Segurança Máxima em todas as frentes
Ao implementar uma arquitetura de gestão para toda a área de segurança da informação, Bradesco desencadeia iniciativas para controlar acessos internos e proteger suas operações no Internet / mobile banking, call center e auto-atendimento
A segurança da informação, cada vez mais, exige das organizações a adoção de políticas de gestão abrangentes e integradas, cobrindo todas as possíveis janelas de vulnerabilidade, a fim de garantir a disponibilidade, integridade e confidenciali-dade dos dados. Tendo em vista esse requisito vital de governança para resguardar a saúde de seus negócios, o Bradesco implementou vários projetos avançados, com vistas à monitoração interna de acessos e à defesa de seus múltiplos canais eletrônicos de atendimento aos clientes.
Dentro de casa, por exemplo, foi levado a cabo o pro-jeto "Componente de Gestão de Segurança", que visava robustecer o gerenciamento e a auditoria dos acessos internos aos sistemas. O escopo era centralizar a administração de usuários e recursos e instalar controles de acessos com base nos papéis dos usuários, facilitando a aderência às normas regulatórias como as previstas pela Lei Sarbanes-Oxley.
Esta missão era particularmente desafiadora diante da crescente diversidade de ambientes operacionais, cada qual com suas singularidades e complexidades tecnológicas, o que resultava na formulação de políticas divergentes na organização. Havia, portanto, um quadro de alto custo na manutenção dos acessos, acessos indevidos, demora na concessão de novos e no desbloqueio de usuários.
Na concretização do projeto, segundo descreve Luiz Alves dos Santos, diretor do Departamento de Desenvolvimento de Sistemas do Bradesco, foram atacadas diversas frentes: remodelagem dos processos de gestão; aquisição e implementação (a partir de outubro de 2005) de uma ferramenta de Gestão de Identidade e Acesso (IDM) - o pacote Novell IDM V3.5; desenvolvimento de interfaces do sistema operacional; reformulação de aplicações de negócio.
Tópicos do case
| Componente Gestão de Segurança |
| Escopo: |
Centralizar a gestão de usuários e recursos; instalar controles de acessos com base em papéis |
| Parceiros: |
CPM Braxis e Novell |
| Resultados: |
• Modelagem e padronização dos diversos papéis
• Designação dos acessos estritamente necessários
•
Auditoria com visão holística de usuários, recursos e permissões
• Gerenciamento dos Sistemas de Segurança em Tempo Real |
| Escopo: |
Monitoração centralizada das ferramentas de segurança |
| Cronograma: |
Iniciado em 2004 e concluído em 2005 |
| Ambientes: |
Parque de servidores e Internet |
| Parceiros: |
IBM/ISS, Trend Micro e Websense |
| Resultados: |
Cobertura online e em tempo real contra ameaças |
Atualmente, a ferramenta segue na fase de implantações parciais, com previsão de conclusão em dezembro de 2009. "Esta é uma área de contínua evolução, pois novas demandas surgem e vão compondo o leque de soluções de segurança", ressalva Santos.
Levantar acessos necessários
Nesta iniciativa, a CPM Braxis elaborou, como consultora, trabalhos de levantamento e identificação dos acessos necessários para os diversos tipos de usuários, tomando por base as suas funções quando da utilização dos sistemas. Além disso, a empresa definiu os requisitos para a ferramenta de gestão, testou soluções e deu um parecer sobre elas.
O sucesso do empreendimento, no entender de Rita de Cássia de Paula, executiva de cliente do cluster Bradesco da CPM Braxis, deve-se à decisão de apurar a real necessidade de acesso à informação, e não simplesmente reproduzir a situação atual. Essa última opção seria bem mais simples, mas abre, argumenta ela, vulnerabilidades que podem comprometer o negócio. "Levantar a necessidade de acesso de acordo com a função profissional é uma opção mais complexa, porém mais segura e sustentável ao longo do tempo", adiciona.
Ajuízo de Luiz Alves dos Santos, mediante a adesão ao modelo de gestão de acessos baseados em papéis, "conseguiu-se modelar e padronizar os diversos papéis que pessoas desempenham na instituição e atribuir os acessos estritamente necessários a cada um deles". O módulo de auditoria, por fim, proporciona uma visão holística dos usuários, dos recursos e das permissões concedidas nas diversas plataformas existentes.
Outra empreitada também pautada por expressiva abrangência foi o "Gerenciamento dos Sistemas de Segurança em Tempo Real". Sua meta era promover a monitoração centralizada e ininterrupta, de maneira pró-ativa, de todo o arsenal de ferramentas de segurança do banco, de sorte a garantir que qualquer anormalidade detectada na operação na Internet seja imediatamente identificada e tratada com providências corretivas.
André Luís Mendes de Azevedo, gerente de informática do Departamento de Processamento e Comunicação de Dados do Bradesco, informa que o projeto, iniciado em 2004 e concluído em 2005, foi dividido em duas fases: uma centrada no parque de servidores corporativos e outra no ambiente Internet. Os fornecedores foram: IBM/ISS (soluções IDS - detecção de Intrusão e IPS - prevenção de intrusão); TrendMicro (antivírus de gateway e de servidores/estações); e Websense (gerenciador de acesso a sites da Web).
Cobertura em tempo real
Todos os ambientes de Tl do banco que estejam sujeitos a intrusões são cobertos online e em tempo real peta gestão, havendo políticas de bloqueio. Atualmente são realizadas atualizações de versões e patches dos produtos. "Devido à forte demanda por atualização tecnológica, a implantação e manutenção são processos constantes", nota o gerente.
Como ganhos para o banco decorrentes dessa política, aponta Azevedo, existe no presente garantia reforçada de disponibilidade, integridade e confiabilidade das informações, consolidando a imagem institucional do Bradesco perante a sociedade.
No que concerne à disseminação da cultura e das práticas de segurança entre os clientes, o banco criou um espaço na Internet inteiramente dedicado a esses temas, no âmbito do projeto "Portal Bradesco Segurança". Desde janeiro de 2007, um web site abriga vasto conteúdo, exposto de forma didática para os internautas, sobre as maneiras mais prudentes de utilizar os canais eletrônicos.
O portal foi baseado na reunião, revisão e atualização de informações antes disponíveis pontualmente nas diversas páginas de produtos e serviços do Bradesco. "Realizamos, além disso, pesquisa junto ao mercado e clientes para verificarmos qual o tipo de conteúdo que deveríamos disponibilizar e de que forma isso deveria ser feito", explica Marcos Bader, diretor departamental do Bradesco Dia&Noite. A estruturação e o conteúdo das páginas Web foram de responsabilidade do banco. Já o projeto gráfico e de arquitetura foi desenvolvido por terceiros.
A receptividade do portal tem sido muito boa, havendo em média 350 mil usuários únicos que o consultam mais de uma vez ao mês, totalizando mais de 500 mil acessos/mês. "Temos visitas em todas as páginas, desde as que falam das políticas de segurança da informação àquelas referentes ao modus operandi dos ataques", indica Bader.
Exatamente para contemplar a proteção das transações na Internet, canal de delivery que hoje registra expansão exponencial nos volumes transacionais, foi concebido o projeto "Componente de Segurança Bradesco". Para reduzir fraudes na Net, foi desenvolvido um aplicativo que é carregado na inicialização do Windows e do browser. Desse modo, quando um spyware ou ameaças similares tentam instalar-se ou serem executados, várias providências podem ser tomadas: redirecionamento para um site válido do banco, fechamento automático de programas maliciosos ou de páginas falsas ou ainda bloqueio de programas de captura de teclado ou vídeo.
Atualização constante
Esse projeto teve início em novembro de 2004 e a disponibilização de seu resultado nos sites de Internet foi finalizada em abril de 2005. Como ocorre com os antivírus, sua atualização é constante. Segundo detalha Valmir Guidi, analista de sistemas do Departamento de Pesquisa e Inovação Tecnológica do Bradesco, "primeiro se criou uma proteção contra captura de dados e, depois, contra páginas falsas, re-direcionamentos para sites falsos e troianos".
A Scopus encarregou-se da consultoria e do desenvolvimento, incluindo testes e implantação. "Antes de desenhar o componente, fizemos uma abordagem holística, analisando toda a cadeia de segurança e procurando identificar possíveis pontos de vulnerabilidade. O escopo era prover segurança e inovação simultaneamente", afirma Paulo José Carignani, diretor de projetos da empresa. A solução proposta, segundo ele, baseou-se em material de pesquisa abrangente, englobando até práticas e expertise desenvolvidas em outros países. Outro fator de êxito do projeto, segundo o diretor, vem de que a Scopus conhece bem a cultura e os processos internos do Bradesco, dado que presta serviços à instituição há muitos anos.
Valmir Guidi arrola uma série de vantagens ofertadas pela ferramenta: 1- A proteção é mais ágil e eficaz que as encontradas em soluções de mercado como antivírus/antispywares, pois foca os malwares que atacam o setor financeiro brasileiro; 2 - Rápida evolução em face dos novos ataques surgidos constantemente; 3 - Atualização automática e transparente para os clientes; 4 - Alto grau de compatibilidade com todas as plataformas Windows. "Houve uma forte minimização dos riscos e um significativo incremento de segurança no acesso aos sites do canal Internet", finaliza Guidi.
Abrindo outro campo de defesa e tirando proveito da enorme difusão da telefonia celular, o Bradesco já começou a utilizar - pioneiramente entre os bancos no Brasil - os dispositivos móveis como ferramentas de segurança para salvaguardar as transações nos canais eletrônicos. Foi com este sentido que se desenrolou o projeto "Chave de Segurança Bradesco Token no Celular", que procurou suportar a geração de senhas dinâmicas OTP (One-Time Password) por meio dos telefones celulares.
Desse modo, um aplicativo é baixado e ativado no aparelho, habilitando-o a gerar senhas no visor. "A chave pode ser rapidamente enviada ao correntista, sem a necessidade de acrescentar mais um elemento a ser portado por ele. O celular é um mecanismo de convergência tecnológica poderoso e de uso comum no dia-a-dia", destaca Jolivan Lopes Galvão Filho, gerente do Departamento de Pesquisa e Inovação Tecnológica do Bradesco.
Tópicos do case
| Componente de Segurança Bradesco |
| Escopo: |
Desenvolvimento de aplicativo contra fraudes na internet |
| Cronograma:: |
Início em novembro de 2004, implementação em abril de 2005 |
| Parceiro: |
Scopus |
| Resultados: |
solução mais ágil e eficaz que as de mercado, focando malwares do setor financeiro; atualização automática e transparente; alta compatibilidade com todas as plataformas Windows |
Tipologia detokens
A implantação do recurso se deu em abril de 2006, após um ano de estudos de viabilidade, desenvolvimento e instalação. A Vasco disponibilizou uma solução lastreada em eventos (contadores sequenciais) e a InfoSERVER evoluiu para tokens baseados em tempo, desafio/resposta ou assinatura de transações. O banco participou ativamente na definição dos requisitos e a Scopus integrou as ferramentas aos sistemas de e-banking internos.
A InfoSERVER, mais detalhadamente, forneceu duas soluções: o OTPCenter, para administrar dispositivos de autenticação e segurança, e o InfoTOKEN, que disponibiliza senhas fortes. "O apelo dessas soluções é que elas se baseiam no padrão aberto OATH (Open Authentication) para autenticação. O Bradesco é o primeiro banco nacional a utilizar esse padrão", assinala Abel Aarão, diretor de tecnologia da InfoSERVER.
O sistema, prossegue o especialista, monitora a distribuição dos tokens, que podem ser instalados com poucos diques nos aparelhos, e verifica, por exemplo, se as implantações foram bem-sucedidas ou não. Ao longo do projeto, outra vantagem trazida vem de que," a partir de um único investimento no back-end, a instituição poderá adicionar qualquer outra solução ou inovação com padrão aberto", nota Aarão.
A aceitação pelos correntistas, acrescenta Galvão, está sendo grande e, até o final de 2008, o produto será empregado em escala maior, tirando proveito da versatilidade dos telefones móveis. "A idéia de usar celulares também como dispositivos de segurança é natural dentro dentro da evolução tecnológoca", completa.
Outro destaque no segmento de prevenção a fraudes foi o projeto "Dispositivo de Segurança", que intentava proporcionar maior agilidade e confiabilidade aos canais de atendimento. O modus operandi concebido consiste no seguinte: a cada acesso é solicitado ao cliente o uso de uma chave de segurança que varia de transação para transação, permitindo-lhe obter todos os serviços disponíveis (sem o uso do dispositivo, ficam disponíveis apenas consultas e alguns serviços).
A inovação foi implantada em fevereiro de 2007 no Fone Fácil (call center) com a distribuição dos dispositivos vinculada ao número do CPF ou CNPJ. Eles vêm em duas opções: 1) Cartão (Tan Code) contendo chaves numeradas de 01 a 70 com três dígitos cada uma. O correntista possui um conjunto de chaves exclusivo; 2) Dispositivo eletrônico físico (token) capaz de gerar senhas dinâmicas, que se alteram constantemente.
Mais ligações e negócios
"O recurso trouxe mais tranquilidade e confiança aos clientes, valorizando então o canal Fone Fácil. Consequentemente, aumentamos a demanda de ligações e alavancamos as oportunidades de negócios", salienta o diretor Marcos Bader. A adesão não registrou problemas em razão da implantação gradual e da estratégia abraçada para a ampla comunicação das mudanças. "Desse modo, minimizamos o impacto e, quando ocorreu a implantação, os clientes não foram surpreendidos com esse novo procedimento", assegura ele.
Tópicos do case
| Chave de Segurança Bradesco Token no Celular |
| Escopo: |
Geração de senhas dinâmicas nos celulares |
| Período de Implatação: |
Abril de 2006, após um ano de estudos e desenvolvimento. Aumento da difusão até o fim de 2008 |
| Parceiro: |
InfoSERVER e Vasco |
| Resultados: |
Boa aceitação pelos correntistas pela facilidade de uso |
| Dispositivo de Segurança |
| Escopo: |
Prover maio agilidade e confiabilidade aos canais de atendimento |
| Período de Implatação: |
Fevereiro de 2007 no Fone Fácil (call center) |
| Dispositivo em duas opções: |
Cartão (Tan Code) com chaves numeradas ou token eletrônico gerador de senhas dinâmicas |
| Resultados: |
Maior segurança, valorizando o canal Fone Fácil |
No front do dinheiro de plástico, o Bradesco levou a termo - também de maneira inédita - o projeto "Cartão de Débito com Display", que suporta a combinação do uso de tokens com as funcionalidades convencionais de débito. A tecnologia é aplicada na autenticação de transações nos diversos canais bancários, fortalecendo as defesas contra capturas de dados, clonagens e outras fraudes.
O dispositivo funciona com uma bateria fina inserida no plástico e com um display que gera senhas aleatórias OTR criadas por um algoritmo interno para autenticação online. Seu desenho obedece os padrões Visa de segurança e interoperabilidade.
Implantado em dezembro de 2006, o empreendimento consumiu um ano para estudo de viabilidade, desenvolvimento e implantação da prova de conceito, a qual englobou 100 cartões Bradesco Prime com bandeira Visa, na região da Grande São Paulo. "A utilização em larga escala dependerá da evolução natural da tecnologia. Custos elevados ainda não fazem desta alternativa uma solução massificada", aponta o gerente Jolivan Galvão.
Os parceiros arregimentados foram: Visa, devido ao envolvimento do cartão de débito Visa; IncardTech, fornecedora da tecnologia de cartões com display no formato ISO; e Intelcav, personalizadora dos cartões. A IncardTech era a empresa que na época detinha a tecnologia de display mais evoluída.
Benefício da portabilidade
A acolhida, de acordo com Galvão, foi bastante satisfatória. "Os correntistas gostaram muito da facilidade de ter um cartão de débito, já presente nas suas carteiras, acoplado a um dispositivo de segurança. Nesse caso, a portabilidade foi o melhor benefício apontado por todos que utilizaram a tecnologia", resume ele.
Por fim, as máquinas de auto-atendimento também tiveram um significativo reforço na prevenção contra as atividades de fraudadores, em virtude do projeto "Dispositivo de Segurança BDN". Para inibir a clonagem de cartões, as ATMs foram dotadas de sensores instalados no painel, aptos a registrar a instalação de bocais falsos para captura de dados da tarja magnética. A detecção de anomalias bloqueia a operação da máquina, dispara um alarme sonoro e envia um alerta para a central de monitoração.
Tópicos do case
| Cartão de Débito com Display |
| Escopo: |
Combinar uso de tokens com funcionalidades de débito |
| Características: |
Plástico com bateria fina e display que exibe senhas dinâmicas |
| Implantação: |
Dezembro de 2006, após um ano de estudos, desenvolvimento e prova de conceito |
| Parceiros: |
Visa; IncardTech e Intelcav |
| Dispositivo de Segurança BDN |
| Escopo: |
Evitar captura de dados por fraudadores nas ATMs |
| Cronograma: |
Junho de 2005 a maio de 2006 (finalização do desenvolvimento) |
| Resultados: |
coibição de fraudes nas máquinas; redução do vandalismo; maior disponibilidade |
| Parceiros: |
Scopus |
A iniciativa deu a partida em junho de 2005, com a finalização do desenvolvimento em maio de 2006. No projeto piloto, foram testadas 100 máquinas. A seguir, duas fases foram traçadas: a primeira se concretizou abrangendo 300 ATMs na Grande São Paulo. A segunda, em via de conclusão, previa a instalação em 5,5 mil máquinas na Grande São Paulo e Baixada Santista. "Nas próximas fases, serão atendidos outros estados, para os quais já foram adquiridas 5.800 unidades do dispositivo", revela Jolivan Galvão.
A Scopus desenvolveu o produto e o adaptou aos diferentes modelos de máquinas, respondendo também pelos testes e suporte, após um processo prévio de estudos e análises. Conforme observa Paulo José Carignani, diretor de projetos da empresa, em se tratando de ATMs, é preciso prestar maior atenção à segurança física, levando em conta a ocorrência de problemas mecânicos, eletrônicos, de comunicação de dados, entre outros aspectos. "O auto-atendimento tem, portanto, peculiaridades que exigem um foco distinto no desenho de soluções. A pró-atividade em relação às ameaças vem de se saber utilizar corretamente todo o leque de ferramentas disponíveis em face das demandas específicas de segurança", frisa ele.
Entre as vantagens amealhadas pelo banco com o projeto, Galvão constata a inexistência de fraudes nas máquinas munidas do dispositivo de segurança, a redução dos índices de vandalismo e o aumento da disponibilidade. "Aumentou a confiabilidade na prestação de serviços, ao se coibir as ações de possíveis fraudadores", afirma ele.
|
