricaeaassimétrica.
Amaisantigadasformasdecriptografa,acriptografasimétrica,tambémco-
nhecidacomocriptografadechavecompartilhadaoudechavesecretapos-
sui.dois.elementos.fundamentais:.um.algoritmo
9
eumachave
10
.que.deve.ser.
compartilhada entre os participantes da comunicação, daí o nome de simé-
7
Qualidadedeumdocumentoseroquedizser,independentedesetratardeminuta,originaloucópia,equeé
livredeadulteraçõesouqualqueroutrotipodecorrupção.
8
Garantiaqueoemissordeumamensagemouapessoaqueexecutoudeterminadatransaçãodeformaeletrôni-
ca,nãopoderáposteriormentenegarsuaautoria.
9
Sériedeetapasutilizadasparacompletarumatarefa,procedimentooufórmulanasoluçãodeumproblema.
Usadocomochavesparacriptografadedados.
10
Éovalornuméricooucódigousadocomumalgoritmocriptográfcoparatransformar,validar,autenticar,cifrare
decifrardados.
Gestão de seGurança 81
Universidade Corporativa BB
tricaoudechavecompartilhada.Nacriptografasimétrica,amesmachaveé
usadaparacodifcaredecodifcarasmensagens(Figura5).
Figura.5
Criptografa de chave privada ou simétrica
A criptografa assimétrica, também conhecida por criptografa de chave pú-
blica,éummétodoqueutilizaumpardechaves:umachavepúblicaeuma
chave privada. A chave pública é distribuída livremente para todos os cor-
respondentes. via. e-mail ou outras formas, enquanto a chave privada deve
ser conhecida apenas pelo seu dono.As chaves públicas e privadas estão
completamenterelacionadas,detalformaqueparacadachavepúblicaexiste
umaúnicachaveprivadacorrespondente.
Nacriptografaassimétrica,quandoumamensagemécifradacomachavepú-
blica,somenteacorrespondenteprivadapoderádecifrá-la.Domesmomodo,
umamensagemassinadacomachaveprivadasomentepodeserconferida
pelasuachavepúblicacorrespondente(Figura6).
Figura.6
Criptografa de chave pública ou assimétrica
João
mensagem cifrador
mensagem
cifrada
Rede
pública
mensagem
original
decifrador
mensagem
cifrada
Maria
João
mensagem cifrador
mensagem
cifrada
Rede
pública
mensagem
original
decifrador
mensagem
cifrada
Maria
PúblicadeMaria
Privada.de.Maria
Fonte:NakamuraeGeus(2007).
Fonte:NakamuraeGeus(2007).
ProGrama certificação interna em conhecimentos 82
Universidade Corporativa BB
Comparação entre os métodos
ParaNakamuraeGeus(2007),osalgoritmosdechavesimétricaapresentam
rapideznaexecução.Porém,elesnãopermitemaassinaturaeacertifcação
digitaise,alémdisso,adistribuiçãoentreosusuáriosédifcultadapelafaltade
segurançanosmeiosdedistribuiçãodachave.Outrodifcultadoréaneces-
sidadedechavessecretasdiferentesparacadatipodecomunicaçãoepara
cadamensagem,tornandoogerenciamentodaschavesmuitocomplexo.
Umexemplodessacomplexidadepodeservistoemumambientenoqualtrês
usuáriossecomunicamcomumquartousuário.Cadaumdelesdevearmaze-
naregerenciartrêschavesdiferentes(Figura7).
Figura.7
As chaves secretas necessárias na criptografa simétrica
Fonte:NakamuraeGeus(2007)
Emcontrapartida,NakamuraeGeus(2007)enfatizamque“oalgoritmoassimé-
tricominimizaoproblemadetrocadechaves,poisnãoénecessárioumcanal
seguroparatal.Porém,eleécercade60a70vezesmaislentoqueosalgorit-
mossimétricos”.Afguraoitomostraasvantagensnadistribuiçãodechaves:
Figura.8
As chaves secretas necessárias na criptografa assimétrica
Fonte:NakamuraeGeus(2007)
João.......................1
Pedro......................2
Luís3
Maria
1
2
3
João.................PúblicadeMaria
Pedro................PúblicadeMaria
LuísPúblicadeMaria
Maria
Privada.de.Maria
PúblicadeMaria
Gestão de seGurança 83
Universidade Corporativa BB
Comosomenteachaveprivadaequivalenteécapazdedecifraramensagem
esomenteoreceptorapossui,osigilodamensagemégarantido.
Asaídaparaneutralizarasdesvantagensdaschavessimétrica(difculdadede
distribuição)eassimétrica(lentidãodoalgoritmo)estánautilizaçãodosdois
tiposdealgoritmoemconjunto.Pormeiodoalgoritmoassimétrico,constrói-
seumcanaldecomunicaçãoseguroporondepodeserdistribuídaachave
simétrica.
Certifcação Digital
Ousodacriptografaassimétricatornoupossívelarealizaçãodetransações
eletrônicaseacomunicaçãoemredeentreusuárioseorganizaçõesdeforma
segura,viabilizandoacriaçãodoscertifcadosdigitais.
Ocertifcadodigitaléumarquivoeletrônicoquecontémdadosdeumapessoa
ouinstituição,utilizadosparacomprovarsuaidentidade.
ExemplossemelhantesaumcertifcadodigitalsãooCNPJ,oRG,oCPFea
carteiradehabilitaçãodeumapessoa.Cadaumdelescontémumconjuntode
informaçõesqueidentifcamainstituiçãooupessoaeaautoridade(paraestes
exemplos,órgãospúblicos)quegarantesuavalidade.
Algumas das principais informações encontradas em um certifcado digital
são:
■ dadosqueidentifcamodono(nome,númerodeidentifcação,estadoetc);
■ nomedaAutoridadeCertifcadora(AC)queemitiuocertifcado;
■ númerodesérieeoperíododevalidadedocertifcado;
■ assinaturadigitaldaAC.
Aautoridadecertifcadoraéaentidaderesponsávelporemitircertifcadosdigi-
tais.Estescertifcadospodemseremitidosparaumapessoa,umcomputador,
umdepartamentodeumainstituição,umainstituiçãoetc.
OscertifcadosdigitaispossuemaassinaturaeletrônicadaACqueoemitiu.
Graçasàsuaidoneidade,aACénormalmentereconhecidaportodoscomo
confável,fazendoopapelde“cartórioeletrônico”.
ProGrama certificação interna em conhecimentos 84
Universidade Corporativa BB
Algunsexemplostípicosdousodecertifcadosdigitais:
■ quandovocêacessaumsitecomconexãoseguracomo,porexemplo,
oacessoasuacontabancáriapelaInternet,épossívelchecarseosite.
apresentadoérealmentedainstituiçãoquedizser,pelaverifcaçãode
seucertifcadodigital;
■ quandovocêconsultaseubancopelaInternet,estetemqueassegurar-
sedesuaidentidadeantesdefornecerinformaçõessobreaconta;
■ quandovocêenviaume-mailimportante,seuaplicativodee-mail.pode.
utilizarseucertifcadoparaassinardigitalmenteamensagem,demodo
aasseguraraodestinatárioqueoe-mail.é.seu.e.que.não.foi.adulterado.
entreoenvioeorecebimento.
A confabilidade desse sistema levou diversos países, entre eles o Brasil, a
criarumainfra-estruturaofcialdechavespúblicas,quepossibilitaaoscida-
dãoseempresasrealizaremtransaçõeseletrônicascomrespaldolegal.
Nessesentido,aInfra-EstruturadeChavesPúblicasBrasileira-ICP-Brasilfoi
instituídaparagarantiraautenticidade,aintegridadeeavalidadejurídicade
documentosemformaeletrônica,dasaplicaçõesdesuporteedasaplicações
habilitadasqueutilizemcertifcadosdigitais,bemcomoarealizaçãodetran-
saçõeseletrônicasseguras.
AICP-Brasilécompostaporumaautoridadegestoradepolíticasepelaca-
deia de autoridades certifcadoras.A estrutura da ICP-Brasil funciona numa
cadeiahierárquicaqueestabelecerelaçõesdeconfançaentreasentidades
queacompõemecomoutrasinstituiçõeseempresas.Arelaçãodeconfança
éfundamentalparaqueasentidadespossamserelacionarcommaiorsegu-
rançaemtransaçõeseletrônicas.
Acadeiadeautoridadescertifcadoras,quecompõemaestruturadaICP-Bra-
sil,éformadaporumaAutoridadeCertifcadoraRaiz-ACRaiz,Autoridades
Certifcadoras-ACeAutoridadesdeRegistro-AR(Figura9).
A primeira autoridade da cadeia é aAC-Raiz da ICP-Brasil, função desem-
penhadapeloInstitutoNacionaldeTecnologiadaInformação-ITI,órgãovin-
culadoàCasaCivildaPresidênciadaRepública.Esteórgãoéresponsável
poremitir,distribuir,revogaregerenciaroscertifcadosemitidos,revogadose
vencidos.Alémdisto,elefscalizaerealizaauditoriasnasautoridadescertif-
cadoraseautoridadesderegistro.
Gestão de seGurança 85
Universidade Corporativa BB
Figura.9
Estrutura da ICP-Brasil
TambémIntegraaICP-BrasiloComitêGestorqueéresponsávelpelaspolí-
ticasaseremexecutadaspelaACRaiz(Figura10).
Figura.10
Comitê Gestor da ICP - Brasil
.
O usuário, para obter o certifcado digital, deve dirigir-se a uma autoridade
deregistro.Estafazaidentifcaçãopresencial,pormeiodeseusagentesde
registro,conferindosuadocumentação,paraemseguidaencaminharasolici-
taçãoàautoridadecertifcadoraqueemitiráocertifcadodigital.
Ocertifcadodigitalpodeestararmazenadoemumcomputadorouemoutra
mídia,comoumsmartcard
11
.ou.um.token
12
.Adiferençabásicaentreumtoken.
COMITÊ GESTOR DA ICP-BRASIL
AC RAIZ
ITI
AC
AR
Determinaaspolíticasaserem
executadaspelaACRaiz
AplicaçãodaspolíticasdaICP-Brasil
Emitecertifcadosvinculando
paresdechavescriptográfcasao
respectivotilular
Identifcapresencialmente,cadastrae
encaminhasolicitaçõesdecertifcadosàs
AutoridadesCertifcadoras(AC).
11
Éumtipodecartãoplásticosemelhanteaumcartãodecrédito,comumoumaismicrochipsembutidos,capaz
dearmazenareprocessardados.
12
DispositivoparaarmazenamentodoCertifcadoDigitaldeformasegura,comfuncionamentoparecidocomo
smartcardequeconectacomocomputadorviaUSB.
ProGrama certificação interna em conhecimentos 86
Universidade Corporativa BB
USBeumsmartcardestánoformatoenotipodeinformaçõesnelescontidas.
O.smartcardésemelhanteaumcartãodecréditoepodeconter,porexemplo,
onome,oCPFouafotodotitulardocertifcado.UmtokenUSBnãotemnada
disso, tem no máximo o logotipo do fabricante ou da empresa que emitiu o
certifcado(Figuras11e12).
.
OBancodoBrasil,seguindorecomendaçãodaFederaçãoBrasileiradeBan-
cos-Febraban,adotaeentregaaoscienteseusuárioscertifcadosICP-Brasil
armazenadosemcartãointeligente-smartcard..
Atualmente,oe-CPFeoe-CNPJsãooscertifcadosdigitaismaisconhecidos
nomercado.AReceitaFederaléaresponsávelpelasuaemissão.Afgura13
trazoleiautedereferênciadaReceitaFederalparaoscertifcadose-CPFe
e-CNPJ;afgura14trazomodelodeleitoradesmartcard.
..
Smartcards:leiautedereferênciadaReceitaFederalparaoscertifcadose-
CPFee-CNPJ.
Ostitularesdecertifcadodigitaldevemadotarosseguintescuidadosnasua
utilização:
■ nãocompartilharcomninguémasenhadeacessoàchaveprivada;
■ após utilizar o certifcado digital, retirá-lo da leitora de smartcard. para.
evitarousoindevido;
■ em ambiente acessível a várias pessoas, como um escritório, utilizar
soluçõesdecontroledeacessoedeproteçãoaosistemaoperacional,
comosenhadesistemaouprotetordetelaprotegidoporsenha;
■ emcasodecomprometimento,oususpeitadecomprometimento,desua
chaveprivada,solicitaraimediatarevogaçãodocertifcado.
1
3
2
4
Figura.11
Token USB
Figura.12
Smart Card
1
3
2
4
1
3
2
4
e-CPF
e-CNPJ
1
3
2
4
..Figura.13
Leiaute de smartcard da RF
Figura.14
Leitora de smartcard
Gestão de seGurança 87
Universidade Corporativa BB
NoBanco,osclientestitularesdecertifcadosICP-Brasiljátêmasuadisposi-
ção.os.seguintes.serviços:
■ auto-atendimentointernetpessoafísica;
■ assinaturadigitaldecontratodecâmbio.
Assinatura digital em contratos de câmbio
Em2004,oBancoCentralautorizouaassinaturadigitalemcontratosdecâm-
biocomautilizaçãodecertifcadosdigitaisemitidosporentidadescredencia-
dasnaInfra-estruturadeChavesPúblicasBrasileira(ICP-Brasil).Comissofoi
possível:
■ agilizaroprocessodenegóciorelacionadoàcontrataçãodecâmbio;
■ automatizaroprocessodeassinatura;
■ reduziraquantidadeeofuxodepapéis;
■ melhorarosmecanismosdecontrole.
Autilizaçãodecertifcadosdigitaispodeserestendidaparaoutrosserviçose
soluções,taiscomo:
■ gerenciamentoeletrônicodedocumentos(GED);
■ gerenciadorfnanceiro;
■ compensaçãodigital;
■ trocadearquivos;
■ assinaturadenotasedocumentosnosdiversoscomitês.
CURIOSIDADE
UsodaCertifcaçãoDigitalnaSecretariadaReceitaFederal.
Parapermitirqueserviçosprotegidosporsigilofscalsejamdisponibiliza-
dosaoscontribuintesnainternet,aSRFcriouoCentrodeAtendimento
VirtualaoContribuinteconhecidocomoe-CAC.Háváriosserviçosque
jáestãodisponíveisparaocontribuinteviacertifcadodigital:
■ obtercópiadedeclarações;
■ providenciarcópiadepagamentos;
■ realizarretifcaçãodepagamentos;
■ negociarparcelamento;
■ pesquisarasituaçãofscal;
■ realizartransaçõesrelativasaoSistema
IntegradodeComércioExterior;
■ alterardadoscadastrais.
ProGrama certificação interna em conhecimentos 88
Universidade Corporativa BB
3.5. PROTEÇÃO DA INFORMAÇÃO
Comoditoanteriormente,asameaçasprocuramporvulnerabilidadesnossis-
temasdeproteção,causandoincidentesdesegurançae,porconseqüência,
danosaosnegóciosdaempresa.Paraprotegeroativoinformação,éneces-
sáriobuscarmecanismosquepermitampreservaraquelasinformaçõescon-
sideradassensíveisouestratégicasparaonegócio.
Atualmente, existem várias ferramentas de proteção implementadas: sejam
instrumentosquegarantamasegurançadoambientefísicoouasegurança
doambientelógico.Sãoferramentascaras,aexemplodocircuitofechadode
televisão,dasportasdetectorasdemetais,desoftwaresdeproteçãoàrede
(frewalls)edecentraisdemonitoramentoeprevençãodefraudeseletrônicas.
FerreiraeAraújo(2006)comentamque“poucaounenhumasegurançadeixa
asorganizaçõesvulneráveis.Entretanto,emexagero,atrapalhaaconduçãoe
ocrescimentodasatividadesdonegócio”.Alémdisso,somenteaimplementa-
çãodasferramentaséinsufcienteparagarantiraproteçãodasinformações.
Normalmente, pessoas mal-intencionadas costumam iniciar sua abordagem
paraconseguiralgumainformaçãoapartirdaqueleelodasegurançaconsi-
derado. o. mais. vital:. as. pessoas.. E. são. exatamente. as. pessoas. que. devem.
estarmaispreparadasparaprotegerainformação,sobapenadeseremres-
ponsabilizadas por algum incidente envolvendo vazamento de informações.
Todososfuncionários,dopresidenteaoescriturário,devemteremmenteque
asinformaçõesporelesmanuseadastêmvaloreseuvazamentopodecausar
grandesprejuízosparaaorganizaçãoondetrabalham.
Engenharia social
Engenhariasocialéoconjuntodeprocedimentoseaçõesquesãoutilizados
para.adquirir.informações.de.uma.organização.ou.de.uma.pessoa.por.meio.de.
contatosfalsossemousodaforça,doarrombamentofísicooudequalquer
meio.violento.
“Engenhariasocialéummétododeataqueondealguémfazusodapersuasão,
muitasvezesabusandodaingenuidadeouconfançadousuário,paraobterin-
formaçõesquepodemserutilizadasparateracesso,nãoautorizado,acompu-
tadoresouinformações”.
13
13
CERT.br–CentrodeEstudos,RespostaeTratamentodeIncidentesdeSegurançanoBrasil.Grupoderespos-
taaincidentesdesegurançaparaaInternetbrasileira,mantidopeloNúcleodeInformaçãoeCoordenaçãodo
PontoBr(entidadecivil,semfnslucrativos,queimplementaasdecisõeseprojetosdoComitêGestordaInternet
noBrasil).
Gestão de seGurança 89
Universidade Corporativa BB
Issoacontececommuitafreqüênciae,infelizmente,estamosmuitomaisvul-
neráveisdoqueavaliamos.Porisso,énecessárioquetodosnaorganização
estejamatentos,jáque,conformeFerreiraeAraújo(2006),“osucessonoata-
quedeengenhariasocialocorregeralmentequandoosalvossãoaspessoas
ingênuasouaquelasquesimplesmentedesconhecemasmelhorespráticas
desegurança”.
Tiposdeataquemaiscomuns:
■ no local de trabalho:pegarinformaçãorestrita(listaderamais,organo-
gramasetc.)quefoiindevidamenteexpostaemlocaisporondetransi-
tampessoas,funcionáriosounão;
■ por telefone:simularauxíliodaáreadeinformática.Oengenheirosocial
faz contato e diz ser da área de help-desk.. Informa. que. a. estação. de.
trabalhodousuárionecessitadeumaatualizaçãodesoftware,deforma
quefqueemconformidadecomasdemaisdaorganizaçãoemaissegu-
ra(patchdeemergência).Semvalidarseosujeitoéquemrealmentediz
ser,opobreusuárioprocederigorosamenteaoprocessodeinstalação
dealgumtipodeprogramamalicioso(spyware, trojan, worm, malware,
vírusetc)semterconhecimentoqueaaçãoestáocorrendo;
■ lixo:vasculharolixoparaencontrarinformaçõesdescartadasquepos-
suemvalorouqueforneçamdicasdeferramentasquepodemserutiliza-
dasemumataquedeengenhariasocial,taiscomonúmerosdetelefone,
ramais,organogramas,relaçãodeclientes,cargosetc;
■ on line:.enviar.e-mailpublicitário,oferecendobrindesparaqueousuá-
rio participe de sorteios, solicitando os dados pessoais e profssionais.
Conseqüentemente,oinvasorteráàsuadisposiçãoquasetudooqueé
necessárioparaumataque,semgrandeesforço;
■ inversa:fazer-sepassarporumaautoridadedaorganizaçãoapartirdos
conhecimentosadquiridospormeiodalistaderamaisouorganograma.
Emumaligaçãotelefônicaeleseidentifca,porexemplo,comoumge-
renteoudiretorepedeasinformaçõesdesejadas.
O termo e a prática da engenharia social se popularizou graças ao hacker.
americanoKevin Mitnick,condenadoporvárioscrimesdeinformática,dentre
elesoroubodecercade20.000númerosdecartãodecrédito.Kevin.adotava.
técnicascomoaprocuradeinformaçõesvaliosasnolixoinformáticoouconta-
tostelefônicos,simulandofuncionáriodaequipetécnicaesolicitandoinforma-
çõesrestritaspormeiodefax.EmseutestemunhoaoCongressonosEUA,
ProGrama certificação interna em conhecimentos 90
Universidade Corporativa BB
em2000,Kevinrevelouqueraramenteprecisavausarumataquetécnico,pois
aengenhariasocialjáofereciavulnerabilidadesufciente:eleconseguiavárias
informaçõessimplesmenteperguntandoaosfuncionáriosdasempresas.
Comoosengenheirossociaisagemebuscaminformaçõesdaorganização?
Vejaaspráticasmaiscomuns:
■ falam com conhecimento:aocontataralguémdaorganização,oenge-
nheiro social fala com propriedade sobre um determinado assunto. Se
estiverfalandodealguém,citaonomecomfamiliaridadeedizqueépa-
rente,ex-colegaoucolegaatual(nocasodeumagrandeorganização).
Pode citar também departamentos e locais da organização, e, se tiver
acesso à linguagem utilizada exclusivamente no local, pode alcançar
seusobjetivosfacilmente;
■ adquirem a confança do interlocutor:comtantasinformações,oin-
terlocutor pensa que o engenheiro social é uma pessoa de confança.
Muitasvezes,ofraudadornãotempressaevoltaatelefonaremoutra
ocasião.Aprimeiraligaçãoserveapenasparacriarumcanaldecomu-
nicaçãoeestabelecerumarelaçãodeconfança.Comotempo,cria-se
umvínculoentreofraudadoreavítima;
■ prestam favores: em caso de golpes e fraudes, o engenheiro social
pode até mesmo ajudar a vítima. O fraudador pode bloquear a comu-
nicaçãodocomputadordointerlocutoresepassarporalguémdohelp
desk,ajudandoaresolverumproblemaqueelepróprioplantou.Dessa
forma,avítimapassaaconfarnele.
Ficaclaroqueaproteçãodainformação,emcasosdeengenhariasocial,de-
pendediretamentedocomportamentodecadafuncionário.
Paraprevenirincidentesrelacionadosaengenheirossociais,aempresatam-
bémdeveadotarumasériedeações.Sãonecessáriasaimplementaçãofor-
maldapolíticadesegurançadainformaçãoearealizaçãodetreinamentose
palestrasparaosfuncionáriossobreoassunto.Alémdisso,aempresadeve
classifcarasinformações-deformaaesclareceraosfuncionáriosoquepode
serdivulgadoeoquenãopode-eimplementarcontrolesdeacessofísicoe
lógico-deformaaminimizaraexposiçãodasinformações.Porfm,aempre-
sadeveconscientizaroscolaboradoresarespeitodotema.
As pessoas que estão sujeitas ao engenheiro social devem desconfar de
grandespromoçõesedasofertasveiculadasnainternet.Tambéménecessá-
Gestão de seGurança 91
Universidade Corporativa BB
riodesconfarsemprequeforsurpreendidoporumtelefonemadealguémque
nãoconheça.Arecomendaçãoénuncadivulgarnadaepedirumnúmerode
retornoparaverifcarsealigaçãoéverdadeira.
Lembre-se:agrandemaioriadosincidentestemaintervençãohumana,seja
de forma acidental ou não.A segurança está relacionada a pessoas e pro-
cessos,antesdatecnologia.Conseqüentemente,denadavalerãoosmilhões
investidos em recursos de tecnologia da informação se o fator humano for
deixado em segundo plano. Quanto mais bem preparados os funcionários,
maisseguraestaráaorganização.
Espera-sequeaofnaldoestudodestetemavocêpossa:
▪Conceituarsegurançaemprodutos,serviçoseprocessos.
▪ Distinguirautenticidade,integralidadeeintegridade.
▪ Descreverositenseprocedimentosaseremobservadosnoexame
dedocumentosparaassegurarsuaautenticidade,integralidadee
integridade.
▪ Identifcarprocedimentospreventivosdesegurançanaguarda,
movimentaçãoeencaixedenumerário.
▪ Identifcaroscuidadosnecessáriosparaopagamentodevalores
elevados.
▪ Identifcarosquesitoseprocedimentosdesegurançanaprevenção
defraudesdocumentaiseeletrônicas.
4
SEGURANÇA EM PRODUTOS,
SERVIÇOS E PROCESSOS
Gestão de seGurança 95
Universidade Corporativa BB
4.1. CONCEITO
Osprodutoseserviçosoferecidosaosclientessãoplanejadoseelaborados
porUnidadesEstratégicasdoBancoespecializadasnessaatividade.AsUni-
dadesEstratégicasvisamatenderasnecessidadesdosclientescomacons-
tantebuscadaexcelênciaemprodutoseserviços.
Mastodooempenhonodesenvolvimentodenovosprodutoseserviçoscorre
o risco de perder-se diante das artimanhas de pessoas mal intencionadas,
quechegamaestudarosprocedimentosdoBancoafmdeidentifcareexplo-
rar,embenefíciopróprio,osprocessosdemaiorvulnerabilidade.
Oindivíduoadulteraouforjatodotipodedocumento–carteirasdeidentidade,
cheque,contratos,requisiçõeseatésentençasjudiciais–falsifcandoassina-
turas,adulterandoouclonandodadosdedocumentos.
As fraudes perpetradas acabam gerando prejuízos aos clientes, ao Banco
eatéaosfuncionáriosenvolvidosnoprocesso.Asocorrênciasdesgastama
imagemdaInstituição,geramperdadetempo,danosfnanceiros,demandas
judiciaise,principalmente,abalamaconfançadoclientenaEmpresa.
Segurançaemprodutoseserviçoséaaplicaçãodeumconjuntodequesitos
desegurançaedecontroleparaumdeterminadoproduto,serviçoouproces-
socomafnalidadedereduzirosriscosdefalhasefraudes.
4.2. AUTENTICIDADE
Entende-seporautenticidadeacertezaabsolutadequeumobjeto,sujeitode
análise,provémdasfontesanunciadasequenãofoialvodemodifcaçõesao
longodeumprocesso.Paraconfrmaraautenticidadeénecessárioobservar
aintegralidade,aintegridadebemcomoaorigemdodocumento.
Integralidade de documentos:éagarantiadequeodocumentoapresenta
ascaracterísticasfísicasoriginais,estácompletoeinteiroenãosofreumuti-
laçãooucomplemento,sejaporrecorte,colagem,raspagemououtratécnica.
Contudo,essascondiçõesnãosãosufcientesparagarantiraautenticidade
dodocumento,poisodocumentopodeterasuaintegralidadegarantidaeter
a.origem.duvidosa.
ProGrama certificação interna em conhecimentos 96
Universidade Corporativa BB
Integridade dos dados de documentos:éagarantiadanãocorrupçãodos
dadoseinformaçõeslançadasemcadacampododocumento.Garanteine-
xistênciaderasuras,sobreposições,complementosousupressãodedados,
sejaporlavagemquímicasejaporoutromeiodesupressãoousubstituição
de.dados.
Origem do documento:éacomprovaçãodequeodocumentofoiconfeccio-
nadoouemitidopelafonteanunciada.Paratanto,écomumaconferênciada
assinaturadoemitente,sejaestafísicaoueletrônica(certifcadodigital).
Aanálisedaregularidadedeemissãoedoconteúdoéumimportanteproce-
dimento,poispodeindicarafalsidadedeumdocumento.
Documentos e informações cadastrais
Osdocumentosnecessáriosparaaidentifcaçãodepessoas-sejaparaaber-
turadecontacorrente,sejaparaosimplessaquedeumcheque–sãolegal-
menteestipulados.Essesdocumentosestãorelacionadosnosnormativosde
cadaproduto.
É primordial dispensar atenção especial aos procedimentos de acolhimento
dedocumentoseinformaçõescadastraisdosclientes.Aaplicaçãodeproce-
dimentos básicos de segurança deve permear todas as situações de coleta
dedadoscadastrais.
Aautenticidadedosdocumentosdeidentifcaçãoeasinformaçõesfornecidas
peloclientedevemserverifcadasporfuncionárioqualifcadoparaestaativi-
dade.
Oexamedasinformaçõesprestadasérealizadosempreapartirdodocumen-
to original, seja para a identifcação ou para efeito de cadastro. Esta regra
valetambémquandoenvolverdocumentosparaoestabelecimentodelimite
decrédito.
Cópias de documentos, mesmo que de boa qualidade ou autenticadas em
cartório, não devem ser aceitas, pois não permitem a execução de exames
quegarantamasuaintegralidadeeaintegridadee,segundoparecerdoSer-
viçoJurídicodoBanco,aautenticaçãodecópiaemcartórioapenasgarante
Gestão de seGurança 97
Universidade Corporativa BB
quesetratadecópiafeldodocumentoapresentado,nãohavendogarantias
desuaautenticidade.
A ocorrência de falha no acolhimento de documentos pode acontecer pela
inobservânciadosprocedimentosdefnidosnanormadecadaprodutooude
fraudes nos documentos, como a falsifcação e adulteração do instrumento
apresentado.
A seguir, são relacionados os documentos mais freqüentemente apresenta-
dospelosclientesesuascaracterísticas.
Documento de identifcação
Éoinstrumentoofcialquetemafnalidadedecomprovaraidentidadedeuma
pessoafísica.Sãoconsideradosdocumentosdeidentidadetodososemitidos
porautoridadecompetente,comfépúblicaeregulamentadosporleiespecíf-
ca.Osdocumentosdeidentifcaçãoqueapresentamprazodevencimentosó
sãoaceitosdentrodadatadevalidade.
■cédulas de identidade (RG):emitidaspelasSecretariasdeSegurança
PúblicaEstaduaisouInstitutosdeIdentifcação
► contêm obrigatoriamente: número de registro, data da emissão, as-
sinaturaecarimboidentifcador;aassinaturaeachanceladodiretor
responsávelpeloórgãoemissordevemestarlimpas,legíveisebem
posicionadas;
►apartirde1984:foto3x4,microperfuradacomasigladoórgãoemissor;
►vedaçãoaousodeóculos,perucaseadornosnasfotos;
► fundo branco (para fotos preto e branco) e fundo claro (para fotos
coloridas);
►posiçãofrontal,semsorrisosesemexpressãofacial;
►vedadaaabreviaçãodenomedoportador,salvoraríssimasexceções.
►CPFopcionalnascédulasdeidentidadesomenteapartirde1984.
■carteira nacional de habilitação
►marcad’água“CNH”ebandeira;
►impressãocalcográfca;
►fotodigitalizada;
►imagemlatente“CNH”;
►microcaracteres;
►fundocamufado“BandeiraNacional”;
ProGrama certificação interna em conhecimentos 98
Universidade Corporativa BB
►fbrascoloridasefuorescentes;
►versocomefeitoíris,sensívelacópiacolorida.
■carteira de identidade de profssional
►emitidasporentidadesdeclasseeórgãosdoEstado,comemissão
e fé pública regulada em Lei. Suas características devem ser verif-
cadasjuntoaosórgãosouentidadesemitentes,sejaporsite,leique
regulamentaaemissãooudocumentointerno.
Outros documentos cadastrais
■ CPF
CadaindivíduotemapenasumCPFeestedeveestaremsituaçãonor-
mal junto a Receita Federal. Clientes portadores de CPF com status
pendente,canceladooususpensodevemprovidenciararegularização
juntoaReceitaFederal.
AexistênciademaisdeumCPFparaamesmapessoaémotivosuf-
cienteparaoencaminhamentodocasoaoadministradordadependên-
ciaparaanálisemaisdetida.
Apesquisapodeserrealizadanositedareceita(www.receita.fazenda.
gov.br)oudiretamentepeloaplicativoCLIENTES-40.
■comprovante de endereço
►númerodoidentifcadordousuário;
►consumodosúltimosmeses;
►datadaleitura/emissão/vencimento.
■comprovante de rendimentos
►compatibilidadeentreorendimentoeocargooufunçãodeclarados;
►otetomáximopararecolhimentodoINSS,IRRFeFGTS;
►naCTP,verifcarcontratodetrabalho(datadeassinatura,registrode
férias).
■comprovante de bens
AcomprovaçãodebensjuntoaoBancodeveserfeitacomaapresenta-
çãodedocumentosdepropriedade,porexemplo,títulooucertifcadode
propriedadeetc.
O exame desses documentos deve ser realizado por funcionário com
capacitaçãotécnica,competênciaealçadaparatal,considerandoopro-
duto.ou.serviço.a.que.se.destina.
Gestão de seGurança 99
Universidade Corporativa BB
Éexigidaaapresentaçãodedocumentooriginaledepoisdeexaminado,
sãoextraídascópiasparaarquivonoBanco.
Aorigemdosdocumentospodeserconfrmadajuntoaosemissores,tais
comocartóriosderegistrodeimóveis,DETRANetc.
Mandado judicial, citação, intimação e notifcação
Paraummelhordetalhamentodosprocedimentosnoacolhimentodessesdo-
cumentos,énecessáriofazermosadiferenciaçãoentreeles:
■ mandadojudicialéumaordememanadadojuiznosautosdeumpro-
cesso, subscrita pelo juiz ou pelo escrivão ou chefe de cartório, a ser
cumprida,emregra,peloofcialdejustiça,auxiliardojuízoencarregado
dasdiligênciasexternas;
■ intimação é uma comunicação escrita expedida por juiz e que leva às
partes conhecimento de atos e termos do processo e que solicita às
partesquefaçamoudeixemdefazeralgo,emvirtudedelei,peranteo
poderjudiciário;
■ citaçãoconsistenoatoprocessualnoqualaparteréécomunicadade
queselheestásendomovidoumprocessoeapartirdaqualarelação
triangulardestesefecha,comastrêspartesenvolvidasnolitígiodevida-
menteligadas:autor,réuejuiz;
■ notifcaçãoéoatopormeiodoqualsepodedarconhecimentoofciale
legaldotextodeumdocumentoregistradoadeterminadapessoa.
Emcasodecomarcasdistintas,ouseja,juizadosdiferentes,deveserutilizada
acartaprecatória;ojuizdacomarcadeorigemencaminhaumacartaparao
juizdacomarcadedestinoparaquesejaexpedidoomandadojudicial,cita-
ção,intimaçãoounotifcação,conformeocaso.
Aautenticidadeéconfrmadacomoexamedosaspectosfísicosdodocumen-
to,regularidadedeseuconteúdoeaassinaturadojuizqueoexpediue,ainda,
nosautosdoprocessoqueooriginou.
Devidoàcomplexidadedotema,pordecisãoadministrativa,asagênciassub-
metemaoServiçoJurídicotodososmandadosjudiciaisquandoenvolverem:
■ conglomeradoBancodoBrasilcomoumadaspartes;
■ cartasprecatórias;
ProGrama certificação interna em conhecimentos 100
Universidade Corporativa BB
■ contasemoutrasagências;
■ valoresestabelecidosnasnormas;
■ vendaoutransferênciadeaçõesoudedividendosebonifcações.
Essascondiçõesnãoimpedemconsultaaoserviçojurídicoquandorestarem
dúvidasacercadoacolhimentodomandado.
Casoocorratentativadecoaçãooususpeitadeirregularidadeaagênciadeve
manter contato com a Regional de Segurança – Reseg – e com o Serviço
Jurídicojurisdicionantes.
Procuração e representação
Procuração, segundo o Código Civil, art. 653, é o instrumento de mandato,
ondealguémrecebedeoutrempoderespara,emseunome,praticaratosou
administrarinteresses.Asprocuraçõespodemserpúblicasouparticulares.
Procuração pública:éemitidaemcartórioefrmadapelotabelião.Ooutor-
gantecompareceaocartório,éidentifcadoemanifestaaoutorgadepoderes
aotabelião,queprovidênciaaemissãodaprocuraçãopública.
Procuração particular:éemitidapelooutorganteenãohánecessidadede
registroemcartórioouqualquerórgão.
Aprocuraçãodeveseracolhidaeexaminadaporfuncionáriodetentordeco-
missãodosegmentogerencial,combasenaviaoriginaldodocumentoede
acordocomosprocedimentosdescritosnosnormativosdoBanco.
Oacolhimentodaprocuraçãodeveserprecedidodeexamesparaconstatar
suaautenticidade,integridadeeintegralidade,alémdaconferênciadaassina-
turadotabeliãoe/oudooutorgante.
Alémdisso,pormedidaadministrativa,oBancodeterminaquequalquerpro-
curaçãorecebidadeve:
■ teraassinaturadooutorgantereconhecidaemcartório,seinstrumento
particular;
■ serrevigoradaacadadoisanos,acontardadatadeemissãododocu-
mento..
Gestão de seGurança 101
Universidade Corporativa BB
DeacordocomosnormativosdoBancoeacritériodaadministraçãodaunida-
de,oreconhecimentodafrmadooutorganteemcartóriopodeserdispensado.
Conferência de assinaturas
A conferência da assinatura baseia-se na observação sistemática, que visa
verifcaraautenticidadedosgrafsmosoudeterminarasuaautoria,pormeio
das características que os individualizam. Essa técnica é conhecida como
grafoscopiaqueliteralmentesignifcaobservaçãodoescrito.
Pararealizaçãodeexamedeconferênciadeassinaturasofuncionáriodevees-
tarcapacitadoparatale,também,considerandoasespecifcidadesdealguns
serviçosedocumentos,estarinvestidodecompetênciaealçadanecessárias.
Alguns documentos de identifcação, como a CNH, têm as assinaturas dos
titularesdigitalizadase,porisso,nãoapresentatodososelementosdecon-
vicçãodaescrita,prejudicandooexamedaassinatura.Nessecaso,ofuncio-
náriopodesolicitaraapresentaçãodeoutrodocumentodeidentifcaçãoque
contenhaaassinaturaoriginal.
Cópias,faxearquivosdigitalizadosnãosãoaceitospeloBanco,umavezque
nãopossibilitamaconferênciadasassinaturas,detecçãodeadulteraçõese
garantia.da.origem.
4.3. GUARDA, MOVIMENTAÇÃO E ENCAIXE DE NUMERÁRIO
Atualmente os bancos oferecem um enorme leque de produtos e serviços
paraapopulação,masumadasatividadesprincipaisaindaéaguardaemo-
vimentaçãodenumerário.OBancodoBrasil,alémdecustodiaronumerário
destinadoàstransaçõesdesaques,depósitos,pagamentoserecebimentos
diversos (títulos, impostos, ordens de pagamento etc.), ainda tem a função
decustodiaresanearonumerárioparaasdemaisinstituiçõesfnanceiras,à
ordemdoBancoCentral.
EstasituaçãodespertaointeressedecriminososeobrigaoBancoaadotar
medidas para proteger os valores. Os cuidados são previstos em normas e
seucumprimentocontribuiparaasegurançadetodasaspessoasquetraba-
ProGrama certificação interna em conhecimentos 102
Universidade Corporativa BB
lhamoutransitampelasunidades,alémdopatrimôniodaempresa.Osprinci-
paiscuidadosquantoàmovimentaçãodenumeráriosão:
■informações sigilosas:. toda. informação. a. respeito. da. movimentação.
denumeráriodevesertratadacomomáximosigiloeseuconhecimento
deveestarrestritoaosfuncionáriosresponsáveispelosprocessos.Entre
outras,estãoasinformaçõessobresaldodebaús,datesourariaedeter-
minais;valoresdedepósitosoudesaquesdeclientesoudeoutrosban-
cos;recebimentodereforçooualíviodenumerário(inclusivedataehora
dasremessas);horáriodeaberturadocofre;nomeerotinadosrespon-
sáveispelatesourariaoupeloabastecimentodosterminais;identifcação
daempresadealarme.Écomum,porexemplo,ouvirfuncionárioscitando
onomedocolegaquevaiabrirocofreouabastecerosterminais.Essas
informaçõestambémsãocaptadaspelosbandidosouseusinformantes
e podem servir de subsídio para uma ação de seqüestro ou assalto.
■guarda do segredo e chaves do cofre:alémdadiscriçãosobreestas
informações,aschaveseosegredodocofredevemserrodiziadospe-
riodicamenteepermaneceremsobaguardadefuncionáriosdistintos,de
formaaquemguardarosegredonãoteraguardadaschaves,exceto
em unidades dotadas de apenas um funcionário. O segredo deve ser
trocado sempre que sua guarda for transferida para outro funcionário;
■ utilização do cofre ou casa forte:ocofreoucasafortedevepermane-
certrancado,devendoserabertoapenaspeloperíodoestritamentene-
cessárioparaaguardaouretiradadenumeráriooudocumentos.Quan-
do o cofre for trancado, a fechadura de retardo deve ser ativada. As
normasprevêemqueaprogramaçãodafechadurapermitaaaberturado
cofre15minutosantesdoexpedienteexterno.Ocofredevesertrancado
nomáximoatéduashorasapósoencerramentodoexpedienteexterno
(fechamento da unidade ao público). O numerário deve ser distribuído
nasprateleirasdocofre.Istoporquealgunscofressãoarrombadosape-
nascomaaberturadeumburacoemumadesuaslaterais;adifculdade
pararetirartodoonumerárioserámuitomaiorseestiverdistribuído.
■saldo de numerário mantido nas unidades:deveserosufcientepara
atenderademandadaagência,considerandoolimitedenumerárioea
possibilidade de reforço ou alívio do numerário excedente. Portanto, é
imprescindívelogerenciamentodofuxodenumerário,paraocontrole
dosaldodaunidade.Lembre-sequequantomaiorforo“atrativo”,mais
sujeitaaaçõescriminosasfcaaagência.
Gestão de seGurança 103
Universidade Corporativa BB
Principalmentenasagências,onumeráriofcadivididoemvárioslocais.São
osambientescomacessorestrito:tesouraria,bateriadecaixas,saladepro-
cessamento do SAO, corredor de abastecimento e os próprios terminais. O
controle de acesso a estes ambientes deve ser rigoroso e restrito apenas
aos funcionários responsáveis pelos processos de recolhimento de envelo-
pes,abastecimentodeterminaisdesaques,guardaecontroledonumerário,
processamento do SAO e atendimento aos clientes. Quando necessária a
presençadeprestadoresdeserviço,estadevesersempreacompanhadade
funcionáriodoBanco,responsávelpelosetorouserviço.
Énecessárioextremocuidadoeatenção,paraqueonumerárionãosejadei-
xado sem acompanhamento de funcionário durante os diversos processos
realizadospelasunidades.Algunsprocessosapresentamgrandefragilidade,
aexemplodoabastecimentooudorecolhimentodeenvelopesdosterminais.
Recomenda-sequeoprocessosejarealizadopordoisfuncionáriosequeo
serviçodevigilânciasejaalertado.
Émuitocomumaocorrênciadefurtosduranteestesprocessos,principalmen-
tequandorealizadosapenasporumfuncionário.Oscriminosostêmahabi-
lidade de interromper o serviço e distrair o funcionário durante a operação.
Enquantoisso,outrapessoaentranocorredoresubtraionumerárioe/ouos
envelopesquefcaramsemproteção.
Podehaveromesmotipodeocorrêncianosdemaisambientes,semprequeo
controledeacessoeaguardadonumerárionãoreceberanecessáriaatenção.
4.4. PAGAMENTOS DE VALORES ELEVADOS
OBancoestabelecealçadasecompetênciaspararealizaçãodeprocedimen-
tos,principalmenteparaaquelesqueenvolvemtransaçõesfnanceiras.
Nas agências, a defnição dos limites operacionais para liquidação de che-
quesoriundosdacompensaçãoeparapagamentonocaixaédecompetência
doComitêdeAdministraçãodadependênciaesãoatribuídasaosníveisdois
etrêsnosistemaonline,consideradasasnecessidadesdiárias.Astransa-
çõesqueextrapolamaalçadaestabelecidaparaoníveltrêssãoautorizadas
exclusivamenteporadministrador.
ProGrama certificação interna em conhecimentos 104
Universidade Corporativa BB
Oautorizadoréco-responsávelpeloexamedosdocumentoseassinaturas,
assim como possíveis ocorrências apontadas pelo sistema (insufciência de
saldo,contra-ordemetc.),edeveregistrarnodocumentoaexpressão“pague-
se”seguidaderubrica.
Considerandoquenemsempreasalçadasecompetênciassãocontroladas
pelossistemascorporativos,asnormasdosrespectivosprodutosouserviços
devemserconsultadassemprequenecessário.
Ausência de administradores
Naausênciadosadministradoresdasunidades,asautorizaçõesdevemser
realizadasobservando-sealateralidadedefnidaparaosrespectivosprodutos
eserviços.AlgumasautorizaçõessãoefetuadaspelaUnidadeAltaRendaou
pelasSuperintendências,conformeocaso.
Controle ou log
Para acompanhamento e eventual apuração de irregularidade, os sistemas
corporativosmantêmregistrodousuário,dadependência,dadataedohorá-
riodeacessoàstransaçõesrealizadas.
4.5. CHEQUE
Chequeéumaordemdepagamentoàvistaexpedidacontraumbancosobre
fundosdepositadosnacontadoemitente,parapagamentoaobenefciáriodo
cheque.
Os cheques são produzidos pelo Banco e fornecidos aos seus clientes em
suasagênciasouterminaisdeauto-atendimento.Quandosolicitado,podem
ser.remetidos.pelos.Correios..
Oschequessãoentreguesaosclientesmediantepedidoformal,sejaporre-
quisiçãofísicaoueletrônicanosterminais.Emambososcasos,hánecessi-
dadedeassinaturadocliente,deprópriopunho,ousenha.
Oschequessãoproduzidosempapelespecialesãodotadosdeumconjunto
deitensdesegurança,sendoalgunsfísicosoutroseletrônicos,osquaissão
utilizadosparaaverifcaçãodaautenticidadedodocumentoemconjuntocom
Gestão de seGurança 105
Universidade Corporativa BB
a.assinatura.do.emitente.
Osquesitosdesegurançafísicosdochequequedevemserobservadosna
sualiquidaçãooupagamentoconstamdafgura15:
Figura.15
Quesitos de segurança física do cheque
1.caracteresnuméricosvazadoscomrepetiçãoemnegativo;
2.ausênciadasbarrasdivisórias;
3.caracterespequenosdifcultandoadulteraçõesnessescampos;
4.leiauteecoresquedifcultamadulteraçõesepropiciamaidentifcaçãode
raspagens,banhosquímicoseoutrasmodalidadesdefraudesnocheque.
4.6. CONTESTAÇÃO DE DÉBITO
De maneira geral, fraude é um ato praticado com a intenção de prejudicar
alguém.Nocontextobancário,fraudessãoaçõesquevisamobtervantagens,
normalmentefnanceiras,pormeiodepráticasilícitascontraclientes.
Aincidênciadefraudespraticadascontraclientesdebancossegueemten-
dência crescente, na mesma medida em que aumenta a diversidade de re-
cursostecnológicosquesurgemnomercadoetambémdecanaisdeacessos
disponibilizadosaosclientesbancários.Paraefeitodecontroleemanutenção
debasesdeinformaçõesestatísticasegerenciais,asfraudespraticadascon-
traclientesdoBBsãoclassifcadas,internamente,como:
1
3
2
4
ProGrama certificação interna em conhecimentos 106
Universidade Corporativa BB
■ fraudeseletrônicas
■ fraudesdocumentais
Essaclassifcaçãoétransparenteparaoclienteque,emregra,quandonão
reconhecealgumlançamentoemsuaconta,dirige-seaumaagênciadoban-
coparaformalizaracontestação.Duranteaverifcaçãopreliminarqueéfeita
naagência,casonãosejaidentifcadaaorigemdolançamento,éabertoum
processonoqualserãoanalisadasascircunstânciasemqueelefoigerado.
Quandoolançamentocontestadopeloclienterefere-seaumdébitoemsua
conta,edesdequenãosejadecorrentedeumafalhajáconfrmadadesiste-
ma,oprocessoéconduzidodeformaaverifcarsehouvefraude.
Nessecaso,seguem-seprocedimentosespecífcosquedevemserobserva-
dospelaagênciae,dependendodosvaloresenvolvidos,tambémporinstân-
ciassuperioreseatéRegionaisdeSegurançadoBB.Asnormasestabelecem
prazos para que esses procedimentos sejam cumpridos por parte de cada
umadessasdependênciase,também,paraqueoclienterecebaaresposta
fnaldoBancoemrelaçãoàsuacontestação.
Adependerdoqueforapuradonoprocesso,acontestaçãoédeferidaounão.
Noprimeirocasoovalorcontestadoédevolvidoaocliente.
Prevenção a fraudes nos canais de auto-atendimento
Asinstituiçõesfnanceirasdisponibilizaminúmerosserviçosnosseuscanaisde
atendimentotaiscomoosterminaisdeauto-atendimento(TAA),pontosdeven-
da(POS,PDV),internet,lotéricos,redecompartilhada,Banco24horasetc.
14
NoBancodoBrasilistonãoédiferenteeestescanaissãocustomizadospara
cadasegmentodecliente.Alinhadaàsmelhorespráticasdomercadoeaos
conceitos de segurança da informação, a empresa protege as informações
quetransitamnessescanaispormeiodeferramentascomosenhas,códigos
deacessoecadastramento.
14
Conceitualmente,PDVePOSsãoexatamenteamesmacoisa:PontoDeVenda.POSéasiglaeminglês:Point Of
Sale.Nomundodasoperadorasdecartão,noentanto,háumadiferençasignifcativaentrePOSePDV:POSsão
aquelasmaquinetasutilizadasnocomércioemgeral,ondepassamosnossoscartõesparaefetuarpagamentos.
Elassãodepropriedadedecadabandeira(Visa,Master...).EssesequipamentossãoconhecidoscomoPDVquan-
do,nãopertencendoaumabandeiraespecífca,estãoinstaladosemredeprivativadeumaempresaeconectados
aumservidorcentral,tambémdaempresaque,porsuavez,efetuaaconexãocomarededeumaoumaisbandei-
ra.Podemoscitar,comoexemplodePOS,asmaquinetasexistentesempadariaseempequenoscomérciosem
geral.OsequipamentosinstaladosnoscaixasdegrandessupermercadossãooexemplomaiscomumdePDV.
Gestão de seGurança 107
Universidade Corporativa BB
Assim, para o cliente pessoa física, por exemplo, são disponibilizadas mo-
dalidades diferenciadas de senhas, que podem ser utilizadas isoladamente
ou combinadas entre si, dependendo do tipo de canal. utilizado. e. do. tipo
de transaçãoqueéefetuada.Nosexemplosabaixo,vaifcarclarocomoos
conceitosapresentadosnotópicoSegurançadaInformaçãosãoaplicadosna
prática,semprecomoobjetivodeproporcionarníveisadequadosdeseguran-
çanaexperiênciaderelacionamentocomocliente.
Atualmente,paraclientesdosegmentopessoa física,oBancodoBrasiluti-
lizatrêsmodalidadesdesenhasnuméricaseumaalfabética,estaconhecida
comoCódigodeAcesso.
Senha numérica
■senha de quatro dígitos:éexigidanaCentraldeAtendimentoBancodo
Brasil-CABBparaconfrmartransaçõesdepagamentos,transferências
eoutrastransaçõesqueapresentammaiorcriticidade;
■senha de seis dígitos:éexigidaemtrêscircunstâncias:
►paraarealizaçãodeoperaçõesfnanceiras,oudeconsulta,disponi-
bilizadas em canais que exigem a passagem do cartão:TAA, POS,
PDV,lotéricos,redecompartilhada,Banco24hetc;
► para confrmar, no canal auto-atendimento internet, a realização de
operaçõesfnanceiraseoutrastransaçõesqueapresentammaiorcri-
ticidade,comoaalteraçãodecadastro;
►paraautenticaçãodoacessoinicialàCABB.
■ senha de oito dígitos: é a senha exigida para autenticar o cliente no
acessoàsuacontapelocanalauto-atendimentointernet.
Senha Alfabética
Essamodalidadedesenha,utilizadaporclientespessoafísica,podesercom-
postaportrêsletras,trêssílabas,ouumacombinaçãodeletrasesílabas.O
códigodeacessoéexigidoparaconfrmararealizaçãodetransaçõesfnan-
ceiras, bem como outras transações consideradas de maior criticidade, nos
canaisqueutilizamcartão
15
..
OcódigodeacessoégeradoexclusivamentenosTAAdoBancodoBrasil,de
formaautomática,nãosendopossível,paraocliente,escolheracombinação
dasletras.Ocódigodeacessoéimpressoquandooclienteacessasuaconta
ProGrama certificação interna em conhecimentos 108
Universidade Corporativa BB
pelaprimeiravezemumTAA,ouemsituaçõesespecífcas,comandadaspela
agência,como,porexemplo,quandooclienteesqueceseucódigoatualou
quandoocódigoébloqueadoporalgummotivo.
Para clientes pessoa jurídica. e. governo o acesso a transações de conta
corrente também requer a utilização de senhas que podem ser numéricas,
alfanuméricasealfabéticas,dependendodocanaldeatendimentoutilizadoe
dotipodetransaçãoaserefetuada.Algumasdiferençasemrelaçãoàpessoa
físicapodemserobservadas:
Senha Numérica
■senha de quatro dígitos:éexigidaparaacessoàCABB,diferentemen-
tedaregraparaclientespessoafísica,queusamessasenhaparacon-
frmar transações de pagamentos, transferências e outras transações
queapresentammaiorcriticidade.ClientesPJeGovernonãodispõem
detransaçõesfnanceiraspelaCABB;
■senha de seis dígitos:éexigidaparaarealizaçãodeoperaçõesfnan-
ceirasoudeconsulta,disponibilizadasemcanaisqueexigemousodo
cartão:TAA,POS,PDV,lotéricos,redecompartilhada,Banco24hetc;
■senha de oito dígitos: senha utilizada no canal internet (auto-atendi-
mentoPJouauto-atendimentoSetorPúblico)paraconfrmartransações
fnanceirasetransaçõesdemaiorcriticidade.
Senha alfanumérica
■ éasenhautilizadaparaacessoinicialaocanalinternet.
Senha alfabética
■ adiferençaemrelaçãoapessoafísicaéque,paraessesclientes,ocó-
digodeacessoécompostoportrêsletras.Asdemaisregrasdefnidas
paraclientespessoafísicaaplicam-setambémparaapessoajurídica.
Finalmente,emrelaçãoaoauto-atendimentonainternet,nointuitodegarantir
níveismaiselevadosdesegurançaparaosclientesqueefetuamtransações
fnanceiras,oBancodoBrasilcrioualgumassoluçõesdesegurança.Algumas
dessas soluções atuam de forma praticamente transparente para o cliente,
protegendo-odurantesuanavegaçãopelaspáginasdoBBnaInternet.
15
OCódigodeAcessoéexigidonosTAA,Banco24heredecompartilhada,COBANMTeBancoPopulardoBrasil
Gestão de seGurança 109
Universidade Corporativa BB
Entre essas soluções, destacamos o cadastramento de computador, que
exigeumamanifestaçãoefetivadeaceitaçãoporpartedocliente,possuindo
regrasespecífcasdeuso.
Para clientes pessoa física, a adesão ao cadastramento de computadores
aindaéfacultativa.Clientespessoajurídicaegoverno,noentanto,sóutilizam
ocanalinternetpormeiodecomputadorescadastrados.
Clientepessoafísica(auto-atendimentoPF)queadereaocadastramentode
computadores tem compensações. Primeiro passam a ter mais segurança
ao efetuar suas transações fnanceiras pela Internet e, além disso, ganham
limites mais elevados para realizar essas transações.Além disso, algumas
transações,comoalteraçõesdecadastroerecargadecelularpré-pago,por
exemplo,sãorestritasacomputadorescadastrados.
Por ser uma adesão facultativa, o acesso à maior parte das transações de
consultaéliberadoparaclientesquenãoaderemaocadastramentodecom-
putadores.
Fraudes documentais
As modalidades de fraudes a seguir são comumente encontradas nos che-
ques, mas podem ocorrer em qualquer outro documento.A medida de se-
gurança adequada para evitar essas ocorrências é o exame cuidadoso dos
documentos,emseuacolhimento:
■recorte e colagem:essetipodefraudeocorrequandoofalsáriosubstitui
parte do documento original. Geralmente são adulterados os campos
referentesavalornumérico,extensoefavorecido.Essafraudeédetec-
tadaquandoseadotaalgunsprocedimentoscomo:
►observarodocumentocontraaluz(oscamposcoladosfcamnormal-
menteescurecidos);
►manusearodocumento,provocandooarqueamentonossentidosho-
rizontal e vertical. O papel se descola permitindo a identifcação da
adulteração;
■banho químico:nessamodalidadedefraude,odocumentoésubmeti-
doàlavagemcomprodutoquímicoparaaretiradadaescritaoriginalde
modoapermitirasalteraçõespretendidas.Nocasodoschequesessa
ProGrama certificação interna em conhecimentos 110
Universidade Corporativa BB
adulteraçãoocorrenoscamposdestinadosaosvaloresnuméricoeex-
tenso.Indíciosdessafraudesãooclareamentonacoloraçãodefundo
docheque(frenteeverso),asupressãodelinhas,tonalidadesdiferentes
datintaemanchasdiversas;
■raspagem: a adulteração nessa modalidade é feita pelo processo físi-
co,queconsistenaraspagemutilizandoborracha,lâminametálica,lixa,
pedra-pomeetc.,queremoveasfbrassuperfciais,noscamposdosva-
loresextensoenumérico,demodoapermitirasalteraçõespretendidas.
Algunsdetalhesdenunciamaraspagem,comoadivergênciadegrafs-
mo no mesmo texto, marcas de raspagens nos campos preenchíveis,
início da escrita do valor por extenso em cima da expressão impressa
“quantiade”desnecessariamente,caracteresdisformes.
Osquesitosdesegurançaeletrônicosdochequequedevemserobservados
na.sua.liquidação.ou.pagamento.são:
■ cheque cadastrado: os cheques fornecidos para os clientes têm sua
numeraçãocadastradaparaarespectivaconta.Aapresentaçãodeche-
quecomnumeraçãonãocadastradageraaocorrência“chequenãoper-
tenceàconta”;
■ situação do cheque:oschequescadastradostêmasuasituaçãocon-
troladapelosistema.Casoochequejátenhasidoliquidado,aoserapre-
sentadonovamentegeraaocorrência“chequejábaixado”;
■ controle de contra-ordem:osistemaapresentaaexistênciadecontra-
ordemouoposiçãodepagamentoparaochequeapresentado;
■ banda magnética inválida: todos os campos do CMC-7 (banda mag-
nética)sãoverifcados.Nocaixa,quandohouverdivergências,osiste-
manãopermiteopagamento.Nacompensaçãoégeradaaocorrência
“banda magnética inválida”, indicando que a agência deve redobrar a
atençãoeanalisarcomcuidadoodocumento.
Osquesitosdesegurançaeletrônicosdochequevisamobstarasseguintes
modalidades.de.fraudes:
■ clonagem:nestetipodefraudeéutilizadoumprogramadecomputador
paraimprimirosdadossimilaresadeumchequeexistente,comousem
ousodefolhadechequeoriginalobtidadeformaespúriaouextraviada.
Aassinaturadochequepodeserreproduzidapormeiodeimpressãoou
Gestão de seGurança 111
Universidade Corporativa BB
porfalsifcaçãomanual,seaassinaturaforfácildeserimitada;
■ reprocessamento de cheques roubados ou extraviados após a li-
quidação:afraudeconsisteemreapresentarparapagamentocheques
jáliquidadosouemcompensaçãoobtidosdeformaespúria(roubados
ouextraviados).
Espera-sequeaofnaldoestudodestetemavocêpossa:
▪ConceituarGestãodaContinuidadedeNegócios.
▪ IdentifcarainfuênciadaGestãodaContinuidadedeNegóciosno
desempenhodasinstituiçõesfnanceiras.
▪ DescreverociclodoprocessodeGestãodaContinuidadede
Negócios.
▪ IdentifcaraspectosqueregulamaGestãodaContinuidadede
Negócios.
▪ DescreveromodeloeciclodaGestãodaContinuidadedeNegócios
noBancodoBrasil.
▪ ReconhecerpapéiseresponsabilidadesnaGestãodaContinuidade
deNegóciosnoBB.
▪ Identifcarcenáriosdeameaçaaseremabordadosnaelaboração
dosplanosdecontinuidadedenegóciosdoBB.
▪ Conceituarestratégiadecontinuidadedenegócios;
▪ Distinguirprocedimentoseaspectosaseremconsideradosna
construçãoeavaliaçãodoPlanodeContinuidadedeNegócios.
5
GESTÃO DA CONTINUIDADE
DE NEGÓCIOS
Gestão de seGurança 115
Universidade Corporativa BB
5.1. CONCEITOS
Agestãodacontinuidadedenegócios-GCNéumadisciplinadegestãorelati-
vamente.nova.que.se.tornou.muito.importante.dado.o.ambiente.extremamente.
turbulento.em.que.as.organizações.estão.inseridas.
Atividades terroristas, mudanças climáticas drásticas, falhas ou danos nas
instalaçõesfísicas,interrupçãonacadeiadesuprimentoeameaçasdepan-
demias.humanas.e.animais.são.alguns.exemplos.dos.eventos.mais.relevantes.
quepodemresultareminterrupçõesemlargaescala,impactandoacapacida-
de.das.organizações.disponibilizarem.seus.produtos.e.serviços.
Enãosãoapenasesteseventosquepodemcausarrupturasnacontinuidade
dasoperaçõesdenegócio.UmaemcadacincoorganizaçõesdoReinoUnido
sofreparalisaçõesemsuasatividadesacadaano,causadasporincidentes
demenornívelderelevância,taiscomoincêndios,doenças,paradasdecor-
rentesdeproblemasemsuainfra-estruturatecnológica,negaçãodeacesso
aossistemasinformatizadosouperdadeumfornecedorchave.Esteseventos
podemnãoimpactartodaacoletividadeemqueaorganizaçãoestáinserida,
maspodelevá-laaperderclientesouaterproblemasemseufuxodecaixa.
Aoadotaragestãodacontinuidade,asorganizaçõesestãomaisbemprepa-
radasparasuperarosdesafosdeumainterrupçãoqualquerquesejaasua
causa.
Oconceitodecontinuidadedenegóciosfoidesenvolvidoapartirdametade
dadécadade80,comoumanovamaneiradegerenciarosriscosdenegó-
cio.AbasedaGCNéocomprometimentodocorpodiretivodaorganização
emgarantiracontinuidadedasfunçõesdenegócio,aqualquertempoesob
quaisquercircunstâncias.
AGCNdesenvolveu-seemcontrapontoàvisãoexistentenadécadade70,
de que era necessário prover condições de recuperação de desastres para
sistemasdeinformação.Tradicionalmente,osPlanosdeRecuperaçãodeDe-
sastre (PRD) concentravam-se na restauração das instalações físicas após
a ocorrência de graves incidentes (perdas da capacidade de processamen-
to ou de telecomunicações, perdas das edifcações devido a incêndios ou
inundações).Aresponsabilidadesobreessesplanoseradispersaemvários
segmentosorganizacionaisdentrodaempresa.Tipicamenteeramfeitospelas
áreasresponsáveispelaTIoupelasegurança.Emgeral,osPRDeramescri-
tosbaseadosnaspremissasdaocorrênciadeumeventodeinterrupçãoeda
ProGrama certificação interna em conhecimentos 116
Universidade Corporativa BB
adoçãodemedidasderecuperação.
Porém,eventosinesperadosnãoacontecemderepente;muitofreqüentemen-
tetêmsuacausa-raiznaprópriaorganização.Todasorganizaçõespossuem
fragilidades e podem fcar sujeitas a possibilidades de exploração de suas
vulnerabilidades.Examesmaisapuradosdascausasdosprincipaisdesastres
demonstramquesãodecorrentesdacombinaçãodessasfragilidades.
Agestãodacontinuidadedenegócioséfocadanaprevenção,nãosomente
nareaçãoàocorrênciadeincidentes.Nãodizrespeitoúnicaeexclusivamente
àcapacidadedelidarcomincidentes,quandoeseelesocorrerem,mastam-
bémemestabelecerumaculturaquebusqueconstruirmaiorresiliência,
16
.de.
formaagarantiraentregadeprodutoseserviçosaosclientes.
Em resumo, a GCN age proativamente ao estabelecer os fundamentos es-
tratégicos e operacionais para desenvolvimento da resiliência da organiza-
çãoaeventoscausadoresderuptura,interrupçãoouperdadacapacidadede
fornecerprodutoseserviços.Nãocontemplamedidaspuramentereativasa
seadotardepoisqueumincidenteocorre.Requerumaabordagemholística,
com planejamento abrangendo todas as esferas, uma vez que a resiliência
dependeigualmentedosníveisgerenciaiseoperacionaisedatecnologia.
Pesquisas realizadas demonstram que o impacto de desastres no valor de
mercadodasaçõesdasempresaspodesersignifcativo.Afaltadeconfança
nacapacidadedosgestoresemagirrápidaeprofssionalmenteemcasode
desastresãoascausasprincipaisdessadesvalorização.
AGCNrevelaacapacidadeestratégicaetáticadaorganizaçãoparaplanejar
e responder a incidentes e interrupção em seus negócios, administrando a
interrupçãoegarantindoaresiliêncianecessáriaaoenfrentamentodacrise,
demodoagarantiroretornodosnegóciosànormalidadenomenorperíodo
possível,protegersuaimagemesuamarca.
Em outras palavras, a GCN visa garantir a sobrevivência das organizações
mesmodiantedesituaçõesdeinterrupçãonassuasatividades,gravesame-
açasoucrisescorporativas.
Aofocarnoimpactodainterrupçãoeidentifcarosprodutoseserviçosmais
16
Resiliênciaéacapacidadedeumaorganizaçãodeseadequarànovarealidadeapósosefeitosdeumincidente,
nosentidodemantercapacidadeoperacionalqueatendaseusclientesedemaisintervenientes.
Gestão de seGurança 117
Universidade Corporativa BB
críticosparaasobrevivênciadaorganização,provendoumavisãorealistada
situaçãoeosmeiosparaminimizarosimpactosprovocadospelacrise,aGCN
sealinhaàgestãoderiscos.
Essavisãodoambientenegocial,comoretornodasoperaçõescríticasaní-
veisaceitáveisepré-defnidos,garanteàorganizaçãovantagemcompetitiva
ereduçãoemseusriscosoperacionais.
AGCNtememseuescopoumconjuntodeatividadesqueincluioconheci-
mento da organização e de suas necessidades estratégicas, a defnição de
estratégiasdecontinuidadedenegócios,odesenvolvimentoeimplementação
dasrespostasaosincidentesqueprovoquemainterrupçãonacontinuidadede
negócioseamanutençãoerevisãodosplanosdecontinuidade.Porém,não
considerasomenteasquestõestécnicas,mastambémadimensãohumana.
Reconhece que os funcionários, e possivelmente suas famílias, podem ser
atingidospelamesmaocorrênciaquedeuorigemaalgumtipodeinterrupção
eque,comoresultado,nemtodososfuncionáriosestarãodisponíveisparaa
organizaçãoduranteouimediatamenteapósincidentesoudesastres.
GCN nas instituições fnanceiras
Acontinuidadedenegócioséprioridadeparaaindústriafnanceiraeparaas
autoridades e reguladores do setor. Esses atores têm interesse comum no
aumentodacapacidadederesiliênciadosistemafnanceirofrenteagrandes
interrupções.Esteinteresseéresultadodemúltiplosfatores,incluindo:
■ opapelcrucialqueaintermediaçãofnanceiradesempenhaemfacilitar
epromoverasatividadeseconômicasnacionaisemundiais;
■ ainterrupçãodosprocessosdecompensaçãoeliquidação,feitodemodo
concentradonamaioriadospaíses,podeterefeitosadversosparaosis-
temafnanceirocomoumtodoeimpedirqueosparticipantescompletem
operaçõesecumpramsuasobrigações;
■ avelocidadecomqueodinheiroeosvaloresmobiliárioscirculamdiaria-
menteconsolidaoníveldeinterdependênciadasinstituiçõesfnanceiras
sobaformaderiscodeliquidaçãoe,emúltimaanálise,riscodecrédito
edeliquidez.Oresultadodeumainterrupçãoemumainstituiçãofnan-
ceiraparticipantedosistemapodeafetaroutracomsériasimplicações
pormeiodoefeitosistêmico;
■ apossibilidadedeataquesterroristasououtrosataquesorientados,di-
retaouindiretamente,àinfra-estruturadosistemafnanceiro;
ProGrama certificação interna em conhecimentos 118
Universidade Corporativa BB
■ repetidasouprolongadasinterrupçõesnofuncionamentodeumsistema
fnanceiropodemminaraconfançaeresultaremumaretiradadecapi-
talafetandoosistemanacionaleglobal.Aconfançadopúblicoémuito
importanteparaofuncionamentodossistemasfnanceiros.
Aomesmotempo,outroselementos,comoacrescentecomplexidadeeorisco
operacionalemtodasasáreasdosistemafnanceiro,aumentamodesafode
implementaracapacidadederesiliência.Porexemplo,osistemafnanceiro
é profundamente dependente da automatização que, por sua vez, depende
doselementosdainfra-estruturafísicaquedãosuporteaautomatização,tais
comotelecomunicaçõeseenergia.Enquantoasorganizaçõesquefornecem
asinstalaçõeseosserviços,queincluemainfra-estruturafísica,estão
empenhadasemmelhorarasuacapacidadeparasuportargrandesinterrup-
ções,asautoridadesfnanceiraseaindústriafnanceiranãotêmcontroledire-
tosobreassuasdecisões,quandodaocorrênciadestasinterrupções.
Compatívelcomofocoempreservarafuncionalidadedeumsistemafnancei-
ro,asautoridadesfnanceirastendemapriorizarosparticipantescríticosdo
mercado.Asliçõesqueseaprendecomaexperiênciadopassado,noentan-
to,sãoaplicáveisaumaaudiênciamaisampla.
Agestãoefcazdacontinuidadedenegóciosconcentra-senoimpactocausa-
do,emoposiçãoàorigemdainterrupção,eforneceàindústriafnanceiraeàs
autoridadesfnanceirasumamaiorfexibilidadeparatratarumamplolequede
interrupções.
A estrutura de GCN
AvisãomaisaceitadoassuntopercebeaGCNcomoumcicloquepermite
compreendermelhoraorganizaçãoeprepará-laparaoenfrentamentodecri-
ses,aodefnirosprocessoscríticos,fazeraavaliaçãoderiscoeimpactodes-
tesprocessos,defnirasestratégiasdecontinuidadedenegócios,determinar
responsabilidades,desenvolveretestarosplanosdecontinuidade.Grafca-
mente,podemosentenderesseciclocomodemonstradonafgura16.
Gestão de seGurança 119
Universidade Corporativa BB
OciclodeGCNpermiteumavisãoclaradasatividadesessenciais,categori-
zadasdeacordocomsuaprioridadederetomada,bemcomopermiteadef-
niçãodoperíodomáximodeinterrupçãoaceitávelparacadaprocessocrítico,
defnindorecursoseresponsáveis.
Agestãoefcazdacontinuidadedenegóciosécomposta:
■ pela análise de impacto (conhecida internacionalmente pela sua sigla
eminglês–BIA:Business Impact Analysis)ederisco(ouRisk Assess-
ment);
■ pelasestratégiasderecuperaçãoeosplanosdecontinuidade;
■ porumprogramadetestes,formaçãoesensibilizaçãodosfuncionários;
■ porumprogramadecomunicaçãoegestãodecrise.
Comessavisão,osresponsáveispelosprocessospodemavaliarotempode
retomadaemrelaçãoaocustodeimplementaçãodedeterminadaestratégia
decontinuidade,direcionandosuasdecisõesdeacordocomoriscoqueem-
presaestápreparadaparaaceitarouseexpor.
Como funciona o ciclo de GCN?
Em primeiro lugar é necessário compreender o negócio em sua totalidade,
perceberoseufocodeatuaçãoeobservarquaisprocessossãoessenciais
paraosucessonosnegócios.AexistênciadeumapolíticadeGCNdefnida
eaprovadanaesferadecisóriasuperiordaorganizaçãoéfundamentalcomo
Figura.16
Ciclo de gestão da continuidade de negócios
ProGrama certificação interna em conhecimentos 120
Universidade Corporativa BB
direcionadornestesentido.Apartirdaaprovaçãodapolítica,pode-sepassar
paraasetapasseguintes,quesãoaanálisederiscoeaanálisedeimpacto
dosprocessoscríticos.
Arealizaçãodaanálisedeimpactoéopontodepartida.Éumprocessodinâ-
micoquebuscaidentifcaroperaçõeseserviçoscríticos,dependênciasinter-
naseexternaseníveisderesiliênciaapropriados.Avaliaosriscoseimpactos
potenciaisdosvárioscenáriosdeinterrupçãonosprocessosdeumaorgani-
zaçãoenasuaimagemereputação.Osprocessoseatividadescríticassão
sustentadosporpessoas(funcionários,colaboradoresetc.)erecursos(tecno-
logias,infra-estruturafísicaedelogística,fornecedoresetc).Torna-seneces-
sárioperceberasameaçasaqueestãosujeitasaspessoaseosrecursos,as
vulnerabilidades e o impacto que a interrupção provocada por um incidente
possa causar nos negócios da empresa. Esta percepção é conseguida por
meiodaanálisederiscoeimpacto.
É fundamental a realização das análise de risco e impacto para perceber e
mensurararealcriticidadedosprocessos.Asanálisesderiscoeimpactofor-
necemsubsídiosparatomadadedecisão,permitindoumdirecionamentonas
açõescontingenciais,comvistasapriorizararetomadadosprocessosmais
importantes.para.a.organização.
Aestratégiadecontinuidadepartedosobjetivosderecuperaçãoedaspriori-
dades,baseando-senosresultadosdaanálisedeimpactonosnegócios.Entre
outrascoisas,estabeleceobjetivosparaoníveldeserviçoqueaorganização
buscaentregarnocasodeumainterrupçãoearetomadadasoperações.
Osplanosdecontinuidadeprovêemorientaçãodetalhadaparaimplementar
aestratégiaderecuperação.Elesestabelecemospapéisealocamresponsa-
bilidadesporadministrarassituaçõesemergenciaisduranteasinterrupções
egarantemorientaçõesclaras,relativasàalçadadedecisãodasequipesno
casodeumainterrupçãoqueincapaciteaspessoas-chave.
Asegurançadaspessoasnãopodeseresquecidaedeveserapreocupação
máximadosplanosdecontinuidadedosnegóciosdeumaorganização.
Éimportantelembrarqueaconfusãopodeserumgrandeobstáculoparauma
respostaefetivaaumainterrupçãosignifcativa.Nessesentido,papéis,res-
ponsabilidadeseautoridadeparaagir,bemcomooencadeamentodospla-
nos,devemserclaramentedescritosnoprogramadegestãodacontinuidade.
Gestão de seGurança 121
Universidade Corporativa BB
Análise de impacto nos negócios
AanálisedeimpactonosnegócioséopilarcentraldaGCN.Éresponsável
pelaidentifcação,quantifcaçãoequalifcaçãodoimpactonosnegóciosge-
rado pela perda, interrupção ou ruptura dos processos de negócio de uma
organizaçãoeprovêasinformaçõesquesubsidiarãoadeterminaçãodases-
tratégiasdecontinuidademaisadequadas.
Aanálisedeimpacto,aoidentifcar,quantifcarequalifcaroimpactonosne-
gócios,permite:
■ obterumamaiorcompreensãodosprocessosmaiscríticos,aprioridade
decadaumdeleseostemposmáximosderetomadaapósumainterrup-
çãonãoprogramada;
■ identifcarquaisimpactosnosnegóciossãomaisrelevantesparaaor-
ganização,considerando-seaspectoscomoimagem,reputação,perda
fnanceiraetc;
■ propiciar informações para as estratégias de recuperação se tornarem
maisefetivas;
■ identifcarquaisimpactospodemresultaremdanosàreputação,ativos
eposiçãodemercadodaorganização;
■ quantifcarotempomáximotoleradodeumainterrupçãoparacadapro-
cessodenegócio.
Ao avaliar os impactos, convém que a organização considere aqueles que
serelacionamaoatingimentodeseusobjetivoseàfuncionários,acionistas,
sociedadeedemaispartesinteressadas.Osimpactosaseremavaliadosin-
cluem:
■ impactoaobem-estardaspessoas;
■ danoouperdadeinstalações,tecnologiasouinformação;
■ nãocumprimentodedeveresouregulamentações;
■ danosàreputação;
■ danosàviabilidadefnanceira;
■ deterioraçãodaqualidadedeprodutosouserviços;
■ danosambientais.
Ocorre, então, uma análise dos recursos, das ameaças e vulnerabilidades,
paraquesepossaclassifcarograudeimpactoqueestasameaçaspoderão
provocarnocasodeumincidente.
ProGrama certificação interna em conhecimentos 122
Universidade Corporativa BB
Pararealizaraanálisedeimpactosãoutilizadosworkshops,aplicadosques-
tionáriosourealizadasentrevistascomosgestoresdosprocessos.
AsboaspráticasdeGCNindicamanecessidadederevisãomínimaanualdos
resultadosdaanálisedeimpacto.
Análise de riscos
Aanálisederisco,noâmbitodaGCN,érealizadaparaosprocessosconside-
radoscríticos.Oobjetivoédeterminareidentifcarosmodelosdeavaliação
deriscoseosníveisaceitáveisderiscoaosquaisaorganizaçãoestádisposta
a.enfrentar.
Paraisso,osriscosdosprocessossãomensuradoseclassifcadosdeacordo
comseugraudecriticidade.Aanálisederiscos,aoestudarprobabilidadede
ocorreroeventoeseuimpactonoprocesso,permiteidentifcarumasériede
ameaças.de.interrupção.
Aanálisederiscosdeveserfocadanosprocessosmaisurgentesidentifca-
dosduranteaanálisedeimpacto.Temcomopropósitoidentifcarasameaças
internaseexternasquepodemprovocardescontinuidadenosnegóciosesua
probabilidade e impacto; priorizar as ameaças de acordo com um método
aceitopelaorganização;eproverinformaçõesparaosplanosdeaçõesmiti-
gadorasdorisco.
Osprincipaistópicosaseremabordadosnaanálisederiscossão:
■ detalhamentodosimpactosedasprobabilidadesdeocorrênciaemor-
demdecriticidadeerelevância;
■ identifcaçãodasameaçasaosprocessosdemaiorimpactoidentifcados
nafasedeanálisedeimpacto;
■ estimativadoimpactodasameaçasnaorganizaçãousandoummétodo
únicodeavaliação;
■ determinaçãodosvaloresestatísticosassociadosàprobabilidadeoufre-
qüênciadecadaameaça;
■ cálculodorisco,combinandooimpactoeaprobabilidadedeocorrência
decadaameaça,utilizandométodopreviamentedefnido;
■ categorizaçãodosresultadosobtidos.
Gestão de seGurança 123
Universidade Corporativa BB
Adecisãodométododeavaliaçãoderiscosaseradotadoédaorganização,
maséimportantequeessemétodosejaapropriadoatodososrequisitosde
segurança.
As vulnerabilidades podem existir como fraquezas nos recursos e podem,
emalgumponto,serexploradaspelasameaças,como,porexemplo,pontos
únicosdefalhaeinadequaçõesnaproteçãocontraincêndio,eminstalações
elétricas,naquantidadedepessoasnaequipe,nasegurançaefacilidadede
recuperaçãodosrecursosdeTI.
Como resultado das análises de risco e impacto, o gestor pode escolher a
melhorestratégiadecontinuidade,reduziraprobabilidadeeoperíododein-
terrupçãooumesmolimitaroimpactoadeterminadosprodutosouserviços.
Defnição de estratégias
ParaumaboapráticadeGCN,todasasorganizaçõesdevemperceberquais
sãoseusprocessosmaiscríticosedesenvolverestratégiasparaminimizaro
impactonosnegócios,imagememarca,advindodeumainterrupção.
Paraodesenvolvimentodeboasestratégiasdecontinuidade,váriosfatores
devemserconsiderados,comoporexemplo:
■ aspessoasenvolvidasnosprocessos;
■ osrecursostecnológicosdisponíveis;
■ osfornecedores;
■ asegurançadainformação(atendendoaosrequisitosdeconfdenciali-
dade,integridadeedisponibilidade)
■ operíodoaceitáveldeinterrupção;
■ oscustosparaimplementaçãodasestratégias;
■ conseqüênciasdasações,graudetempestividadeeatédainação;
■ atendimentoàsexpectativasdosacionistaseclientes.
Asestratégiasdecontinuidadeoferecemsoluçõesalternativasparasemanter
operacionais os processos críticos de uma organização. São respostas de
proteçãoàsvulnerabilidadesdosprocessoscríticosapontadasnaanálisede
risco.Estassoluçõesdevemserpreparadasetestadasantesdeumainter-
rupçãonosnegócios,demodoagarantiraefcáciadaestratégiacomganhos
para.a.empresa.
ProGrama certificação interna em conhecimentos 124
Universidade Corporativa BB
Existemváriasestratégiaspossíveisdeutilizaçãoemcasodeinterrupçãonos
negócios.Autilizaçãoounãodessasestratégiasdependedograuderiscoe
impactolevantadosedadecisãodogestordosprocessos.
Asestratégiasdecontinuidadedenegóciostêmdeestaralinhadasàestraté-
giacorporativaeàdireçãofornecidapelaaltaadministraçãodaorganização.
Entre outros aspectos relevantes dessa estratégia encontram-se a revisão
regulardasanálisesderiscoeimpactodosprocessoscríticos,aformaçãode
equipeespecializadaemgestãodacontinuidadedenegócios,aimplantação
deumprogramacorporativodeGCNeaprovidênciadosrecursosnecessá-
riosparaumrápidoretornoànormalidadedosnegócios.
Formalização e divulgação das estratégias
Comojávisto,apósaanálisederiscoeimpactonosnegócios,osadministra-
doresadquiremumconjuntodeinformaçõesquepermiteatomadadedeci-
sãonocasodeumasituaçãodeinterrupçãonosnegócios.
Asestratégiasdecontinuidadedevemgarantiraefcácianaadoçãodeações
tempestivasporpartedaorganizaçãoemmomentosdecrise,alémdoretor-
no à normalidade no menor espaço possível de tempo.A formalização das
estratégiaséfeitapormeiodosplanoseprocedimentosdecontinuidadede
negócios.
O objetivo fnal de um plano de continuidade dos negócios é a restauração
integraldasoperaçõesdeumaorganização.Amaiorpartedosplanosprevêa
recuperaçãodasoperaçõesdeacordocomoseuimpactosobreaempresa,
priorizandoasoperaçõescríticasdaorganização.
Interrupçõesdediferentestiposeimpactosqueacontecemrotineiramente-
comofalhasemTI,interrupçõesnofornecimentodeenergiaelétricaeproble-
masnostransportes-devemestarcontempladosnosplanosdecontinuidade
dos negócios. De uma perspectiva empresarial, a resiliência tem uma clara
lógicacomercial–clientesdasorganizaçõescujossistemasregularmenteso-
freminterrupções,inevitavelmente,vãoescolherfazernegócioscominstitui-
çõesmaisresistentes.Emumambientecompetitivo,umaorganizaçãoirápe-
sarosbenefíciosdemedidasquemelhoremasuacapacidadederesistência
ainterrupçõesfrenteaocustodestasmedidas.
Gestão de seGurança 125
Universidade Corporativa BB
Testes e manutenção de planos
Testesdacapacidadederecuperaçãodasoperaçõescríticassãoelementos
essenciaisparaagestãoefcazdacontinuidadedenegócios.Taistestes,que
podemassumirmuitasformas,devemserrealizadosperiodicamente,coma
natureza,oescopoeaperiodicidadedeterminadapelacriticidadedasaplica-
çõesefunçõesdaempresa,opapeldaorganização,asoperaçõesdomerca-
do.e.alterações.sofridas.pela.organização.ou.no.ambiente.externo.
Alémdisso,essestestesdevemidentifcaranecessidadedeaprimoramento
dosplanosdecontinuidadeedeoutrosaspectosdagestãodacontinuidade
empresarial..
Em alguns casos, essa necessidade pode surgir como resultado de altera-
çõesnomodelodenegócio,responsabilidades,sistemas,software.e.hardwa-
re, pessoal, instalações ou no ambiente externo. Uma parte independente,
talcomoauditoriainternaouexterna,deveavaliaraefcáciadoprogramade
testesdaorganização,reverosresultadosdostesteseapresentarosseusre-
sultadosaoconselhodeadministração.Aaltaadministraçãoeoconselhode
administraçãodevemgarantirquetodasaslacunasoudefciênciasquelhes
sejamtransmitidassejamabordadasdeformaadequadaeoportuna.
Além de garantir que os planos de continuidade sejam avaliados e atuali-
zados, caso necessário, os testes também são essenciais para promover a
consciência, o conhecimento e o entendimento entre os funcionários sobre
suas atribuições e responsabilidades no caso de uma interrupção. É impor-
tantequeoprogramadetestesenvolvatodoopessoalquepodeseracionado
nasrespostasaincidentes.
5.2. ASPECTOS LEGAIS, GOVERNANÇAS E MELHORES PRÁTICAS
A dinâmica do sistema fnanceiro internacional, o processo de globalização
(que aumentou a integração dos mercados), a sofsticação tecnológica, a
crescente preocupação com a mitigação dos riscos nas organizações, alia-
dosaosescândalosenvolvendofraudesembalançosdegrandesempresas,
levouosgovernos,órgãosreguladoreseorganismosinternacionaisàimple-
mentarleis,regulamentos,normasepadrõesparagarantiracontinuidadede
negóciosnoscasosdeincidentescorporativos,tendocomoobjetivoprincipal
minimizarospossíveisprejuízosfnanceirosesociaiseimpedirapropagação
de.seus.efeitos.
ProGrama certificação interna em conhecimentos 126
Universidade Corporativa BB
Comopodemosobservar,existemdiversosfatoresquepodemcolocaremris-
coacontinuidadedosnegócios,sujeitandoasempresasàsameaçasdeinter-
rupção.Asameaçaspodemsernaturais,advindasdeproblemasambientais,
como enchentes, escassez de água, tempestades, incêndios naturais etc.,
que se apresentam ainda mais impactantes devido às alterações climáticas
mundiais;podemternaturezasocial,comoasrelacionadasàviolênciaeàs
atividadesdocrimeorganizado;epodemrelacionar-seaosrecursos,conside-
rando-se,emespecial,aaltadependênciadosrecursosdetecnologiadainfor-
maçãopararealizaçãodenegócios.Aconcretizaçãodasameaçasemeventos
de interrupção geram impactos que se apresentam de maneira mais inten-
saemalgunssetores,comoodetelecomunicaçõeseaindústriafnanceira.
Aatualconjunturafazcomquediversasgovernançasdosetorfnanceiroassu-
mamposturamaisdeterminantequantoàdefniçãoderegrasecontrolespara
minimização do risco operacional, bem como quanto à existência de ações
concretasparaenfrentamentodesituaçõesemergenciaisnasinstituiçõesf-
nanceiras, consolidadas em demonstrações efetivas do estabelecimento do
processodegestãodacontinuidadedenegócios.
Para tanto, foram criadas ou revistas diversas regulamentações e normas,
quesãoobservadaseimplementadaspelasprincipaisorganizaçõesdomun-
do.ComoexemploderegulamentaçõesenormasadotadasnoBrasil,temos
oAcordodeBasiléiaII,aLeiSarbanes-Oxley,aResolução3.380doBanco
CentraldoBrasileasnormasABNTNBR(15999-1e15999-2)eISO(27001
e27002).
Vejamoscommaisdetalhesalgumasdestasregulamentaçõesenormas:
Acordo de Basiléia II–OComitêdeSupervisãoBancáriadaBasiléia(BIS),
compostoporrepresentantesdosbancoscentraiseautoridadessupervisoras
dosbancosdosprincipaispaísesdomundo,defne,pormeiodeseusacor-
dos,asdiretrizesparasupervisãobancáriamundial.OacordodeBasiléiaII
recomendaqueasinstituiçõesfnanceirasmantenhamplanosdecontinuida-
dedenegóciosparaminimizaçãodosriscosoperacionais,pormeiodaado-
çãodepráticasdegestãoecontroledoriscooperacionalcapazesdeeliminar
ouminimizaraprobabilidadedeperdassignifcativasdecorrentesdeeventos
relacionados,entreoutros,a:
■ danos em ativos físicos (edifcações, prédios administrativos, instala-
çõescomerciaisouindustriais,datacenters)provocadosporincidentes
decorrentesdeatosterroristas,açõesdocrimeorganizado,vandalismo,
Gestão de seGurança 127
Universidade Corporativa BB
terremotos,incêndios,enchentes,desabamentos,inundações;
■ falhasdesistemaseinterrupçãonosnegócios,como,porexemplo,fa-
lhas.em.hardware.e.software,problemasdetelecomunicações,falhasna
prestaçãodeserviçoscomoofornecimentodeenergia,águaeteleco-
municações.
Parasubsidiarasaçõesdeimplementaçãodogerenciamentoderiscosope-
racionais,oBISdivulgoudocumentoindicandoaspráticasaseremadotadas
pelasinstituiçõesfnanceiraseexigidaspelosórgãosdesupervisãobancária.
OBancoCentraldoBrasilsegueessasorientaçõeseregulamentaaneces-
sidadedaexistênciadeplanosdecontinuidadedenegóciosnasinstituições
fnanceirasbrasileiras.
Lei.Sarbanes-Oxley–leiamericanaassinadaem30dejulhode2002.Moti-
vadaporescândalosfnanceiroscorporativos,foiredigidacomoobjetivode
evitaroesvaziamentodosinvestimentosfnanceiroseafugadosinvestido-
rescausadapelaaparenteinsegurançaarespeitodagovernançaadequada
dasempresas.Paraevitarfraudeserecuperaracredibilidadeemrelaçãoà
governança corporativa, a lei Sarbanes-Oxley. estipula. responsabilidades. e.
sanções.aos.administradores..Esta.lei.afeta.dezenas.de.empresas.brasileiras.
quemantémADRs(american depositary receipts)negociadasnaNYSEeo
BBéumadelas.
Resolução 3.380, de 29.06.2006-determinaqueasinstituiçõesfnanceiras
edemaisinstituiçõesautorizadasafuncionarpeloBancoCentraldoBrasilim-
plementemestruturadegerenciamentodoriscooperacional,contemplandoa
existênciadeplanosdecontinuidadeeestratégiasparaassegurarcondições
de continuidade das atividades e para limitar graves perdas decorrentes do
riscooperacional.
NBR 15.999-1 e 15.999-2–versãonacionaldanormabritânicaBS25999,pu-
blicadaem22deoutubrode2007,queestabeleceoprocesso,osprincípiose
aterminologiadagestãodacontinuidadedenegócios.Opropósitoéfornecer
umabaseparaquesepossaentender,desenvolvereimplementaracontinui-
dadedenegóciosemumaorganização.Elapermitetambémqueaorganiza-
çãoavaliesuacapacidadedeGCNdeumamaneiraconsistenteereconhecida.
NBR ISO/IEC 27001 e 27002–códigodepráticasparagestãodesistemas
deinformação,éaversãobrasileiradanormaISO,homologadapelaABNT.
Cobreosmaisdiversostópicosdaáreadesegurança,possuindoumgrande
ProGrama certificação interna em conhecimentos 128
Universidade Corporativa BB
númerodecontroleserequerimentosquedevemseratendidosparagarantir
a.segurança.das.informações.de.uma.empresa.
5.3. METODOLOGIA ADOTADA NO BANCO DO BRASIL
Visão do Banco do Brasil
OBancodoBrasildirecionasuaatuaçãopeloatendimentoàsexigênciasdo
ambienteregulatórioeoatendimentoàsexpectativasdosclientes,acionistas,
funcionáriosesociedade.
A preocupação com a GCN no Banco do Brasil se refete não apenas na
defnição da política de gestão da continuidade de negócios aprovada pelo
conselhodiretoreconselhodeadministração,mastambémnaimplantação
deumprocessodeGCNquelevaemcontaosaspectosfnanceiros,legais
e.de.imagem.que.possam.afetar.a.empresa.e.na.divulgação.de.orientações.
estratégicaseoperacionaisnosnormativosinternosenoscanaisdecomuni-
caçãocorporativos.
Desde 2004, em consonância com a política, com o modelo de gestão da
continuidadedenegóciosecomasdeterminaçõeslegaisespecífcasdosór-
gãosreguladoresdoSistemaFinanceiroNacional,aDiretoriadeGestãode
segurança-Digesvemcoordenandoaimplantaçãodeaçõesparagarantira
viabilização da operacionalização dos principais processos de negócios da
organização,mesmodiantedesituaçõesdecrisecorporativa.
Modelo de GCN do BB
OmodeloadotadonoBancocompreendeasatividadesdeanáliseedetermi-
naçãodosimpactosqueumainterrupçãosignifcativacausarianosprocessos
denegóciosdaempresa,bemcomoadefnição,implementaçãoevalidação
dasmedidasdemitigaçãodasconseqüênciasdeumaindisponibilidadeseve-
radosprocessosestratégicos.
As.premissas.que.norteiam.a.adoção.deste.modelo.são:
■ consolidaçãodaculturadeGCNnoBB;
■ aumentodaresiliênciadosprocessosestratégicosexistentesnoBanco;
■ atendimentodasdemandaserecomendaçõesfeitaspelasgovernanças
Gestão de seGurança 129
Universidade Corporativa BB
externas,deacordocomasnormas,regulamentosemelhorespráticas;
■ manutençãodascondiçõesdeoperacionalizaçãodosserviçosprioritá-
rioseessenciaisaofuncionamentodosnegócios,mesmodiantedece-
náriosdeinterrupçãooudecrisecorporativa.
Comofatoresmotivadoresdaadoçãodestemodelo,temos:
■ facilidadedeacompanhamentoeocontroledasaçõesemcadaetapa;
■ respeitoàculturaorganizacional;
■ simplifcaçãodomodelodeGCNadotadonoBB;
■ reduçãodoníveldeexposiçãoaoriscodeindisponibilidadedosprocessos.
Porsetratardeumprocessointerativoeevolutivo,asatividadesdeGCNfo-
ramestruturadasemcicloseetapas,conformefgura17.
Figura.17
Ciclos da GCN no BB
ADigesdisponibilizaregras,modelosepadrõesparaagestãodacontinuidade
denegóciosebusca,juntoàsunidadesestratégicas,identifcareclassifcar
osprocessos,considerandooimpactoeoriscodesuaindisponibilidadepara,
apartirdosresultadosobtidos,assessorá-lasnaproposição,implementação
etestesdasmedidasparamanterosprocessosoperacionais.
Cabe às unidades estratégicas orientar e direcionar as ações das unidades
táticaseoperacionaisquantoàgestãodacontinuidadedosnegócios,emseu
âmbito.de.atuação.


Agendamento,Realização
eElaboraçãodeRelatórios
deTestes/Exercícios
DefniçãodeEstratégias
e.Formalização.dos.
Planos
APE=AnálisedeRiscos
+Análisedeimpacto
ProGrama certificação interna em conhecimentos 130
Universidade Corporativa BB
ParaaimplementaçãodaGCNnoBBforamdefnidasasseguintesações:
■ classifcaçãodosprocessosquantoaoimpactoeaoriscodesuainope-
rânciaparaoBanco(avaliaçãodeprocessosestratégicos-APE);
■ defnição de atribuições e das responsabilidades de implementação -
pelasáreasgestorasdeprodutos,serviçosesistemas-demecanismos
e soluções para manter os processos operacionais, mesmo diante de
cenáriosdeinterrupçãooudecrisecorporativa;
■ documentaçãoformaldassoluçõesemecanismosquevisamacontinui-
dadedosprocessos;
■ avaliaçãodosmecanismosesoluçõespormeiodetesteseexercícios
doscenáriosparaosquaisseaplicam;
■ aprimoramentodosmecanismosesoluções,casonãoatendamaosre-
quisitosdeavaliação;
■ estabelecimentodefuxosespecífcosdeinformaçõesparadarsuporte
aoprocessodegestãodecrises;
■ nocasodecrisecorporativa,avaliaçãodosincidentesqueprovocaram
ainoperânciadeprocessosestratégicosedosplanosdecontinuidades
adotados.
Avaliação de processos estratégicos - APE
Aavaliaçãodeprocessosestratégicosenvolvetodasasunidadesestratégi-
casdoBancoresponsáveispelagestãodosprocessos,produtos,serviçose
sistemas, a fm de determinar os impactos operacionais decorrentes de in-
terrupçõesquepossamabalartodooBancoouasquepodemabalaranor-
malidadedosserviçosmaiscríticos.OfocodaAPEestánasobrevivênciado
Bancodiantedecenáriosdecrisescorporativas.
AAPEorientaadefniçãoeimplementaçãodemedidas,mecanismosesolu-
çõesquemantenhamofuncionamentodoBanco,noscenáriosdecrisecorpo-
rativaesubsidiaaaltadireçãonatomadadedecisõesestratégicasparaama-
nutençãodaoperacionalizaçãodoBanco,aindaqueemcondiçõesmínimas.
AAPEvisaàobtençãodeinformaçõesestruturadasequalifcadasquantoàs
característicasfundamentaisdosprocessosconsideradosestratégicosparaa
organização,abrangendoosseguintestópicos:
■ identifcaçãodosprocessos;
■ vinculaçãoderecursos:humanos,sistemaseserviçosterceirizados;
■ avaliaçãodeintervenientesdeentradaesaída(internoseexternos);
■ avaliaçãodoimpactodaindisponibilidadedosprocessos;
Gestão de seGurança 131
Universidade Corporativa BB
■ vinculaçãodeestratégiasparaoscenáriosdefnidos;
■ classifcaçãodosprocessosestratégicos.
Uma vez concluída aAPE e em função do grau de impacto e risco de sua
inoperância,osprocessossãoclassifcadosemcinconíveis(Figura18),de
acordocomapontuaçãoobtida:
■ baixo(>0e<=150);
■ moderado(>150e<=450);
■ signifcativo(>450e<=650);
■ elevado(>650e<=850);e,
■ extremo(>850e<=1000)
Figura.18
Classifcação dos Processos
A classifcação daAPE subsidia a priorização da retomada dos serviços de
TI, no ambiente de produção, a realização de investimentos para mitigação
de riscos e impacto nos negócios e a utilização de estratégias corporativas
implementadaspelasUnidadesEstratégicas.
Gestão de planos e de procedimentos
EsseciclodomodeloadotadonoBBabrangeasetapasdedefniçãodeestra-
tégiasedeformalizaçãoedivulgaçãodeestratégias,daestruturatradicional
de.GCN.
Comojávisto,apósarealizaçãodaavaliaçãodeprocessosestratégicos,o
gestorpossuiumconjuntodeinformaçõesquepermiteatomadadedecisão
e.a.gestão.dos.planos.elaborados.
ProGrama certificação interna em conhecimentos 132
Universidade Corporativa BB
Testes e exercícios
Ostesteseexercíciosservemparaverifcaraefcáciadasestratégiasemmo-
mentosdecriseeseosplanosatenderãoaosrequisitospré-defnidos.
Conscientização e treinamento
Aconscientizaçãodetodaaorganizaçãoquantoàimportânciadeseimple-
mentarumagestãodacontinuidadedenegócioséfundamentalparaosuces-
so.das.estratégias.
OsmeiosparaseconseguirreforçaraculturadeGCNpassampeloreconhe-
cimentodaaltaadministraçãodoBanco,umfuxodecomunicaçõesclaroe
defnidocomrelaçãoaosresponsáveiseoenvolvimentodetodocorpofuncio-
nalnagestãodacontinuidadedenegócios.
Os treinamentos em GCN estão ao alcance de todas pessoas relacionadas
com o tema. Objetivam ser de fácil entendimento, com o uso de linguagem
claraeacessível.Alémdaconceituaçãoteórica,demonstramousodasfer-
ramentasdisponibilizadasparasuportaragestão,permitindooenvolvimento
daspessoasnosprocessoseumarespostamaisrápidanocasodeumain-
terrupçãonosnegócios.
5.4. PAPÉIS E RESPONSABILIDADES
Asboaspráticasrecomendamumadefniçãoclaradospapéiseresponsabili-
dadesqueenvolvemagestãodacontinuidadedenegócios.
Elasnormalmentecomeçamcomadefniçãodapolíticadecontinuidadede
negócios no âmbito da organização e chegam até à designação da pessoa
responsávelporimplementarumprogramadeGCNnaempresaeaformação
deumaequipeespecializadaparatratardoassunto.
Oescopo,asregraseasresponsabilidadesemGCNdevemserdeconheci-
mentodetodaaorganização.Esteéocaminhonecessárioparaseimplantar
umaculturadegestãodacontinuidadedenegóciosnaempresa.
ParaqueoBBobtenhaaresiliêncianecessáriaaoenfrentamentodecrises
corporativas,todasasunidadesestratégicas,táticaseoperacionaisdevemter
Gestão de seGurança 133
Universidade Corporativa BB
sinergia.no.desempenho.de.seus.papéis.e.responsabilidades..As.atribuições.
dasunidadesquantoàgestãodacontinuidadedenegóciosestãobemdefni-
das.nos.normativos.internos.
As dependências devem constituir o grupo coordenador de continuidade
(GCC), realizar a análise de risco e impacto, elaborar os planos de conti-
nuidade de sua competência, defnir procedimentos para funcionamento da
dependênciaemsituaçõesemergenciaisetestarosplanosdecontinuidade
denegócios.
Grupo coordenador de continuidade - GCC
Oobjetivodogrupocoordenadordecontinuidadeéprepararadependência
paraenfrentaroscenáriosdeinterrupçãooudeameaçadeinterrupçãodos
negócios.Paratanto,seusintegrantesdevem:
■ identifcarasprincipaisameaçasdeinterrupçãodosnegócios;
■ coordenaraelaboraçãodosplanosdecontinuidadedadependência;
■ mantertodaadocumentaçãorelativaaosplanosdecontinuidadedade-
pendência-inclusivenormativoselistasdeacionamento-emlocalse-
guro,acessívelsomenteaosintegrantesdogrupocoordenadordecon-
tinuidadeeaosexecutoresdosprocedimentosprevistos;
■ defnir e implementar fuxo de informações para enfrentamento de cri-
ses;
■ identifcar e monitorar o risco à operacionalização dos processos do
Bancodecorrentedainterrupçãodaprestaçãodeserviçosterceirizados,
bemcomoavaliarosplanosdecontinuidadeelaboradospelosfornece-
doreseprestadoresdeserviço;
■ reunir-seperiodicamentecomvistasàadoçãodemedidaspreventivas
eadministrativasprevistasnosplanos,elaborandoatasdasreuniõese
arquivando-asparaverifcaçãopelaauditoriainterna.
Aconstituiçãodogrupocoordenadordecontinuidadeéumatoformal.Para
tanto,deveserelaboradoorespectivoatodeconstituição,conformeasinstru-
çõesvigentes.Odocumentodeveseratualizadosemprequenecessário,de
modoaoferecerinformaçõesseguraseconfáveisemcasodenecessidade.
ProGrama certificação interna em conhecimentos 134
Universidade Corporativa BB
5.5. CENÁRIOS DE AMEAÇA DE CONTINUIDADE DE NEGÓCIOS
São vários os cenários possíveis de ameaça à continuidade dos negócios.
Para a elaboração dos planos de continuidade de negócios o BB adota os
seguintescenáriosprincipais:
■ bloqueio de acesso – BA: impossibilidade de acesso aos ambientes
normaisdetrabalho,pormotivosrelacionadosexclusivaediretamente
aolocaldetrabalho,comomanifestaçõesdepessoasnasentradasdos
edifícios,problemasnainfra-estruturapredialqueimpeçamasuautiliza-
ção,interdiçãodasviaspúblicasdeacesso,comoplataformasoupistas
próximasàdependência,interdiçãodosprédiosdoBBemdecorrência
deincidentesenvolvendoedifíciosvizinhos;
■ falta de pessoal - FP:ausênciasdefuncionáriosnoslocaisdetrabalho,
voluntáriasouinvoluntárias;
■ indisponibilidade de sistemas - IS:inoperânciatotaldossistemascor-
porativos,casoosmecanismosdedisponibilidadedosambientesdeTI
nãofuncionemconformeprevisto;
■ indisponibilidade de serviços terceirizados - IST:.interrupção.na.pres-
taçãodosserviçosoudasatividadesexecutadasporempresascontrata-
das;
■ problemas na infra-estrutura predial – PIP:interrupçãodofunciona-
mentonormaldasinstalaçõesprediais,notocanteàinfra-estruturabási-
ca(sistemaselétrico,hidráulico,deáguaspluviais,esgotoededetecção
ecombateaincêndio)edeinstalaçõesespeciais(centraisdearcondi-
cionado,nobreaks,subestaçõesegeradores);
■ indisponibilidade da infra-estrutura de TI – IITI:incidentes,danosou
panesnosequipamentoseinstalações(hardware, software,processos
operacionais,aplicativoseambiente)queintegramainfra-estruturade
processamento,armazenamentoecomunicaçãodedados,queprovo-
quemainoperânciatotalouparcialdacapacidadedeproduçãodeum
doscentrosdeprocessamento;
■ ameaça à integridade física e patrimonial – AIFP:situaçõesquecau-
semameaçaàvidaouàintegridadefísicadaspessoasnosambientes
doBanco,bemcomoasquepossamatingirasinstalaçõesprediais.
Gestão de seGurança 135
Universidade Corporativa BB
5.6. ESTRATÉGIAS PARA GARANTIA DA CONTINUIDADE DE NEGÓ-
CIOS
Defnição
Asestratégiasdecontinuidadedenegóciossãoosmecanismosesoluções
defnidos com o objetivo de mitigar os riscos provenientes de uma indispo-
nibilidade que afetem direta ou indiretamente os processos estratégicos da
empresa.
As estratégias de continuidade devem ser detalhadas nos planos de conti-
nuidadedenegócios,paraseremativadasquandoocorreremoscenáriosde
interrupção.
Como vimos, a avaliação de processos estratégicos identifca os processos
críticoseclassifca-osporgraudeimpactoerisco.Ogestordeveperceberas
vulnerabilidadesdeseusprocessoseconfeccionarosplanosdecontinuidade.
Apósperceberquaisprocessospossuemmaiorgraudeimpactoerisco,al-
gumasdecisõesestratégicastêmdesertomadaspelogestor.Taisdecisões
envolvem identifcar as estratégias de continuidade, verifcar as estratégias
alternativas possíveis, analisar a relação custo e benefício da adoção das
estratégiasecomunicaràsinstânciasdecisóriasdaorganização,paraapro-
vação,asaçõesaseremtomadas.
Quantoàesferadecisória,asaçõespodemser:
■ nãofazernada:quandooriscoéaceitável;
■ mudaroufnalizaroprocesso:alinharoprocessoaoutrosprocessosda
organização;
■ garantirumseguro:providenciarrecursossufcientesmedianteacontra-
taçãodeapólicesdeseguroparagarantirapossívelperda;
■ baixaramitigação:providenciaraçõesparamitigarorisco;
■ desenvolverumplanodecontinuidadedenegócios:modomaisefcazde
proverresiliênciaàorganização,emcasodeinterrupçãonosnegócios.
Ogestoriráconsideraropçõesestratégicasparaosprocessosdemaiorgrau
deimpactoeriscoeparaosrecursosquecadaprocessoconsumirádurante
suarestauração.A(s)estratégia(s)mais(s)apropriada(s)depende(m)deuma
sériedefatores,como:
ProGrama certificação interna em conhecimentos 136
Universidade Corporativa BB
■ operíodomáximodeinterrupçãotolerável;
■ oscustosdeimplementaçãodeumaoumaisestratégias;
■ asconseqüênciasdenãoseagir.
Estratégiaspodemsernecessáriasparaosseguintesrecursos:
■ pessoas;
■ instalações;
■ tecnologia;
■ informação;
■ fornecedoresdesuprimentosouserviços.
Emcadacasoogestordeveevitarimplementarumasoluçãodecontinuidade
que possa ser afetada pelo mesmo incidente que causou a interrupção no
processodenegócio.
Formalização
Apósaidentifcaçãodosprocessoscríticos,aavaliaçãodeimpactoeriscoe
adefniçãodasestratégiasdecontinuidade,tornam-senecessáriosodetalha-
mento.e.a.formalização.dessas.estratégias.
As estratégias de continuidade são formalizadas por meio da elaboração e
documentaçãodosplanoseprocedimentosdecontinuidadedenegócios.Os
planosdecontinuidadesãoparteintegrantedociclodevidadosprocessosde
negócio,devendo,portanto,teratençãoespecialdoadministrador.
Váriosfatoresinfuenciamaelaboraçãodosplanosdecontinuidadedenegó-
cios:recursos,tempoderecuperação,prioridades,responsabilidades,estru-
turaorganizacional,listadeacionamentoetc.
Umplanodecontinuidadedeveserconciso,escritodeformaclaraeobjetiva,
defácilleituraecontertodasasinformaçõesrelevantesparaumamelhorto-
madadedecisãonomomentoinicialdainterrupção.
Vejaasprincipaisinformaçõesquedevemestarcontidasnosplanos:
■ objetivogeraldoplano;
■ listagemdosprocessosatendidospeloplano;
■ cenáriosparaosquaisoplanoseaplica;
■ estratégiasdecontinuidadeadotadas;
Gestão de seGurança 137
Universidade Corporativa BB
■ critériosdeavaliaçãodostesteseexercícios;
■ situaçãoparaadecretaçãoouativaçãodosplanos;
■ premissasouobservaçõesessenciaisparafuncionamentodoplano;
■ periodicidadederealizaçãodetestesouexercícios.
O plano de continuidade deve contemplar, também, procedimentos de pre-
venção,respostaeretorno:
■ prevenção:açõespreventivas,istoé,passosaseremseguidosantes
da concretização do cenário analisado. Os procedimentos desta fase
tambémenvolvemtestes,exercícioseconfguraçõesprévias;
■ resposta:açõesreativas,istoé,passosaseremseguidosnomomento
daconcretizaçãodocenárioanalisado.Osprocedimentosdestafaseen-
volvemaexecuçãoderotinasouacionamentodepessoaspreviamente
defnidas;
■ retorno: ações pós-incidente, isto é, passos a serem seguidos depois
da concretização do cenário analisado. Os procedimentos desta fase
envolvemaretomadadosserviçosrepresadosduranteoincidente;tem
foconoretornodosprocessosànormalidade.
Os procedimentos descrevem o detalhamento das ações que deverão ser
executadas,paraquesuasatividadescontinuemaserrealizadasmesmoem
situações.de.anormalidade.
Aodefniredetalharasestratégiasdecontinuidade,ogestordeveestimaros
recursosquecadaatividadeprevistanosplanosnecessitará,contemplando
nomínimoosseguintesaspectos:
■ recursosdepessoal,incluindoquantidade,habilidadeseconhecimento
(depessoas);
■ localizaçãodostrabalhoseinstalaçõesnecessárias;
■ tecnologia,equipamentoseinstalaçõesfísicas;
■ informação,eletrônicaouempapelsufcientementeatualizadaeprecisa
sobretrabalhosanterioresouemandamento,deformaapermitirqueas
atividadescontinuemnonívelacordado;
■ serviçosefornecedoresexternos(suprimentos).
ProGrama certificação interna em conhecimentos 138
Universidade Corporativa BB
Avaliação: testes e exercícios
Essa etapa da GCN engloba as ações de agendamento, realização e ela-
boraçãodosrelatóriosdetesteseexercíciosdosplanosdecontinuidadede
negócios.
Existemduasformasdeavaliarosplanosdecontinuidade:
■ testeéumaavaliaçãoemquehásimulaçãodocenáriodeinterrupçãoe
acionamentodomecanismoalternativodefuncionamento,masosresul-
tadosnãosãoconsideradosofciais;
■ exercícioéumaavaliaçãoemqueomecanismoalternativodefunciona-
mentoproduzresultadosquesãoconsideradosofciais,válidos.
Ostesteseexercíciospodem:
■ adiantarumresultadoprevisto,ouseja,quetenhasidoantecipadamente
planejadoeincluídonoescopo;ou
■ permitirqueoBancoimplementeaçõescorretivassemprequeosresul-
tadosnãoforemconsideradossatisfatórios.
Ostesteseexercíciosdevemterobjetivosclaramentedefnidos,seremrealis-
tas,planejadoscuidadosamenteeacordadoscomaspartesinteressadas,de
modoquehajaumriscomínimodeinterrupçãodosprocessosdenegócio.
As boas práticas recomendam a elaboração de relatórios e a realização de
análisesdeseusresultados,parademonstrarseosobjetivosforamalcança-
dos.Orelatóriodeve,semprequepossível,conterrecomendaçõesdemelho-
ria ou de correção dos problemas identifcados e a previsão de tempo para
implantaçãodestasrecomendaçõescomclaradefniçãoderesponsáveis.
Estesrelatóriosdevemteraprovaçãoformaldosgestoresdosprocessos,de
modo a garantir a execução das recomendações existentes e servir como
balizadorparacorreçõesnasestratégiasadotadas,atualizaçãodosplanose
adequaçãoaofocogerencial.
Osplanoseprocedimentosdevemseravaliadosaomenosumavezporano,
excetoseasituaçãodescritanoplanonãojustifcararealizaçãodaavaliação,
sejaporcausadaimpossibilidadedesimulação,altoriscodeimpacto,oupela
combinaçãodessesfatores.
Gestão de seGurança 139
Universidade Corporativa BB
Paradefniçãodaperiodicidadedeavaliaçãodeumplanodevemserconsi-
derados os aspectos de ordem legal ou normativa e constituída agenda de
realizaçãodetestesouexercícios.
DadasascaracterísticasdoBB,aquantidadeevariedadedeplanosdeconti-
nuidadeeáreasenvolvidas,torna-seimprescindívelacriaçãodemecanismos
degerenciamento(planejamentoecontrole)darealizaçãodetesteseexer-
cícios.
Estegerenciamentoéfeitoapartirdaadoçãodeumaagendacorporativaem
que.são.registrados:
■ osresponsáveis;
■ asdatasprevistasparaarealizaçãodostestesouexercícios;
■ acompanhamentodosresultados;
■ osintervenientes;
■ osrecursosnecessáriospararealizaçãodotesteouexercício.
Aagendadetestesouexercíciosdeveserelaboradadeformaque,aolongo
dotempo,possagarantir,objetivamente,queosplanosdecontinuidadefun-
cionarãocomoprevistoquandonecessário.Convémqueostesteseexercí-
cioscontemplem:
■ aspectostécnicos,logísticos,administrativos,deprocedimentoesiste-
mas;
■ asaçõespreparatóriaseainfra-estruturadeGCN,incluindopapéis,res-
ponsabilidadeselocaisdegerenciamentodeincidenteseáreasdetra-
balhoalternativas,entreoutros;e
■ avalidaçãodosrecursostecnológicosedetelecomunicaçõesnecessá-
rios,incluindoosaspectosdedisponibilidade,eosremanejamentosde
pessoal.
Todooprocessodeavaliação(testeouexercício)deveserdevidamentedo-
cumentado e arquivado para efeito não apenas de auditoria como também
paraservirdefontedeconsultaparamelhoriadosplanosdecontinuidadee
correçãodasestratégiasadotadas,senecessário.
Agora temos uma visão do que é a gestão da continuidade de negócios e
suaimportânciaparaasobrevivênciadasorganizações.Entenderepraticar
a GCN garante uma visão mais ampliada da empresa, de seus processos
essenciaisedaspossibilidadesdemitigaçãodosriscosenvolvidos,quando
ProGrama certificação interna em conhecimentos 140
Universidade Corporativa BB
daocorrênciadeinterrupçãonosnegócioscríticosoumesmoemsituaçãode
crisecorporativa.Apreocupaçãodasdiversasgovernançascomoassuntojá
demonstraanecessidadedeadaptaçãoconstantedasorganizaçõesarápi-
dasmudançasdecenárioseambientecadadiamaiscompetitivo.
Espera-sequeaofnaldoestudodestetemavocêpossa:
▪Identifcaropapeldaspessoasnoprocessodegestãodesegurança.
6
O PAPEL DAS PESSOAS
NA SEGURANÇA
Gestão de seGurança 143
Universidade Corporativa BB
Aspessoassãooelementocentraldeumsistemadesegurança.Partindodo
princípioqueumaorganizaçãopodeserdefnida,também,comoumconjunto
de pessoas que nela trabalham e que os incidentes de segurança sempre
envolvempessoas,fcafácilobservaroporquêdaspessoasseremoelemen-
to mais importante para a segurança. Mesmo nos incidentes que envolvem
fatoresnaturais,aspessoasprecisamprevertaisfatoreseprotegerosativos,
criandosalvaguardaseelaborandoplanosdecontinuidadedenegócios.
Quando nos referimos a pessoas que trabalham na empresa, estas não se
restringemaosfuncionários,masatodososcolaboradoresqueprestamser-
viçosàorganização.Nessesentido,alémdosfuncionáriostodososdemais
colaboradoresouterceirossãotambémpúblico-alvodasaçõesdeconscien-
tização, educação e treinamento em segurança. Todos devem receber trei-
namentoapropriadoeatualizaçõesregularessobreaspolíticasenormasda
organização.
6.1. CONSCIENTIZAÇÃO, EDUCAÇÃO E TREINAMENTO
O ser humano é dotado de iniciativa e criatividade, que lhe permitem ino-
varsempre.Aquelesquepraticamilícitosestãosemprecriandonovasformas
para fraudar e agem de maneira a surpreender suas vítimas. Daí a neces-
sidade de as pessoas estarem atentas, bem preparadas e conscientes da
importânciadeseobservarosprocedimentosdesegurança.Onãocumpri-
mentodeinstruçõeseprocedimentospelosfuncionáriosecolaboradoresde
umainstituiçãotornainefcazqualqueralternativaimplementadacomvistasà
salvaguarda.dos.valores.
Paratratardeformaadequadaaquestãodasatitudesdaspessoasfrenteà
segurança,énecessárioformaremanterumaculturadesegurançaquese
integre às atividades dos colaboradores e passe a ser vista pelos mesmos
comouminstrumentodeautoproteção.Aempresadevecompartilharares-
ponsabilidadecomcadaindivíduo,transformando-oemco-autordonívelde
segurançaalcançado.Somentedestaformaasempresasterãoemseusfun-
cionáriosaliadosnabatalhadereduçãoeadministraçãodosriscos.
ProGrama certificação interna em conhecimentos 144
Universidade Corporativa BB
Uma atitude positiva em relação à segurança é fruto de um processo edu-
cativo.Porenvolvermudançadecomportamento,asaçõesdesseprocesso
precisamserconstantesereavaliadassemprequenecessário.Nãobastam
campanhasefêmeraseisoladas.
Entreasdiretrizesparaqueaorganizaçãotenhasucessonessaconscienti-
zaçãodestacam-se:
■ envolvimento da alta direção em todo o processo–nadasuperaa
forçadoexemplo;
■ defnição clara do que a empresa espera–seoobjetivoforoenvolvi-
mentoeasensibilizaçãodaspessoassobreaimportânciadaseguran-
ça,nãobastaapenasdivulgarnormas;
■ compreender bem o universo dos colaboradores–quemsãoosato-
res,seustatusepapel,aspirações,padrõesdecomportamento,forma
comocostumamresolverosproblemasdodia-a-dia;
■ selecionar e ordenar os conteúdos,bemcomoescolhermetodologia
deabordagem;cadapúblico-alvopodeterpeculiaridadesquedevemser
tratadasdeformadistintadoqueécomumaosdemaispúblicos;
■ ter mecanismos de avaliação e controledoníveldeaprendizadoeda
evoluçãodograudeconscientização.
Sabendoondequeremoschegarecomochegarmosfcamaisfáciloprocesso
deconscientização.
ACADEMIALatino-americanadeSegurançadaInformação.Curso Básico de Segu-
rança da Informação–.ApostiladesenvolvidapeloMódulo Securityemparce-
riacomaMicrosoft Informática,2007.
ALVIM, Paulo César Rezende de Carvalho. Inteligência competitiva nas empre-
sas de pequeno porte. In: I Workshop Brasileiro de Inteligência Competitiva.
Semana do Conhecimento. Anais. Rio de Janeiro: PETROBRAS. FINEP. SE-
NAI/CIET.18a22out1999.
BRASIL.LeiComplementar105,10dejaneirode2001.Dispõesobreosigilodasope-
raçõesdeinstituiçõesfnanceirasedáoutrasprovidências.Disponívelem:www.
bcb.gov.br/pre/leisedecretos/Port/Lei_Compl105.pdf. Acesso em 28 jul 2008.
ENGENHARIASocial.Disponívelem:http://cartilha.cert.br/glossario/#e.Acessoem
23jul2008.
FERREIRA,FernandoNicolauFreitas.Segurança da Informação.RiodeJaneiro:
CiênciaModerna,2003.
FERREIRA,FernandoNicolauFreitas;ARAÚJO,MárcioTadeude.Política de Se-
gurança da Informação:guiapráticoparaelaboraçãoeimplementação.Riode
Janeiro:CiênciaModerna,2006.
INFORMAÇÃO. Disponível em: www.wikipedia.org/wiki/Informação. Acesso em 21
jul2008.
LYMANPeter;VARIANHalR.How Much Information?Disponívelem:<http://www.
sims.berkeley.edu/how-much-info-2003/execsum.htm>.Acessoem29jul2008.
MANDARINI,Marcos.Segurança Corporativa Estratégica.SãoPaulo:Manole,2006.
MOREIRA, Nilton S. Segurança mínima: uma visão corporativa da segurança de
informações.RiodeJaneiro:AxcelBooks,2001.
NAKAMURA,E.T;DEGEUS,P.L.Segurança de redes em ambientes corporati-
vos.SãoPaulo:Novatec,2007.
PECK,Patrícia.Direito Digital.SãoPaulo:Saraiva,2002.
RAMOS,Anderson(org.).Security Offcer – 1:Guiaofcialparaformaçãodegesto-
resemsegurançadainformação.PortoAlegre,RS:Zouk,2006.
RUEDA JUNIOR, Edson. Sigilo Bancário Análise Constitucional. Disponível em:
www.direitonet.com.br/artigos/x/10/34/1034/.Acessoem28jul2008.
SÊMOLA,Marcos.Gestão da segurança da informação:visãoexecutivadasegu-
rançadainformaçãoaplicadaaoSecurityOffcer.RiodeJaneiro:Elsevier,2003.
R
REFERÊNCIAS
ProGrama certificação interna em conhecimentos 146
Universidade Corporativa BB
SIGILO bancário. Disponível em: www.direitonet.com.br/dicionario_juridico/x/68/99/689/..
Acessoem28jul2008.
TRIBUNALdeContasdaUnião.Boaspráticasemsegurançadainformação.Brasí-
lia:TCU–SecretariadeFiscalizaçãodeTecnologiadaInformação,2007.
Outras fontes de consulta
BCI–The Business Continuity Institute..Good Practices Guidelines–A Framework
for Business Continuity Management..2005.
BIS–Bank for International Settlements..High-Level Principles for Business Con-
tinuity..2006.
BRASILIANO,AntonioCelsoRibeiro.Manual de Análise de Risco..São.Paulo:.Si-
curezza,2003.
BRASILIANO,AntonioCelsoRibeiro.Manual de Planejamento–GestãodeRiscos
Corporativos.SãoPaulo:Sicurezza,2003.
BRASILIANO,Antonio Celso Ribeiro. Manual de Planejamento Tático e Técnico
em Segurança Empresarial.SãoPaulo:Sicurezza,2003.
BRASILIANO, Antonio Celso Ribeiro. Planejamento da Segurança Empresarial..
SãoPaulo:Sicurezza,1999.
BSI – British Standards Institute. BS 25999-1. Business Continuity Management.
–Part 1: Code of Practice..2006.
CUNHA,SérgioSérvuloda.Dicionário Compacto do Direito–2ªed.rev.eampl
–SãoPaulo:Saraiva,2003.
CURSOSdoBancodoBrasil:AgentedeRegistro.CertifcaçãoDigital.Grafoscopia.
IntroduçãoàGestãodeRiscos.SegurançadaInformação.SegurançadePes-
soas.e.Ambientes.
DANTAS FILHO, Diógenes. Segurança e Planejamento. Rio de Janeiro: Ciência
Moderna,2004.
DANTASFILHO,Diógenes.Segurança Pessoal.RiodeJaneiro:CiênciaModerna,
2002.
FONTES,Edison.Segurança da informação:ousuáriofazadiferença.SãoPaulo:
Saraiva,2006.
GIL,AntoniodeLoureiro.Segurança Empresarial e Patrimonial.SãoPaulo:Atlas,
1995,
GODOY,MaxBianchi.A segurança da informação e sua importância para o su-
cesso das organizações.RiodeJaneiro:Kirios,2004.
HILES,Andrew.Business Continuity:.Best Practices – World-Class Business Con-
tinuity management 2nd Edition. Rothstein Associates Inc.–Brookfeld, Connec-
ticut USA..2004.
Gestão de seGurança 147
Universidade Corporativa BB
LOPESJUNIOR,RubenseSOUZA,MarceloB.de.Segurança Eletrônica Prote-
ção Ativa.SãoPaulo:Sicurezza,2000;
PEIXOTO,MárioCésarPintaudi.Engenharia social e segurança da informação
na gestão corporativa.RiodeJaneiro:Brasport,2006.
PORTELLA,PauloRobertoAguiar.Gestão de Segurança–História,Prevençãoe
SistemasdeProteção.RiodeJaneiro:EditoraRio,2005.
REVISTAProteger.Edição2006–AnoIX–nº53–julho/agostode2006.
REVISTAVeja.Edição1990–ano40–10dejaneirode2007.
SANTOS,Wilsondos.Manual Anti-seqüestro e Assalto.Curitiba-PR:Juruá,2004.
SERASA.Guiadeorientaçãoaocidadão.
SHARP,John.The Route Map to Business Continuity Management–Meeting the
Requirements of BS 25999. BSI – British Standards Institute..2008.
STROHLSystems..Business Continuity Planning Guide,1995.
www.abgs.org.br
www.abnt.org.br
www.bcb.gov.br
www.bis.org
www.bsonline.bsi-global.com
www.cert.org
www.contasabertas\uol
www.defesacivil.gov.br
www.dji.com.br/codigos/1940_dl_002848_cp/cp107a120.htm
www.drj.com
www.pcnbb.bb.com.br/site
www.portaldomarketing.com.br/Artigos/Maslow%20e%20Marketing.htm
www.receita.fazenda.gov.br
www.thebci.org
www.unodc.org
www.vademecum.com.br/iatros/incerteza.htm

GESTÃO DE SEGURANÇA

Brasília, agosto de 2008

.

......................69 .......15 Aspectos regulatórios da gestão de segurança............................. ..................................................... ....32 .....da...... 2.. Política de segurança da informação...............................................................................19 Ocorrências e agentes................. .29 2....................... ..................................... Procedimentos preventivos.de.......................................................da.......................................45 ......................................1............ 1.........................27 ................... Conceito...................................PSI.....................43 ........... Gestão de segurança de pessoas e ambientes....................................da.............................................................................. ........1....................................... Segurança............................... Valores........................................................................................................... ...........................segurança......... ................ 1.................................................................. Normas e procedimentos para a troca de informações........ Quesitos de segurança bancária – conceitos e finalidades....................................................... 1............................ A........58 Classificação das informações....... Fornecimento de informações a órgãos judiciais.......40 ................................................................ ...........................nas.....................3....................................dispositivos........................ ........................................ redes e aplicativos...............de... ........................... Vigilância armada................ 2.....................62 Senhas: cuidados especiais..........2......................................................52 Segurança da informação e risco operacional..........segurança.9 ............................................ Fatores do processo de gestão de segurança no Banco do Brasil..............55 ..............................65 3............................... 2.............................................................. 1.alarme..........22 .. ..de...................................................................54 ..............segurança..............................................................Visão....... ................................................informação........... Desenvolvimento.........................................................................................1.............4............................................ Aspectos gerais.. ........45 3............67 ........68 Mensagens eletrônicas.......................2......................... Etapas..................................PSI... ...........Segurança........................................Gestão.....implantação..... ...... 1....53 3.. de fiscalização e de controle........................................................................ .................................segurança..da...................................... Segurança e risco operacional...11 ................ ........34 ...... Plano.................................3................... ........................57 3.........................S ....... ......................empresas................................................................................................................45 ..............18 ......................................... Outros.......19 ............................................atual.............informação....... .....Contextualização......................................................................................da................40 .........32 ...informação.........................................19 ............................. Segurança da informação.... Sistema................................... Segurança.............4..................... A....59 Níveis de classificação..........da....... ............................. ............3.............................................pessoal.......................................... 3...12 ..............................5.........40 .................51 Princípios da segurança da informação.......................14 Segurança nas instituições financeiras........................ Sumário 1...20 ............... ..............................................67 Acordos para a troca de informações..........2.............................. Segurança.................................... ........................35 ........................................ ..........ambientes...................de...........................................................................36 Lista de Verificação de Segurança – LVS............................. Estratégias............................60 Acessos aos sistemas. .

....................................... Autenticidade................elevados..72 .............................................................................................................79 ........143 Referências.......................70 Ameaças mais comuns.................................95 Documentos e informações cadastrais........132 ... Segurança lógica... 5....estrutura.....................................................................................109 5............ citação..........................informação.... Cenários de ameaça de continuidade de negócios.........................................................da.............. 4...99 ....................................... 5..........................................................1........................................................79 ................................ governanças e melhores práticas...........................................Pagamentos. educação e treinamento.........101 4......................................... Procuração e representação............................................. Conceito...................................104 .................................2...........................de.....de......................informação...........................................e........................................5............................................................................................................................ Gestão da continuidade de negócios............................88 Engenharia social......................responsabilidades..Cheque........................... Modelo de GCN do BB.............................. Novas............128 ............141 6................... O papel das pessoas na segurança...................134 5........136 Avaliação: testes e exercícios...............100 Conferência de assinaturas..........................131 Testes e exercícios......................................................................96 ......................... ...........................................118 5.....Papéis...........................3.............................................valores...............................113 .................................................128 ..................................... intimação e notificação.............................. ................................................. 4...................................125 5..........................4...........132 Grupo coordenador de continuidade - GCC.......88 4..... Conceitos.........................de...................................................................133 5.............................................................................................................................................................6. serviços e processos............................GCN.................................................................93 .................................95 4......2................................................................................... .............................................................. Metodologia adotada no Banco do Brasil...........proteção....117 .......................................... 3....................137 6.....Proteção........ ...135 .......... movimentação e encaixe de numerário.............103 .............................1.................................... .............. Segurança em produtos.........130 Gestão de planos e de procedimentos........Contestação........................... Guarda...................128 Avaliação de processos estratégicos - APE.......106 Fraudes documentais.................................................... Mandado judicial....................................................... A...............................1.................................................ferramentas........................................105 Prevenção a fraudes nos canais de auto-atendimento......de.....................................101 ....5...... ................................................................................................. Formalização.........145 ......... Visão do Banco do Brasil.......................................débito...............................................da.....de..................115 GCN nas instituições financeiras.............. 4.....6................. ............................................. Ferramentas......................................... ......4..............................................................3...................................................5........................................................................................proteção..............................135 Definição........................ Estratégias para garantia da continuidade de negócios............ .. Aspectos legais.... Conscientização........................132 Conscientização e treinamento.................................................................. 4........................

O objetivo geral Identificar o processo de Gestão de Segurança e os procedimentos preventivos capazes de mitigar os riscos inerentes ao negócio das instituições financeiras. .

.

▪ Identificar os fatores considerados pelo Banco do Brasil no processo de.de.1 Segurança Espera-se que ao final do estudo deste tema você possa: ▪ Relacionar a necessidade de segurança com a criminalidade na sociedade atual. ▪ Relacionar risco operacional e segurança. ▪ Identificar os aspectos regulatórios da gestão de segurança. ▪ Identificar a necessidade da gestão de segurança nas empresas e instituições financeiras.gestão. .segurança. ▪ Identificar a contribuição da gestão de segurança para os negócios.

.

por exemplo. equipes de excelência. Qualquer instituição.). psicologia etc. etc. psicológicos. Quanto ao ambiente interno. Esses aspectos devem ser levados em conta em todos os ambientes (pessoal. tem o dever de mapear de forma adequada os riscos inerentes aos negócios e mercados com os quais atua ou pretende atuar. econômicos.). os sociais. Desde os primórdios. entre outros. propício à motivação pessoal. ainda que haja muito a realizar. empresarial. CONTEXTUALIZAÇÃO Para ser efetivo e alcançar os objetivos sociais e empresariais desejados. familiar. embora conduzida com base em pressupostos respaldados por ciências humanas (sociologia. especialmente por ser um processo vivo e dinâmico. É nesse sentido que incluímos o tema segurança no escopo da governança corporativa. o surgimento de tratados internacionais para combate à lavagem de dinheiro e ao terrorismo e outros fenômenos. qualquer negócio ou empreendimento deve ser estruturado levando-se em conta diversos fenômenos ou fatores de influência. a multiplicação de ações terroristas. a globalização. a rápida proliferação da internet. para garantir sua efetividade. tecnologias de ponta e inteligência estratégica.1. provocaram grandes alterações na visão de governos e corporações em todo o mundo sobre o tema segurança. podemos definir estratégias para minimizar os seus efeitos no ambiente produtivo e social ou mesmo utilizá-los como fontes geradoras de benefícios. No ambiente corporativo.Gestão de seGurança 11 1. percebeu-se que o crime e a violência eram fenômenos de causa social que. à integração e à geração de resultados. Quando pesquisamos. ético. a modernização do crime organizado. a segurança passou a ser vista como uma área de abrangência multidisciplinar que. com programas permanentes de educação e cultura. políticos e tecnológicos. integração com o negócio. deve-se ter em vista que a segurança é essencial para garantir um ambiente saudável. sendo hoje uma preocupação de governos em todo o mundo. considerando que a eficácia Universidade Corporativa BB . social. delimitamos e controlamos esses aspectos. sem estar devidamente controlados. Com as profundas mudanças que ocorreram nas últimas décadas em todo o planeta. poderiam causar sérias repercussões ou mesmo neutralizar o crescimento econômico e afetar a estabilidade social em qualquer contexto. deve ser suportada por governança qualificada.

Nas instituições financeiras. trabalhando contra nós mesmos. uma empresa procura garantir que não haja divulgação externa do trabalho. inclusive pelos concorrentes. 1. Ao trabalhar para o lançamento de um produto inédito. atualmente. por exemplo. Uma gestão eficaz de riscos é fator preponderante para uma boa posição no mercado e tranqüilidade de acionistas. a estabilidade social e a economia de muitas pessoas. quando o produto é posto à venda. contra a nossa empresa e a sociedade de um modo geral. a eficácia das atividades de gestão de riscos. Universidade Corporativa BB . por exemplo. Ao examinar. ou seja. que a instituição avaliada seja usada para o crime de lavagem de. evitando. de alguma forma. assim. Para que isso ocorra é necessário adotar uma série de medidas internas relacionadas à segurança da informação. os auditores querem também saber como está sendo aplicado o princípio “conheça o seu cliente” (princípio básico de prevenção e combate a lavagem de dinheiro). ao ser lançado no mercado. especialmente que nenhum concorrente tenha conhecimento prévio da novidade. fraudes. Da mesma forma.. o novo produto seja reconhecido como novidade. o cumprimento de requisitos de segurança vai ajudar na garantia da rentabilidade das vendas ao evitar ou reduzir perdas com falhas. Em empresas sujeitas a regulamentação. Ao sermos omissos quanto à segurança estamos. movimenta bilhões de dólares em todo o mundo. se monitora sua movimentação financeira verificando a compatibilidade entre faturamento e atividade econômica entre outros aspectos. comunidades e nações. a atuação de um banco na área de crédito. roubos e outros problemas.2. A omissão pode facilitar a ocorrência de ações ilícitas e alimentar o mercado do crime que. comprometendo a vida. VISÃO ATUAL DA SEGURANÇA Temas estratégicos de governança corporativa estão diretamente relacionados com as atividades de segurança.dinheiro. o tema segurança está sempre presente nos trabalhos de verificação realizados pelo Banco Central do Brasil. se a instituição financeira tem pleno conhecimento da atividade econômica de cada cliente. de controle e de segurança é uma preocupação permanente dos respectivos órgãos reguladores.12 ProGrama certificação interna em conhecimentos do processo de segurança depende do envolvimento de todas as pessoas. de tal maneira que.

de 2% a 5% do PIB mundial. roubos. pelo menos US$ 1. Contudo. prejuízos e sofrimento para muita gente. O fato é que pessoas inescrupulosas e organizações criminosas também encontraram na rede mundial um fácil caminho para realizar seus negócios. As fontes geradoras desses recursos são diversas. Um exemplo é o banco francês Societé Generale. inclusive lavagem de dinheiro. As facilidades e as disponibilidades do ambiente tecnológico em que vivemos gera conforto. Ao longo da história.Gestão de seGurança 13 Estima-se que o crime movimenta anualmente cerca de US$ 3 trilhões em todo o mundo. tráfico de armas. coloca o crime cada vez mais próximo das pessoas. prostituição. para as instituições e a sociedade de um modo geral. contrabando. tráfico de pessoas e órgãos humanos. para suas operações financeiras ilícitas. pornografia.que. a fraude interna teve repercussão mundial e causou danos profundos à imagem do Banco e à vida de seus dirigentes e funcionários. entre outros. representando. Mas a internet sem controle e segurança tem causado muitas dores de cabeça. exigindo cuidados adicionais. Exemplo disso é a internet com todas as suas extraordinárias e atrativas funcionalidades. passando por crimes como o narcotráfico. seqüestros. do sistema financeiro mundial com as suas modernas redes de comunicação de dados e amplo nível de disponibilidade e acesso à clientela via internet banking. Os dados da ONU indicam que as organizações criminosas também utilizam. pirataria.. As possibilidades do crime podem ter aumentado com as facilidades de acesso à comunicação e as disponibilidades do ambiente financeiro e comercial.5 trilhão circulam pelo sistema financeiro. a diferença entre o uso confortável. O preço da falta de segurança e de controle ou da omissão quanto a esses deveres tem sido cada vez mais alto para as pessoas. os bancos têm sido vítimas diretas de crimes financeiros praticados por agentes internos ou externos - algumas vezes pelos dois.sofreu perdas estimadas em US$ 7 bilhões por fraude praticada por um único funcionário durante o período de 01 ano (2007). De acordo com os mesmos estudos. Além do prejuízo financeiro. segundo a Organização das Nações Unidas. fraudes. Mas o sistema financeiro não está apenas sujeito a ser usado para operações financeiras ilícitas. aumentando as suas vítimas. sadio e produtivo desses aspectos passa por uma adequada atenção pessoal e corporativa com aspectos Universidade Corporativa BB . mas. corrupção. ao mesmo tempo.

Algumas tipologias de crimes com o chamado uso da força bruta não sofreram muita alteração como. com os nossos negócios. invasão de redes de comunicação de dados. tais como roubo de informações pela internet. solidificando a governança corporativa na perspectiva de aumentar as condições internas para a identificação. busquem proteger seus ativos contra ris- Universidade Corporativa BB . criando métodos novos de riscos. causando paralisação de negócios. por exemplo. No contexto social. provocaram também uma virtualização do crime. seqüestros e arrombamentos. O fato é que a grandiosidade dos riscos. com a sociedade e com o meio ambiente. costumes etc. compromissos tácitos com seus empregados. o processo de segurança. de qualquer natureza. família. de mecânicos para virtuais ou automatizados. com as empresas e o próprio Estado. fornecedores. necessariamente. No ambiente corporativo. clientes. fraudes eletrônicas e sabotagem virtual. Este paradigma é válido em todas as dimensões da nossa existência tendo estreita relação com a nossa vida pessoal (saúde. provocou a incorporação das estruturas de segurança aos primeiros níveis hierárquicos de grandes bancos em todo o mundo. O que vemos nos dias atuais é que a mudança dos processos. Exige-se que. SEGURANÇA NAS EMPRESAS As empresas mantêm. os assaltos. percebemos claramente o ciclo e a correlação de problemas graves resultantes de um ambiente instável do ponto de vista de segurança. Como instituição financeira. além da gestão de planos de continuidade de negócios e ações de educação e cultura em segurança.). não incomuns para as instituições financeiras no Brasil.3. por estar diretamente envolvido com a proteção dos ativos e a eficácia dos negócios. prevenção e resposta a delitos. Qualquer esforço integrado entre o Estado e a sociedade/cidadão pode contribuir para a redução desses impactos.14 ProGrama certificação interna em conhecimentos básicos de controle e segurança. 1. aconteça. mostrar-se de forma mais objetiva. dinâmica a abrangente. especialmente nas instituições financeiras. ao menos. acionistas. expressamos cidadania quando nos esforçamos para evitar que o crime. se alimente financeiramente e cresça em prejuízo de todos.

de forma global e corporativa. As empresas estão conscientes da necessidade da segurança para a preservação de seus valores. Ressalta-se que a melhor forma de prevenir riscos é o constante exame dos processos. mas causar os danos sociais e políticos anteriormente citados. Dessa forma. contra os riscos e ameaças reais ou potenciais. no resultado econômico e na imagem da organização. pressupondo integração em todos os níveis e segmentos institucionais. a percepção de cenários e a manutenção permanente das pessoas mobilizadas contra eventuais ocorrências. de permanente avaliação e adequação das medidas e procedimentos de segurança das pessoas e dos ativos. dinâmico e flexível. ■ identificar os recursos necessários para evitar as possíveis ocorrências. O dicionário Aurélio define confiança como “segurança íntima de Universidade Corporativa BB . uma vez que as perdas podem influenciar diretamente no resultado financeiro. A gestão de segurança constitui um processo contínuo. cujas perdas repercutem diretamente nos negócios. mas como uma atividade sistematizada. Segurança nas instituições financeiras A principal função de uma instituição financeira – estabelecer uma conexão entre investidores e tomadores de créditos – abrange o aspecto intrínseco de confiança.Gestão de seGurança 15 cos previsíveis. as organizações são levadas a investir continuamente em soluções de segurança. ■ introduzir a discussão sobre o custo que eventuais danos poderão ocasionar. que podem não só comprometer o negócio. é necessário também organizar e coordenar todo o esforço corporativo no sentido de: ■ avaliar as ameaças ao negócio e o nível de segurança da organização. o monitoramento do negócio. Mais do que apenas buscar reduzir ocorrências de danos isoladamente. a segurança não pode mais ser tratada apenas como uma estrutura específica. a legislação também obriga a adoção de requisitos de segurança. Por outro lado. Nesse contexto. Para tanto é necessária a participação integrada e sistematizada de toda a empresa.

assim. Assim. colaborando para a manutenção de margem de rentabilidade e contribuição. redução de custos. A globalização trouxe a este segmento a conseqüente internacionalização de negócios e as instituições financeiras modernas hoje atuam em outros mercados. a demanda de órgãos reguladores por transparência. A percepção de segurança está intimamente ligada ao nível de confiança que é depositado em uma instituição financeira. em sua gestão. A maior exigência dos mercados internacionais nos aspectos de segurança. Universidade Corporativa BB . monitoramento de risco e aspectos regulatórios de órgãos supervisores ocasionaram mudanças na postura dos bancos quanto à segurança. integridade de informações. enquanto parte da estrutura de governança e dos negócios da empresa. ninguém quer deixar seus bens depositados “em confiança” se não os perceber protegidos. Esta análise possibilita adequar o produto ou serviço de forma a minimizar vulnerabilidades. a segurança no seu conceito mais abrangente. eficiência operacional no uso de recursos e produtos. o movimento de grandes instituições financeiras nacionais no sentido de integrarem.16 ProGrama certificação interna em conhecimentos procedimento”. Permite também a proposição de alternativas de soluções. Afinal. gerenciamento de perdas como forma de otimizar resultados. Tendências de inovação em modelos de negócio. o resultado na comercialização dos produtos e serviços. ambientes e funcionários) torna-se um item a ser agregado como diferencial na atuação dessas empresas. inserindo o conceito de segurança na criação e manutenção do processo negocial. concretizada pela redução da possibilidade de perdas. controle e gestão de riscos e a maior competitividade desses mercados ocasionaram. Dessa forma. visando tornar os produtos rentáveis e agregar a percepção de confiança e segurança na experiência de relacionamento. nos últimos anos. Amplia-se. vem aumentando significativamente. novas iniciativas de medição de resultados. isto é. a percepção de segurança (posicionamento de empresa que se preocupa com a segurança de clientes. O trabalho conjunto com as áreas de negócios permite o mapeamento e análise das ameaças e riscos inerentes aos novos produtos e serviços a serem disponibilizados.

melhora a avaliação da eficiência operacional dos processos vinculados a esses fatores. o contrabando de armas e a corrupção. financeiras contribuem para a redução de atividades ilícitas. Se comparado a outros setores da economia. quando comparam-se itens como custo do processo.operações. pessoas qualificadas. Por meio de transações financeiras.as. Segurança da informação também é uma preocupação constante e crescente nas instituições financeiras. Pelas características de seu negócio. dos recursos gerados pelo crime. Dessa forma. dissimulação de capitais etc. apresenta maior possibilidade de sofrer assaltos. Muitos bancos envolvidos Universidade Corporativa BB . as instituições financeiras oferecem uma vasta gama de produtos e serviços que. treinadas e comprometidas torna muito mais difícil o uso dessas instituições para a realização. Uma ação bem estruturada. possibilidades de perda e o resultado esperado. As instituições financeiras são um dos setores da economia mais ameaçado por incidentes de segurança.Gestão de seGurança 17 A prevenção de incidentes de segurança relativos a pessoas.forma. fraudes eletrônicas.dinheiro. mas.. Por meio do atendimento dos requisitos de segurança. associados a tecnologias avançadas. permitem a circulação de recursos com grande velocidade. arrombamentos. imagem e informações.de. como o narcotráfico.de.lavagem. Roubos de senhas. bem como de ser utilizado para a prática do crime de. com boa tecnologia. uma vez que a lavagem de dinheiro é um “pré-requisito” para que os criminosos possam usufruir. assaltos. seqüestros. ativos físicos e financeiros.instituições. o dinheiro de origem ilícita se mistura a valores movimentados legalmente. e garantir a disponibilidade de negócios e serviços impactam diretamente o resultado. crimes cibernéticos.lavagem. também. objetivo maior da empresa.de. Evitar ilícitos. favorecendo o processo de dissimulação da origem espúria. em ambientes físicos ou virtuais. acessos não autorizados a sistemas e aplicações podem trazer não só perdas imediatas e mensuráveis financeiramente. prejuízos a longo prazo resultantes do impacto sobre a imagem e a marca.de. impunes. as instituições financeiras previnem e combatem ilícitos como fraudes.Dessa.dinheiro. extorsão mediante seqüestro e fraudes financeiras. exercem seu papel relacionado à responsabilidade social.

é. com o objetivo de inibir e reagir aos assaltos.18 ProGrama certificação interna em conhecimentos com operações ilícitas deixaram de existir e seus executivos ficaram inabilitados para atuar no sistema financeiro. diversas. A Lei nº 9. Com relação à possibilidade da ocorrência do crime de lavagem ou ocultação de bens.613/98. em todo o território nacional. que altera e consolida as normas de segurança privada. como atividade oficial e regulamentada por Lei. além de serem uma obrigação legal. a prevenção e o combate à lavagem de dinheiro. optou pela extinção da segurança orgânica e pela terceirização do serviço. de. foi instituída a Lei nº 7. e o funcionamento das empresas prestadoras de serviços de segurança privada. sem meios próprios para desenvolver a atividade de vigilância. Aspectos regulatórios da gestão de segurança A. dimensões. Em 20 de junho de 1983. regulamentada. que instituiu obrigações com o fim de prevenir a utilização do Sistema Financeiro para a prática desse crime. como forma de combater a prática de Universidade Corporativa BB . Foi a partir daí que surgiu oficialmente a segurança privada no Brasil. normatizada. a Polícia Federal publicou. pelas que possuem serviço orgânico de segurança e pelos profissionais que atuam nessas empresas. além de responderem criminalmente por seus atos. armada ou desarmada. inclusive por omissão. Além disso. Para o Banco do Brasil. segurança. as instituições financeiras brasileiras estão sujeitas à Lei 9. desenvolvidas pelas empresas especializadas. em especial a segurança dos estabelecimentos financeiros. e. Como órgão supervisor da segurança privada no Brasil. são uma responsabilidade social.privada. impossibilitada de dar assistência aos Bancos. Nas décadas de 60 e 70. a segurança pública. em 28 de agosto de 2006. A área bancária. a Portaria nº 387- DG/DPF.017/95 atribuiu ao Departamento de Polícia Federal a competência para fiscalizar os estabelecimentos financeiros e as empresas.102 para regulamentar as atividades de segurança privada. as atividades de segurança privada. suas. gestão.de.segurança. os “estimulou” a criarem sua própria guarda e determinou que suas agências tivessem guardas privados e armados. A presente Portaria disciplina. em. direitos e valores. regulamenta a fiscalização dos planos de segurança dos estabelecimentos financeiros.

000 e 15. Universidade Corporativa BB . segurança física e do ambiente. clientes e usuários. 1.informatizados. digital ou similares. disciplinam a segurança da informação e a gestão da continuidade de negócios. a. Pessoas: este primeiro grupo de valores é composto diretamente pelos funcionários da organização. dispõem sobre a gestão do risco e gerenciamento do risco operacional. o Projeto de Lei Complementar 89/2003. contratados diversos. a exemplo da extorsão mediante seqüestro.380 que.100 e 3. abrangendo itens como gestão de ativos. que podem ser vítimas de ocorrências relacionadas com a atividade dos funcionários.4. ou contra dispositivos de comunicação ou sistemas. O Banco do Brasil considera os seguintes fatores do processo de gestão de segurança: Valores Os valores são os “objetos” da proteção. lesam os interesses coletivos e degradam a condição humana. respectivamente. As resoluções BACEN 3. de rede de computadores. Sarbannes-Oxley. lei. compõem o conjunto regulatório observado por órgãos supervisores. Foi aprovado. série 27. Representam tudo o que deve ser protegido para assegurar a continuidade dos negócios e contribuir para o resultado financeiro da empresa.Gestão de seGurança 19 crimes que ameaçam os poderes constituídos e a ordem democrática. das informações.999. gerenciamento de operações e comunicações. e. o Acordo de Basiléia II. no Senado Federal. controle de acessos. sistemas de informações e conformidade. Indiretamente devem ser incluídos os familiares dos funcionários. segurança em recursos humanos. FATORES DO PROCESSO DE GESTÃO DE SEGURANÇA NO BANCO DO BRASIL O objetivo da segurança é resguardar a integridade das pessoas. que tipifica os ilícitos praticados no uso de sistema eletrônico. As normas ABNT NBR ISO/IEC. dos ativos físicos e financeiros e da imagem da empresa.

pois sua perda pode gerar prejuízos incalculáveis às organizações. transtornos às organizações: dados pessoais de funcionários e clientes. Exemplo Para a realização de um assalto a banco. que variam de acordo com o tipo de negócio e com as fragilidades encontradas em cada local. direta ou indiretamente. cheques. As ocorrências podem ser provocadas ou facilitadas por agentes internos e externos. plano de segurança etc. controle de acesso. valores. ■ Imagem: qualquer tipo de vinculação do nome da instituição e/ou de seus funcionários com fatos ou notícias de caráter negativo pode provocar sérios danos à sua imagem - um ativo intangível - e. equipamentos. rotinas de serviços e funções específicas de funcionários. mas principalmente quanto ao comportamento de seus funcionários. portanto a tendência é que a vítima seja sempre a empresa ou unidade mais despreparada. Deve ficar claro que criminosos procuram conhecer as informações e rotinas das unidades para subsidiar as ações contra o Banco. os criminosos avaliam as condições de segurança (postura dos vigilantes. Universidade Corporativa BB . Obviamente a ação será contra aquela que os criminosos julgarem mais vulnerável.20 ProGrama certificação interna em conhecimentos ■ Ativos físicos e financeiros: podem ser citados o numerário (moeda nacional em espécie) e outros valores (moeda estrangeira. ■ Informações: as informações merecem alto nível de proteção. por isso. utilização de dispositivos eletrônicos etc. formulário base de cheques e similares). não só sob aspecto de equipamentos. travelers. informações sigilosas sobre clientes. assuntos estratégicos (projetos.) de várias agências.). negócios. Vale lembrar que os criminosos também procuram correr sempre o menor risco. necessita de mecanismos eficientes de proteção. instalações físicas. Ocorrências e agentes As organizações estão sujeitas a inúmeros tipos de ocorrências. Podem ser citados alguns exemplos de informações cujo vazamento pode gerar.

ferramentas. furtos. acompanhamento da efetividade das medidas de inibição adotadas. terremoto. Por outro lado.segurança.de. para reavaliar e adaptar os módulos anteriores. é constituído pelas estratégias que viabilizam esse macroprocesso: ■ Prevenção ou inibição: o objetivo principal é de identificar condições. tais como seqüestros. assaltos. Se o incidente ocorrer. já existentes e aplicados. a definição de especificações de ferramentas e equipamentos de segurança. ocorrem os incidentes e desastres de natureza não criminosa (chuva. negligência. Estão entre essas atividades as atualizações de sistemas e equipamentos. ■ Recuperação: trata-se da elaboração de planos de continuidade de negócios. ■ Correção: a partir de análises internas e do cenário externo. cenários. vandalismo. Estão entre as atividades de prevenção ou inibição: a disseminação de instruções e cultura de segurança. de forma a manter a eficácia das medidas de segurança estabelecidas anteriormente. Daí a necessidade de todos perceberem sua responsabilidade e se comprometerem com as questões. etc. procura-se manter dinâmico o processo preventivo. e o mais relevante. entre outras.). monitoramento de tendências. Erros de procedimento. Este conceito. Estratégias O terceiro fator considerado na gestão de segurança.Gestão de seGurança 21 ■ Atores internos: funcionários e contratados. situações ou pessoas que possam ser causadoras de ameaças. corrigindo e redefinindo mecanismos. instruções. mas responsáveis por grandes transtornos. arrombamentos. avaliação e controle de situações e incidentes de crise. descumprimento de normas. abrange os demais. as aplicações de metodologias e políticas. uma vez que o objetivo maior é evitar os incidentes de segurança. fraudes. responsáveis pelos mais variados tipos de ataques. estrutura tecnológica e humana. vazamento de informações e até mesmo dolo propiciam a ação criminosa. a empresa deve ter previsto um plano de recuperação de suas atividades. análise de riscos etc. Numa proporção menor. é fundamental que se utilize o conhecimento gerado por incidentes efetivados. ■ Atores externos: de maneira geral são os criminosos especializados. de maneira a se criar fatores que inibam ocorrências. de certa forma. com o intuito de se evitar novas ocorrên- Universidade Corporativa BB . lavagem de dinheiro e crimes cibernéticos. práticas.

O plano busca também recuperar os ativos comprometidos pelos incidentes. órgãos governamentais. caracterizadas como fatores de risco. grupos especializados em segurança na internet. SEGURANÇA E RISCO OPERACIONAL A integração entre os mercados por meio do processo de globalização. ações emergenciais para evitar delitos contra o Banco. o risco operacional é definido como a possibilidade de ocorrência de perdas resultantes de falha. liquidez.22 ProGrama certificação interna em conhecimentos cias. aquisição de novas ferramentas de segurança. A definição baseia-se na evidência das causas das perdas operacionais. deficiência ou inadequação de processos internos. 1. imagem. elucidação de delitos contra o Banco entre outros. organismos policiais. Neste contexto. pessoas e sistemas. por exemplo.5. universidades. tais como o risco de crédito. Por meio de pesquisa estratégica. Risco é a possibilidade de ocorrência de um evento adverso para uma determinada situação esperada. A gestão desta vulnerabilidade é condição necessária à sobrevivência e à solidez dos sistemas financeiros. reveste-se da maior importância o desenvolvimento e implementação de medidas de segurança com vistas a evitar ou minimizar os efeitos daí decorrentes. o aumento da sofisticação tecnológica e as novas regulamentações tornaram as atividades. No Banco do Brasil. ao desempenhar atividades de intermediação. ou de eventos externos. ■ Pesquisa estratégica: tem por objetivo coletar informações consideradas úteis para a segurança preventiva do Banco em todas as suas dimensões. As instituições financeiras. Universidade Corporativa BB . órgãos de inteligência e outros. A pesquisa estratégica envolve relacionamento com outras instituições financeiras. podemos gerar subsídios para muitas decisões estratégicas. mercado. os processos financeiros e seus riscos cada vez mais complexos. conjuntura e operacional. tornam-se vulneráveis a diversos riscos. com potencial para causar dano ao patrimônio da empresa.

controlar e propor ações de mitigação em relação ao risco operacional. avaliar. Vulnerabilidades Fragilidades presentes ou associadas a ativos que. anular ou minimizar as perdas atinentes ao risco operacional. ► processos: diz respeito à modelagem de produtos e serviços financeiros e não financeiros e à conformidade com leis e normas internas e externas. e. Fazer a gestão de segurança compreende identificar. entre outros. Incidente Um fato decorrente da ação de uma ameaça. conduta. monitorar. Universidade Corporativa BB . processos e sistemas. que explora uma ou mais vulnerabilidades. ao meio ambiente. à segurança lógica e à disponibilidade de dados e sistemas. velocidade. ► sistemas: está fundamentalmente associado à infraestrutura tecnológica. ainda. estabilidade. levando a perdas. hardwares. ■ fatores externos: abrangem os eventos externos. competências e carga de trabalho.1 Termos utilizados em Gestão de Segurança Ameaças Agentes ou condições que causam incidentes que comprometem os ativos da organização por meio da exploração de vulnerabilidades e. ► pessoas: sintetiza aspectos relacionados à qualidade de vida no trabalho. permitem a ocorrência de incidentes de segurança. Essas etapas visam prevenir. vinculam-se a desastres naturais e catástrofes e. conseqüentemente. confiabilidade.Gestão de seGurança 23 Os fatores de risco operacional podem ser internos ou externos à instituição: ■ fatores internos: abrangem pessoas. compreendendo a capacidade. ao ser exploradas por ameaças. ao ambiente social e regulatório. performance e integridade de softwares. causando impactos aos negócios. É necessário definir alguns termos utilizados no processo de gestão de segurança para facilitar a compreensão das etapas do estabelecimento de requisitos de segurança (Quadro 1): Quadro.

Voluntárias: são ameaças propositais causadas por agentes humanos: fraudes. Abrangência dos danos causados por um incidente de segurança sobre um ou mais processos de negócio... expressam prejuízo pecuniário de qualquer monta. Observa-se pelas definições acima que a gestão de segurança tem como relevante seu caráter preventivo......usada. Ameaças naturais: decorrentes de fenômenos da natureza - incêndios naturais.previsões..realização.. cujos efeitos.. vandalismo.expostas. para..torna.de....desdobram.para. Conceito filosófico e matemático que permite a quantificação da incerteza.em.e. diminuição de ativos de qualquer natureza como conseqüência de dano real ou potencial.. De forma similar. Fonte: Sêmola (2003).que. então a segurança procura minimizar os impactos negativos no negócio.. com adaptações Impacto Probabilidade Os conceitos acima apresentados remetem à definição de risco como “a probabilidade de ameaças causarem incidentes a partir da exploração de vulnerabilidades. terremotos. Perda Decréscimo. diz-se que o objetivo da segurança é impedir a ocorrência de incidentes que provoquem danos ao negócio das empresas.se.intervenções. Sistemas e Eventos Externos) constituem a base para identificação do risco operacional a que as instituições estão. enchentes.. analisada. gerando impactos negativos nos negócios”. espionagem. Sêmola (2003) separa as ameaças em três grandes grupos: 1.subfatores.ou..a... Processos.e.. entre outros. permitindo que ela seja aferida...... invasões e furtos de informações.. Caso não exista forma de impedir algum incidente.. uma vez medidos e quantificados. poluição etc..orientação...a...24 ProGrama certificação interna em conhecimentos Fatores de Risco Os fatores de risco operacional (Pessoas. possível lidar de forma racional com problemas envolvendo o imprevisível. 2.de..aquilo..É. sabotagens. Universidade Corporativa BB ..

local de armazenamento insalubre ou com alto nível de umidade. erros.) Vulnerabilidades de comunicação Fonte: Academia Latino-americana de Segurança da Informação – Curso Básico de Segurança da Informação. Vulnerabilidades naturais Vulnerabilidades de hardware (computadores) Vulnerabilidades de softwares (programas) Vulnerabilidades dos meios de armazenamento (disquetes. Quadro. programas. conservação inadequada de equipamentos. As ameaças sempre existiram e é de se esperar que.exploradas. à medida que a tecnologia se desenvolva.de. a má escolha dos sistemas de comunicação para envio de mensagem de alta prioridade da empresa poderia fazer com que elas não alcançassem o destino esperado ou que a mensagem fosse interceptada no meio do caminho. ausência de atualizações de acordo com as orientações dos fabricantes dos programas utilizados. para a automatização de processos e que permitem a leitura de informações de uma pessoa ou empresa. maremotos. gerando vulnerabilidades que podem ser. locais próximos a rios propensos a inundações. mofo etc.2 Vulnerabilidades das Organizações Vulnerabilidades físicas instalações inadequadas do espaço de trabalho. uso incorreto. prazo de validade e de expiração. defeito de fabricação. CDs... não-identificação de pessoas e de locais. disposição desorganizada dos cabos de energia e de rede. ausência de recursos para o combate a incêndios. como terremotos. com adaptações. Involuntárias: ameaças inconscientes. também surjam novas formas através das quais os ativos da organização possam ficar expostos. editores de texto que permitem a execução de vírus de macro. Veja no quadro dois algumas vulnerabilidades encontradas em organizações. furacões etc. Universidade Corporativa BB .e-mail que permitem a execução de códigos maliciosos. magnetismo ou estática. DVDs.Gestão de seGurança 25 3. falta de energia etc. quase sempre causadas pelo desconhecimento - acidentes. A avaliação de segurança busca rastrear e identificar as vulnerabilidades de modo a definir as medidas de segurança capazes de eliminar os pontos fracos dos ambientes de negócio mais sensíveis. programas utilizados para edição de texto e imagem. infra-estrutura incapaz de resistir às manifestações da natureza. como os navegadores de páginas da internet.

com foco nos riscos a que o Conglomerado está exposto. Ambiente. Falhas em processos e negócios. Diretoria de Gestão da Segurança Prevenção a fraudes. Regulatório.Continuidade. Auditores externos avaliam a Gestão de Riscos.segurança. Auditoria interna é responsável pela verificação de toda a estrutura de gestão de risco operacional. Inteligência estratégica. A Diretoria de Gestão da Segurança tem por atribuição. avaliando as ações de gerenciamento de riscos e a equação dos controles internos. responder pela governança de Segurança Corporativa. Gestão. de negócios.da. composta pela Diretoria de Gestão de Riscos. Diretoria de Controles Internos e Diretoria de Gestão da Segurança (Quadro 3). Mensuração. Quadro. Diretoria de Controles Internos Conformidade. Universidade Corporativa BB .26 ProGrama certificação interna em conhecimentos Em atendimento às orientações da Resolução CMN 3. Prevenção a incidentes de. dentre outras. a cada dois anos. a ambientes. Prevenção e combate à lavagem de dinheiro.3 Gestão do risco operacional no BB Diretoria de Gestão de Riscos Eficiência e eficácia no processo de Gestão do Risco Operacional. o Banco do Brasil definiu estrutura específica de gerenciamento de risco operacional. produtos. pessoas. Exigência de capital.380. observado o modelo de gestão de risco operacional e os limites de exposição estabelecidos para o Conglomerado. serviços e processos.relativos.

2

geStão de Segurança de
peSSoaS e ambienteS

Espera-se que ao final do estudo deste tema você possa: ▪ Conceituar a gestão da segurança de pessoas e ambientes no BB. ▪ Identificar critérios utilizados para o estabelecimento e monitoramento de níveis de segurança nos ambientes do BB. ▪ Descrever os quesitos de segurança bancária e suas finalidades. ▪ Identificar procedimentos preventivos de segurança pessoal e de ambientes corporativos.

Gestão

de

seGurança

29

2.1. CONCEITO Para o Banco, a gestão de segurança de pessoas e ambientes consiste em um segmento da gestão preventiva de segurança direcionado para a proteção dos funcionários, seus familiares, clientes e sociedade em geral, bem como dos ambientes do conglomerado. Entende-se como ambientes, todas as unidades da empresa - agências, tesourarias regionais, prédios administrativos e outros – e suas instalações: tesouraria, bateria de caixas-executivos, salas de auto-atendimento, corredor de abastecimento de terminais de auto-atendimento, salas de telecomunicações e similares. Os ambientes apresentam diferentes níveis de criticidade devido às características intrínsecas de cada um e a gestão de segurança de ambientes precisa considerar o nível de criticidade de cada ambiente para desenvolver as ações voltadas para a segurança desses locais. Ambientes mais sensíveis (suscetíveis a ataques) recebem um maior nível de proteção. Aplica-se neste caso, a teoria dos círculos concêntricos, que pode ser definida como a estratégia de partir do mais simples para o mais complexo, do mais próximo para o mais afastado e do mais baixo para o mais alto nível de segurança. No esquema de círculos concêntricos pode-se ver os vários níveis de segurança, sendo que o círculo central representa a área ou instalação (unidade) com nível de segurança mais elevado (Figura 1). Figura.1 Teoria dos círculos concêntricos
Segurança Periférica Segurança Roniteira Segurança.Mediana Segurança.Elevada

Segurança Excepcional

Fonte: Mandarini (2006)

Universidade Corporativa BB

tesouraria. Níveis de Segurança. Exemplos de ambientes do Banco . ela não é absoluta. com acesso restrito a pessoas que tenham relações institucionais com as atividades aí desenvolvidas. Normalmente o controle de acesso é classificado como reservado. podemos ter as seguintes gradações de segurança para áreas. instalações. cujo acesso é restrito a pessoas íntima e institucionalmente envolvidas nas atividades aí desenvolvidas. podemos exemplificar essa classificação conforme o quadro a seguir. ■ segurança elevada: área de elevada sensibilidade ou periculosidade. que integra os limites do perímetro da unidade ou instalação. Quadro. Local estratégico para a unidade ou organização. unidades e ambientes: ■ segurança excepcional: área de excepcional sensibilidade ou periculosidade. Segurança excepcional Salas de servidores de centros tecnológicos. cujo acesso é restrito a pessoas que tenham necessidade de trato funcional ou de negócios com as atividades aí desenvolvidas. A classificação segue a ordem decrescente de nível de criticidade e.4 Ambientes e níveis de Segurança . o nível de classificação de cada ambiente pode ser elevado ou reduzido.30 ProGrama certificação interna em conhecimentos De acordo com Mandarini (2006). o controle de acesso é classificado como confidencial.quatro. ■ segurança periférica: área isenta de sensibilidade ou periculosidade. para o qual o autor classifica o controle de acesso como ultra-secreto.SAO. Utilizando os ambientes do Banco do Brasil. cabe ressaltar. conforme a importância do local (ou unidade). ■ segurança rotineira: área de baixa sensibilidade ou periculosidade. ■ segurança mediana: área de mediana sensibilidade ou periculosidade. ambiente de processamento.do. conforme quadro. O Controle de acesso neste caso é classificado como secreto. corredores de abastecimento de terminais. Dependendo de outras características da unidade e das condições de segurança. Para este caso. Universidade Corporativa BB . bateria de caixas. cujo acesso é restrito a pessoas estrita e institucionalmente envolvidas nas atividades aí desenvolvidas.

leiaute. salas dos comitês de Unidades Estratégicas.) e. destinado ao atendimento aos clientes. Vale destacar que para o Banco. Segurança rotineira . Segurança mediana . bairro e regiões historicamente mais violentas. perfil da clientela. mesmo que muito. Estacionamentos. entre outros fatores de análise. estrutura dos ambientes. está a matriz de vulnerabilidades. estes ambientes também apresentam sensibilidade. tais como centro. fundos etc. quantidades e valores de ocorrências criminosas da unidade e da região. a área do Banco responsável pela gestão de segurança de pessoas e ambientes desenvolve constantes levantamentos e monitoramento do nível de segurança de suas unidades. tais como: quantidade de pavimentos da dependência. ■ outras características: outras variáveis que também interferem no risco e que devem ser consideradas. uma agência situada à margem de uma rodovia ou em local de pouca movimentação noturna possui um maior nível de risco. Escritórios – estações de trabalho – de Unidade Estratégica. histórico de ocorrências e limite de numerário entre outros. até mesmo. áreas públicas. para a indicação de procedimentos de segurança. as dependências localizadas em shoppings ou próximas a organismos policiais apresentam um menor nível de risco. segmento negocial. Entre os instrumentos que utiliza para isso. atualizada constantemente.Gestão de seGurança 31 . Universidade Corporativa BB . Por outro lado. áreas externas (corredores. Saguão das agências. Assim. Na elaboração da matriz de vulnerabilidades são considerados com maior ênfase os dados relativos ao limite de numerário da dependência. Entre os aspectos analisados para o monitoramento do nível de segurança estão: ■ região geográfica: existem diferenciações entre as ações criminosas (modus operandi) nas diversas regiões do país. bem como entre o interior e capital de Estado e até mesmo entre as diferentes regiões de uma cidade. ■ localização: a localização da dependência interfere no seu nível de risco. Segurança periférica Centros de processamento de dados – CPD. Por exemplo. Segurança elevada .baixa.

segurança. O funcionamento dos estabelecimentos está condicionado à aprovação do plano pelo Departamento de Polícia Federal - DPF. além dos recursos obrigatórios.de.2. ferramenta desenvolvida internamente. De acordo com essa Portaria. Universidade Corporativa BB . O Banco emprega todos os itens. sistema de alarme e mais um dos dispositivos citados no item terceiro acima. bem como as soluções em segurança física disponíveis no mercado. O plano de segurança apresenta detalhadamente as condições e os elementos de segurança do estabelecimento e deve abordar os seguintes itens: ■ vigilância armada. regulamentada pela Portaria 387/2006 - DPF) para todos os estabelecimentos financeiros que realizam guarda de valores ou movimentação de numerário. ■ demais dispositivos ou equipamento de segurança existentes (porta com detector de metais – PDM. Plano de segurança É um documento exigido por lei (Lei 7. as instituições podem adotar outros mecanismos de proteção. QUESITOS DE SEGURANÇA BANCÁRIA – CONCEITOS E FINALIDADES Parte dos recursos de segurança adotados pelas instituições financeiras decorre de dispositivos legais. conforme o padrão de segurança de cada dependência. de acordo com suas estratégias.32 ProGrama certificação interna em conhecimentos 2. porém todos os itens existentes devem constar no plano.102/83. sistema interno de televisão – CFTV. A Portaria 387/06 – DPF obriga que as dependências sejam providas de vigilância armada. fechadura eletrônica de tempo programável para cofre e escudo). ■ sistema de alarme. detector manual de metais (para dependências com PDM) e vigilância armada na sala de auto-atendimento durante horário de expediente ao público da dependência. Contudo. são exigidos também coletes a prova de balas para os vigilantes. Os quesitos apresentados a seguir envolvem os procedimentos e recursos obrigatórios. e também utiliza a Lista de Verificação de Segurança - LVS.

da.a. Caso contrário.é.meio. A instituição tem um prazo para providenciar a regularização dos itens apontados pela comissão de vistoria.do. a decisão compete à Coordenação Geral Consultiva de Segurança Privada – CGCSP.portaria de aprovação. o que enseja a abertura de processo administrativo. procedimentos e posicionamento de acordo com o indicado no plano) e alarme (tempo de retorno pela central de monitoramento no teste realizado com o acionador de pânico silencioso). por ocorrência. com validade de um ano. que pode arquivar os processos ou encaminhá-los à Comissão Consultiva para Assuntos de Segurança Privada – CCASP.data. a instituição poderá apresentar defesa pela imputação.Gestão de seGurança 33 No Banco.da. as comissões de vistoria do Departamento da Polícia Federal fiscalizam as condições de segurança das instituições financeiras e empresas de segurança privada.expressa.expedição. sugerindo o arquivamento do processo gerado pela notificação ou negar o provimento à defesa. Quando forem constatas irregularidades ou necessidades de melhorias nos quesitos de segurança. Se constar o período de validade na própria Portaria.de. Nas instituições financeiras são verificados os itens citados no plano. a responsabilidade pela confecção do plano é da empresa de vigilância que atende a dependência - com acompanhamento de funcionário comissionado – e a administração da unidade é responsável pelas informações e procedimentos nele existentes. No Banco do Brasil a defesa em primeira instância é realizada pela Dijur. Para a aprovação do plano de segurança. A inexistência de plano de segurança aprovado sujeita a instituição ao pagamento de multa de 1.de. A.000 UFIR. A Delesp pode aceitar os argumentos da instituição. este prevalecerá sobre.aprovação. para julgamento.segurança. a contar da data de sua expedição. Em ambos os casos. Se as providências forem acatadas pela comissão.emissão.unidade.de. podendo chegar até a. para apresentação à Delegacia de Controle de Segurança Privada – Delesp.por. a empresa é notificada ou autuada pela comissão. com atenção especial à vigilância armada (postura. a portaria de aprovação do plano de segurança é expedida pela Polícia Federal.plano.000 a 20.interdição. Universidade Corporativa BB .

34

ProGrama

certificação interna em conhecimentos

A CCASP é um órgão colegiado composto pelo setor de segurança privada e pelas agências públicas envolvidas na regulação e controle desta atividade. É presidido pelo Diretor Executivo do DPF e conta com representantes das seguintes.instituições: ■ Comando do Exército; ■ Instituto Resseguros do Brasil; ■ Federação Brasileira dos Bancos; ■ Confederação Nacional dos Bancários; ■ Federação Nacional dos Sindicatos das Empresas de Vigilância e Transporte de Valores; ■ Confederação Nacional dos Trabalhadores em Vigilância; ■ Associação Brasileira dos Cursos de Formação e Aperfeiçoamento dos Vigilantes; ■ Associação das Empresas de Transporte de Valores; ■ Sindicato dos Empregados no Transporte de Valores e Similares do Distrito Federal; ■ Associação Brasileira de Empresas de Vigilância e Segurança; ■ Federação Nacional dos Empregados em Empresas de Vigilância, Transporte de Valores e Similares; ■ Associação Brasileira de Profissionais em Segurança Orgânica. Nessa comissão são julgados os méritos objetos das notificações e autuações e podem resultar nas penas citadas anteriormente. Devido à sua participação direta nas questões relacionadas à segurança da dependência, o administrador possui papel fundamental na adequação dos processos sob sua gestão às exigências legais, de forma a evitar multas desnecessárias à instituição. Vigilância armada É o serviço exigido por lei, com o objetivo de proteger instalações, bens, numerário, pessoas e outros valores, contra furtos, arrombamentos, assaltos, seqüestros etc.

Universidade Corporativa BB

Gestão

de

seGurança

35

O posicionamento dos vigilantes deve constar no plano de segurança. A postura ostensiva dos vigilantes influencia na avaliação que os criminosos fazem a respeito das condições de segurança da dependência. Pode ser fator determinante.para.que.desistam.de.uma.ação.em.determinada.unidade.e.optem. por outra, considerada mais vulnerável. O vigilante deve estar presente em todo o período que houver funcionários na unidade, tendo em vista que os assaltos não ocorrem somente durante o horário de atendimento ao público, mas também antes e depois desse horário. Sistema de alarme O alarme é um equipamento de segurança eletrônico exigido por lei, com ação preventiva e ostensiva contra assaltos, seqüestros e arrombamentos, entre outros. Visa informar, com tempestividade, à polícia ou à central de monitoramento a investida de criminosos ou a presença de pessoas em ambiente (ou horário) não permitido, por meio de um canal de comunicação (telefone, rede de dados ou rádio). O sistema de alarme pode ser disparado por meio de acionadores de pânico silenciosos - fixos ou remotos -, senhas de pânico (ou de coação) para desabilitar o sistema de alarme indicativas de o usuário encontrar-se sob coação, ou.sensores.de.presença. Os acionadores podem ser botoeiras fixas, instaladas em ambientes estrategicamente definidos, ou remotos, distribuídos entre os vigilantes e funcionários. Os sensores podem ser de vários tipos, tais como: ■ passivo: a detecção se dá por calor e movimento, combinando raio infravermelho com microondas; ■ ativo: composto por módulo emissor e módulo receptor de luz infravermelha, que dispara quando há o corte do feixe; ■ magnético: composto por duas partes de metal, utilizado geralmente em portas e janelas, fixando-se uma das partes na esquadria e a outra na folha. A detecção se dá pelo afastamento das partes do sensor, devido à abertura da porta, por exemplo.

Universidade Corporativa BB

36

ProGrama

certificação interna em conhecimentos

■ sísmico: também conhecido como sensor de choque. Esse dispositivo capta e analisa vibrações decorrentes de ataques às estruturas onde está instalado. As vibrações são avaliadas segundo critérios de amplitude, freqüência e tempo de atuação. Quando a vibração captada for classificada como um ataque, o sensor emite sinal de alarme. Para garantir melhores condições de segurança, o sistema de alarme permite que sejam configurados setores diferentes, resultando em programações distintas conforme a necessidade de segurança de cada ambiente. Os disparos acidentais são os grandes vilões do sistema, tendo em conta que causam transtornos à vizinhança, geram prejuízos decorrentes de taxa de atendimento a chamada indevida (cobrada pela polícia em algumas localidades). Além disso, provocam descrédito do sistema junto à polícia, podendo resultar em graves conseqüências para as pessoas e para a empresa, nos casos de real necessidade. Outros dispositivos ■ Porta com detector de metais - PDM Equipamento preventivo e de ação ostensiva que concilia dispositivo capaz de identificar massa metálica por meio de um campo magnético, com mecanismo que trava a porta, impedindo o acesso de pessoas em áreas protegidas. Tais equipamentos previnem principalmente assaltos às unidades e seqüestros de funcionários e seus familiares. De acordo com a Portaria 387/2006 da Polícia Federal, os estabelecimentos financeiros nos quais o acesso é realizado por meio de porta com detector de metais, devem possuir também o detector manual de metais. Além da porta giratória, existe a eclusa que também detecta massa metálica e possui sistema de travamento. É um pequeno ambiente, dotado de duas portas para o controle de acesso. As portas são intertravadas, ou seja, a abertura de uma só é possível mediante o fechamento da outra. O portal é um equipamento também utilizado no controle de acesso, mas apenas detecta a massa metálica. Diferentemente da PDM, o portal não bloqueia

Universidade Corporativa BB

Os sensores de iluminação auxiliam na inibição de ações irregulares por causar surpresa e a indicação. . furtos etc. O equipamento tem função preventiva e ostensiva. Deve permanecer em funcionamento. no mínimo.aeroportos.e.CFTV É um sistema eletrônico de segurança dotado de câmeras e de sistema de gravação. com o objetivo de inibir e identificar agentes de ocorrências irregulares. ao invasor.em. arrombamentos. eclusa e porta giratória – conforme o tipo de dependência ou ambiente. que permite armazenar e disponibilizar os registros de programação de abertura. seqüestros.ininterrupto. tempo de porta aberta Universidade Corporativa BB . No Banco do Brasil são utilizados os três equipamentos – portal. ■ Fechadura eletrônica de tempo programável Equipamento que permite programação do horário para a abertura do cofre. possibilitando a gravação das imagens do local. day/night) ou utilizar sensores para acionar a iluminação do ambiente. Essas fechaduras possuem a função de auditoria. Exemplo de utilização supervisionada são os portais para acesso às salas de embarque dos. Possui também função que retarda a abertura em 15 minutos. Portanto.arrombamentos. com a passagem do vigilante armado. de vigilância e monitoramento do ambiente. são conhecidas como fechaduras de retardo e são importantes para a prevenção de assaltos. Tais equipamentos devem ser testados diariamente antes do início do expediente ao público. deve ser utilizado em locais dotados de outros mecanismos de bloqueio ou supervisionados.ser. as luzes são acesas sempre que alguma presença for detectada.rack próprio.Gestão de seGurança 37 a passagem de pessoas ou objetos. Por meio da interligação dos sensores à iluminação. Para a gravação noturna o sistema pode utilizar câmeras especiais (infravermelho. fraudes. sob acompanhamento de funcionário do Banco.instalado.e. tais como assaltos. seqüestros. para uso durante o expediente. Por esse motivos. ■ Circuito fechado de televisão .

tentativas de acesso não autorizado. utilizam-se teclados para coletar senhas. Para cada critério é necessário o coletor de dados específico. O controle também pode limitar o acesso por faixas de horário. ■ Controle de acesso É a solução de segurança que visa identificar. Por exemplo. veículos ou objetos à (ou de) áreas com acesso restrito e controlado. dias específicos e configurações afins. permitir ou negar o acesso (entrada ou saída) de pessoas. O sistema utiliza critérios pré-configurados para a identificação e registra todos os eventos da utilização diária (cadastramento de usuários. O uso deste equipamento no Banco do Brasil é obrigatório e deve ser instalado em todos os cofres e casas fortes utilizados para guarda de numerário e outros. Universidade Corporativa BB . em conjunto. resultem na identificação positiva do usuário. Os mais modernos são automáticos e os critérios de verificação mais usuais são senhas. atrás do qual se posiciona o vigilante.segurança.valores.38 ProGrama certificação interna em conhecimentos e todos as demais transações realizadas pelo equipamento e usuários. leitoras de cartões para ler os dados gravados e leitores de características biométricas para ler as impressões digitais. neste caso. semi-automáticos e automáticos e utilizam critérios de verificação. Os sistemas podem ser manuais. leitura de retina ou íris. conforme o nível de criticidade de cada um e a atividade desenvolvida na empresa. Também é possível conjugar vários critérios para elevar o nível de identificação. geometria de mão. O uso de escudos blindados. com visor. entre outros). A concessão de acesso deve permitir configurações variadas para que pessoas diferentes possam ter acessos a ambientes distintos. cartões e dados biométricos. timbres vocais etc. acessos. Deve ser localizado em local estrategicamente definido e indicado no plano de. está sendo reduzido. é necessário que os critérios. pelo Banco. ■ Escudo blindado É um anteparo blindado.

portão etc. digital.). As barreiras mais conhecidas e utilizadas nas organizações são as roletas.tag instalado em veículos é um transponder (feixe de canais de comunicação que funciona como repetidora) que é lido à distância. O. São etiquetas (tag ou adesivo) que armazenam dados e permitem a identificação do veículo ou bem. o sistema normalmente aplicado é o AVI-TAG (de proximidade e RFID – identificação por rádio freqüência). que abrem automaticamente para veículo autorizado. impressão. existem também os equipamentos de detecção: detector de explosivos. para serem identificados. No conceito de controle de acesso. para que a pessoa. Se a informação for positiva. e. utilizado pelos motoristas em cancelas. O controle de veículos também pode ser por meio de cartões de proximidade.Gestão de seGurança 39 Exemplo Para o usuário receber a autorização de acesso a determinada área. cancelas e fechaduras eletromagnéticas ou eletromecânicas. registra. Para o controle de veículos e objetos. O sistema se complementa com as barreiras físicas. Quando o veículo entra em uma zona de leitura. portas diversas. sistema. sua.raio. o dispositivo do veículo troca informação com o leitor. o veículo ou o objeto seja impedido de passar pelo ponto de controle (porta. Como exemplo existem os sistemas de cancelas automáticas instaladas em pedágios de rodovias.adesivos. como notebooks. deve validar conjuntamente ambos os critérios para considerar a identificação positiva e conceder o acesso solicitado.por.. por exemplo. detentor do tag. torniquetes. sua. Os objetos controlados. a cancela é aberta. ele.X. utilizam tag. O. senha. catracas. digita. detector de metais e equipamentos de inspeção. Universidade Corporativa BB .

■ visão de contexto do ambiente: é imprescindível conhecer toda a região da residência e do local de trabalho. Corpo de Bombeiros. horários de funcionamento e as vias mais rápidas para acessar os postos policiais. A LVS configura-se em uma valiosa ferramenta para gerir e planejar as condições de segurança da unidade. familiares e amigos a quem recorrer em face de problemas. uma vez que leva o funcionário a verificar todos os equipamentos de segurança. PROCEDIMENTOS PREVENTIVOS Segurança pessoal Os procedimentos preventivos para a segurança pessoal devem fazer parte do dia-a-dia das pessoas.) e bem localizada. Universidade Corporativa BB . tais como Polícia Militar. ■ residência: sempre que possível. 2. A incorporação desses procedimentos traz benefícios que transcendem a esfera da organização. hospitais.40 Lista de Verificação de Segurança – LVS ProGrama certificação interna em conhecimentos É um instrumento de controle e gestão dos dispositivos de segurança das dependências do Banco do Brasil. por meio da padronização do uso.3. pois demonstra a ausência de pessoas no local. É importante. principalmente os pontos de maior risco. com sistema de alarme. saber a localização. trazendo maior segurança para a vida particular das pessoas e dos grupos a que pertencem. chaves tetra e trancas adicionais nas portas e portões etc. deve ser segura (bem iluminada. a fim de evitá-los. além de acompanhar a validade do plano de segurança e a qualidade do serviço de vigilância armada. para os casos de necessidade. Delegacia de Polícia Civil. Seu objetivo é a elevação do nível de segurança. ► manter na residência uma lista com telefones de emergência. também. cães de guarda. cofres e terminais de auto-atendimento. Alguns cuidados devem ser tomados: ► evitar a colocação de cadeado pelo lado de fora. delegacias e hospitais. da garantia da funcionalidade dos equipamentos e da melhoria da eficiência e qualidade dos serviços prestados por empresas contratadas.

■ caminhadas: procurar variar o percurso e o horário. mesmo que estejam uniformizados. ser respeitoso. ► não entrar ou sair de casa se desconfiar da presença de pessoas ou veículos estranhos em atitude suspeita. evitar locais pouco povoados. ► não comentar com qualquer pessoa os valores dos bens. policial mais próximo. é conveniente: ► manter discrição sobre as atividades profissionais e pessoais. viagens. ► contratar empregados domésticos somente com referências anteriores. ► tomar cuidado com as chaves da residência. indicados por pessoas de confiança. ruas desertas. porque pode estar servindo como um ponto de observação para os marginais. mas. especialmente as crianças. Por isso. água etc. ► usar pequena quantia de dinheiro para despesas com suco. Orientar os empregados e os familiares. ► caminhar no centro da calçada e contra o sentido do trânsito. ► não prestar informações a estranhos sobre hábitos. ou posto. chamar a polícia ou dirigir-se para a delegacia. Além disso. assuntos familiares nem sobre o patrimônio. Universidade Corporativa BB .Gestão de seGurança 41 ► não atender a porta sem a devida identificação e recusar encomen- das. Neste caso. para poder perceber a aproximação de algum veículo suspeito. compromissos pessoais e de trabalho. ► ser reservado quanto às rotinas. a procederem da mesma forma.. ■ Informações: as informações podem ser as responsáveis por ações de bandidos contra uma pessoa. Verificar e manter atualizado o endereço do empregado e de seus parentes. sua família e a empresa em que trabalha. sobretudo se solicitadas por telefone. para que possam identificar possíveis situações irregulares. mas manter distância e continuar em movimento. serviços e vendedores não solicitados. contudo. trilhas isoladas e áreas pouco iluminadas. ► evitar caminhar desacompanhado. Evitar deixá-las com empregados e não utilizar chaveiros com indicações dos proprietários do imóvel. é importante que algum parente ou amigo de confiança saiba dos horários. tomar outros cuidados: ► ter cautela ao cumprimentar estranhos. ► tomar cuidado com a realização de obras próximas à residência. principalmente.

Procurar gravar características do veículo e ocupantes. e desconfiar de pessoas pedindo ajuda. principalmente casas e chácaras ficam mais vulneráveis com a ausência de seus moradores. ► nos sinais. ■ trânsito e veículos: quase todos os seqüestros acontecem no percurso residência - trabalho e vice-versa. conhecer possíveis pontos de apoio em casos de necessidade. ► retirar ferramentas e escadas das áreas externas. ► registrar ocorrência policial. pois eles podem ser indícios de sondagem de hábitos para uma ação futura. Se o trajeto permitir. desligar a campainha. socorros mecânicos. Sem despertar suspeita. portarias de prédios e condomínios. ► deixar telefone de contato com pessoas de confiança para que situações suspeitas possam ser comunicadas. dirigir-se a locais mais movimentados e avisar a polícia via celular. escolas. pois podem ser usadas para o arrombamento. mesmo no caso de pequenos furtos. Universidade Corporativa BB .e. academias e outras informações que facilitem o mapeamento de rotinas pelos criminosos. hospitais e rotas alternativas seguras. escolas. ► agir com cautela se notar estar sendo seguido. a localização de postos policiais. para acendimento apenas no período noturno. ► orientar filhos e funcionários da residência a não darem informações pessoais solicitadas por estranhos. transitar por vias movimentadas e bem iluminadas. ► memorizar.séria.42 ProGrama certificação interna em conhecimentos ► evitar o uso de adesivos nos veículos da família contendo nomes dos filhos. ► manter distância razoável do carro da frente. por telefone e internet. Se possível controlar a velocidade para manter o carro em movimento. entre outros meios. ► utilizar alguma lâmpada com célula fotoelétrica. parar num posto policial. manter os vidros fechados e evitar a fila da esquerda. As abordagens costumam ocorrer em paradas de ônibus.mais. nos percursos mais freqüentes. Algumas medidas podem ajudar a evitá-los: ► variar o trajeto. ■ viagens: as residências. para dificultar a informação de que a casa está vazia. telefones públicos. portanto é necessário prevenir-se: ► solicitar a alguém de confiança que recolha possíveis correspondências. para possíveis manobras. residência. ► se possível.

os ambientes devem estar equipados com sistema de alarme e câmeras de CFTV para evitar e apurar ações criminosas. é importante ter o número de telefone para contato. As portas desses ambientes devem permanecer trancadas e as chaves devem ficar em poder de funcionário responsável. manter todos os objetos que possam chamar a atenção de ladrões dentro do porta malas. Os funcionários e vigilantes devem estar preparados para abordarem ou impedirem o acesso de estranhos. O acesso deve ser permitido apenas a quem trabalhe nestes locais. Prestadores de serviços podem ter acesso sempre que necessário. ligar o alarme e trancar o veículo. desde que acompanhados de funcionário autorizado.TAA e Salas de Telecomunicações – TC: todos os ambientes internos são restritos ao público. ► entrar ou sair do veículo com rapidez. movimentados e bem iluminados. Além disso. para localização de arquivos – a fim de diminuir o trânsito de pessoas. ► desligar o veículo. ■ relacionamentos: ► autoridades policiais e judiciárias - manter bom relacionamento. tirar a chave da ignição.SAO. Segurança de ambientes As orientações a seguir visam a proteção dos ambientes corporativos e das pessoas. mesmo que rápida. ► procurar estacionar o veículo em locais seguros. Tais ambientes não devem servir a outra finalidade – como. procurar fazê-lo em local seguro. para permitir a entrada apenas de pessoas autorizadas. bateria de caixas. ► vizinhos de confiança também podem colaborar para a segurança da residência. Universidade Corporativa BB . pois as abordagens costumam ocorrer nestes momentos. mesmo em paradas rápidas. O controle de acesso deve ser efetivo. na situação de trabalho: ■ Tesouraria. ambiente de processamento do Serviço de Atendimento Opcional . ► nunca deixar pessoas dentro do carro enquanto for fazer alguma compra. Ter sempre à mão seus números de telefones porque em caso de emergência essas pessoas poderão ajudar. pois pode ser útil no aspecto de segurança. corredor de abastecimento do Terminal de Auto-atendimento . por exemplo.Gestão de seGurança 43 ► não estacionar de imediato se o pneu furar em local ermo.

Alterações do posicionamento e obstruções servem para preparar o ambiente para futuro ataque.presença.44 ProGrama certificação interna em conhecimentos A inobservância dessas recomendações e o descuido de funcionários permitem a ocorrência de furtos de numerário.pessoas.equipamentos. Universidade Corporativa BB . ►. aos. ► câmeras de TV e sensores: posicionamento e possível obstrução (chamado mascaramento) das câmeras e dos sensores do sistema de alarme. Eles obstruem o raio de cobertura dos sensores de alarme e mudam o posicionamento das câmeras. ou em substituição. tais como leitoras de cartão magnético. Exemplo É muito comum que criminosos “visitem” a agência durante o expediente e preparem o ambiente para a ação criminosa em outro horário. os golpistas instalam equipamentos espúrios para fraudar os clientes.dos. desde fraude contra clientes até seqüestros. ■ Sala de auto-atendimento: neste ambiente costuma haver diversas ocorrências. teclados e monitores sobrepostos.e.originais. com o objetivo de dificultar ou inibir a detecção de intrusão e a identificação dos bandidos. envelopes de depósitos e outros objetos.TAA. De acordo com a facilidade encontrada.de. A prevenção requer verificação de: ► terminais de auto-atendimento - TAA: existência de objetos espúrios instalados nos TAA bem como seu fechamento (tampas e portas).suspeitas.movimentação. pois é necessário arrombar os terminais para a instalação de alguns equipamentos maliciosos.

• Identificar as ameaças mais comuns na troca de informações por meio eletrônico. • Descrever os princípios da segurança da informação. • Conceituar controle de acesso e identificar suas finalidades. .implantação.3 Segurança da informação Espera-se que ao final do estudo deste tema você possa: ▪ Conceituar informação e identificar o seu ciclo de vida. • Conceituar segurança da informação. • Reconhecer procedimentos e ferramentas utilizados na proteção da informação. • Identificar o modelo de classificação das informações adotado no BB. • Identificar mecanismos de controle de acesso. • Identificar cuidados necessários para a troca de informações em decorrência da Lei do sigilo bancário. • Definir política de segurança da informação e identificar as etapas para. • Descrever o processo de classificação das informações.sua.

.

Hoje. As informações estão sob ameaça e. para alguém tomar conhecimento de um segredo de uma grande empresa. já não é tão simples. Com as mudanças tecnológicas e com o uso de computadores de grande porte para armazenar informações estratégicas. deve deter conhecimentos sobre sistemas de proteção lógica e de como fraudá-los. agora englobando. Na época em que as informações eram armazenadas em papel. chegar àquele armário trancado. arrombá-lo e levar o documento. a segurança tornou-se de extrema importância para a sobrevivência das organizações. por serem estratégicas. a proteção da informação passou a figurar como uma das principais preocupações de grandes empresas. com isso. a informação passou a correr pelo mundo inteiro. À medida que representa um patrimônio de valor. Mas existem aquelas informações que.Gestão de seGurança 47 3. além dos controles físicos.“How Much Information?” - concluiu que o volume de Universidade Corporativa BB . também evoluíram as formas de burlar os sistemas de segurança que protegem informações sigilosas. ASPECTOS GERAIS A era do conhecimento que vivenciamos hoje faz com que as informações se configurem em um bem precioso das empresas. Com o advento da informática. para chegar ao documento virtual armazenado no computador de grande porte. Os aspectos de segurança atingiram tamanha complexidade que há a necessidade de desenvolvimento de equipes cada vez mais especializadas para sua implementação e gerenciamento. mas. Com a chegada dos computadores pessoais e das redes integradas de computadores. a segurança era relativamente simples: era suficiente guardar os documentos em armários trancados e restringir o acesso físico àquele local. Tudo para proteger as informações estratégicas da corporação. ou de pessoas mal intencionadas que desejam fazer uso delas para satisfazer interesses pessoais. Junto com a tecnologia.1. a estrutura de segurança precisou evoluir. deveria desdobrar-se para conseguir. as informações estratégicas passam a ser de interesse de outras organizações concorrentes. Antes. não devem ter esse nível de exposição. A informação Um estudo dos professores Lyman e Varian (2003) da Universidade da Califórnia em Berkeley . o interessado não precisa sair de casa. em contrapartida. Atualmente. fisicamente. controles lógicos.

A maior parte da informação – 92% - foi armazenada em meio digital.de. que pode se tornar insignificante dentro de poucos anos. De acordo com o estudo. informação foram produzidos e estocados em meios físicos (papel. A infor- Universidade Corporativa BB . A produção em papel aumentou consideravelmente: 43% em três anos.01%) e óptica (0. cada pessoa seria responsável por 800 megabytes. rádio. A informação transmitida em meios eletrônicos — telefone. papel (0. rádio e internet. animal ou máquina) que a recebe” (www.002). filme.org/wiki/Informação). sendo que o telefone é responsável por quase todo esse volume (98%). As fotos digitais também começam a superar aquelas produzidas em filme. Mas o que é informação? Ela pode ser entendida como “o resultado do processamento. magnética e ótica) e transmitidos por telefone. Só os EUA produzem 40% da informação total. O estudo justifica a convergência dos padrões de gestão de segurança da informação em torno dos ativos de Tecnologia da Informação e ambientes correlatos. televisão.metros. a maioria em discos rígidos de computadores. estima-se que em 2002 cinco hexabytes.48 ProGrama certificação interna em conhecimentos informação produzida no mundo dobrou em três anos e aumenta cerca de 30% a cada ano.wikipedia. manipulação e organização de dados de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (pessoa. TV e internet — chega a 18 hexabytes. Segundo a pesquisa.livros. O restante dos dados está em filme (7%).de.de. Os dados apurados pela pesquisa deste ano foram comparados aos da pesquisa de 2000. embora o conceito de ativos de informação seja mais abrangente.3 bilhões de habitantes do planeta. se toda a informação anual fosse digitalizada e dividida pelos cerca de 6. A pesquisa aponta também uma má distribuição da produção de dados no mundo.altura! Os cientistas afirmam que a humanidade está sendo engolida por um oceano de dados. O meio que mais perde espaço é o filme.dez. o equivalente a uma pilha de. referentes a 1999. conforme mencionaremos mais adiante.

planos de continuidade. criada pela ABNT. Na concepção de Moreira (2001) ativo é “todo elemento que compõe os processos que manipulam e processam a informação. transportada e descartada”. A versão brasileira dessa norma. Universidade Corporativa BB .Gestão de seGurança 49 mação.2 Conchecimento DADOS INFORMAÇÃO CONHECIMENTO Assim. deve ser preservada de acordo com sua importância. Percebe-se assim que a relação entre esses conceitos evolui para uma maior complexidade. documentação de sistema. por esse motivo. o meio em que ela é armazenada. por sua vez. a contar a própria informação. ■ programas de aplicação. terminologia oriunda da área financeira. 1 Norma internacional que descreve boas práticas de segurança aplicáveis a organizações. Figura. necessita de proteção adequada. inclusive pelo Banco do Brasil. Portanto. procedimentos operacionais ou de suporte. empregada por empresas de todo mundo. utilitários e ferramentas de desenvolvimento. Desse modo. a saber: ■ informação: banco de dados e de arquivos. é a NBR ISO/IEC 17799:2001. já que é a base para a geração do conhecimento e para a tomada de decisões. há muitos tipos de ativos associados com os sistemas de informação. que é a informação agregada de reflexão e síntese (Figura 2). por ser considerada um elemento de valor para um indivíduo ou organização e. De acordo com a NBR ISO/IEC 17799. manual de usuários. Alvim (1999) considerou o conhecimento uma informação com valor agregado e passível de aplicação. sistemas. planos de recuperação. toda e qualquer informação é um elemento essencial para os negócios de uma organização. arquivos de informação. material de treinamento. A ISO/IEC 177991 define que a informação é um ativo. os equipamentos em que ela é manuseada. gera o conhecimento.

digitar informações colhidas em um site. tais como a reputação e a imagem da organização. mídias magnéticas (fitas e discos).nasce um novo projeto ou uma nova idéia. um maço de papéis.quando.que.. Na visão de segurança da informação. outros equipamentos técnicos (geradores de energia.3 Ciclo da informação aç Cri ão Us o Descarte Transporte Criação:. como equipamentos de computação (processadores.50 ProGrama certificação interna em conhecimentos ■ físicos. ■ intangíveis.manipulada. calefação.a.é.que. máquinas de fax.informação. são três os elementos que compõem os.em. iluminação. equipamentos de telefonia).momento. ■ os equipamentos e sistemas que oferecem suporte a elas. móveis.folhear. PABX. laptops.produzida.Exemplos:.a. energia. ■ serviços de comunicação e computação.informação. ar-condicionado). ■ as pessoas que as criam e utilizam. utilizar sua senha de acesso para autenticação.ativos: ■ as informações. isto é. utilidades em geral. equipamentos de comunicação (roteadores. Toda informação possui um ciclo de vida. monitores.Exemplos:. ■ pessoas e suas qualificações e conhecimentos. refrigeração. Manuseio:. Universidade Corporativa BB Arm aze nam ent o .. modems).é.momento.em. Veja o esquema na figura três: Figura.

Já em grandes organizações. Descarte: momento em que a informação torna-se inútil. prestar uma informação ao telefone. A segurança da informação deve proteger a informação em todo o seu ciclo de vida. Exemplos de ameaças às informações podem ser o acesso não autorizado. o ambiente e as pessoas são limitados.movida.. minimizando danos comerciais e maximizando o retorno de investimentos e oportunidades”.de. que possuem um escritório com poucos funcionários.segurança. estabelecer novos patamares. anotação de papel postada em um arquivo físico.a. A segurança da informação Sendo a informação tão relevante para a sobrevivência organizacional. Para definição dos mecanismos de proteção são utilizados parâmetros para identificar o nível de segurança existente e.que. para garantir a continuidade do negócio da organização. Exemplos:. guardada. eliminar um arquivo eletrônico em seu computador de mesa. postar documento via aparelho de fax. Transporte: momento. A definição dos mecanismos de proteção que serão utilizados depende do nível de segurança pretendido.informação. Exemplos: depositar na lixeira da empresa um material impresso.em.Gestão de seGurança 51 Armazenamento:. é essencial que seja adequadamente protegida contra diversos tipos de ameaças. em.outro.é. momento. o processo de gestão de segurança da informação é relativamente mais simples. de forma a assegurar a continuidade do negócio. com isto. informação. a. Ferreira (2003) define Segurança da Informação como “a proteção contra um grande número de ameaças às informações.de. descartar um CD com informações desatualizadas.ponto. portanto. A segurança da informação compreende.a.um. que. mídia de disquete depositada na gaveta na mesa de trabalho. é. já que os processos. Exemplos: encaminhar informações por correio eletrônico (e-mail). Em pequenas organizações. um conjunto de mecanismos de proteção frente às ameaças. banco de dados compartilhado. como é o caso do Universidade Corporativa BB . as alterações indevidas ou a própria perda da informação.

mais protegida deve ser a informação. porque o vazamento desse tipo de informação representa quebra de sigilo bancário. o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger (Figura 4). Essas escolhas permitem priorizar os processos identificados como mais críticos. O fator preponderante aqui foi o nível de sigilo das informações. Confidencialidade: princípio que limita o acesso à informação tão somente às entidades legítimas. àquelas autorizadas pelo proprietário da informação. Por exemplo. chegar às mãos da concorrência. ou seja. a empresa deve determinar alguns pontos importantes: o que deve ser protegido. contra o que será necessário proteger e como será feita a proteção. periódicos. cadastrais etc). pois suas publicações - como livros. Princípios da segurança da informação A tríade CIA (Confidentiality. Um exemplo é a implementação da criptografia em ambientes computacionais. atualmente. a criptografia é utilizada para proteger as informações dos clientes (financeiras. Integridade e Disponibilidade -- representa os princípios que. pois o lançamento de um novo produto ou serviço ou o aperfeiçoamento de produtos ou serviços existentes. e monografias - são colocadas à disposição de funcionários e do público externo para consulta. No caso do BB. uma área de desenvolvimento de projetos no BB necessita de muita proteção para suas informações.52 ProGrama certificação interna em conhecimentos Banco do Brasil. que está programado para ser lançado na próxima semana não pode. Já em uma biblioteca do BB não é necessário resguardar a informação. expondo a instituição aos riscos de imagem e legal. toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo. prioritariamente. Nesses casos. Para atender a esse princípio. Integridade: princípio que garante que a informação manipulada mantenha Universidade Corporativa BB . optase por. Tendo em vista o elevado custo dessa solução. proteger as informações mais sensíveis. Outro ponto a ser considerado na definição de mecanismos de proteção é a questão custo e benefício. Quanto mais sigilosa. a gestão de segurança da informação torna-se complexa. de maneira alguma. visando a limitação do seu acesso e uso apenas às pessoas para quem ela está destinada. Integrity and Availability) -- Confidencialidade. orientam a análise.

transporte e descarte). Deve estar protegida contra alterações indevidas. por exemplo. o acesso a um banco de dados). Figura. Nesse sentido. Se não der a devida atenção à segurança de suas informações. manuseio. sejam intencionais ou acidentais.4 Princípios da segurança da informação INFORMAÇÃO CONFIDENCIALIDADE Outros requisitos importantes são o não-repúdio e a autenticidade. a organização pode chegar a inviabilizar a própria continuidade. Disponibilidade: princípio que garante que a informação esteja ao alcance do usuário. proteger recursos da empresa (os chamados ativos) tem a finalidade de diminuir o nível de exposição aos riscos existentes em todos os ambientes (físicos e virtuais) para que a empresa possa garantir o atendimento dos objetivos do negócio. Para atender a esse princípio. sem interrupção no fornecimento de informações. quando necessário.Gestão de seGurança 53 todas as características originais estabelecidas pelo proprietário da informação. incluindo controle de mudanças e garantia do seu ciclo de vida (criação. Universidade Corporativa BB DISPONIBILIDADE INTEGRIDADE . Segurança da informação e risco operacional A segurança da informação contribui para evitar a ocorrência de riscos operacionais aos quais a empresa está sujeita. Para manter a disponibilidade é necessária a prestação contínua de determinado serviço (como. toda informação deve ser mantida na mesma condição em que foi disponibilizada por quem a criou. armazenamento.

Assim. muitas vezes. os mecanismos de segurança da informação evitam a ocorrência de incidentes responsáveis por perdas operacionais. 3. inclusive prestadores de serviços terceirizados. “em linhas gerais. a política resume os princípios de segurança da informação que a organização reconhece como sendo importantes e que devem estar presentes no dia-a-dia de suas atividades”. as pessoas pre- Universidade Corporativa BB . desperdiçam recursos e têm a sua efetividade comprometida pela falta de uniformidade e coesão.2. A partir do desenvolvimento da PSI. Para auxiliar em uma correta gestão do processo de segurança da informação. A observância da política é dever de todos os funcionários de todos os níveis hierárquicos. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Muitas organizações têm considerado a segurança da informação como uma prioridade. De acordo com Ramos (2006). Permite também que seja criado um plano que sirva como norteador. O vazamento de informações sigilosas. é possível traçar diretrizes.54 ProGrama certificação interna em conhecimentos A informação permeia todos os ambientes da organização e constitui a base do próprio negócio. A PSI deve ser formalizada e divulgada a todos os usuários das informações corporativas. ao assegurar os princípios da confidencialidade. o comprometimento de arquivos informatizados em decorrência da infecção dos computadores por vírus. normas e procedimentos para a implementação da segurança da informação. o desenvolvimento de uma política configura-se ponto crucial para que as medidas de segurança a serem implementadas tenham coerência entre si. pode ser alvo de ameaças que impactam os resultados da organização. Como outros ativos. integridade e disponibilidade das informações. Pode-se definir a política de segurança da informação - PSI como um documento que consolida os princípios balizadores da gestão de segurança de informações. a impossibilidade de acessar e utilizar uma informação necessária à conclusão de um negócio podem ser exemplos de ocorrências de risco operacional. Para perceber a importância de uma política de segurança. evitando iniciativas isoladas que.

padrões e procedimentos já existentes. ■ compreensíveis. ■ custos de implementação dos mecanismos.orientações. ■ benefícios. isto é.de.segurança.e. a PSI é um indicativo para a continuidade. A PSI dá o direcionamento estratégico. ■ flexíveis. pressupõe metodologia criteriosa e técnica. fornecendo orientação para a armazenagem.elaboração. as normas e os procedimentos dela decorrentes devem ser: ■ simples.uma. Desenvolvimento da PSI Para o estabelecimento de uma política. bem como as diretrizes. A quantidade dessas normas varia de acordo com o Universidade Corporativa BB .sistematização.Gestão de seGurança 55 cisam conhecer e compreender integralmente as conseqüências de violação da política ao expor sistemas críticos a atacantes criminosos..PSI.A. Procedimentos de segurança não devem ser implementados sem uma política formalmente definida. moldáveis às novas demandas da tecnologia e do negócio. uso. deve-se levar em conta: ■ riscos associados à falta de segurança. Além do foco inerente de prevenção. sob pena de perda da uniformidade e coesão dos processos. ■ alinhados com as estratégias de negócio da empresa.de. ambientes e processos específicos da empresa. ■ homologados pela alta administração. ■ orientados aos riscos (qualquer medida de proteção das informações deve estar direcionada para os riscos que impactam a empresa). transporte e descarte adequados das informações. ■ positivos e não apenas concentrados em ações proibitivas ou punitivas. ■ estruturados de forma a permitir sua implantação por fases. ou causar dano não intencional a outras organizações. as normas são criadas a partir dela e detalham situações. A Política de Segurança de Informação. dentre outros. de modo a observar as características do negócio.das.

legal. Em relação às normas. a organização deve possuir uma área responsável especificamente para desempenhar essa tarefa. É ela que deve iniciar o processo de elaboração da política de segurança de informações. que detalham as tarefas diárias e contém um passo-a-passo para realizar essas tarefas com segurança..Normativos. 3) Utilize a OPÇÃO 1. Diretriz. Política Os acessos às informações são concedidos ao funcionário do Banco por imposição de suas funções e atribuições ou por determinação. além de definir responsabilidades relativas ao cumprimento das normas de segurança que englobam todas as áreas da organização. para gerenciar a PSI. bem como coordenar sua implantação. cada usuário é identificado individualmente e é responsável. juntamente com o administrador que concedeu esse direito. Somente os Administradores de Acessos das Unidades Estratégicas podem criar e manter pacotes de transações para utilização em sua Unidade e em dependências subordinadas. Norma e Procedimento. Diretriz Norma Procedimentos Fonte:. aprovála e revisá-la.. Apesar de existir uma área específica para gerenciamento da PSI. as deciUniversidade Corporativa BB . Nos sistemas de controle de acesso. Quadro 5 Exemplo da cadeia Política.internos 4) .56 ProGrama certificação interna em conhecimentos tamanho da empresa e de seus processos.. 1) Avalie a necessidade de disponibilização de uma transação para o exercício das funções e da gestão administrativa da dependência solicitante. 2) Certifique-se que a solicitação de liberação de transação para uma determinada dependência foi assinada por funcionário de nível gerencial ou por representante legal da instituição conveniada. é um grande desafio implementar e disseminar uma PSI com todos os seus componentes. Por isso. os procedimentos de segurança da informação tendem a ser ainda em maior quantidade (Quadro 5).22 do Sistema ACESSO. A partir dessas normas são criados procedimentos operacionais. pelas atividades realizadas sob seu código de identificação. Devido a tantas especificidades.

ambiente. Pesquisas sobre as melhores práticas em segurança.desenvolver. Fonte: Ferreira e Araújo (2006).responsabilidades. de modo a sentirem-se co-responsáveis pela proteção das informações com as quais interagem no dia-a-dia e.informação Revisão.regras.e. Contudo.quanto.informações.Embora. geralmente. seja ideal.é.de.serviço. Etapas da implantação da PSI O processo de desenvolvimento e implantação da política.ambiente. implantação e revisão da PSI devem ser colegiadas. das normas e procedimentos de segurança da informação é. pela segurança e continuidade do negócio da organização. Atribuição.da.o.seu. Quadro.da. buscando Universidade Corporativa BB . é possível a criação de uma PSI após um incidente.sobre.informação Elaboração dos procedimentos de segurança. O.de.indisponibilidade.de. dividido em quatro fases.antes. nem sempre é o que ocorre. deve-se procurar não priorizar a adoção de medidas de segurança exclusivas para a solução ou minimização do impacto do incidente. conseqüentemente.da. normas e procedimentos de segurança da informação.informações ALGUMAS ETAPAS Obtenção. Revisão e aprovação da política. Formalização dos procedimentos para integrálos às políticas corporativas. Obtenção. das normas e procedimentos de segurança da informação.se.problema.qualquer. aprovação e implementação da política.de.Gestão de seGurança 57 sões quanto à definição..para.a. das normas e procedimentos de segurança.internet. Nesta circunstância.6 Etapas da implantação da PSI FASE Levantamento.informação. Gerenciamento da política de segurança. O quadro seis procura sintetizar essas fases. Efetiva implantação das políticas.de.melhor.momento.ao. É importante o envolvimento de todos os funcionários.PSI. Desenvolvimento do conteúdo da política e das normas de segurança da.do.informações. tecnológico. com adaptações. Algumas empresas se viram obrigadas a implementar uma política de segurança da informação após um vazamento significativo de informações ou a partir de um sério.na. das diretrizes.que.vulnerabilidade seja explorada.não. de negócios.informação.

Universidade Corporativa BB . É importante. A averiguação possibilita que vulnerabilidades. os objetivos traçados nessa PSI dizem respeito à necessidade de capacitação e conscientização das pessoas lotadas nos órgãos e entidades da Administração Pública Federal quanto aos aspectos de segurança da informação e à necessidade de elaboração e edição de instrumentos jurídicos. mas também podem ser fruto de negligência ou de uma ação deliberada e fraudulenta. Em linhas gerais.segurança. Quando se identifica alguma violação da política.3.informação. passem a ser consideradas. Adaptado do TCU (2007) – Boas práticas em Segurança da Informação 3.º 3. que a PSI esteja permanentemente acessível a todos. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Na gestão de segurança da informação são observados dois principais temas: a classificação das informações e controle de acesso. Em casos específicos de violação de alguma premissa. até então desconhecidas pelos responsáveis pelo gerenciamento da segurança da informação. de 13 de junho de 2000.da. a própria Política de Segurança de Informações prevê os procedimentos a serem adotados: normalmente abre-se um inquérito administrativo e a punição pode ser desde uma simples advertência até uma ação judicial. normativos e organizacionais que promovam a efetiva implementação.58 ProGrama certificação interna em conhecimentos entender o negócio e procurar agir de forma proativa em relação a outros possíveis riscos.da. Isso porque certas violações ocorrem devido a um simples acidente ou erro. ainda. principalmente porque a não observância da política acarreta sanções. devem ser averiguadas as causas. dependendo da criticidade do fato ocorrido. conseqüências e circunstâncias em que ocorreu.505. CURIOSIDADE Normas sobre PSI para a Administração Pública Federal O Decreto n. instituiu a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Esses fatos também podem até acarretar alteração da PSI.

Fonte: Ferreira e Araújo (2006). Ou seja. transações. Devem ser identificados “proprietários” para os principais ativos e atribuir-lhes a responsabilidade pela manutenção de controles adequados. Perfil de acesso Definição dos direitos de acesso às informações. sejam impressos. e no momento de sua criação. A classificação deve ser feita em qualquer meio de armazenamento. maior será sua importância. A importância da informação está diretamente ligada ao aspecto da confidencialidade: quanto maior a importância. Área responsável pela gestão da informação. Um sistema de classificação ideal deve ser: ■ simples de entender e administrar. Quadro. em meios eletrônicos ou impressos de acordo com a classificação. ■ aplicável uniformemente por toda a organização. Responsabilidade pelos ativos ajuda a assegurar que a proteção adequada seja mantida. ■ efetivo para determinar o nível de proteção que deve ser dado à informação. físico ou lógico. quanto mais estratégica e decisiva para a manutenção ou sucesso da organização. maior o sigilo da informação (Quadro 7).7 Classificação das informações Classificação Proprietário Custodiante Atividade pela qual se atribuirá o grau de sigilo às informações seja em meios eletrônicos. classificação das informações é “o processo de estabelecer o grau de importância mediante seu impacto no negócio”. As classificações e os controles de proteção associados à informação devem Universidade Corporativa BB . Área responsável por assegurar que as informações estão protegidas de acordo com a classificação estabelecida pelo proprietário. com adaptações É fundamental classificar a informação de acordo com seu real valor e grau de sensibilidade para aplicar o nível de segurança adequado.Gestão de seGurança 59 Classificação das informações Segundo Ferreira e Araújo (2006). Os principais ativos de informação devem ter um “proprietário” definido.

notadamente pelas Unidades Estratégicas (Diretorias gestoras). No Banco. Fatores especiais.são. Um grande desafio que as organizações enfrentam é estabelecer quais informações devem ser classificadas.sigilosas. por exemplo. Níveis de classificação Deve-se evitar níveis excessivos de classificações e é recomendado que cada classificação seja de fácil compreensão e claramente descrita para demonstrar a diferenciação entre os níveis. Em instituições financeiras. como altamente sigilosas. efetivamente. Após a classificação das informações.trabalhamos. No caso de dúvida. o extrato bancário assume alto grau de sigilo. devem ser considerados no momento de estabelecer a classificação.organização. A classificação da informação deve ser observada por todo o ciclo de vida da informação e deve ocorrer quando da sua criação. diante da obrigatoriedade do sigilo das transações financeiras realizadas pelos clientes. Universidade Corporativa BB . incluindo exigências legais. Isto porque.que. É importante que um conjunto adequado de procedimentos seja definido para a informação rotulada e que haja tratamento de acordo com o esquema de classificação adotado pela organização. compreender os processos e atividades realizadas.60 ProGrama certificação interna em conhecimentos considerar as necessidades do negócio quanto ao compartilhamento ou restrição da informação e os impactos nos negócios associados a tais necessidades. deve-se elaborar e implementar procedimentos para o monitoramento contínuo de modo a prevenir a violação da informação. que é o responsável pela definição do nível de criticidade e pelo auxílio na escolha do meio de proteção.muito.. conforme a ISO 17799. Um dos itens a ser considerado neste processo é a determinação do proprietário. a classificação das informações é realizada por todos os níveis da organização. de acesso limitado. deve ser empregada a classificação mais alta e mais segura. Para classificar a informação é necessário conhecer o negócio da organização. existe uma tendência a considerar que todas as informações.na.

ou. ■ informação interna: o acesso externo às informações deve ser evitado.divulgada. São informações que se forem divulgadas fora da organização não trarão impactos para os negócios. Informação que requer cuidados especiais quanto à preservação das suas propriedades e cuja divulgação indevida sujeita o Banco a riscos significativos.imposição. O BB classifica as informações em duas categorias e quatro classes.e.Gestão de seGurança 61 De acordo com Ferreira e Araújo (2006). Informação.normativos.oito.ser. restrição para o público interno ou para o público externo com base em interesse negocial. Restrita $30 Sensível Crítica $40 Fonte:. Quadro. as conseqüências não serão críticas. restrição.que. se esses dados tornarem-se públicos. ■ informação confidencial: as informações desta classe devem ser confidenciais dentro da organização e protegidas do acesso externo.divulgada.pode.que. Entretanto. conforme.que. Informação cuja preservação das suas propriedades é fundamental para a continuidade dos negócios do Banco e de seus objetivos ou que a divulgação indevida sujeita a Instituição a riscos elevados. podendo ter livre acesso para os colaboradores.por. as seguintes classes de informação já são consideradas suficientes para uma boa gestão da informação: ■ informação pública: são aquelas que não necessitam de sigilo algum.sem.internos Universidade Corporativa BB .legal.pode. observando-se as normas internas.8 Classificação das informações no BB Pública $10 Não-sensível Interna $20 Informação. causando perdas financeiras e na competitividade. Se alguma delas for acessada por pessoas não autorizadas as operações da organização poderão ser comprometidas.não. Não há necessidade de investimentos em recursos de proteção.ser.sem.quadro. sujeita o Banco a riscos.

limitação e desabilitação de acessos e na prevenção de acessos não autorizados”.função. Universidade Corporativa BB .62 ProGrama certificação interna em conhecimentos CURIOSIDADE Classificação adotada pelo governo brasileiro: ■ Ultra-secreto ■ Secreto ■ Confidencial ■ Reservado Acessos aos sistemas. gerenciamento e monitoramento de privilégios. uma senha). ■ posse: o que a pessoa tem (por exemplo. “o controle de acesso pode ser resumido em termos de funções de identificação e autenticação de usuários. ■ característica física: quem é a pessoa (por exemplo. O processo de verificação da identidade do usuário é chamado de autenticação e é baseado em até três fatores que podem identificar exclusivamente um indivíduo. um token USB ou um smartcard). Conforme Ferreira (2003). Os controles de acesso lógico têm o propósito de assegurar que: ■ apenas usuários e processos autorizados tenham acesso aos recursos. ■ o acesso a recursos críticos seja constantemente monitorado e restrito. Os controles lógicos de acesso aos recursos de tecnologia da informação (TI) são barreiras que impedem ou limitam o acesso à informação por pessoa ou processo não autorizado. ■ os usuários sejam impedidos de executar transações incompatíveis com a. biometria). São eles: ■ conhecimento: o que a pessoa sabe (por exemplo.sua. redes e aplicativos. ■ os usuários tenham acesso apenas aos recursos realmente necessários para a execução de suas atividades.

A autenticação forte requer a apresentação de dois ou mais fatores. Uma pessoa não autorizada que consegue a senha de outra também pode conseguir o acesso às informações seguras.um. Por exemplo. Contudo. e algo que possui. Porém. existem diversas tecnologias de autenticação que combinam as características descritas acima para fornecer diferentes graus de equilíbrio entre segurança. podem fornecer segurança limitada e armazenamento portátil.também. as senhas podem oferecer um bom nível de segurança. Atualmente.Smartcards. Os tokens USB também podem fornecer segurança limitada e armazenamento portátil. Em geral. ■ impressão digital biométrica: usa a tecnologia de leitura de impressão Universidade Corporativa BB . a autenticação do usuário (login. de..de. é necessária uma autenticação mais forte.de.segurança. se a autenticação do usuário for baseada na combinação de duas ou mais características. um.chip. ■ token USB: é um dispositivo externo conectado a uma porta USB ou outra interface que usa um chip. que podem ser usados para transportar seguramente credenciais e chaves de usuários. ou seja. que podem ser usados para transportar seguramente credenciais e chaves de usuários. Nos sistemas informatizados atuais.para.de.proteger. algo que você sabe. credenciais e funções de criptografia críticas. token que.são. para proteger dados críticos. oferece autenticação forte para operações de credenciais e criptografia que.dentro. senhas dependem do conhecimento que apenas uma pessoa autorizada deveria ter.Gestão de seGurança 63 O custo e a efetividade de um sistema de controle de acesso dependem da conjugação desses três fatores. por exemplo) é o primeiro passo para o seu acesso a uma rede ou transação eletrônica. smartcard etc. um token. o acesso não autorizado se torna mais difícil. uma senha. É composta pela identificação do usuário (uma chave) e pela prova de sua legitimidade (senha). Se implementadas corretamente. é. usabilidade e custo.reunidas.integrado. A lista a seguir descreve algumas formas de autenticação do mercado e explica como elas podem ajudar o usuário: ■ smartcard:.smartcard. quando usado apropriadamente. apenas um fator de autenticação não é suficiente. tipo.

E só o comitê de administração da agência possui acesso para despachar essas operações.função. A eles cabe a tarefa de habilitar o acesso aos usuários para cada um dos recursos de TI e também de retirar as autorizações quando não forem mais necessárias ao usuário para o desempenho de suas funções. Mas.64 ProGrama certificação interna em conhecimentos digital para oferecer uma alternativa mais conveniente para senhas e tokens. todos os funcionários possuem acesso à agência de notícias. causando insatisfação para os usuários. a tecnologia biométrica também é suscetível a fatores externos inevitáveis como cortes. um funcionário da área de marketing de uma instituição financeira deve ter acesso a sistemas relacionados à sua área de atuação. assunto de interesse de todos. Em uma agência. onde o usuário deve ser autorizado a acessar os sistemas indispensáveis para a realização de suas atividades de acordo com a expectativa da empresa para sua. ou seja. Universidade Corporativa BB . As permissões são normalmente definidas por um administrador do sistema na forma de políticas de aplicação de segurança. Isso pode resultar em alta incidência de falsos negativos. Porém. adicionalmente. existe o conceito do privilégio mínimo. programa ou dispositivo tem permissão para acessar determinado dado. deve ter acesso compatível ao cargo que ocupa. No Banco do Brasil. Como exemplo. programa de computador ou serviço. com base no princípio do privilégio mínimo. as autorizações nos sistemas e aplicativos são concedidas pelos administradores de acesso de cada dependência. lembrando que os usuários terão permissão apenas para acessar os recursos necessários para a realização de suas tarefas. Após a autenticação do usuário passamos à etapa de autorização para acesso às funcionalidades dos recursos computacionais. os seus privilégios. O processo de autorização decide se uma pessoa. dedos molhados. Em segurança da informação. Após um usuário ser autenticado o sistema de autorização verifica se foi concedida permissão para o uso de determinado recurso. alta umidade etc. só aqueles que trabalham com contratação de operações de crédito pessoa jurídica têm acesso à opção de realizar a análise de determinado cliente. A maioria dos sistemas operacionais modernos possui processos de autorização.

adequados. ao ser promovido para uma Diretoria. Um único registro é conhecido como ‘registro de log’. funcionários displicentes que anotam a senha sob o teclado ou gavetas e. um relatório contendo as últimas tentativas de acesso realizadas em sua conta. a adoção das seguintes regras para minimizar o problema: ■ senha com data para expiração: adota-se um padrão definido onde a senha possui prazo de validade com 30 ou 45 dias. ainda é possível existir acessos por pessoas não autorizadas. Recomenda-se. terá uma série de acessos desabilitados e novos acessos concedidos em conseqüência dessa promoção. Assim. Assim. Mesmo com os mecanismos de controle de acesso. em casos mais graves. é a mais controversa. para conhecimento dos mecanismos usados e aprimoramento do nível de eficiência da segurança. Em termos de segurança. Por exemplo. o requisito fundamental é a conscientização dos colaboradores quanto ao uso e manutenção. o usuário consegue identificar tentativas de uso não autorizado de seu login e comunicar à área de segurança. após sua entrada no sistema. também.senhas. Uma medida de segurança utilizada para prevenir acessos de usuários não autorizados é o bloqueio da senha incorreta depois de determinado número de tentativas. a composição da senha. Outra boa medida é disponibilizar ao usuário.. para se obter a segurança que as senhas podem proporcionar. Senhas: cuidados especiais Dentre as políticas utilizadas pelas grandes corporações.Gestão de seGurança 65 Esta desabilitação está relacionada com o desligamento de funcionários e colaboradores e também com mudanças de áreas de atuação. ou password. obrigando o colaborador ou usuário a renovar sua senha. os chamados log3.das. no monitor. a senha “123senha” ao ser renovada só poderá 3 Conjunto de registros que lista as atividades realizadas por uma máquina ou usuário específico. Universidade Corporativa BB . ■ inibir a repetição: adota-se por meio de regras predefinidas que uma senha uma vez utilizada não poderá ter mais que 60% dos caracteres repetidos. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso. gerente de contas de agência. os log são usados para identificar e investigar as atividades suspeitas e estudar as tentativas (ou os sucessos) dos ataques. por outro. Um funcionário.

a escolha de senhas seguras. 1s4e3u2s. As senhas muito longas normalmente obrigam os usuários a escrevê-las em um pedaço de papel para lembrá-la.outros. determinar a posição: os quatro primeiros caracteres devem ser numéricos e os quatro subseqüentes alfabéticos. carteira de identidade ou de outros documentos pessoais. ainda. monta-se uma base de dados com formatos conhecidos de senhas e proibise o seu uso. 1883emc ou I2B3M4 etc. Também é necessário ter mais de uma senha para operar diversos sistemas já que o uso da mesma senha em sistemas distintos é uma prática vulnerável. ■ criar um conjunto possíveis senhas que não podem ser utilizadas:. A nova senha poderá ser “456seuze”. 1212silv etc. ■ datas. Mas como escolher uma senha segura? Primeiramente. 1432seuz. Por exemplo. Universidade Corporativa BB . ■ números de telefone. também. repetindo-se apenas os caracteres “s” e “e”. ■ nomes de lugares. proibir senhas com partes do nome como 1221jose . ■ placas ou marcas de carro. se você utiliza sua senha para acesso à sua conta corrente igual àquela para realizar compras on-line ou igual à utilizada para acessar sua revista on-line. por exemplo. por exemplo. os demais são diferentes. a quebra de sigilo de alguma delas pode implicar em vulnerabilidades nos demais sites. por exemplo. É importante que também os usuários adotem cuidados em relação às senhas como. a tendência é testá-la em. cartão de crédito. ■ letras ou números repetidos. quando um invasor descobre uma senha. se o usuário chamar-se José da Silva.sistemas.66 ProGrama certificação interna em conhecimentos ter até 60% desses caracteres. Normalmente. Ou. ■ nome do sistema operacional ou da máquina que está sendo utilizada. ■ obrigar a composição com número mínimo de caracteres numéricos e alfabéticos: define-se obrigatoriedade de quatro caracteres alfabéticos e quatro caracteres numéricos como. ■ número igual ao da conta de usuário. Por exemplo: proibir senhas com os formatos DDMMAAAA ou 19XX. deve-se evitar o uso de senhas muito curtas ou muito longas. Os usuários devem evitar a composição de senhas com os seguintes elementos: ■ nome do profissional. É possível.. ■ nomes de membros da família ou amigos.

yuiop. NORMAS E PROCEDIMENTOS PARA A TROCA DE INFORMAÇÕES Acordos para a troca de informações É comum vermos noticiado na mídia que países firmam alianças de cooperação. que a senha.9 Exemplos de senhas seguras .dissertação. Meu time de futebol foi campeão em 2003 Fonte: Moreira (2001). Uma das possíveis formas de cooperar entre si é a promoção de acordos para troca de informações. as senhas devem ter no mínimo: ■ letras maiúsculas e minúsculas. também. Conforme Moreira (2001). ainda. Senha E10AEDNU PMAD20. de forma que não seja necessário escrevê-las.4. Quadro. Para que uma senha seja considerada segura.TM MTDFFCE03 3. também. sempre que possível. como do quadro nove.na. Em. ■ objetos ou locais que podem ser vistos a partir da mesa do usuário. instituições também podem realizar esse tipo de intercâmbio. senha9boa). Precisam. o Ministério Público Federal Universidade Corporativa BB . todo mês. Hoje.. é necessário seguir algumas regras.Gestão de seGurança 67 ■ letras seguidas do teclado (asdfg. Pagarei meu aluguel dia 20. para serem consideradas seguras. não contenha menos do que seis caracteres. etc). Uma senha segura pode ser formada por duas palavras pequenas intercaladas por um dígito ou um caractere especial (exemplo: uma-casa. É conveniente. ■ dígitos e/ou sinais de pontuação no meio. Frase . por exemplo.UFMG.esta. com adaptações.2010. por meio das iniciais de cada palavra de uma frase com fatos importantes para o usuário. ■ sete caracteres alfanuméricos.apresentarei. ser fáceis de lembrar. Além de países. Ou.

gov. É importante que. (www. X e XII. o fornecimento de informações amparadas pelo sigilo bancário e por outras modalidades de sigilo regulamentadas por leis específicas3 sujeita o Banco e seus administradores às penalidades civis e criminais previstas (risco legal e de imagem). sob pena de ilegalidade e configuração de crime. sigilo bancário é o “Direito que o indivíduo tem ao segredo das transações bancária efetuadas. CPI) e nos casos admitidos em lei. também é crime a omissão. poupança. ao segredo das movimentações de sua conta corrente. Vide art.com. Fornecimento de informações a órgãos judiciais. isto é. Conforme dicionário jurídico. Estão previstos atualmente em legislações específicas os sigilos bancário. Outro aspecto importante a se observar são os prazos estipulados para a concessão das informações. o retardamento ou a falsa prestação das informações requeridas por autoridades competentes.br/dicionário_jurídico). os dados referentes a seus clientes que cheguem a seu conhecimento como conseqüência das relações jurídicas que os vinculam”. 2003). (MALAGARRIGA.”(www. citado por RUEDA JUNIOR.br/pre/leisedecretos). A Lei Complementar 105/2001 determina que “as instituições financeiras conservarão sigilo em suas operações ativas e passivas e serviços prestados”.direitonet. investigação e repressão a práticas lesivas ao mercado de capitais. fiscal e comercial. sem causa justificada. a prestação de informações para pessoas não autorizadas ou órgãos incompetentes.bcb. Da mesma forma que constitui crime a quebra de sigilo bancário. 3. 5º. Constituição Federal. em caso de solicitação de informações por pessoa autorizada. Dessa forma. A quebra do sigilo só pode ser feita por autoridade competente (Poder Judiciário. aplicações etc.68 ProGrama certificação interna em conhecimentos troca informações com a Comissão de Valores Mobiliários para prevenção. Universidade Corporativa BB . de fiscalização e de controle Sigilo bancário “O sigilo bancário é obrigação de não revelar a terceiros. a informação seja apresentada o mais tempestivamente possível.

observadas as normas baixadas pelo Conselho Monetário Nacional e pelo Banco Central do Brasil. para fins cadastrais. inclusive por intermédio de centrais de risco. podendo ocorrer desde a falsificação das informações até a contaminação por vírus. Mensagens eletrônicas As mensagens eletrônicas (e-mail) representam um meio muito eficiente de se trocar informações.Gestão de seGurança 69 Não configura quebra do sigilo bancário o encaminhamento de informações solicitadas por autoridades requisitantes competentes. apresenta grande vulnerabilidade. Os normativos do banco detalham as autoridades que podem ser atendidas e as respectivas exigências. às autoridades competentes. ■ o fornecimento de informações constantes de cadastro de emitentes de cheques sem provisão de fundos e de devedores inadimplentes. outras situações não configuram quebra de sigilo4: ■ a troca de informações entre instituições financeiras. conforme a Lei nº105/2001. ■ a revelação de informações sigilosas com o consentimento expresso dos interessados. Além disso. Conforme Lei Complementar 105/2001 Universidade Corporativa BB . 4. a entidades de proteção ao crédito. as informações somente poderão ser prestadas se requeridas por autoridades que possuam competência para tal e desde que atendidas determinadas exigências. Contudo. Autoridades requisitantes – competências Nas circunstâncias nas quais é possível haver quebra do sigilo bancário. da prática de ilícitos penais ou administrativos. observadas as normas baixadas pelo Conselho Monetário Nacional e pelo Banco Central do Brasil. ■ a comunicação. abrangendo o fornecimento de informações sobre operações que envolvam recursos provenientes de qualquer prática criminosa. Essa competência deve ser analisada cuidadosamente tendo em vista que cada autoridade pode solicitar somente documentos relativos ao desempenho de suas atividades.

a combinação da tecnologia e de como ela é usada determina o quão seguro é o seu sistema.é. Por isso.software está sujeito à falhas em seu ciclo.não. de forma a garantir que só o destinatário tenha acesso ao conteúdo. Comumente é visto o seu uso para propósitos particulares e para outros fins que não o de negócios. Segurança lógica Segurança. é vital o entendimento pelo usuário de seu papel na manutenção de uma segurança sólida. Uma das regras deve referir-se ao.70 ProGrama certificação interna em conhecimentos Assim.uso.do.existe. mas sim uma jornada - ela não é um problema que pode ser “resolvido” de uma vez por todas. assunto que veremos adiante. A exemplo de qualquer atividade realizada pelo homem. Se o software pudesse ser perfeito isso. pois a maioria dos ataques envolve. causarão brechas na segurança. . é uma série constante de movimentos e contramedidas entre usuários do sistema e pessoas mal intencionadas. O uso do correio eletrônico no ambiente corporativo para envio de mensagens deve ter regras básicas que orientem o funcionário e minimizem as possibilidades de incidentes na troca de informações. alguma manipulação de natureza humana - usualmente chamado de Engenharia Social. é imprescindível a adoção de cuidados para a preservação das informações. que se forem exploradas.perfeita. por si só. não resolveria o problema. o desenvolvimento de. em um nível ou outro. É indispensável ter em mente dois pontos essenciais.softwares como em todos os campos de interesse humano. Universidade Corporativa BB . Segundo.e-mail corporativo limitado aos propósitos comerciais. a segurança do ambiente lógico compreende tanto tecnologia quanto política - ou seja. a segurança não é um destino.tanto.Isto. Mensagens confidenciais devem ser enviadas com a utilização de procedimentos especiais baseados em técnicas criptográficas.verdade. Aumente o custo e a dificuldade tecnológica dos ataques à segurança e as pessoas mal intencionadas responderão mudando o foco da tecnologia para o fator humano. para não se tornar uma brecha na segurança de seu próprio sistema. Primeiro. o que tem levado as empresas a adotarem práticas para monitoramento do conteúdo dos e-mails.para..

Para conseguir manter a segurança das informações utilizando a internet. ocorre crime eletrônico quando “se utiliza internet. Assim como no dia-a-dia é possível escolher os lugares que freqüentamos em função dos possíveis riscos.. desde que os mesmos tenham sido solicitados.que. é desaconselhável ao usuário: ■ compartilhar seus dados pessoais ou profissionais. visando coibir abusos e excessos. Na maioria das empresas. para usar a Internet com segurança é preciso bom senso e atenção constante na escolha dos sites. Nesse sentido. ambiente de trabalho. como é o caso do Banco do Brasil. Segundo Patrícia Peck (2002). é imprescindível observar algumas recomendações. com o objetivo de cometer fraudes”. ■ acesso a sites seguros para transações comerciais on line (identificados pelo certificado digital emitido por uma autoridade certificadora confiável). Universidade Corporativa BB .Gestão de seGurança 71 Internet A Internet está repleta de recursos e serviços úteis para a vida do usuário. as empresas preocupadas com a segurança orientam seus funcionários quanto ao uso adequado deste canal.No. O uso da internet possibilita uma série de facilidades: ■ recebimento de informações e dados de fontes conhecidas.visitamos. ou quando se acessa o computador de terceiros de forma não convencional e não autorizada. ■ abrir arquivos ou mensagens não solicitados. computadores e caixas eletrônicos para fins contrários às leis vigentes no País. o não cumprimento das orientações sobre o uso correto da Internet pode acarretar desde uma advertência verbal até uma demissão por justa causa. apesar dos riscos que oferece. O maior estímulo aos crimes virtuais é dado pela confiança no anonimato e pela crença de que o meio digital é um ambiente não suficientemente vigiado e tais crimes ficam impunes. ■ acesso a páginas e conteúdos de diversas partes do mundo. A internet pode ser um meio facilitador de crimes. Um dos crimes eletrônicos que mais causam impacto aos negócios de instituições financeiras é a fraude. ■ conversar com desconhecidos que oferecem vantagens em troca de informações.

■ ter alguma mídia removível infectada conectada ou inserida no computador.ações.ele. os fraudadores têm utilizado amplamente e-mails com discursos que tentam persuadir o usuário a fornecer seus dados pessoais e financeiros.uma. Nos itens a seguir serão abordadas as ameaças mais comuns no ambiente virtual e ferramentas que buscam proteger os usuários dessas ameaças. ■ abrir arquivos armazenados em outros computadores por meio do compartilhamento de arquivos. para realizar fraudes comerciais e bancárias por meio da Internet os esforços se concentram na exploração de fragilidades dos computadores. para que dados pessoais e sensíveis.ou.mensagem..vão. o usuário é induzido a instalar algum código malicioso ou acessar uma página fraudulenta. O vírus pode instalar-se em um arquivo hospedeiro e posteriormente tornar-se ativo e dar continuidade ao processo de infecção.do.programas. mostrar. possam ser furtados.até. DVD etc. telefones celulares e PDA são exemplos de dispositivos computacionais passíveis de infecção. Universidade Corporativa BB . é preciso que um programa previamente infectado seja executado.Essas. 5 Entende-se por computador qualquer dispositivo computacional passível de infecção por vírus.quem.quando.desenvolveu. que se propaga infectando. Normalmente o vírus tem controle sobre o computador. normalmente malicioso. obtidos pela Internet.o.arquivos. tais como: ■ abrir arquivos contaminados anexados aos e-mails. Em muitos casos.e.as.. Computadores domésticos.alterar. que contenham vírus de macro. podendo tomar todas. sistemas e usuários. ■ abrir arquivos do Word. ■ instalar programas de procedência duvidosa ou desconhecida.ações. notebooks. isto é. Isto pode ocorrer de diversas maneiras.é. pen drives. inserindo cópias de si mesmo em outros programas e arquivos de um computador5.desde.por.ligado. não é uma tarefa simples atacar e fraudar dados em um servidor de uma instituição bancária ou comercial. Para obter vantagens. Para que um computador seja infectado por um vírus.destruir.72 ProGrama certificação interna em conhecimentos Normalmente. CD. Ameaças mais comuns Vírus É um programa de computador. de disquetes. como senhas bancárias e números de cartões de crédito.programadas. Excel etc. Então.disco.

entrando em atividade em datas específicas. o vírus pode realizar diversas atividades. também executa Universidade Corporativa BB . infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário. álbum de fotos. ■ o vírus. abriram os portões da cidade possibilitando a entrada dos gregos e a dominação de Tróia. remover contatos da agenda. Os vírus de celular diferem dos vírus tradicionais. utilizada como instrumento de guerra pelos gregos para obter acesso a cidade de Tróia. Um vírus de celular se propaga de telefone para telefone por meio da tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). cartão virtual. ■ o usuário permite que o arquivo infectado seja recebido. além de tentar propagar-se para. efetuar ligações telefônicas. Há outros tipos que permanecem inativos durante certos períodos. A estátua do cavalo foi recheada com soldados que. por meio de uma das tecnologias mencionadas anteriormente. tais como destruir ou sobrescrever arquivos. é importante manter-se informado por meio de jornais e revistas. Depois de infectar um telefone celular. continua o processo de propagação para outros telefones. Uma novidade relativamente recente é o vírus propagado por alguns tipos de celular. No mundo virtual. então. Daí surgiram os termos “presente de grego” e “cavalo de Tróia”. durante a noite. mas podem ser especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho. instalado e executado em seu aparelho.Gestão de seGurança 73 Existem vírus que procuram permanecer ocultos. um cavalo de Tróia (Trojan horse) é um programa. pois normalmente não inserem cópias de si mesmos em outros arquivos armazenados no telefone celular. protetor de tela.telefones. drenar a carga da bateria. jogo etc). Portanto. Cavalo de Tróia (Trojan) Conta a mitologia grega que o “cavalo de Tróia” foi uma grande estátua. Novas formas de infecção por vírus podem surgir.outros. A infecção ocorre da seguinte forma: ■ o usuário recebe uma mensagem que diz que seu telefone está prestes a receber um arquivo. (por exemplo. que além de executar funções para as quais foi aparentemente projetado.

para permitir que um atacante tenha total controle sobre o computador.tipo.prestam.retorno.importante. ■ criptografia de arquivos com a cobrança de resgate para devolvê-los.Normalmente. Backdoors. os.são.74 ProGrama certificação interna em conhecimentos outras funções normalmente maliciosas e sem o conhecimento do usuário.software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. ■ alteração ou destruição de arquivos.programas.leitores. 6 .serviços.existem. utilizando serviços criados ou modificados para este fim. de um invasor a um computador comprometido.de. seja mediante algum outro programa instalado em um computador. por sua vez.Internet.de.na. Em muitos casos. sem precisar recorrer aos métodos utilizados na realização da invasão. jogos. Na maioria dos casos.hacker procura garantir uma forma de retornar a um computador comprometido. como números de cartões de crédito.um.ressaltar.que. seja por meio de um browser. ■ inclusão de backdoors6.site.software.adwares têm sido incorporados a softwares e serviços. Spyware.gratuitos.algum.de.algum.livre. Neste caso. álbuns de fotos de alguma celebridade. também é intenção do atacante poder retornar ao computador comprometido sem ser notado. Adware e Spyware Adware (Advertising software). protetores de tela. constituindo uma forma legítima de patrocínio ou retorno financeiro para aqueles que desenvolvem. É necessário que o cavalo de Tróia seja executado para que ele se instale em um computador.. entre outros.o.um.É. o simples fato de ler uma mensagem é suficiente para que um arquivo anexado seja executado.permitem. Geralmente um cavalo de Tróia vem anexado a um e-mail ou está disponível em.que. é o termo utilizado para se referir a uma grande categoria.ou.programas. Universidade Corporativa BB .software especificamente projetado para apresentar propagandas. Algumas das funções maliciosas que podem ser executadas por um cavalo de Tróia são: ■ furto de senhas e outras informações sensíveis.e-mails que podem estar configurados para executar automaticamente arquivos anexados às mensagens. Exemplos comuns de cavalos de Tróia são programas recebidos ou obtidos de.site e que parecem ser apenas cartões virtuais animados.é.

e. por meio de páginas falsas na Internet ou recebimento de e-mails. ■ monitoramento de teclas digitadas pelo usuário ou regiões da tela próximas ao clique do mouse. adwares que também são considerados um tipo de spyware. direcionando as propagandas que serão apresentadas. na maioria das vezes.dias. Phishing. comprometem a privacidade do usuário e. são utilizados de forma dissimulada. ■ captura de outras senhas usadas em sites de comércio eletrônico.todos. e que procura induzir o acesso a páginas fraudulentas. Os.spywares. a segurança do computador do usuário. ■ instalação de outros programas spyware. Scam e Phishing O. vários tipos de scam. pior. pois são projetados para monitorar os hábitos do usuário durante a navegação na Internet. ■ varredura dos arquivos armazenados no disco rígido do computador. É importante ter em mente que estes programas.Gestão de seGurança 75 Existem. ou. também conhecido como phishing scam. como processadores de texto. que podem ter relação tanto com o uso legítimo quanto como uso malicioso: ■ monitoramento de URL acessadas enquanto o usuário navega na Internet. projetadas para furtar dados pessoais e financeiros de usuários. normalmente.scam (ou “golpe”) é qualquer esquema ou ação enganosa ou fraudulenta que. foi. termo originalmente criado para descrever o tipo de fraude que se dá mediante o envio de mensagem não solicitada. não autorizada e maliciosa. assim como os adwares. um.fraudulentos. Universidade Corporativa BB . ■ alteração da página inicial apresentada no browser do usuário.novas.os. tem como finalidade obter vantagens financeiras. na maioria das vezes. supostamente de uma instituição conhecida. mas. podem ser utilizados de forma legítima.surgem. dependendo das ações realizadas pelo spyware no computador e de quais informações são monitoradas e enviadas para terceiros.. phishing/scam. Seguem algumas funcionalidades implementadas em spywares. ■ monitoramento e captura de informações inseridas em outros programas.Existem.formas. ■ captura de senhas bancárias e números de cartões de crédito. como um banco. empresa ou site popular.

AACD/Teleton. onde “iscas” (e-mails) são usadas para “pescar” senhas e dados financeiros de usuários da Internet. traição.referir. Humor Tadela.se. que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é Universidade Corporativa BB .usado. no próprio conteúdo. eleições (título eleitoral cancelado.mensagens. projetados para furtar dados pessoais e financeiros.estão.surgir.tipo. Alguns exemplos de temas e respectivas descrições dos textos encontrados em.termo. celebridades. esse termo é utilizado também para se referir aos seguintes casos: ■ mensagem que procura induzir o usuário à instalação de códigos maliciosos. Álbuns de fotos Pessoa supostamente conhecida. Imposto de Renda (nova versão ou correção para o programa de declaração.10 Exemplos de conteúdos de phishing Tema Cartões virtuais Texto da mensagem UOL. Spam É. CPF/CNPJ pendente ou cancelado.palavra.dez. relacionado a algum fato noticiado (em jornais. Voxcards.e-mails não solicitados. Quadro. serviço de acompanhantes. consulta da restituição. televisão). IBGE Censo. Atualmente. nudez ou pornografia.76 ProGrama certificação interna em conhecimentos A. apresenta formulários para o preenchimento e envio de dados pessoais e financeiros de usuários. restrições ou pendências financeiras.no. simulação da urna eletrônica). SERASA e SPC Serviços de governo eletrônico Débitos.o. Cabe ressaltar que a lista de temas na tabela acima não é exaustiva. dados incorretos ou incompletos na declaração). O Carteiro. ■ mensagem que. Existem outros temas e novos temas podem. nem tampouco se aplica a todos os casos.deste. revistas.para. Criança Esperança. Emotioncard.quadro.aos.phishing (de “fishing”) vem de uma analogia criada pelos fraudadores.

Gestão

de

seGurança

77

exclusivamente comercial, este tipo de mensagem também é referenciada como UCE (do inglês Unsolicited Commercial E-mail). Os spammers.utilizam. diversas.formas.para.obter.endereços.de.e-mail, desde a compra de bancos de dados com e-mails variados, até a produção de suas próprias listas de emails obtidos via programas maliciosos. O.spam pode causar vários problemas para um usuário da Internet. Alguns exemplos.são: ■ Não recebimento de e-mails:.boa.parte.dos.provedores.de.Internet.limita. o tamanho da caixa postal do usuário no seu servidor. Caso o número de.spams recebidos seja muito grande o usuário corre o risco de ter sua caixa postal lotada com mensagens não solicitadas. Se isto ocorrer, o usuário não conseguirá mais receber e-mails e, até que possa liberar espaço em sua caixa postal, todas as mensagens recebidas serão devolvidas ao remetente. O usuário também pode deixar de receber e-mails em casos onde estejam sendo utilizadas regras anti-spam ineficientes, por exemplo, classificando como spam mensagens legítimas. ■ gasto desnecessário de tempo: para cada spam recebido, o usuário necessita gastar um determinado tempo para ler, identificar o e-mail como spam e removê-lo da caixa postal; ■ aumento de custos: independentemente do tipo de acesso a internet utilizado, quem paga a conta pelo envio do spam é quem o recebe. Por exemplo, para um usuário que utiliza acesso discado a Internet, cada spam. representa alguns segundos a mais de ligação que ele estará pagando; ■ perda de produtividade: para quem utiliza o e-mail como uma ferramenta de trabalho, o recebimento de spams aumenta o tempo dedicado à tarefa de.leitura.de.e-mails, além de existir a chance de mensagens importantes não serem lidas, serem lidas com atraso ou apagadas por engano; ■ conteúdo impróprio ou ofensivo: como a maior parte dos spams.são.enviados para conjuntos aleatórios de endereços de e-mail, é bem provável que o usuário receba mensagens com conteúdo que julgue impróprio ou ofensivo; ■ prejuízos financeiros causados por fraude: o spam.tem.sido.amplamente. utilizado como veículo para disseminar esquemas fraudulentos, que tentam induzir o usuário a acessar páginas clonadas de instituições financeiras ou a instalar programas maliciosos projetados para furtar dados pessoais e financeiros. Este tipo de spam é conhecido como phishing/ scam. O usuário pode sofrer grandes prejuízos financeiros, caso forneça

Universidade Corporativa BB

78

ProGrama

certificação interna em conhecimentos

as informações ou execute as instruções solicitadas nesse tipo de mensagem.fraudulenta. Alguns.dos.problemas.sentidos.pelos.provedores.e.empresas.são: ■ impacto na banda: para as empresas e provedores o volume de tráfego gerado por causa de spams os obriga a aumentar a capacidade de seus links de conexão com a internet. Como o custo dos links é alto, isto diminui os lucros do provedor e muitas vezes pode refletir no aumento dos custos para o usuário; ■ má utilização dos servidores:.os.servidores.de.e-mail dedicam boa parte do seu tempo de processamento para tratar das mensagens não solicitadas. Além disso, o espaço em disco ocupado por mensagens não solicitadas enviadas para um grande número de usuários é considerável; ■ inclusão em listas de bloqueio: o provedor que tenha usuários envolvidos em casos de spam pode ter sua rede incluída em listas de bloqueio. Esta inclusão pode prejudicar o recebimento de e-mails. por. parte. de. seus usuários e ocasionar a perda de clientes. ■ investimento em pessoal e equipamentos: para lidar com todos os problemas.gerados.pelo.spam, os provedores necessitam contratar mais técnicos especializados, comprar equipamentos e acrescentar sistemas de filtragem de spam. Como conseqüência os custos do provedor aumentam. Worm É um programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá pela exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. Geralmente.o.worm não tem como conseqüência os mesmos danos gerados por um vírus como, por exemplo, a infecção de programas e arquivos ou a destruição.de.informações..Isto.não.quer.dizer.que.não.represente.uma.ameaça à segurança de um computador, ou que não cause qualquer tipo de dano. Worms são notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que cosUniversidade Corporativa BB

Gestão

de

seGurança

79

tumam propagar. Além disso, podem gerar grandes transtornos para aqueles que estão recebendo tais cópias. Detectar a presença de um worm em um computador não é uma tarefa fácil. Muitas.vezes.os.worms realizam uma série de atividades, incluindo sua propagação, sem que o usuário tenha conhecimento. Embora alguns programas antivírus permitam detectar a presença de worms.e.até.mesmo.evitar.que.eles. se propaguem, isto nem sempre é possível. Ferramentas de proteção Assim como tomamos precauções de segurança em nossa casa ou automóvel, também precisamos ter o mesmo cuidado em relação ao nosso computador. Para isso, é necessária a utilização de alguns programas que irão trazer uma camada de proteção contra algumas ameaças. Estes programas podem ser obtidos de diversos fabricantes em pacotes integrados ou de forma individual. Pelo menos três tipos de proteção são necessários: ■ antivírus: um programa antivírus irá proteger seu computador contra os denominados “vírus de computador” e suas variantes, como worms.. É imprescindível que o antivírus tenha “atualização automática”, para garantir que o programa busque novas atualizações automaticamente, com freqüência, no mínimo, diária; ■ firewall pessoal: um programa denominado “firewall” irá manter uma barreira lógica entre seu computador e a internet, evitando que atacantes façam acessos não autorizados; ■ anti-Spam: este programa irá auxiliar a filtrar o conteúdo indesejado de e-mails, descartando automaticamente aqueles que forem considerados spam. Novas ferramentas de proteção da informação Criptografia Desde que o ser humano entendeu as vantagens que o conhecimento de determinadas informações podem trazer, surgiu a necessidade de protegê-las de terceiros que poderiam se beneficiar delas: assim, nasceu a criptografia. Do.grego.kriptos, secreto, e graphos, escrita, a criptografia surgiu como a ciência, ou, para alguns, a arte de se escrever mensagens de forma codificada, impossibilitando a leitura para terceiros não autorizados.

Universidade Corporativa BB

■ confidencialidade Atualmente o uso da criptografia - impulsionado pelos avanços tecnológicos - é crescente. 7 Universidade Corporativa BB . compartilhada entre os participantes da comunicação. e ■ identificar se a mensagem foi modificada. a pessoa que a recebeu deve poder: ■ verificar se o remetente é mesmo a pessoa que diz ser. Atualmente.informação. dígitos e símbolos (como uma senha) que é convertida em um número. Uma mensagem codificada por um método de criptografia deve ser privada. Além de tornar documentos confidenciais. utilizado pelos métodos de criptografia para codificar e decodificar mensagens. procedimento ou fórmula na solução de um problema.fundamentais:.um. 10 É o valor numérico ou código usado com um algoritmo criptográfico para transformar.algoritmo9 e uma chave10. independente de se tratar de minuta. após séculos de uso e evolução. original ou cópia. somente aquele que enviou e aquele que recebeu devem ter acesso ao conteúdo da mensagem. Além disso. 8 Garantia que o emissor de uma mensagem ou a pessoa que executou determinada transação de forma eletrônica.elementos. os métodos criptográficos podem ser subdivididos em duas grandes categorias: a criptografia simétrica e a assimétrica.da. validar. desempenhando papel de extrema relevância no contexto da segurança. autenticar. daí o nome de simé Qualidade de um documento ser o que diz ser. ou seja. Os métodos de criptografia hoje utilizados são seguros e eficientes e baseiamse no uso de uma ou mais chaves. ou seja. ■ não-repúdio8. dentre elas: ■ integridade ■ autenticidade7. Ela possibilita a criação de assinaturas digitais e a validação de transações eletrônicas. e que é livre de adulterações ou qualquer outro tipo de corrupção. cifrar e decifrar dados. A chave é uma seqüência de caracteres que pode conter letras. a criptografia tem outras utilidades. uma mensagem deve poder ser assinada.80 ProGrama certificação interna em conhecimentos Hoje. Usado como chaves para criptografia de dados.ser. também conhecida como criptografia de chave compartilhada ou de chave secreta possui.que. possibilitando que propriedades importantes sejam alcançadas. a criptografia continua sendo uma das mais poderosas armas para a proteção das informações. não poderá posteriormente negar sua autoria. a criptografia simétrica.dois.deve. 9 Série de etapas utilizadas para completar uma tarefa. A mais antiga das formas de criptografia.

Figura. de tal forma que para cada chave pública existe uma única chave privada correspondente. somente a correspondente privada poderá decifrá-la. a mesma chave é usada para codificar e decodificar as mensagens (Figura 5). via. enquanto a chave privada deve ser conhecida apenas pelo seu dono. Universidade Corporativa BB .de.Gestão de seGurança 81 trica ou de chave compartilhada.5 Criptografia de chave privada ou simétrica João mensagem cifrador mensagem cifrada Rede pública Maria mensagem cifrada decifrador mensagem original Fonte: Nakamura e Geus (2007). quando uma mensagem é cifrada com a chave pública. Figura. também conhecida por criptografia de chave pública. A chave pública é distribuída livremente para todos os correspondentes. Do mesmo modo. As chaves públicas e privadas estão completamente relacionadas.Maria mensagem original mensagem cifrada decifrador Fonte: Nakamura e Geus (2007). é um método que utiliza um par de chaves: uma chave pública e uma chave privada. A criptografia assimétrica. uma mensagem assinada com a chave privada somente pode ser conferida pela sua chave pública correspondente (Figura 6). e-mail ou outras formas.6 Criptografia de chave pública ou assimétrica João Pública de Maria mensagem cifrada Rede pública mensagem cifrador Maria Privada. Na criptografia simétrica. Na criptografia assimétrica.

..... além disso... a distribuição entre os usuários é dificultada pela falta de segurança nos meios de distribuição da chave......82 Comparação entre os métodos ProGrama certificação interna em conhecimentos Para Nakamura e Geus (2007)..... Porém... Nakamura e Geus (2007) enfatizam que “o algoritmo assimétrico minimiza o problema de troca de chaves.2 2 Luís 3 Fonte: Nakamura e Geus (2007) 3 Em contrapartida...Pública de Maria Pública de Maria Maria Luís Pública de Maria Fonte: Nakamura e Geus (2007) Universidade Corporativa BB ....... Outro dificultador é a necessidade de chaves secretas diferentes para cada tipo de comunicação e para cada mensagem.. Um exemplo dessa complexidade pode ser visto em um ambiente no qual três usuários se comunicam com um quarto usuário...Pública de Maria Privada.... pois não é necessário um canal seguro para tal.... Porém... Figura...8 As chaves secretas necessárias na criptografia assimétrica João... os algoritmos de chave simétrica apresentam rapidez na execução........... tornando o gerenciamento das chaves muito complexo.... eles não permitem a assinatura e a certificação digitais e... Cada um deles deve armazenar e gerenciar três chaves diferentes (Figura 7).... A figura oito mostra as vantagens na distribuição de chaves: Figura.....de........7 As chaves secretas necessárias na criptografia simétrica João.Maria Pedro.... ele é cerca de 60 a 70 vezes mais lento que os algoritmos simétricos”.1 1 Maria Pedro..

Algumas das principais informações encontradas em um certificado digital são: ■ dados que identificam o dono (nome. o sigilo da mensagem é garantido. a AC é normalmente reconhecida por todos como confiável. A saída para neutralizar as desvantagens das chaves simétrica (dificuldade de distribuição) e assimétrica (lentidão do algoritmo) está na utilização dos dois tipos de algoritmo em conjunto. Graças à sua idoneidade. estado etc). Por meio do algoritmo assimétrico. o CPF e a carteira de habilitação de uma pessoa. Estes certificados podem ser emitidos para uma pessoa. Os certificados digitais possuem a assinatura eletrônica da AC que o emitiu. número de identificação. Certificação Digital O uso da criptografia assimétrica tornou possível a realização de transações eletrônicas e a comunicação em rede entre usuários e organizações de forma segura. órgãos públicos) que garante sua validade. A autoridade certificadora é a entidade responsável por emitir certificados digitais. ■ assinatura digital da AC. ■ número de série e o período de validade do certificado. Exemplos semelhantes a um certificado digital são o CNPJ. utilizados para comprovar sua identidade. um computador. viabilizando a criação dos certificados digitais. Universidade Corporativa BB . uma instituição etc. ■ nome da Autoridade Certificadora (AC) que emitiu o certificado. O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição. o RG. constróise um canal de comunicação seguro por onde pode ser distribuída a chave simétrica. fazendo o papel de “cartório eletrônico”. um departamento de uma instituição. Cada um deles contém um conjunto de informações que identificam a instituição ou pessoa e a autoridade (para estes exemplos.Gestão de seGurança 83 Como somente a chave privada equivalente é capaz de decifrar a mensagem e somente o receptor a possui.

a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil foi instituída para garantir a autenticidade. é possível checar se o site. por exemplo. seu aplicativo de e-mail. utilizar seu certificado para assinar digitalmente a mensagem. de modo a assegurar ao destinatário que o e-mail.é. ■ quando você envia um e-mail importante. Universidade Corporativa BB . Além disto. apresentado é realmente da instituição que diz ser. A cadeia de autoridades certificadoras. distribuir.foi. que compõem a estrutura da ICP-Brasil. que possibilita aos cidadãos e empresas realizarem transações eletrônicas com respaldo legal. A relação de confiança é fundamental para que as entidades possam se relacionar com maior segurança em transações eletrônicas. ele fiscaliza e realiza auditorias nas autoridades certificadoras e autoridades de registro. é formada por uma Autoridade Certificadora Raiz - AC Raiz.pode. bem como a realização de transações eletrônicas seguras. entre eles o Brasil. A ICP-Brasil é composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras. entre o envio e o recebimento. ■ quando você consulta seu banco pela Internet.84 ProGrama certificação interna em conhecimentos Alguns exemplos típicos do uso de certificados digitais: ■ quando você acessa um site com conexão segura como. A confiabilidade desse sistema levou diversos países. revogados e vencidos.que. Autoridades Certificadoras - AC e Autoridades de Registro - AR (Figura 9). Este órgão é responsável por emitir. a integridade e a validade jurídica de documentos em forma eletrônica.seu. este tem que assegurarse de sua identidade antes de fornecer informações sobre a conta. a criar uma infra-estrutura oficial de chaves públicas. A estrutura da ICP-Brasil funciona numa cadeia hierárquica que estabelece relações de confiança entre as entidades que a compõem e com outras instituições e empresas. A primeira autoridade da cadeia é a AC-Raiz da ICP-Brasil. Nesse sentido.não. o acesso a sua conta bancária pela Internet. das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais.e. pela verificação de seu certificado digital.adulterado. revogar e gerenciar os certificados emitidos. órgão vinculado à Casa Civil da Presidência da República. função desempenhada pelo Instituto Nacional de Tecnologia da Informação - ITI.

A diferença básica entre um token. com funcionamento parecido com o D smartcard e que conecta com o computador via USB. AR O usuário.um. Figura.ou. .10 Comitê Gestor da ICP . para obter o certificado digital. Esta faz a identificação presencial. conferindo sua documentação.Gestão de seGurança 85 Figura. 11 Universidade Corporativa BB . deve dirigir-se a uma autoridade de registro. como um smartcard11. cadastra e encaminha solicitações de certificados às Autoridades Certificadoras (AC). por meio de seus agentes de registro. capaz de armazenar e processar dados.9 Estrutura da ICP-Brasil Também Integra a ICP-Brasil o Comitê Gestor que é responsável pelas políticas a serem executadas pela AC Raiz (Figura 10). para em seguida encaminhar a solicitação à autoridade certificadora que emitirá o certificado digital. com um ou mais microchips embutidos. 12 ispositivo para armazenamento do Certificado Digital de forma segura. É um tipo de cartão plástico semelhante a um cartão de crédito.Brasil COMITÊ GESTOR DA ICP-BRASIL Determina as políticas a serem executadas pela AC Raiz AC RAIZ ITI Aplicação das políticas da ICP-Brasil AC Emite certificados vinculando pares de chaves criptográficas ao respectivo tilular Identifica presencialmente.token12. O certificado digital pode estar armazenado em um computador ou em outra mídia.

por exemplo.. O. Universidade Corporativa BB . para. ■ após utilizar o certificado digital.. seguindo recomendação da Federação Brasileira de Bancos - Febraban. A figura 13 traz o leiaute de referência da Receita Federal para os certificados e-CPF e e-CNPJ. Os titulares de certificado digital devem adotar os seguintes cuidados na sua utilização: 12 2 1 ■ não compartilhar com ninguém a senha de acesso à chave privada. como um escritório. Smartcards: leiaute de referência da Receita Federal para os certificados eCPF e e-CNPJ.11 Token USB Smart Card O Banco do Brasil. evitar o uso indevido. utilizar soluções de controle de acesso e de proteção ao sistema operacional. tem no máximo o logotipo do fabricante ou da empresa que emitiu o certificado (Figuras 11 e 12). . ■ em caso de comprometimento.smartcard é semelhante a um cartão de crédito e pode conter.12 Figura.. a figura 14 traz o modelo de leitora de smartcard. como senha de sistema ou protetor de tela protegido por senha. o CPF ou a foto do titular do certificado. Um token USB não tem nada disso. A Receita Federal é a responsável pela sua emissão. de sua chave privada.13 Leiaute de smartcard da RF Figura.14 Leitora de smartcard e-CPF e-CNPJ . Figura. o nome. adota e entrega aos cientes e usuários certificados ICP-Brasil armazenados em cartão inteligente - smartcard. 1 1 2 2 ■ em ambiente acessível a várias pessoas. ou suspeita de comprometimento. o e-CPF e o e-CNPJ são os certificados digitais mais conhecidos no mercado. retirá-lo da leitora de smartcard.86 ProGrama certificação interna em conhecimentos USB e um smartcard está no formato e no tipo de informações neles contidas. solicitar a imediata revogação do certificado. Atualmente.Figura. .

■ automatizar o processo de assinatura. Assinatura digital em contratos de câmbio Em 2004. ■ assinatura digital de contrato de câmbio. Com isso foi possível: ■ agilizar o processo de negócio relacionado à contratação de câmbio.serviços: ■ auto-atendimento internet pessoa física.Gestão de seGurança 87 No Banco. ■ troca de arquivos. Para permitir que serviços protegidos por sigilo fiscal sejam disponibilizados aos contribuintes na internet. ■ realizar retificação de pagamentos. ■ compensação digital. ■ providenciar cópia de pagamentos.os. ■ assinatura de notas e documentos nos diversos comitês. ■ alterar dados cadastrais. A utilização de certificados digitais pode ser estendida para outros serviços e soluções. ■ gerenciador financeiro. Há vários serviços que já estão disponíveis para o contribuinte via certificado digital: ■ obter cópia de declarações. ■ realizar transações relativas ao Sistema Integrado de Comércio Exterior. ■ negociar parcelamento. ■ reduzir a quantidade e o fluxo de papéis. ■ melhorar os mecanismos de controle. o Banco Central autorizou a assinatura digital em contratos de câmbio com a utilização de certificados digitais emitidos por entidades credenciadas na Infra-estrutura de Chaves Públicas Brasileira (ICP-Brasil). ■ pesquisar a situação fiscal.seguintes. a SRF criou o Centro de Atendimento Virtual ao Contribuinte conhecido como e-CAC. tais como: ■ gerenciamento eletrônico de documentos (GED). CURIOSIDADE Uso da Certificação Digital na Secretaria da Receita Federal. os clientes titulares de certificados ICP-Brasil já têm a sua disposição. Universidade Corporativa BB .

Resposta e Tratamento de Incidentes de Segurança no Brasil.por. PROTEÇÃO DA INFORMAÇÃO ProGrama certificação interna em conhecimentos Como dito anteriormente. Entretanto.. “Engenharia social é um método de ataque onde alguém faz uso da persuasão.mais. por conseqüência. para obter informações que podem ser utilizadas para ter acesso. estar mais preparadas para proteger a informação. as ameaças procuram por vulnerabilidades nos sistemas de proteção. mantido pelo Núcleo de Informação e Coordenação do Ponto Br (entidade civil.organização. Além disso. Para proteger o ativo informação. Universidade Corporativa BB . Todos os funcionários. causando incidentes de segurança e. não autorizado. devem ter em mente que as informações por eles manuseadas têm valor e seu vazamento pode causar grandes prejuízos para a organização onde trabalham.violento. sob a pena de serem responsabilizadas por algum incidente envolvendo vazamento de informações. muitas vezes abusando da ingenuidade ou confiança do usuário.o. atrapalha a condução e o crescimento das atividades do negócio”.ou.vital:. das portas detectoras de metais.meio. de softwares de proteção à rede (firewalls) e de centrais de monitoramento e prevenção de fraudes eletrônicas. Engenharia social Engenharia social é o conjunto de procedimentos e ações que são utilizados para. Atualmente.adquirir. que implementa as decisões e projetos do Comitê Gestor da Internet no Brasil).de.uma.as. é necessário buscar mecanismos que permitam preservar aquelas informações consideradas sensíveis ou estratégicas para o negócio. sem fins lucrativos.pessoa.que. do presidente ao escriturário.uma.de. São ferramentas caras.E. danos aos negócios da empresa. Normalmente. somente a implementação das ferramentas é insuficiente para garantir a proteção das informações.devem.88 3. a exemplo do circuito fechado de televisão.são.informações.exatamente. pessoas mal-intencionadas costumam iniciar sua abordagem para conseguir alguma informação a partir daquele elo da segurança considerado.as. contatos falsos sem o uso da força.br – Centro de Estudos.pessoas. existem várias ferramentas de proteção implementadas: sejam instrumentos que garantam a segurança do ambiente físico ou a segurança do ambiente lógico.de. do arrombamento físico ou de qualquer meio. em exagero.13 13 CERT. Grupo de resposta a incidentes de segurança para a Internet brasileira. Ferreira e Araújo (2006) comentam que “pouca ou nenhuma segurança deixa as organizações vulneráveis. a computadores ou informações”.pessoas.5.

adotava. estação. o pobre usuário procede rigorosamente ao processo de instalação de algum tipo de programa malicioso (spyware. estamos muito mais vulneráveis do que avaliamos. Sem validar se o sujeito é quem realmente diz ser. Kevin. Por isso. O engenheiro social faz contato e diz ser da área de help-desk. funcionários ou não. o invasor terá à sua disposição quase tudo o que é necessário para um ataque. malware. Em uma ligação telefônica ele se identifica. já que. worm. Informa. vírus etc) sem ter conhecimento que a ação está ocorrendo. infelizmente. “o sucesso no ataque de engenharia social ocorre geralmente quando os alvos são as pessoas ingênuas ou aquelas que simplesmente desconhecem as melhores práticas de segurança”. cargos etc. dentre eles o roubo de cerca de 20. sem grande esforço. que. solicitando os dados pessoais e profissionais. organogramas etc. oferecendo brindes para que o usuário participe de sorteios. O termo e a prática da engenharia social se popularizou graças ao hacker. ramais. é necessário que todos na organização estejam atentos. ■ por telefone: simular auxílio da área de informática.enviar. ■ inversa: fazer-se passar por uma autoridade da organização a partir dos conhecimentos adquiridos por meio da lista de ramais ou organograma. simulando funcionário da equipe técnica e solicitando informações restritas por meio de fax. ■ lixo: vasculhar o lixo para encontrar informações descartadas que possuem valor ou que forneçam dicas de ferramentas que podem ser utilizadas em um ataque de engenharia social. Tipos de ataque mais comuns: ■ no local de trabalho: pegar informação restrita (lista de ramais. técnicas como a procura de informações valiosas no lixo informático ou contatos telefônicos. Conseqüentemente. como um gerente ou diretor e pede as informações desejadas. por exemplo. tais como números de telefone. trabalho do usuário necessita de uma atualização de software.Gestão de seGurança 89 Isso acontece com muita freqüência e. conforme Ferreira e Araújo (2006). trojan. a.) que foi indevidamente exposta em locais por onde transitam pessoas.. condenado por vários crimes de informática. Em seu testemunho ao Congresso nos EUA. de.000 números de cartão de crédito. organogramas. relação de clientes. Universidade Corporativa BB . de forma que fique em conformidade com as demais da organização e mais segura (patch de emergência).e-mail publicitário. americano Kevin Mitnick. ■ on line:.

a empresa também deve adotar uma série de ações. o engenheiro social pode até mesmo ajudar a vítima. se tiver acesso à linguagem utilizada exclusivamente no local. a empresa deve classificar as informações - de forma a esclarecer aos funcionários o que pode ser divulgado e o que não pode - e implementar controles de acesso físico e lógico - de forma a minimizar a exposição das informações. As pessoas que estão sujeitas ao engenheiro social devem desconfiar de grandes promoções e das ofertas veiculadas na internet. A primeira ligação serve apenas para criar um canal de comunicação e estabelecer uma relação de confiança. Fica claro que a proteção da informação. e. Para prevenir incidentes relacionados a engenheiros sociais. O fraudador pode bloquear a comunicação do computador do interlocutor e se passar por alguém do help desk. o fraudador não tem pressa e volta a telefonar em outra ocasião. ex-colega ou colega atual (no caso de uma grande organização). Se estiver falando de alguém. Dessa forma. a vítima passa a confiar nele. Por fim. pois a engenharia social já oferecia vulnerabilidade suficiente: ele conseguia várias informações simplesmente perguntando aos funcionários das empresas. a empresa deve conscientizar os colaboradores a respeito do tema. o interlocutor pensa que o engenheiro social é uma pessoa de confiança. depende diretamente do comportamento de cada funcionário.90 ProGrama certificação interna em conhecimentos em 2000. ■ adquirem a confiança do interlocutor: com tantas informações. Também é necessá- Universidade Corporativa BB . pode alcançar seus objetivos facilmente. cita o nome com familiaridade e diz que é parente. cria-se um vínculo entre o fraudador e a vítima. Muitas vezes. Além disso. Com o tempo. o engenheiro social fala com propriedade sobre um determinado assunto. ajudando a resolver um problema que ele próprio plantou. ■ prestam favores: em caso de golpes e fraudes. Como os engenheiros sociais agem e buscam informações da organização? Veja as práticas mais comuns: ■ falam com conhecimento: ao contatar alguém da organização. Pode citar também departamentos e locais da organização. em casos de engenharia social. Kevin revelou que raramente precisava usar um ataque técnico. São necessárias a implementação formal da política de segurança da informação e a realização de treinamentos e palestras para os funcionários sobre o assunto.

antes da tecnologia. mais segura estará a organização.Gestão de seGurança 91 rio desconfiar sempre que for surpreendido por um telefonema de alguém que não conheça. de nada valerão os milhões investidos em recursos de tecnologia da informação se o fator humano for deixado em segundo plano. seja de forma acidental ou não. Lembre-se: a grande maioria dos incidentes tem a intervenção humana. A segurança está relacionada a pessoas e processos. A recomendação é nunca divulgar nada e pedir um número de retorno para verificar se a ligação é verdadeira. Universidade Corporativa BB . Conseqüentemente. Quanto mais bem preparados os funcionários.

.

▪ Identificar os quesitos e procedimentos de segurança na prevenção de fraudes documentais e eletrônicas. ▪ Identificar os cuidados necessários para o pagamento de valores elevados. ▪ Descrever os itens e procedimentos a serem observados no exame de documentos para assegurar sua autenticidade. integralidade e integridade.4 Segurança em produtoS. movimentação e encaixe de numerário. . ▪ Distinguir autenticidade. integralidade e integridade. serviços e processos. ServiçoS e proceSSoS Espera-se que ao final do estudo deste tema você possa: ▪ Conceituar segurança em produtos. ▪ Identificar procedimentos preventivos de segurança na guarda.

.

a integridade bem como a origem do documento. Contudo. sujeito de análise.duvidosa. principalmente. 4. geram perda de tempo. contratos. seja por recorte. cheque. Mas todo o empenho no desenvolvimento de novos produtos e serviços corre o risco de perder-se diante das artimanhas de pessoas mal intencionadas. está completo e inteiro e não sofreu mutilação ou complemento. AUTENTICIDADE Entende-se por autenticidade a certeza absoluta de que um objeto. As fraudes perpetradas acabam gerando prejuízos aos clientes. os processos de maior vulnerabilidade. abalam a confiança do cliente na Empresa.Gestão de seGurança 95 4. demandas judiciais e. CONCEITO Os produtos e serviços oferecidos aos clientes são planejados e elaborados por Unidades Estratégicas do Banco especializadas nessa atividade. pois o documento pode ter a sua integralidade garantida e ter a. colagem. ao Banco e até aos funcionários envolvidos no processo. danos financeiros. essas condições não são suficientes para garantir a autenticidade do documento. que chegam a estudar os procedimentos do Banco a fim de identificar e explorar. O indivíduo adultera ou forja todo tipo de documento – carteiras de identidade.origem. Universidade Corporativa BB . Para confirmar a autenticidade é necessário observar a integralidade. As ocorrências desgastam a imagem da Instituição.2. requisições e até sentenças judiciais – falsificando assinaturas. adulterando ou clonando dados de documentos. raspagem ou outra técnica.1. Segurança em produtos e serviços é a aplicação de um conjunto de quesitos de segurança e de controle para um determinado produto. serviço ou processo com a finalidade de reduzir os riscos de falhas e fraudes. Integralidade de documentos: é a garantia de que o documento apresenta as características físicas originais. provém das fontes anunciadas e que não foi alvo de modificações ao longo de um processo. em benefício próprio. As Unidades Estratégicas visam atender as necessidades dos clientes com a constante busca da excelência em produtos e serviços.

sobreposições. pois pode indicar a falsidade de um documento. seja esta física ou eletrônica (certificado digital). A autenticidade dos documentos de identificação e as informações fornecidas pelo cliente devem ser verificadas por funcionário qualificado para esta atividade. a autenticação de cópia em cartório apenas garante Universidade Corporativa BB . É primordial dispensar atenção especial aos procedimentos de acolhimento de documentos e informações cadastrais dos clientes. O exame das informações prestadas é realizado sempre a partir do documento original. A análise da regularidade de emissão e do conteúdo é um importante procedimento. Cópias de documentos. complementos ou supressão de dados.dados. Documentos e informações cadastrais Os documentos necessários para a identificação de pessoas - seja para abertura de conta corrente. segundo parecer do Serviço Jurídico do Banco. Garante inexistência de rasuras. é comum a conferência da assinatura do emitente. pois não permitem a execução de exames que garantam a sua integralidade e a integridade e. seja para o simples saque de um cheque – são legalmente estipulados. A aplicação de procedimentos básicos de segurança deve permear todas as situações de coleta de dados cadastrais. seja por lavagem química seja por outro meio de supressão ou substituição de. Para tanto. seja para a identificação ou para efeito de cadastro. Esses documentos estão relacionados nos normativos de cada produto. não devem ser aceitas.96 ProGrama certificação interna em conhecimentos Integridade dos dados de documentos: é a garantia da não corrupção dos dados e informações lançadas em cada campo do documento. Esta regra vale também quando envolver documentos para o estabelecimento de limite de crédito. mesmo que de boa qualidade ou autenticadas em cartório. Origem do documento: é a comprovação de que o documento foi confeccionado ou emitido pela fonte anunciada.

► fundo branco (para fotos preto e branco) e fundo claro (para fotos coloridas). ► CPF opcional nas cédulas de identidade somente a partir de 1984. ► vedada a abreviação de nome do portador.Gestão de seGurança 97 que se trata de cópia fiel do documento apresentado. ■ carteira nacional de habilitação ► arca d’água “CNH” e bandeira. não havendo garantias de sua autenticidade. legíveis e bem posicionadas. com fé pública e regulamentados por lei específica. ► posição frontal. ► vedação ao uso de óculos. Os documentos de identificação que apresentam prazo de vencimento só são aceitos dentro da data de validade. assinatura e carimbo identificador. m ► mpressão calcográfica. A ocorrência de falha no acolhimento de documentos pode acontecer pela inobservância dos procedimentos definidos na norma de cada produto ou de fraudes nos documentos. como a falsificação e adulteração do instrumento apresentado. ► a partir de 1984: foto 3x4. são relacionados os documentos mais freqüentemente apresentados pelos clientes e suas características. sem sorrisos e sem expressão facial. salvo raríssimas exceções. f Universidade Corporativa BB . perucas e adornos nas fotos. i ► icrocaracteres. Documento de identificação É o instrumento oficial que tem a finalidade de comprovar a identidade de uma pessoa física. f ► magem latente “CNH”. i ► oto digitalizada. São considerados documentos de identidade todos os emitidos por autoridade competente. ■ cédulas de identidade (RG): emitidas pelas Secretarias de Segurança Pública Estaduais ou Institutos de Identificação ► contêm obrigatoriamente: número de registro. microperfurada com a sigla do órgão emissor. a assinatura e a chancela do diretor responsável pelo órgão emissor devem estar limpas. m ► undo camuflado “Bandeira Nacional”. data da emissão. A seguir.

destina. gov. fi ProGrama certificação interna em conhecimentos ► erso com efeito íris. considerando o produto. ► na CTP.serviço. sensível a cópia colorida. com emissão e e fé pública regulada em Lei.se. ► consumo dos últimos meses.a.que. ► data da leitura/emissão/vencimento. título ou certificado de propriedade etc. registro de férias). ■ comprovante de rendimentos ► compatibilidade entre o rendimento e o cargo ou função declarados. ■ comprovante de bens A comprovação de bens junto ao Banco deve ser feita com a apresentação de documentos de propriedade. O exame desses documentos deve ser realizado por funcionário com capacitação técnica. ■ comprovante de endereço ► número do identificador do usuário. Suas características devem ser verificadas junto aos órgãos ou entidades emitentes. IRRF e FGTS. competência e alçada para tal. v ■ carteira de identidade de profissional ► mitidas por entidades de classe e órgãos do Estado. Clientes portadores de CPF com status pendente. ► o teto máximo para recolhimento do INSS. Outros documentos cadastrais ■ CPF Cada indivíduo tem apenas um CPF e este deve estar em situação normal junto a Receita Federal. seja por site.fazenda. A pesquisa pode ser realizada no site da receita (www. lei que regulamenta a emissão ou documento interno.ou. verificar contrato de trabalho (data de assinatura.br) ou diretamente pelo aplicativo CLIENTES-40. cancelado ou suspenso devem providenciar a regularização junto a Receita Federal.98 ► bras coloridas e fluorescentes.receita. Universidade Corporativa BB . por exemplo. A existência de mais de um CPF para a mesma pessoa é motivo suficiente para o encaminhamento do caso ao administrador da dependência para análise mais detida.

deve ser utilizada a carta precatória. as agências submetem ao Serviço Jurídico todos os mandados judiciais quando envolverem: ■ conglomerado Banco do Brasil como uma das partes. regularidade de seu conteúdo e a assinatura do juiz que o expediu e. Devido à complexidade do tema. nos autos do processo que o originou. por decisão administrativa. é necessário fazermos a diferenciação entre eles: ■ mandado judicial é uma ordem emanada do juiz nos autos de um processo. intimação e notificação Para um melhor detalhamento dos procedimentos no acolhimento desses documentos. Mandado judicial.Gestão de seGurança 99 É exigida a apresentação de documento original e depois de examinado. pelo oficial de justiça. em virtude de lei. o juiz da comarca de origem encaminha uma carta para o juiz da comarca de destino para que seja expedido o mandado judicial. Em caso de comarcas distintas. juizados diferentes. a ser cumprida. citação. tais como cartórios de registro de imóveis. DETRAN etc. ou seja. com as três partes envolvidas no litígio devidamente ligadas: autor. A autenticidade é confirmada com o exame dos aspectos físicos do documento. citação. ■ citação consiste no ato processual no qual a parte ré é comunicada de que se lhe está sendo movido um processo e a partir da qual a relação triangular deste se fecha. intimação ou notificação. perante o poder judiciário. réu e juiz. ■ notificação é o ato por meio do qual se pode dar conhecimento oficial e legal do texto de um documento registrado a determinada pessoa. Universidade Corporativa BB . ainda. em regra. auxiliar do juízo encarregado das diligências externas. conforme o caso. A origem dos documentos pode ser confirmada junto aos emissores. ■ intimação é uma comunicação escrita expedida por juiz e que leva às partes conhecimento de atos e termos do processo e que solicita às partes que façam ou deixem de fazer algo. ■ cartas precatórias. são extraídas cópias para arquivo no Banco. subscrita pelo juiz ou pelo escrivão ou chefe de cartório.

O outorgante comparece ao cartório. Procuração particular: é emitida pelo outorgante e não há necessidade de registro em cartório ou qualquer órgão. se instrumento particular. ■ ser revigorada a cada dois anos. O acolhimento da procuração deve ser precedido de exames para constatar sua autenticidade. é identificado e manifesta a outorga de poderes ao tabelião. Procuração e representação Procuração. integridade e integralidade. praticar atos ou administrar interesses. Caso ocorra tentativa de coação ou suspeita de irregularidade a agência deve manter contato com a Regional de Segurança – Reseg – e com o Serviço Jurídico jurisdicionantes. por medida administrativa. Procuração pública: é emitida em cartório e firmada pelo tabelião. ■ valores estabelecidos nas normas. Essas condições não impedem consulta ao serviço jurídico quando restarem dúvidas acerca do acolhimento do mandado. A procuração deve ser acolhida e examinada por funcionário detentor de comissão do segmento gerencial.. além da conferência da assinatura do tabelião e/ou do outorgante. com base na via original do documento e de acordo com os procedimentos descritos nos normativos do Banco. As procurações podem ser públicas ou particulares. art. ■ venda ou transferência de ações ou de dividendos e bonificações. Além disso. segundo o Código Civil. 653. o Banco determina que qualquer procuração recebida deve: ■ ter a assinatura do outorgante reconhecida em cartório. que providência a emissão da procuração pública.100 ProGrama certificação interna em conhecimentos ■ contas em outras agências. Universidade Corporativa BB . é o instrumento de mandato. em seu nome. a contar da data de emissão do documento. onde alguém recebe de outrem poderes para.

mas uma das atividades principais ainda é a guarda e movimentação de numerário. GUARDA. pagamentos e recebimentos diversos (títulos. Esta situação desperta o interesse de criminosos e obriga o Banco a adotar medidas para proteger os valores. não apresenta todos os elementos de convicção da escrita. prejudicando o exame da assinatura. à ordem do Banco Central. o funcionário pode solicitar a apresentação de outro documento de identificação que contenha a assinatura original. Os cuidados são previstos em normas e seu cumprimento contribui para a segurança de todas as pessoas que traba- Universidade Corporativa BB . ainda tem a função de custodiar e sanear o numerário para as demais instituições financeiras. têm as assinaturas dos titulares digitalizadas e. O Banco do Brasil. que visa verificar a autenticidade dos grafismos ou determinar a sua autoria. também. MOVIMENTAÇÃO E ENCAIXE DE NUMERÁRIO Atualmente os bancos oferecem um enorme leque de produtos e serviços para a população. uma vez que não possibilitam a conferência das assinaturas. Nesse caso. 4. o reconhecimento da firma do outorgante em cartório pode ser dispensado.origem. por isso. Para realização de exame de conferência de assinaturas o funcionário deve estar capacitado para tal e. Conferência de assinaturas A conferência da assinatura baseia-se na observação sistemática.3. além de custodiar o numerário destinado às transações de saques.Gestão de seGurança 101 De acordo com os normativos do Banco e a critério da administração da unidade.da. Cópias. Essa técnica é conhecida como grafoscopia que literalmente significa observação do escrito. Alguns documentos de identificação.). detecção de adulterações e garantia. ordens de pagamento etc. impostos. estar investido de competência e alçada necessárias. depósitos. por meio das características que os individualizam. fax e arquivos digitalizados não são aceitos pelo Banco. considerando as especificidades de alguns serviços e documentos. como a CNH.

Essas informações também são captadas pelos bandidos ou seus informantes e podem servir de subsídio para uma ação de seqüestro ou assalto. O segredo deve ser trocado sempre que sua guarda for transferida para outro funcionário. para o controle do saldo da unidade. movimentação.102 ProGrama certificação interna em conhecimentos lham ou transitam pelas unidades. exceto em unidades dotadas de apenas um funcionário. Lembre-se que quanto maior for o “atrativo”. além do patrimônio da empresa. Quando o cofre for trancado. da. Entre outras. informação. as chaves e o segredo do cofre devem ser rodiziados periodicamente e permanecerem sob a guarda de funcionários distintos. Os principais cuidados quanto à movimentação de numerário são: ■ informações sigilosas:. toda. identificação da empresa de alarme. horário de abertura do cofre. nome e rotina dos responsáveis pela tesouraria ou pelo abastecimento dos terminais. O cofre deve ser trancado no máximo até duas horas após o encerramento do expediente externo (fechamento da unidade ao público). ■ utilização do cofre ou casa forte: o cofre ou casa forte deve permanecer trancado. O numerário deve ser distribuído nas prateleiras do cofre. ■ saldo de numerário mantido nas unidades: deve ser o suficiente para atender a demanda da agência. Universidade Corporativa BB . Portanto. por exemplo. Isto porque alguns cofres são arrombados apenas com a abertura de um buraco em uma de suas laterais. recebimento de reforço ou alívio de numerário (inclusive data e hora das remessas). valores de depósitos ou de saques de clientes ou de outros bancos. a. As normas prevêem que a programação da fechadura permita a abertura do cofre 15 minutos antes do expediente externo. devendo ser aberto apenas pelo período estritamente necessário para a guarda ou retirada de numerário ou documentos. é imprescindível o gerenciamento do fluxo de numerário. ouvir funcionários citando o nome do colega que vai abrir o cofre ou abastecer os terminais. respeito. de forma a quem guardar o segredo não ter a guarda das chaves. a dificuldade para retirar todo o numerário será muito maior se estiver distribuído. considerando o limite de numerário e a possibilidade de reforço ou alívio do numerário excedente. de numerário deve ser tratada com o máximo sigilo e seu conhecimento deve estar restrito aos funcionários responsáveis pelos processos. da tesouraria e de terminais. mais sujeita a ações criminosas fica a agência. ■ guarda do segredo e chaves do cofre: além da discrição sobre estas informações. estão as informações sobre saldo de baús. a fechadura de retardo deve ser ativada. É comum.

PAGAMENTOS DE VALORES ELEVADOS O Banco estabelece alçadas e competências para realização de procedimentos. esta deve ser sempre acompanhada de funcionário do Banco. outra pessoa entra no corredor e subtrai o numerário e/ou os envelopes que ficaram sem proteção. Universidade Corporativa BB . guarda e controle do numerário. a definição dos limites operacionais para liquidação de cheques oriundos da compensação e para pagamento no caixa é de competência do Comitê de Administração da dependência e são atribuídas aos níveis dois e três no sistema on line. É necessário extremo cuidado e atenção. responsável pelo setor ou serviço. corredor de abastecimento e os próprios terminais. Enquanto isso. Pode haver o mesmo tipo de ocorrência nos demais ambientes. 4. o numerário fica dividido em vários locais.4. a exemplo do abastecimento ou do recolhimento de envelopes dos terminais. processamento do SAO e atendimento aos clientes. As transações que extrapolam a alçada estabelecida para o nível três são autorizadas exclusivamente por administrador. sala de processamento do SAO. É muito comum a ocorrência de furtos durante estes processos. sempre que o controle de acesso e a guarda do numerário não receber a necessária atenção.Gestão de seGurança 103 Principalmente nas agências. O controle de acesso a estes ambientes deve ser rigoroso e restrito apenas aos funcionários responsáveis pelos processos de recolhimento de envelopes. principalmente para aqueles que envolvem transações financeiras. bateria de caixas. para que o numerário não seja deixado sem acompanhamento de funcionário durante os diversos processos realizados pelas unidades. Alguns processos apresentam grande fragilidade. Recomenda-se que o processo seja realizado por dois funcionários e que o serviço de vigilância seja alertado. São os ambientes com acesso restrito: tesouraria. Nas agências. abastecimento de terminais de saques. Quando necessária a presença de prestadores de serviço. Os criminosos têm a habilidade de interromper o serviço e distrair o funcionário durante a operação. principalmente quando realizados apenas por um funcionário. consideradas as necessidades diárias.

os quais são utilizados para a verificação da autenticidade do documento em conjunto com Universidade Corporativa BB . as normas dos respectivos produtos ou serviços devem ser consultadas sempre que necessário. para pagamento ao beneficiário do cheque. os sistemas corporativos mantêm registro do usuário. há necessidade de assinatura do cliente. Algumas autorizações são efetuadas pela Unidade Alta Renda ou pelas Superintendências. contra-ordem etc. da dependência. Controle ou log Para acompanhamento e eventual apuração de irregularidade. e deve registrar no documento a expressão “paguese” seguida de rubrica. Os cheques são produzidos em papel especial e são dotados de um conjunto de itens de segurança.. as autorizações devem ser realizadas observando-se a lateralidade definida para os respectivos produtos e serviços.104 ProGrama certificação interna em conhecimentos O autorizador é co-responsável pelo exame dos documentos e assinaturas. Ausência de administradores Na ausência dos administradores das unidades.5. de próprio punho.remetidos. sendo alguns físicos outros eletrônicos. da data e do horário de acesso às transações realizadas.). assim como possíveis ocorrências apontadas pelo sistema (insuficiência de saldo.pelos.Correios. CHEQUE Cheque é uma ordem de pagamento à vista expedida contra um banco sobre fundos depositados na conta do emitente. Quando solicitado. ou senha. conforme o caso. Os cheques são produzidos pelo Banco e fornecidos aos seus clientes em suas agências ou terminais de auto-atendimento. 4. Em ambos os casos. Os cheques são entregues aos clientes mediante pedido formal. Considerando que nem sempre as alçadas e competências são controladas pelos sistemas corporativos. podem ser. seja por requisição física ou eletrônica nos terminais.

4. normalmente financeiras. Para efeito de controle e manutenção de bases de informações estatísticas e gerenciais.emitente.15 Quesitos de segurança física do cheque 1 2 3 4 1.Gestão de seGurança 105 a. A incidência de fraudes praticadas contra clientes de bancos segue em tendência crescente.do. Os quesitos de segurança físicos do cheque que devem ser observados na sua liquidação ou pagamento constam da figura 15: Figura. internamente. banhos químicos e outras modalidades de fraudes no cheque. caracteres pequenos dificultando adulterações nesses campos. 4. 2. na mesma medida em que aumenta a diversidade de recursos tecnológicos que surgem no mercado e também de canais de acessos disponibilizados aos clientes bancários. caracteres numéricos vazados com repetição em negativo. as fraudes praticadas contra clientes do BB são classificadas. fraude é um ato praticado com a intenção de prejudicar alguém. 3. CONTESTAÇÃO DE DÉBITO De maneira geral. ausência das barras divisórias. leiaute e cores que dificultam adulterações e propiciam a identificação de raspagens. por meio de práticas ilícitas contra clientes. fraudes são ações que visam obter vantagens.6.assinatura. No contexto bancário. como: Universidade Corporativa BB .

caso não seja identificada a origem do lançamento. Elas são de propriedade de cada bandeira (Visa. a contestação é deferida ou não. Nesse caso. não pertencendo a uma bandeira específica. o processo é conduzido de forma a verificar se houve fraude. dependendo dos valores envolvidos. Podemos citar. No mundo das operadoras de cartão. e desde que não seja decorrente de uma falha já confirmada de sistema. Quando o lançamento contestado pelo cliente refere-se a um débito em sua conta. As normas estabelecem prazos para que esses procedimentos sejam cumpridos por parte de cada uma dessas dependências e. quando não reconhece algum lançamento em sua conta. No primeiro caso o valor contestado é devolvido ao cliente. também por instâncias superiores e até Regionais de Segurança do BB. também da empresa que. efetua a conexão com a rede de uma ou mais bandeira. Esses equipamentos são conhecidos como PDV quando. pontos de venda (POS.14 No Banco do Brasil isto não é diferente e estes canais são customizados para cada segmento de cliente. as maquinetas existentes em padarias e em pequenos comércios em geral. códigos de acesso e cadastramento. no entanto.). Os equipamentos instalados nos caixas de grandes supermercados são o exemplo mais comum de PDV. A depender do que for apurado no processo. lotéricos. internet. por sua vez. a empresa protege as informações que transitam nesses canais por meio de ferramentas como senhas. Prevenção a fraudes nos canais de auto-atendimento As instituições financeiras disponibilizam inúmeros serviços nos seus canais de atendimento tais como os terminais de auto-atendimento (TAA). PDV).. há uma diferença significativa entre POS e PDV: POS são aquelas maquinetas utilizadas no comércio em geral..106 ■ fraudes eletrônicas ■ fraudes documentais ProGrama certificação interna em conhecimentos Essa classificação é transparente para o cliente que. em regra. dirige-se a uma agência do banco para formalizar a contestação. estão instalados em rede privativa de uma empresa e conectados a um servidor central. Master. rede compartilhada. é aberto um processo no qual serão analisadas as circunstâncias em que ele foi gerado. 14 Conceitualmente. para que o cliente receba a resposta final do Banco em relação à sua contestação. Alinhada às melhores práticas do mercado e aos conceitos de segurança da informação. também. POS é a sigla em inglês: Point Of Sale. PDV e POS são exatamente a mesma coisa: Ponto De Venda. Durante a verificação preliminar que é feita na agência. como exemplo de POS. Universidade Corporativa BB . Banco 24 horas etc. seguem-se procedimentos específicos que devem ser observados pela agência e. onde passamos nossos cartões para efetuar pagamentos.

sempre com o objetivo de proporcionar níveis adequados de segurança na experiência de relacionamento com o cliente. Banco 24h etc. para o cliente pessoa física. a realização de operações financeiras e outras transações que apresentam maior criticidade. e. ou uma combinação de letras e sílabas. transferências e outras transações que apresentam maior criticidade. que podem ser utilizadas isoladamente ou combinadas entre si. por exemplo. de forma automática. POS. para o cliente. três sílabas. escolher a combinação das letras. ■ senha de oito dígitos: é a senha exigida para autenticar o cliente no acesso à sua conta pelo canal auto-atendimento internet. utilizada por clientes pessoa física. O código de acesso é gerado exclusivamente nos TAA do Banco do Brasil. lotéricos. ► para confirmar. pode ser composta por três letras. ► para autenticação do acesso inicial à CABB. Senha numérica ■ senha de quatro dígitos: é exigida na Central de Atendimento Banco do Brasil -CABB para confirmar transações de pagamentos. PDV. no canal auto-atendimento internet.Gestão de seGurança 107 Assim. o Banco do Brasil utiliza três modalidades de senhas numéricas e uma alfabética. O código de acesso é impresso quando o cliente acessa sua conta Universidade Corporativa BB . Nos exemplos abaixo. O código de acesso é exigido para confirmar a realização de transações financeiras. bem como outras transações consideradas de maior criticidade. ■ senha de seis dígitos: é exigida em três circunstâncias: ► para a realização de operações financeiras. vai ficar claro como os conceitos apresentados no tópico Segurança da Informação são aplicados na prática. Senha Alfabética Essa modalidade de senha. do. para clientes do segmento pessoa física. disponibilizadas em canais que exigem a passagem do cartão: TAA. esta conhecida como Código de Acesso. rede compartilhada. não sendo possível.. são disponibilizadas modalidades diferenciadas de senhas. Atualmente. tipo de transação que é efetuada. nos canais que utilizam cartão15. dependendo do tipo de canal. utilizado. como a alteração de cadastro. ou de consulta.

alfanuméricas e alfabéticas. governo o acesso a transações de conta corrente também requer a utilização de senhas que podem ser numéricas. ou em situações específicas. rede compartilhada. Algumas diferenças em relação à pessoa física podem ser observadas: Senha Numérica ■ senha de quatro dígitos: é exigida para acesso à CABB. dependendo do canal de atendimento utilizado e do tipo de transação a ser efetuada. Senha alfanumérica ■ é a senha utilizada para acesso inicial ao canal internet. e. Banco 24h e rede compartilhada. As demais regras definidas para clientes pessoa física aplicam-se também para a pessoa jurídica. lotéricos. para esses clientes. 15 O Código de Acesso é exigido nos TAA. Senha alfabética ■ a diferença em relação a pessoa física é que.108 ProGrama certificação interna em conhecimentos pela primeira vez em um TAA. no intuito de garantir níveis mais elevados de segurança para os clientes que efetuam transações financeiras. por exemplo. como. em relação ao auto-atendimento na internet. Banco 24h etc. o código de acesso é composto por três letras. o Banco do Brasil criou algumas soluções de segurança. disponibilizadas em canais que exigem o uso do cartão: TAA. transferências e outras transações que apresentam maior criticidade. ■ senha de oito dígitos: senha utilizada no canal internet (auto-atendimento PJ ou auto-atendimento Setor Público) para confirmar transações financeiras e transações de maior criticidade. ■ senha de seis dígitos: é exigida para a realização de operações financeiras ou de consulta. Para clientes pessoa jurídica. protegendo-o durante sua navegação pelas páginas do BB na Internet. PDV. Clientes PJ e Governo não dispõem de transações financeiras pela CABB. Algumas dessas soluções atuam de forma praticamente transparente para o cliente. Finalmente. POS. que usam essa senha para confirmar transações de pagamentos. quando o cliente esquece seu código atual ou quando o código é bloqueado por algum motivo. comandadas pela agência. COBAN MT e Banco Popular do Brasil Universidade Corporativa BB . diferentemente da regra para clientes pessoa física.

o documento é submetido à lavagem com produto químico para a retirada da escrita original de modo a permitir as alterações pretendidas. ■ banho químico: nessa modalidade de fraude. mas podem ocorrer em qualquer outro documento. como alterações de cadastro e recarga de celular pré-pago. a adesão ao cadastramento de computadores ainda é facultativa. extenso e favorecido. Cliente pessoa física (auto-atendimento PF) que adere ao cadastramento de computadores tem compensações. que exige uma manifestação efetiva de aceitação por parte do cliente. Clientes pessoa jurídica e governo. o acesso à maior parte das transações de consulta é liberado para clientes que não aderem ao cadastramento de computadores. por exemplo. No caso dos cheques essa Universidade Corporativa BB . O papel se descola permitindo a identificação da adulteração. ► anusear o documento. em seu acolhimento: ■ recorte e colagem: esse tipo de fraude ocorre quando o falsário substitui parte do documento original. só utilizam o canal internet por meio de computadores cadastrados. Fraudes documentais As modalidades de fraudes a seguir são comumente encontradas nos cheques. Essa fraude é detectada quando se adota alguns procedimentos como: ► bservar o documento contra a luz (os campos colados ficam normalo mente escurecidos). possuindo regras específicas de uso. ganham limites mais elevados para realizar essas transações. Por ser uma adesão facultativa. provocando o arqueamento nos sentidos hom rizontal e vertical. Geralmente são adulterados os campos referentes a valor numérico. Para clientes pessoa física. além disso. algumas transações. Além disso. destacamos o cadastramento de computador. Primeiro passam a ter mais segurança ao efetuar suas transações financeiras pela Internet e. no entanto.Gestão de seGurança 109 Entre essas soluções. são restritas a computadores cadastrados. A medida de segurança adequada para evitar essas ocorrências é o exame cuidadoso dos documentos.

A apresentação de cheque com numeração não cadastrada gera a ocorrência “cheque não pertence à conta”. pedra-pome etc. caracteres disformes. quando houver divergências. ■ raspagem: a adulteração nessa modalidade é feita pelo processo físico. A assinatura do cheque pode ser reproduzida por meio de impressão ou Universidade Corporativa BB . com ou sem o uso de folha de cheque original obtida de forma espúria ou extraviada.sua.liquidação. Caso o cheque já tenha sido liquidado.110 ProGrama certificação interna em conhecimentos adulteração ocorre nos campos destinados aos valores numérico e extenso. lâmina metálica. de modo a permitir as alterações pretendidas. nos campos dos valores extenso e numérico. início da escrita do valor por extenso em cima da expressão impressa “quantia de” desnecessariamente. Os quesitos de segurança eletrônicos do cheque que devem ser observados na. Na compensação é gerada a ocorrência “banda magnética inválida”. Indícios dessa fraude são o clareamento na coloração de fundo do cheque (frente e verso).são: ■ cheque cadastrado: os cheques fornecidos para os clientes têm sua numeração cadastrada para a respectiva conta. como a divergência de grafismo no mesmo texto. a supressão de linhas. ao ser apresentado novamente gera a ocorrência “cheque já baixado”.fraudes: ■ clonagem: neste tipo de fraude é utilizado um programa de computador para imprimir os dados similares a de um cheque existente.pagamento. ■ banda magnética inválida: todos os campos do CMC-7 (banda magnética) são verificados.de. ■ situação do cheque: os cheques cadastrados têm a sua situação controlada pelo sistema. que remove as fibras superficiais. o sistema não permite o pagamento. marcas de raspagens nos campos preenchíveis. ■ controle de contra-ordem: o sistema apresenta a existência de contraordem ou oposição de pagamento para o cheque apresentado. No caixa.ou. Alguns detalhes denunciam a raspagem. lixa. tonalidades diferentes da tinta e manchas diversas. que consiste na raspagem utilizando borracha.. Os quesitos de segurança eletrônicos do cheque visam obstar as seguintes modalidades. indicando que a agência deve redobrar a atenção e analisar com cuidado o documento.

■ reprocessamento de cheques roubados ou extraviados após a liquidação: a fraude consiste em reapresentar para pagamento cheques já liquidados ou em compensação obtidos de forma espúria (roubados ou extraviados). Universidade Corporativa BB . se a assinatura for fácil de ser imitada.Gestão de seGurança 111 por falsificação manual.

.

▪ Conceituar estratégia de continuidade de negócios. ▪ Reconhecer papéis e responsabilidades na Gestão da Continuidade de Negócios no BB. ▪ Identificar a influência da Gestão da Continuidade de Negócios no desempenho das instituições financeiras.5 geStão da continuidade de negócioS Espera-se que ao final do estudo deste tema você possa: ▪ Conceituar Gestão da Continuidade de Negócios. ▪ Distinguir procedimentos e aspectos a serem considerados na construção e avaliação do Plano de Continuidade de Negócios. . ▪ Descrever o ciclo do processo de Gestão da Continuidade de Negócios. ▪ Identificar aspectos que regulam a Gestão da Continuidade de Negócios. ▪ Identificar cenários de ameaça a serem abordados na elaboração dos planos de continuidade de negócios do BB. ▪ Descrever o modelo e ciclo da Gestão da Continuidade de Negócios no Banco do Brasil.

.

turbulento. de que era necessário prover condições de recuperação de desastres para sistemas de informação. paradas decorrentes de problemas em sua infra-estrutura tecnológica.extremamente.as.serviços.e.estão. Ao adotar a gestão da continuidade. Tradicionalmente. O conceito de continuidade de negócios foi desenvolvido a partir da metade da década de 80. causadas por incidentes de menor nível de relevância. negação de acesso aos sistemas informatizados ou perda de um fornecedor chave.nova. como uma nova maneira de gerenciar os riscos de negócio.das.mais.animais. os Planos de Recuperação de Desastre (PRD) concentravam-se na restauração das instalações físicas após a ocorrência de graves incidentes (perdas da capacidade de processamento ou de telecomunicações.disponibilizarem. Uma em cada cinco organizações do Reino Unido sofre paralisações em suas atividades a cada ano. a qualquer tempo e sob quaisquer circunstâncias.eventos.que.alguns.são. Atividades terroristas. as organizações estão mais bem preparadas para superar os desafios de uma interrupção qualquer que seja a sua causa. tais como incêndios. CONCEITOS A gestão da continuidade de negócios - GCN é uma disciplina de gestão relativamente. E não são apenas estes eventos que podem causar rupturas na continuidade das operações de negócio. que podem resultar em interrupções em larga escala.inseridas. perdas das edificações devido a incêndios ou inundações).tornou.dos.muito. Estes eventos podem não impactar toda a coletividade em que a organização está inserida. interrupção na cadeia de suprimento e ameaças de pandemias.relevantes.seus. doenças.em. mas pode levá-la a perder clientes ou a ter problemas em seu fluxo de caixa.ambiente.humanas.se.organizações.produtos. A GCN desenvolveu-se em contraponto à visão existente na década de 70.Gestão de seGurança 115 5. A responsabilidade sobre esses planos era dispersa em vários segmentos organizacionais dentro da empresa. Tipicamente eram feitos pelas áreas responsáveis pela TI ou pela segurança.e. falhas ou danos nas instalações físicas.importante.organizações.exemplos.que.o.dado. mudanças climáticas drásticas. impactando a capacidade. Em geral. A base da GCN é o comprometimento do corpo diretivo da organização em garantir a continuidade das funções de negócio.1. os PRD eram escritos baseados nas premissas da ocorrência de um evento de interrupção e da Universidade Corporativa BB .

mas também em estabelecer uma cultura que busque construir maior resiliência.16. A GCN revela a capacidade estratégica e tática da organização para planejar e responder a incidentes e interrupção em seus negócios. Pesquisas realizadas demonstram que o impacto de desastres no valor de mercado das ações das empresas pode ser significativo. no sentido de manter capacidade operacional que atenda seus clientes e demais intervenientes. Não contempla medidas puramente reativas a se adotar depois que um incidente ocorre. interrupção ou perda da capacidade de fornecer produtos e serviços. eventos inesperados não acontecem de repente. não somente na reação à ocorrência de incidentes. Exames mais apurados das causas dos principais desastres demonstram que são decorrentes da combinação dessas fragilidades. a GCN visa garantir a sobrevivência das organizações mesmo diante de situações de interrupção nas suas atividades. quando e se eles ocorrerem. com planejamento abrangendo todas as esferas. a GCN age proativamente ao estabelecer os fundamentos estratégicos e operacionais para desenvolvimento da resiliência da organização a eventos causadores de ruptura. de modo a garantir o retorno dos negócios à normalidade no menor período possível. Universidade Corporativa BB . ProGrama certificação interna em conhecimentos Porém. Em resumo. A gestão da continuidade de negócios é focada na prevenção. proteger sua imagem e sua marca. forma a garantir a entrega de produtos e serviços aos clientes. Em outras palavras. muito freqüentemente têm sua causa-raiz na própria organização. uma vez que a resiliência depende igualmente dos níveis gerenciais e operacionais e da tecnologia.116 adoção de medidas de recuperação. A falta de confiança na capacidade dos gestores em agir rápida e profissionalmente em caso de desastre são as causas principais dessa desvalorização. Ao focar no impacto da interrupção e identificar os produtos e serviços mais 16 Resiliência é a capacidade de uma organização de se adequar à nova realidade após os efeitos de um incidente. graves ameaças ou crises corporativas. Todas organizações possuem fragilidades e podem ficar sujeitas a possibilidades de exploração de suas vulnerabilidades.de. Não diz respeito única e exclusivamente à capacidade de lidar com incidentes. Requer uma abordagem holística. administrando a interrupção e garantindo a resiliência necessária ao enfrentamento da crise.

Essa visão do ambiente negocial. ■ a velocidade com que o dinheiro e os valores mobiliários circulam diariamente consolida o nível de interdependência das instituições financeiras sob a forma de risco de liquidação e. incluindo: ■ o papel crucial que a intermediação financeira desempenha em facilitar e promover as atividades econômicas nacionais e mundiais. provendo uma visão realista da situação e os meios para minimizar os impactos provocados pela crise. ■ a interrupção dos processos de compensação e liquidação. nem todos os funcionários estarão disponíveis para a organização durante ou imediatamente após incidentes ou desastres. não considera somente as questões técnicas. com o retorno das operações críticas a níveis aceitáveis e pré-definidos. podem ser atingidos pela mesma ocorrência que deu origem a algum tipo de interrupção e que. a GCN se alinha à gestão de riscos. como resultado. Universidade Corporativa BB . A GCN tem em seu escopo um conjunto de atividades que inclui o conhecimento da organização e de suas necessidades estratégicas. pode ter efeitos adversos para o sistema financeiro como um todo e impedir que os participantes completem operações e cumpram suas obrigações. e possivelmente suas famílias. Porém. ■ a possibilidade de ataques terroristas ou outros ataques orientados. risco de crédito e de liquidez.Gestão de seGurança 117 críticos para a sobrevivência da organização. garante à organização vantagem competitiva e redução em seus riscos operacionais. Este interesse é resultado de múltiplos fatores. a definição de estratégias de continuidade de negócios. Esses atores têm interesse comum no aumento da capacidade de resiliência do sistema financeiro frente a grandes interrupções. GCN nas instituições financeiras A continuidade de negócios é prioridade para a indústria financeira e para as autoridades e reguladores do setor. direta ou indiretamente. o desenvolvimento e implementação das respostas aos incidentes que provoquem a interrupção na continuidade de negócios e a manutenção e revisão dos planos de continuidade. em última análise. feito de modo concentrado na maioria dos países. Reconhece que os funcionários. à infra-estrutura do sistema financeiro. O resultado de uma interrupção em uma instituição financeira participante do sistema pode afetar outra com sérias implicações por meio do efeito sistêmico. mas também a dimensão humana.

Universidade Corporativa BB . Graficamente. tais como telecomunicações e energia. como a crescente complexidade e o risco operacional em todas as áreas do sistema financeiro. Ao mesmo tempo. ao definir os processos críticos. e fornece à indústria financeira e às autoridades financeiras uma maior flexibilidade para tratar um amplo leque de interrupções. as autoridades financeiras e a indústria financeira não têm controle direto sobre as suas decisões. Compatível com o foco em preservar a funcionalidade de um sistema financeiro.118 ProGrama certificação interna em conhecimentos ■ repetidas ou prolongadas interrupções no funcionamento de um sistema financeiro podem minar a confiança e resultar em uma retirada de capital afetando o sistema nacional e global. A estrutura de GCN A visão mais aceita do assunto percebe a GCN como um ciclo que permite compreender melhor a organização e prepará-la para o enfrentamento de crises. As lições que se aprende com a experiência do passado. em oposição à origem da interrupção. depende dos elementos da infra-estrutura física que dão suporte a automatização. outros elementos. Enquanto as organizações que fornecem as instalações e os serviços. por sua vez. o sistema financeiro é profundamente dependente da automatização que. podemos entender esse ciclo como demonstrado na figura 16. estão empenhadas em melhorar a sua capacidade para suportar grandes interrupções. quando da ocorrência destas interrupções. desenvolver e testar os planos de continuidade. que incluem a infra-estrutura física. A gestão eficaz da continuidade de negócios concentra-se no impacto causado. Por exemplo. definir as estratégias de continuidade de negócios. determinar responsabilidades. são aplicáveis a uma audiência mais ampla. no entanto. fazer a avaliação de risco e impacto destes processos. aumentam o desafio de implementar a capacidade de resiliência. as autoridades financeiras tendem a priorizar os participantes críticos do mercado. A confiança do público é muito importante para o funcionamento dos sistemas financeiros.

■ por um programa de comunicação e gestão de crise.Gestão de seGurança 119 Figura. ■ por um programa de testes. categorizadas de acordo com sua prioridade de retomada. formação e sensibilização dos funcionários. definindo recursos e responsáveis. perceber o seu foco de atuação e observar quais processos são essenciais para o sucesso nos negócios. Com essa visão. os responsáveis pelos processos podem avaliar o tempo de retomada em relação ao custo de implementação de determinada estratégia de continuidade. Como funciona o ciclo de GCN? Em primeiro lugar é necessário compreender o negócio em sua totalidade. ■ pelas estratégias de recuperação e os planos de continuidade. A existência de uma política de GCN definida e aprovada na esfera decisória superior da organização é fundamental como Universidade Corporativa BB . direcionando suas decisões de acordo com o risco que empresa está preparada para aceitar ou se expor.16 Ciclo de gestão da continuidade de negócios O ciclo de GCN permite uma visão clara das atividades essenciais. bem como permite a definição do período máximo de interrupção aceitável para cada processo crítico. A gestão eficaz da continuidade de negócios é composta: ■ pela análise de impacto (conhecida internacionalmente pela sua sigla em inglês – BIA: Business Impact Analysis) e de risco (ou Risk Assessment).

as vulnerabilidades e o impacto que a interrupção provocada por um incidente possa causar nos negócios da empresa. papéis. As análises de risco e impacto fornecem subsídios para tomada de decisão. que são a análise de risco e a análise de impacto dos processos críticos. Eles estabelecem os papéis e alocam responsabilidades por administrar as situações emergenciais durante as interrupções e garantem orientações claras. infra-estrutura física e de logística. É importante lembrar que a confusão pode ser um grande obstáculo para uma resposta efetiva a uma interrupção significativa. bem como o encadeamento dos planos. colaboradores etc. dependências internas e externas e níveis de resiliência apropriados. Universidade Corporativa BB .120 ProGrama certificação interna em conhecimentos direcionador neste sentido. A partir da aprovação da política. A segurança das pessoas não pode ser esquecida e deve ser a preocupação máxima dos planos de continuidade dos negócios de uma organização. Torna-se necessário perceber as ameaças a que estão sujeitas as pessoas e os recursos.organização. relativas à alçada de decisão das equipes no caso de uma interrupção que incapacite as pessoas-chave. Os processos e atividades críticas são sustentados por pessoas (funcionários. Entre outras coisas. pode-se passar para as etapas seguintes. baseando-se nos resultados da análise de impacto nos negócios. com vistas a priorizar a retomada dos processos mais importantes.a. A realização da análise de impacto é o ponto de partida. Avalia os riscos e impactos potenciais dos vários cenários de interrupção nos processos de uma organização e na sua imagem e reputação. É fundamental a realização das análise de risco e impacto para perceber e mensurar a real criticidade dos processos. fornecedores etc).para. Nesse sentido. permitindo um direcionamento nas ações contingenciais. estabelece objetivos para o nível de serviço que a organização busca entregar no caso de uma interrupção e a retomada das operações. É um processo dinâmico que busca identificar operações e serviços críticos. devem ser claramente descritos no programa de gestão da continuidade. A estratégia de continuidade parte dos objetivos de recuperação e das prioridades. responsabilidades e autoridade para agir. Esta percepção é conseguida por meio da análise de risco e impacto.) e recursos (tecnologias. Os planos de continuidade provêem orientação detalhada para implementar a estratégia de recuperação.

para que se possa classificar o grau de impacto que estas ameaças poderão provocar no caso de um incidente. É responsável pela identificação. A análise de impacto. ■ identificar quais impactos podem resultar em danos à reputação. ■ identificar quais impactos nos negócios são mais relevantes para a organização. então. tecnologias ou informação. ■ danos ambientais. ■ danos à reputação. a prioridade de cada um deles e os tempos máximos de retomada após uma interrupção não programada. ■ dano ou perda de instalações. Universidade Corporativa BB . Ocorre. permite: ■ obter uma maior compreensão dos processos mais críticos. ■ propiciar informações para as estratégias de recuperação se tornarem mais efetivas. Os impactos a serem avaliados incluem: ■ impacto ao bem-estar das pessoas. das ameaças e vulnerabilidades. uma análise dos recursos. ■ não cumprimento de deveres ou regulamentações. interrupção ou ruptura dos processos de negócio de uma organização e provê as informações que subsidiarão a determinação das estratégias de continuidade mais adequadas. ■ danos à viabilidade financeira. ■ quantificar o tempo máximo tolerado de uma interrupção para cada processo de negócio. acionistas. quantificação e qualificação do impacto nos negócios gerado pela perda. ■ deterioração da qualidade de produtos ou serviços. considerando-se aspectos como imagem. convém que a organização considere aqueles que se relacionam ao atingimento de seus objetivos e à funcionários. sociedade e demais partes interessadas. quantificar e qualificar o impacto nos negócios. Ao avaliar os impactos. ao identificar. ativos e posição de mercado da organização. perda financeira etc.Gestão de seGurança 121 Análise de impacto nos negócios A análise de impacto nos negócios é o pilar central da GCN. reputação.

priorizar as ameaças de acordo com um método aceito pela organização.interrupção.122 ProGrama certificação interna em conhecimentos Para realizar a análise de impacto são utilizados workshops. ao estudar probabilidade de ocorrer o evento e seu impacto no processo. é realizada para os processos considerados críticos. Universidade Corporativa BB . A análise de riscos deve ser focada nos processos mais urgentes identificados durante a análise de impacto. Os principais tópicos a serem abordados na análise de riscos são: ■ detalhamento dos impactos e das probabilidades de ocorrência em ordem de criticidade e relevância. ■ identificação das ameaças aos processos de maior impacto identificados na fase de análise de impacto.enfrentar. utilizando método previamente definido. O objetivo é determinar e identificar os modelos de avaliação de riscos e os níveis aceitáveis de risco aos quais a organização está disposta a. e prover informações para os planos de ações mitigadoras do risco. As boas práticas de GCN indicam a necessidade de revisão mínima anual dos resultados da análise de impacto. ■ categorização dos resultados obtidos. ■ cálculo do risco. A análise de riscos. ■ determinação dos valores estatísticos associados à probabilidade ou freqüência de cada ameaça.de. permite identificar uma série de ameaças. Análise de riscos A análise de risco. no âmbito da GCN. os riscos dos processos são mensurados e classificados de acordo com seu grau de criticidade. Tem como propósito identificar as ameaças internas e externas que podem provocar descontinuidade nos negócios e sua probabilidade e impacto. combinando o impacto e a probabilidade de ocorrência de cada ameaça. Para isso. aplicados questionários ou realizadas entrevistas com os gestores dos processos. ■ estimativa do impacto das ameaças na organização usando um método único de avaliação.

vários fatores devem ser considerados. Definição de estratégias Para uma boa prática de GCN. de modo a garantir a eficácia da estratégia com ganhos para. mas é importante que esse método seja apropriado a todos os requisitos de segurança. o gestor pode escolher a melhor estratégia de continuidade. As estratégias de continuidade oferecem soluções alternativas para se manter operacionais os processos críticos de uma organização.empresa. ■ os recursos tecnológicos disponíveis. em algum ponto. como por exemplo: ■ as pessoas envolvidas nos processos. em instalações elétricas. reduzir a probabilidade e o período de interrupção ou mesmo limitar o impacto a determinados produtos ou serviços. ■ os fornecedores. na segurança e facilidade de recuperação dos recursos de TI. As vulnerabilidades podem existir como fraquezas nos recursos e podem. todas as organizações devem perceber quais são seus processos mais críticos e desenvolver estratégias para minimizar o impacto nos negócios. ■ atendimento às expectativas dos acionistas e clientes.Gestão de seGurança 123 A decisão do método de avaliação de riscos a ser adotado é da organização. ■ a segurança da informação (atendendo aos requisitos de confidencialidade. Universidade Corporativa BB . como. ser exploradas pelas ameaças. Como resultado das análises de risco e impacto. ■ conseqüências das ações. ■ os custos para implementação das estratégias. imagem e marca. São respostas de proteção às vulnerabilidades dos processos críticos apontadas na análise de risco. Estas soluções devem ser preparadas e testadas antes de uma interrupção nos negócios. grau de tempestividade e até da inação. por exemplo. Para o desenvolvimento de boas estratégias de continuidade. na quantidade de pessoas na equipe.a. integridade e disponibilidade) ■ o período aceitável de interrupção. advindo de uma interrupção. pontos únicos de falha e inadequações na proteção contra incêndio.

a resiliência tem uma clara lógica comercial – clientes das organizações cujos sistemas regularmente sofrem interrupções. a implantação de um programa corporativo de GCN e a providência dos recursos necessários para um rápido retorno à normalidade dos negócios. A formalização das estratégias é feita por meio dos planos e procedimentos de continuidade de negócios. De uma perspectiva empresarial. os administradores adquirem um conjunto de informações que permite a tomada de decisão no caso de uma situação de interrupção nos negócios.124 ProGrama certificação interna em conhecimentos Existem várias estratégias possíveis de utilização em caso de interrupção nos negócios. a formação de equipe especializada em gestão da continuidade de negócios. após a análise de risco e impacto nos negócios. vão escolher fazer negócios com instituições mais resistentes. inevitavelmente. interrupções no fornecimento de energia elétrica e problemas nos transportes - devem estar contemplados nos planos de continuidade dos negócios. uma organização irá pesar os benefícios de medidas que melhorem a sua capacidade de resistência a interrupções frente ao custo destas medidas. A utilização ou não dessas estratégias depende do grau de risco e impacto levantados e da decisão do gestor dos processos. Interrupções de diferentes tipos e impactos que acontecem rotineiramente - como falhas em TI. A maior parte dos planos prevê a recuperação das operações de acordo com o seu impacto sobre a empresa. Formalização e divulgação das estratégias Como já visto. além do retorno à normalidade no menor espaço possível de tempo. Entre outros aspectos relevantes dessa estratégia encontram-se a revisão regular das análises de risco e impacto dos processos críticos. priorizando as operações críticas da organização. Universidade Corporativa BB . Em um ambiente competitivo. As estratégias de continuidade devem garantir a eficácia na adoção de ações tempestivas por parte da organização em momentos de crise. As estratégias de continuidade de negócios têm de estar alinhadas à estratégia corporativa e à direção fornecida pela alta administração da organização. O objetivo final de um plano de continuidade dos negócios é a restauração integral das operações de uma organização.

o papel da organização. os testes também são essenciais para promover a consciência. a sofisticação tecnológica. o processo de globalização (que aumentou a integração dos mercados). sistemas.sofridas. Tais testes.alterações. A alta administração e o conselho de administração devem garantir que todas as lacunas ou deficiências que lhes sejam transmitidas sejam abordadas de forma adequada e oportuna.organização. Uma parte independente. tendo como objetivo principal minimizar os possíveis prejuízos financeiros e sociais e impedir a propagação de. instalações ou no ambiente externo. as operações do mercado. o escopo e a periodicidade determinada pela criticidade das aplicações e funções da empresa.ou.2.no. órgãos reguladores e organismos internacionais à implementar leis. Em alguns casos. essa necessidade pode surgir como resultado de alterações no modelo de negócio.e.Gestão de seGurança 125 Testes e manutenção de planos Testes da capacidade de recuperação das operações críticas são elementos essenciais para a gestão eficaz da continuidade de negócios. Universidade Corporativa BB . que podem assumir muitas formas. aliados aos escândalos envolvendo fraudes em balanços de grandes empresas. regulamentos. pessoal. caso necessário. software. levou os governos.efeitos.e.seus.externo. deve avaliar a eficácia do programa de testes da organização. a crescente preocupação com a mitigação dos riscos nas organizações. com a natureza. o conhecimento e o entendimento entre os funcionários sobre suas atribuições e responsabilidades no caso de uma interrupção. tal como auditoria interna ou externa. esses testes devem identificar a necessidade de aprimoramento dos planos de continuidade e de outros aspectos da gestão da continuidade empresarial.pela. É importante que o programa de testes envolva todo o pessoal que pode ser acionado nas respostas a incidentes. 5. devem ser realizados periodicamente. normas e padrões para garantir a continuidade de negócios nos casos de incidentes corporativos. rever os resultados dos testes e apresentar os seus resultados ao conselho de administração. responsabilidades.hardware. Além disso. Além de garantir que os planos de continuidade sejam avaliados e atualizados. ASPECTOS LEGAIS. GOVERNANÇAS E MELHORES PRÁTICAS A dinâmica do sistema financeiro internacional..ambiente.

a alta dependência dos recursos de tecnologia da informação para realização de negócios. As ameaças podem ser naturais.380 do Banco Central do Brasil e as normas ABNT NBR (15999-1 e 15999-2) e ISO (27001 e 27002). por meio da adoção de práticas de gestão e controle do risco operacional capazes de eliminar ou minimizar a probabilidade de perdas significativas decorrentes de eventos relacionados. a: ■ danos em ativos físicos (edificações.. que são observadas e implementadas pelas principais organizações do mundo.126 ProGrama certificação interna em conhecimentos Como podemos observar. a Lei Sarbanes-Oxley. Universidade Corporativa BB . incêndios naturais etc. advindas de problemas ambientais. considerando-se. O acordo de Basiléia II recomenda que as instituições financeiras mantenham planos de continuidade de negócios para minimização dos riscos operacionais. em especial. a Resolução 3. sujeitando as empresas às ameaças de interrupção. entre outros. prédios administrativos. instalações comerciais ou industriais. temos o Acordo de Basiléia II. como o de telecomunicações e a indústria financeira. define. como enchentes. as diretrizes para supervisão bancária mundial. escassez de água. por meio de seus acordos. vandalismo. data centers) provocados por incidentes decorrentes de atos terroristas. como as relacionadas à violência e às atividades do crime organizado. A atual conjuntura faz com que diversas governanças do setor financeiro assumam postura mais determinante quanto à definição de regras e controles para minimização do risco operacional. tempestades. existem diversos fatores que podem colocar em risco a continuidade dos negócios. Para tanto. ações do crime organizado. bem como quanto à existência de ações concretas para enfrentamento de situações emergenciais nas instituições financeiras. consolidadas em demonstrações efetivas do estabelecimento do processo de gestão da continuidade de negócios. Vejamos com mais detalhes algumas destas regulamentações e normas: Acordo de Basiléia II – O Comitê de Supervisão Bancária da Basiléia (BIS). podem ter natureza social. foram criadas ou revistas diversas regulamentações e normas. e podem relacionar-se aos recursos. composto por representantes dos bancos centrais e autoridades supervisoras dos bancos dos principais países do mundo. Como exemplo de regulamentações e normas adotadas no Brasil. A concretização das ameaças em eventos de interrupção geram impactos que se apresentam de maneira mais intensa em alguns setores. que se apresentam ainda mais impactantes devido às alterações climáticas mundiais.

O Banco Central do Brasil segue essas orientações e regulamenta a necessidade da existência de planos de continuidade de negócios nas instituições financeiras brasileiras. incêndios.administradores.aos. água e telecomunicações. o BIS divulgou documento indicando as práticas a serem adotadas pelas instituições financeiras e exigidas pelos órgãos de supervisão bancária. responsabilidades. publicada em 22 de outubro de 2007. é a versão brasileira da norma ISO. por exemplo. foi redigida com o objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores causada pela aparente insegurança a respeito da governança adequada das empresas. Motivada por escândalos financeiros corporativos. desabamentos. Lei.lei.e.dezenas. que estabelece o processo.380. sanções.empresas. como.2006 - determina que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil implementem estrutura de gerenciamento do risco operacional. homologada pela ABNT. possuindo um grande Universidade Corporativa BB .de. Cobre os mais diversos tópicos da área de segurança.06. falhas. de 29.hardware. a lei Sarbanes-Oxley.em. ■ falhas de sistemas e interrupção nos negócios.999-2 – versão nacional da norma britânica BS 25999. contemplando a existência de planos de continuidade e estratégias para assegurar condições de continuidade das atividades e para limitar graves perdas decorrentes do risco operacional. estipula.Sarbanes-Oxley – lei americana assinada em 30 de julho de 2002. Ela permite também que a organização avalie sua capacidade de GCN de uma maneira consistente e reconhecida.Esta. Para subsidiar as ações de implementação do gerenciamento de riscos operacionais. e. os princípios e a terminologia da gestão da continuidade de negócios. desenvolver e implementar a continuidade de negócios em uma organização.brasileiras. NBR ISO/IEC 27001 e 27002 – código de práticas para gestão de sistemas de informação.Gestão de seGurança 127 terremotos. NBR 15..software. inundações. enchentes. Resolução 3.999-1 e 15. Para evitar fraudes e recuperar a credibilidade em relação à governança corporativa. O propósito é fornecer uma base para que se possa entender. falhas na prestação de serviços como o fornecimento de energia.afeta. que mantém ADRs (american depositary receipts) negociadas na NYSE e o BB é uma delas. problemas de telecomunicações.

mesmo diante de situações de crise corporativa.premissas.modelo.afetar. a Diretoria de Gestão de segurança - Diges vem coordenando a implantação de ações para garantir a viabilização da operacionalização dos principais processos de negócios da organização.uma.segurança.informações. Desde 2004.e.são: ■ consolidação da cultura de GCN no BB.a. funcionários e sociedade. ■ atendimento das demandas e recomendações feitas pelas governanças Universidade Corporativa BB .de. ■ aumento da resiliência dos processos estratégicos existentes no Banco.divulgação.empresa.orientações. estratégicas e operacionais nos normativos internos e nos canais de comunicação corporativos. implementação e validação das medidas de mitigação das conseqüências de uma indisponibilidade severa dos processos estratégicos.3. As.adoção. 5.128 ProGrama certificação interna em conhecimentos número de controles e requerimentos que devem ser atendidos para garantir a. acionistas.que. METODOLOGIA ADOTADA NO BANCO DO BRASIL Visão do Banco do Brasil O Banco do Brasil direciona sua atuação pelo atendimento às exigências do ambiente regulatório e o atendimento às expectativas dos clientes.na.norteiam. A preocupação com a GCN no Banco do Brasil se reflete não apenas na definição da política de gestão da continuidade de negócios aprovada pelo conselho diretor e conselho de administração.das.deste.imagem. com o modelo de gestão da continuidade de negócios e com as determinações legais específicas dos órgãos reguladores do Sistema Financeiro Nacional.empresa.que.possam. bem como a definição. legais e. em consonância com a política.de.a. mas também na implantação de um processo de GCN que leva em conta os aspectos financeiros. Modelo de GCN do BB O modelo adotado no Banco compreende as atividades de análise e determinação dos impactos que uma interrupção significativa causaria nos processos de negócios da empresa.de.

temos: ■ facilidade de acompanhamento e o controle das ações em cada etapa. junto às unidades estratégicas. em seu âmbito.atuação. ■ manutenção das condições de operacionalização dos serviços prioritários e essenciais ao funcionamento dos negócios. conforme figura 17.Gestão de seGurança 129 externas. Figura. Por se tratar de um processo interativo e evolutivo. Como fatores motivadores da adoção deste modelo. regulamentos e melhores práticas. Cabe às unidades estratégicas orientar e direcionar as ações das unidades táticas e operacionais quanto à gestão da continuidade dos negócios. ■ simplificação do modelo de GCN adotado no BB.17 Ciclos da GCN no BB APE = Análise de Riscos + Análise de impacto Agendamento.Formalização. Universidade Corporativa BB . mesmo diante de cenários de interrupção ou de crise corporativa. considerando o impacto e o risco de sua indisponibilidade para. ■ redução do nível de exposição ao risco de indisponibilidade dos processos. modelos e padrões para a gestão da continuidade de negócios e busca.de. implementação e testes das medidas para manter os processos operacionais. a partir dos resultados obtidos. Planos A Diges disponibiliza regras. Realização e Elaboração de Relatórios de Testes/Exercícios Definição de Estratégias e. as atividades de GCN foram estruturadas em ciclos e etapas. identificar e classificar os processos. ■ respeito à cultura organizacional. assessorá-las na proposição. de acordo com as normas.dos.

Universidade Corporativa BB . mesmo diante de cenários de interrupção ou de crise corporativa. ■ documentação formal das soluções e mecanismos que visam a continuidade dos processos. ■ aprimoramento dos mecanismos e soluções. ■ avaliação do impacto da indisponibilidade dos processos. mecanismos e soluções que mantenham o funcionamento do Banco.130 ProGrama certificação interna em conhecimentos Para a implementação da GCN no BB foram definidas as seguintes ações: ■ classificação dos processos quanto ao impacto e ao risco de sua inoperância para o Banco (avaliação de processos estratégicos - APE). A APE orienta a definição e implementação de medidas. ■ estabelecimento de fluxos específicos de informações para dar suporte ao processo de gestão de crises. serviços e sistemas - de mecanismos e soluções para manter os processos operacionais. ■ vinculação de recursos: humanos. ■ avaliação dos mecanismos e soluções por meio de testes e exercícios dos cenários para os quais se aplicam. ainda que em condições mínimas. nos cenários de crise corporativa e subsidia a alta direção na tomada de decisões estratégicas para a manutenção da operacionalização do Banco. ■ avaliação de intervenientes de entrada e saída (internos e externos). O foco da APE está na sobrevivência do Banco diante de cenários de crises corporativas. ■ definição de atribuições e das responsabilidades de implementação - pelas áreas gestoras de produtos. sistemas e serviços terceirizados. abrangendo os seguintes tópicos: ■ identificação dos processos. ■ no caso de crise corporativa. avaliação dos incidentes que provocaram a inoperância de processos estratégicos e dos planos de continuidades adotados.APE A avaliação de processos estratégicos envolve todas as unidades estratégicas do Banco responsáveis pela gestão dos processos. a fim de determinar os impactos operacionais decorrentes de interrupções que possam abalar todo o Banco ou as que podem abalar a normalidade dos serviços mais críticos. serviços e sistemas. produtos. caso não atendam aos requisitos de avaliação. A APE visa à obtenção de informações estruturadas e qualificadas quanto às características fundamentais dos processos considerados estratégicos para a organização. Avaliação de processos estratégicos .

Gestão de seGurança 131 ■ vinculação de estratégias para os cenários definidos. ■ classificação dos processos estratégicos. ■ extremo (>850 e <=1000) Figura.a. no ambiente de produção. da estrutura tradicional de. ■ moderado(>150e <=450). Como já visto. a realização de investimentos para mitigação de riscos e impacto nos negócios e a utilização de estratégias corporativas implementadas pelas Unidades Estratégicas.GCN.elaborados. e.planos. após a realização da avaliação de processos estratégicos.18 Classificação dos Processos A classificação da APE subsidia a priorização da retomada dos serviços de TI. Universidade Corporativa BB . o gestor possui um conjunto de informações que permite a tomada de decisão e. ■ significativo (>450 e <=650). de acordo com a pontuação obtida: ■ baixo (>0 e <=150). Gestão de planos e de procedimentos Esse ciclo do modelo adotado no BB abrange as etapas de definição de estratégias e de formalização e divulgação de estratégias.dos.gestão. Uma vez concluída a APE e em função do grau de impacto e risco de sua inoperância. os processos são classificados em cinco níveis (Figura 18). ■ elevado (>650 e <=850).

Objetivam ser de fácil entendimento. Além da conceituação teórica. todas as unidades estratégicas. com o uso de linguagem clara e acessível. Os meios para se conseguir reforçar a cultura de GCN passam pelo reconhecimento da alta administração do Banco. O escopo. PAPÉIS E RESPONSABILIDADES As boas práticas recomendam uma definição clara dos papéis e responsabilidades que envolvem a gestão da continuidade de negócios. as regras e as responsabilidades em GCN devem ser de conhecimento de toda a organização. táticas e operacionais devem ter Universidade Corporativa BB .das. Conscientização e treinamento A conscientização de toda a organização quanto à importância de se implementar uma gestão da continuidade de negócios é fundamental para o sucesso. demonstram o uso das ferramentas disponibilizadas para suportar a gestão. Elas normalmente começam com a definição da política de continuidade de negócios no âmbito da organização e chegam até à designação da pessoa responsável por implementar um programa de GCN na empresa e a formação de uma equipe especializada para tratar do assunto. Este é o caminho necessário para se implantar uma cultura de gestão da continuidade de negócios na empresa. 5.estratégias.132 Testes e exercícios ProGrama certificação interna em conhecimentos Os testes e exercícios servem para verificar a eficácia das estratégias em momentos de crise e se os planos atenderão aos requisitos pré-definidos. Os treinamentos em GCN estão ao alcance de todas pessoas relacionadas com o tema. Para que o BB obtenha a resiliência necessária ao enfrentamento de crises corporativas.4. permitindo o envolvimento das pessoas nos processos e uma resposta mais rápida no caso de uma interrupção nos negócios. um fluxo de comunicações claro e definido com relação aos responsáveis e o envolvimento de todo corpo funcional na gestão da continuidade de negócios.

■ reunir-se periodicamente com vistas à adoção de medidas preventivas e administrativas previstas nos planos. A constituição do grupo coordenador de continuidade é um ato formal. ■ identificar e monitorar o risco à operacionalização dos processos do Banco decorrente da interrupção da prestação de serviços terceirizados.papéis. seus integrantes devem: ■ identificar as principais ameaças de interrupção dos negócios.As.seus. acessível somente aos integrantes do grupo coordenador de continuidade e aos executores dos procedimentos previstos. elaborando atas das reuniões e arquivando-as para verificação pela auditoria interna.internos. Grupo coordenador de continuidade . ■ manter toda a documentação relativa aos planos de continuidade da dependência - inclusive normativos e listas de acionamento - em local seguro. ■ coordenar a elaboração dos planos de continuidade da dependência.atribuições. realizar a análise de risco e impacto. Para tanto.. Universidade Corporativa BB .Gestão de seGurança 133 sinergia. elaborar os planos de continuidade de sua competência.responsabilidades.GCC O objetivo do grupo coordenador de continuidade é preparar a dependência para enfrentar os cenários de interrupção ou de ameaça de interrupção dos negócios. das unidades quanto à gestão da continuidade de negócios estão bem definidas. bem como avaliar os planos de continuidade elaborados pelos fornecedores e prestadores de serviço.de. conforme as instruções vigentes. ■ definir e implementar fluxo de informações para enfrentamento de crises. As dependências devem constituir o grupo coordenador de continuidade (GCC). de modo a oferecer informações seguras e confiáveis em caso de necessidade. deve ser elaborado o respectivo ato de constituição.e.desempenho. O documento deve ser atualizado sempre que necessário. definir procedimentos para funcionamento da dependência em situações emergenciais e testar os planos de continuidade de negócios.normativos. Para tanto.no.nos.

bem como as que possam atingir as instalações prediais.IS: inoperância total dos sistemas corporativos. que provoquem a inoperância total ou parcial da capacidade de produção de um dos centros de processamento. no tocante à infra-estrutura básica (sistemas elétrico. software. como manifestações de pessoas nas entradas dos edifícios. Universidade Corporativa BB . aplicativos e ambiente) que integram a infra-estrutura de processamento. como plataformas ou pistas próximas à dependência. voluntárias ou involuntárias. de águas pluviais. ■ ameaça à integridade física e patrimonial – AIFP: situações que causem ameaça à vida ou à integridade física das pessoas nos ambientes do Banco. problemas na infra-estrutura predial que impeçam a sua utilização. subestações e geradores). ■ indisponibilidade da infra-estrutura de TI – IITI: incidentes. danos ou panes nos equipamentos e instalações (hardware.prestação dos serviços ou das atividades executadas por empresas contratadas.na.FP: ausências de funcionários nos locais de trabalho.134 ProGrama certificação interna em conhecimentos 5.interrupção. ■ falta de pessoal . caso os mecanismos de disponibilidade dos ambientes de TI não funcionem conforme previsto. ■ problemas na infra-estrutura predial – PIP: interrupção do funcionamento normal das instalações prediais. interdição dos prédios do BB em decorrência de incidentes envolvendo edifícios vizinhos. ■ indisponibilidade de sistemas . ■ indisponibilidade de serviços terceirizados . armazenamento e comunicação de dados.IST:. hidráulico. por motivos relacionados exclusiva e diretamente ao local de trabalho. esgoto e de detecção e combate a incêndio) e de instalações especiais (centrais de ar condicionado.5. processos operacionais. CENÁRIOS DE AMEAÇA DE CONTINUIDADE DE NEGÓCIOS São vários os cenários possíveis de ameaça à continuidade dos negócios. nobreaks. Para a elaboração dos planos de continuidade de negócios o BB adota os seguintes cenários principais: ■ bloqueio de acesso – BA: impossibilidade de acesso aos ambientes normais de trabalho. interdição das vias públicas de acesso.

para aprovação. O gestor irá considerar opções estratégicas para os processos de maior grau de impacto e risco e para os recursos que cada processo consumirá durante sua restauração.6. Como vimos. as ações podem ser: ■ não fazer nada: quando o risco é aceitável. para serem ativadas quando ocorrerem os cenários de interrupção. verificar as estratégias alternativas possíveis. As estratégias de continuidade devem ser detalhadas nos planos de continuidade de negócios. ESTRATÉGIAS PARA GARANTIA DA CONTINUIDADE DE NEGÓCIOS Definição As estratégias de continuidade de negócios são os mecanismos e soluções definidos com o objetivo de mitigar os riscos provenientes de uma indisponibilidade que afetem direta ou indiretamente os processos estratégicos da empresa. as ações a serem tomadas. analisar a relação custo e benefício da adoção das estratégias e comunicar às instâncias decisórias da organização.Gestão de seGurança 135 5. Quanto à esfera decisória. ■ mudar ou finalizar o processo: alinhar o processo a outros processos da organização. O gestor deve perceber as vulnerabilidades de seus processos e confeccionar os planos de continuidade. Tais decisões envolvem identificar as estratégias de continuidade. Após perceber quais processos possuem maior grau de impacto e risco. ■ baixar a mitigação: providenciar ações para mitigar o risco. como: Universidade Corporativa BB . A(s) estratégia(s) mais(s) apropriada(s) depende(m) de uma série de fatores. algumas decisões estratégicas têm de ser tomadas pelo gestor. ■ desenvolver um plano de continuidade de negócios: modo mais eficaz de prover resiliência à organização. a avaliação de processos estratégicos identifica os processos críticos e classifica-os por grau de impacto e risco. em caso de interrupção nos negócios. ■ garantir um seguro: providenciar recursos suficientes mediante a contratação de apólices de seguro para garantir a possível perda.

■ listagem dos processos atendidos pelo plano. Universidade Corporativa BB .formalização. ■ informação. ■ estratégias de continuidade adotadas. portanto. escrito de forma clara e objetiva.e. As estratégias de continuidade são formalizadas por meio da elaboração e documentação dos planos e procedimentos de continuidade de negócios. responsabilidades. Formalização Após a identificação dos processos críticos. Um plano de continuidade deve ser conciso. Os planos de continuidade são parte integrante do ciclo de vida dos processos de negócio. Vários fatores influenciam a elaboração dos planos de continuidade de negócios: recursos.estratégias. a avaliação de impacto e risco e a definição das estratégias de continuidade. estrutura organizacional. Veja as principais informações que devem estar contidas nos planos: ■ objetivo geral do plano. lista de acionamento etc. ■ tecnologia. ter atenção especial do administrador. devendo. ■ instalações. tornam-se necessários o detalhamento. ■ os custos de implementação de uma ou mais estratégias. prioridades.dessas.a. ■ cenários para os quais o plano se aplica. tempo de recuperação. Estratégias podem ser necessárias para os seguintes recursos: ■ pessoas. Em cada caso o gestor deve evitar implementar uma solução de continuidade que possa ser afetada pelo mesmo incidente que causou a interrupção no processo de negócio.136 ProGrama certificação interna em conhecimentos ■ o período máximo de interrupção tolerável. ■ as conseqüências de não se agir. de fácil leitura e conter todas as informações relevantes para uma melhor tomada de decisão no momento inicial da interrupção. ■ fornecedores de suprimentos ou serviços.

também. passos a serem seguidos no momento da concretização do cenário analisado. ■ localização dos trabalhos e instalações necessárias. ■ periodicidade de realização de testes ou exercícios. ■ premissas ou observações essenciais para funcionamento do plano. de forma a permitir que as atividades continuem no nível acordado. contemplando no mínimo os seguintes aspectos: ■ recursos de pessoal. tem foco no retorno dos processos à normalidade. isto é. ■ serviços e fornecedores externos (suprimentos). ■ informação. o gestor deve estimar os recursos que cada atividade prevista nos planos necessitará. exercícios e configurações prévias. Universidade Corporativa BB . ■ retorno: ações pós-incidente. procedimentos de prevenção. equipamentos e instalações físicas. Os procedimentos desta fase envolvem a execução de rotinas ou acionamento de pessoas previamente definidas. O plano de continuidade deve contemplar. ■ situação para a decretação ou ativação dos planos. incluindo quantidade. ■ tecnologia. Os procedimentos descrevem o detalhamento das ações que deverão ser executadas. eletrônica ou em papel suficientemente atualizada e precisa sobre trabalhos anteriores ou em andamento. Os procedimentos desta fase também envolvem testes. habilidades e conhecimento (de pessoas). passos a serem seguidos antes da concretização do cenário analisado.Gestão de seGurança 137 ■ critérios de avaliação dos testes e exercícios. para que suas atividades continuem a ser realizadas mesmo em situações. ■ resposta: ações reativas. Os procedimentos desta fase envolvem a retomada dos serviços represados durante o incidente. isto é. resposta e retorno: ■ prevenção: ações preventivas. passos a serem seguidos depois da concretização do cenário analisado. Ao definir e detalhar as estratégias de continuidade.de.anormalidade. isto é.

138 Avaliação: testes e exercícios ProGrama certificação interna em conhecimentos Essa etapa da GCN engloba as ações de agendamento. Existem duas formas de avaliar os planos de continuidade: ■ teste é uma avaliação em que há simulação do cenário de interrupção e acionamento do mecanismo alternativo de funcionamento. planejados cuidadosamente e acordados com as partes interessadas. realização e elaboração dos relatórios de testes e exercícios dos planos de continuidade de negócios. Os testes e exercícios devem ter objetivos claramente definidos. Universidade Corporativa BB . exceto se a situação descrita no plano não justificar a realização da avaliação. ou pela combinação desses fatores. alto risco de impacto. mas os resultados não são considerados oficiais. de modo a garantir a execução das recomendações existentes e servir como balizador para correções nas estratégias adotadas. ou seja. Os testes e exercícios podem: ■ adiantar um resultado previsto. Estes relatórios devem ter aprovação formal dos gestores dos processos. ou ■ permitir que o Banco implemente ações corretivas sempre que os resultados não forem considerados satisfatórios. serem realistas. seja por causa da impossibilidade de simulação. válidos. atualização dos planos e adequação ao foco gerencial. O relatório deve. conter recomendações de melhoria ou de correção dos problemas identificados e a previsão de tempo para implantação destas recomendações com clara definição de responsáveis. sempre que possível. Os planos e procedimentos devem ser avaliados ao menos uma vez por ano. que tenha sido antecipadamente planejado e incluído no escopo. para demonstrar se os objetivos foram alcançados. de modo que haja um risco mínimo de interrupção dos processos de negócio. ■ exercício é uma avaliação em que o mecanismo alternativo de funcionamento produz resultados que são considerados oficiais. As boas práticas recomendam a elaboração de relatórios e a realização de análises de seus resultados.

A agenda de testes ou exercícios deve ser elaborada de forma que. possa garantir. torna-se imprescindível a criação de mecanismos de gerenciamento (planejamento e controle) da realização de testes e exercícios. acompanhamento dos resultados. os recursos necessários para realização do teste ou exercício. Todo o processo de avaliação (teste ou exercício) deve ser devidamente documentado e arquivado para efeito não apenas de auditoria como também para servir de fonte de consulta para melhoria dos planos de continuidade e correção das estratégias adotadas. se necessário. de procedimento e sistemas. Agora temos uma visão do que é a gestão da continuidade de negócios e sua importância para a sobrevivência das organizações. de seus processos essenciais e das possibilidades de mitigação dos riscos envolvidos.são. ao longo do tempo. que os planos de continuidade funcionarão como previsto quando necessário. responsabilidades e locais de gerenciamento de incidentes e áreas de trabalho alternativas.Gestão de seGurança 139 Para definição da periodicidade de avaliação de um plano devem ser considerados os aspectos de ordem legal ou normativa e constituída agenda de realização de testes ou exercícios. Convém que os testes e exercícios contemplem: ■ aspectos técnicos. logísticos. administrativos. os intervenientes. e ■ a validação dos recursos tecnológicos e de telecomunicações necessários. Este gerenciamento é feito a partir da adoção de uma agenda corporativa em que. Entender e praticar a GCN garante uma visão mais ampliada da empresa. Dadas as características do BB. entre outros. objetivamente. as datas previstas para a realização dos testes ou exercícios. incluindo papéis.registrados: ■ ■ ■ ■ ■ os responsáveis. e os remanejamentos de pessoal. quando Universidade Corporativa BB . a quantidade e variedade de planos de continuidade e áreas envolvidas. ■ as ações preparatórias e a infra-estrutura de GCN. incluindo os aspectos de disponibilidade.

A preocupação das diversas governanças com o assunto já demonstra a necessidade de adaptação constante das organizações a rápidas mudanças de cenários e ambiente cada dia mais competitivo. Universidade Corporativa BB .140 ProGrama certificação interna em conhecimentos da ocorrência de interrupção nos negócios críticos ou mesmo em situação de crise corporativa.

.6 o papel daS peSSoaS na Segurança Espera-se que ao final do estudo deste tema você possa: ▪ Identificar o papel das pessoas no processo de gestão de segurança.

.

que lhe permitem inovar sempre. Aqueles que praticam ilícitos estão sempre criando novas formas para fraudar e agem de maneira a surpreender suas vítimas. A empresa deve compartilhar a responsabilidade com cada indivíduo. EDUCAÇÃO E TREINAMENTO O ser humano é dotado de iniciativa e criatividade. Para tratar de forma adequada a questão das atitudes das pessoas frente à segurança. CONSCIENTIZAÇÃO.dos. O não cumprimento de instruções e procedimentos pelos funcionários e colaboradores de uma instituição torna ineficaz qualquer alternativa implementada com vistas à salvaguarda. educação e treinamento em segurança. Nesse sentido.Gestão de seGurança 143 As pessoas são o elemento central de um sistema de segurança. além dos funcionários todos os demais colaboradores ou terceiros são também público-alvo das ações de conscientização. Universidade Corporativa BB . Todos devem receber treinamento apropriado e atualizações regulares sobre as políticas e normas da organização. bem preparadas e conscientes da importância de se observar os procedimentos de segurança. Partindo do princípio que uma organização pode ser definida. Quando nos referimos a pessoas que trabalham na empresa.1. é necessário formar e manter uma cultura de segurança que se integre às atividades dos colaboradores e passe a ser vista pelos mesmos como um instrumento de autoproteção. criando salvaguardas e elaborando planos de continuidade de negócios. Mesmo nos incidentes que envolvem fatores naturais. mas a todos os colaboradores que prestam serviços à organização. as pessoas precisam prever tais fatores e proteger os ativos. Somente desta forma as empresas terão em seus funcionários aliados na batalha de redução e administração dos riscos. fica fácil observar o porquê das pessoas serem o elemento mais importante para a segurança. também. Daí a necessidade de as pessoas estarem atentas. como um conjunto de pessoas que nela trabalham e que os incidentes de segurança sempre envolvem pessoas. transformando-o em co-autor do nível de segurança alcançado. estas não se restringem aos funcionários.valores. 6.

Por envolver mudança de comportamento. ■ compreender bem o universo dos colaboradores – quem são os atores. ■ definição clara do que a empresa espera – se o objetivo for o envolvimento e a sensibilização das pessoas sobre a importância da segurança. Não bastam campanhas efêmeras e isoladas. ■ ter mecanismos de avaliação e controle do nível de aprendizado e da evolução do grau de conscientização. padrões de comportamento. bem como escolher metodologia de abordagem.144 ProGrama certificação interna em conhecimentos Uma atitude positiva em relação à segurança é fruto de um processo educativo. seu status e papel. Entre as diretrizes para que a organização tenha sucesso nessa conscientização destacam-se: ■ envolvimento da alta direção em todo o processo – nada supera a força do exemplo. ■ selecionar e ordenar os conteúdos. cada público-alvo pode ter peculiaridades que devem ser tratadas de forma distinta do que é comum aos demais públicos. Sabendo onde queremos chegar e como chegarmos fica mais fácil o processo de conscientização. Universidade Corporativa BB . as ações desse processo precisam ser constantes e reavaliadas sempre que necessário. não basta apenas divulgar normas. aspirações. forma como costumam resolver os problemas do dia-a-dia.

Marcos. Anais. Rio de Janeiro: Ciência Moderna. 2003. Disponível em: www. 2002. E. Segurança de redes em ambientes corporativos. Márcio Tadeu de. FINEP. Rio de Janeiro: Axcel Books. Semana do Conhecimento. Rio de Janeiro: Elsevier. MANDARINI. Patrícia.18 a 22 out 1999. 2006. jul 2008.htm>. ENGENHARIA Social. MOREIRA. São Paulo: Manole. Disponível em: http://cartilha. Marcos. Rio de Janeiro: PETROBRAS. sims.). DE GEUS. 2007.wikipedia.gov. Fernando Nicolau Freitas. VARIAN Hal R. PECK. SÊMOLA. FERREIRA. 2007. Direito Digital.br/artigos/x/10/34/1034/. Acesso em FERREIRA. 2006. Porto Alegre. Apostila desenvolvida pelo Módulo Security em parceria com a Microsoft Informática. In: I Workshop Brasileiro de Inteligência Competitiva. RUEDA JUNIOR. Acesso em 29 jul 2008. Política de Segurança da Informação: guia prático para elaboração e implementação. Disponível em: www. RAMOS. referênciaS ACADEMIA Latino-americana de Segurança da Informação. Anderson (org. How Much Information? Disponível em: <http://www.berkeley. Gestão da segurança da informação: visão executiva da segurança da informação aplicada ao Security Officer. 2003. São Paulo: Novatec.br/glossario/#e. SENAI/CIET.R 23 jul 2008. P. Paulo César Rezende de Carvalho. Lei Complementar 105. Curso Básico de Segurança da Informação –. INFORMAÇÃO. Rio de Janeiro: Ciência Moderna. Segurança da Informação.com. 2006. RS: Zouk. São Paulo: Saraiva. Sigilo Bancário Análise Constitucional.pdf. Nilton S.org/wiki/Informação. Acesso em 28 jul 2008. Acesso em 21 LYMAN Peter.br/pre/leisedecretos/Port/Lei_Compl105. Acesso em 28 jul 2008.cert. Security Officer – 1: Guia oficial para formação de gestores em segurança da informação. Segurança mínima: uma visão corporativa da segurança de informações.L.direitonet. ALVIM. Disponível em: www. . 10 de janeiro de 2001.T. Edson. NAKAMURA. BRASIL. 2001. Fernando Nicolau Freitas.edu/how-much-info-2003/execsum. Segurança Corporativa Estratégica. ARAÚJO. Dispõe sobre o sigilo das operações de instituições financeiras e dá outras providências. bcb. Inteligência competitiva nas empresas de pequeno porte.

BIS – Bank for International Settlements. BRASILIANO. – Part 1: Code of Practice. Outras fontes de consulta BCI – The Business Continuity Institute. Disponível em: www. rev. 2003. 1999. São Paulo: Sicurezza. CUNHA. Connecticut USA. CURSOS do Banco do Brasil: Agente de Registro. Antonio de Loureiro.. Antonio Celso Ribeiro. Antonio Celso Ribeiro. Antonio Celso Ribeiro. Dicionário Compacto do Direito – 2ª ed. Max Bianchi. Grafoscopia. 2003.Best Practices – World-Class Business Continuity management 2nd Edition.High-Level Principles for Business Continuity. Manual de Planejamento – Gestão de Riscos Corporativos. – Brookfield. Rothstein Associates Inc. 2002.. Rio de Janeiro: Kirios. 2006. Rio de Janeiro: Ciência Moderna. Universidade Corporativa BB .2004. DANTAS FILHO. Andrew.. Certificação Digital. DANTAS FILHO. BSI – British Standards Institute. BRASILIANO. BRASILIANO... BRASILIANO.146 ProGrama certificação interna em conhecimentos SIGILO bancário. Acesso em 28 jul 2008.com. Sérgio Sérvulo da. Manual de Análise de Risco. FONTES. Planejamento da Segurança Empresarial. TRIBUNAL de Contas da União. São Paulo: Sicurezza....direitonet.Ambientes.e. HILES. Manual de Planejamento Tático e Técnico em Segurança Empresarial. Diógenes. São Paulo: Sicurezza. BS 25999-1. São Paulo: Atlas. Business Continuity:. Business Continuity Management. Introdução à Gestão de Riscos. Diógenes. A segurança da informação e sua importância para o sucesso das organizações. Segurança da Informação. 2004.Sicurezza.br/dicionario_juridico/x/68/99/689/. 2003. Segurança da informação: o usuário faz a diferença. Antonio Celso Ribeiro. 2007.Paulo:. Rio de Janeiro: Ciência Moderna.. Segurança Empresarial e Patrimonial. Boas práticas em segurança da informação. Segurança de Pessoas.São. GODOY. 2004. Segurança e Planejamento. 1995.2006.2006. Edison. GIL. e ampl – São Paulo: Saraiva. São Paulo: Saraiva.Good Practices Guidelines – A Framework for Business Continuity Management. Brasília: TCU – Secretaria de Fiscalização de Tecnologia da Informação. Segurança Pessoal.2005. 2003.

Gestão de seGurança 147 LOPES JUNIOR. São Paulo: Sicurezza. PEIXOTO.br www.contasabertas\uol www. Guia de orientação ao cidadão.br www. de.org www. Prevenção e Sistemas de Proteção. Rio de Janeiro: Brasport.Business Continuity Planning Guide.gov. Wilson dos. Gestão de Segurança – História. 2005. 2004.gov.2008. Engenharia social e segurança da informação na gestão corporativa.abgs. Paulo Roberto Aguiar.br/iatros/incerteza. The Route Map to Business Continuity Management – Meeting the Requirements of BS 25999. Manual Anti-seqüestro e Assalto.br www.vademecum.portaldomarketing.org www.bsi-global.pcnbb. Curitiba-PR: Juruá.org. BSI – British Standards Institute. STROHL Systems. Edição 1990 – ano 40 – 10 de janeiro de 2007.abnt. SHARP.htm www.com.br www. SANTOS.cert.bb. Mário César Pintaudi.bis.com www.drj. SERASA.defesacivil.org www.htm Universidade Corporativa BB .thebci. PORTELLA. Edição 2006 – Ano IX – nº 53 – julho/agosto de 2006.fazenda.com.br/codigos/1940_dl_002848_cp/cp107a120.gov.. 1995.htm www.. Rio de Janeiro: Editora Rio. 2000. Segurança Eletrônica Proteção Ativa. REVISTA Proteger.org. REVISTA Veja.com. John.com www.org www.br www.br/site www. Rubens e SOUZA.bsonline.unodc.bcb. Marcelo B. 2006.dji. www.br/Artigos/Maslow%20e%20Marketing.com.receita.

Sign up to vote on this title
UsefulNot useful