A
maior parte dos grandes bancos brasileiros não se protege de crimes
eletrônicos como deveria. A conclusão é de uma análise realizada pela
consultoria KPMG e apresentada nesta quarta-feira, 23, durante o
Seminário sobre Segurança da Informação, organizado pela Febraban.
A análise foi apresentada por Frank Meylan, sócio da prática de IT
Advisory da KPMG, para quem a atenção dada pelos bancos aos seus canais
de relacionamento é desigual: muito foco na internet, quase nenhum nas
agências. O analista lembrou que as agências continuam sendo o principal
canal do banco com seus clientes e que hoje passam por profundas
transformações.
“Os bancos tratam as agências como ambiente interno, e por isso acreditam que estão menos sujeitas a riscos”, disse. No entanto, Meylan lembrou que estas mesmas agências estão mudando hoje para absorver novas aplicações, embora continuem com seus parques desatualizados.
Um exemplo: as redes sem fio estão cada vez mais presentes na estrutura das agências. “Geralmente estas redes são implementadas seguindo rígidos padrões de segurança, mas o risco surge ao longo do tempo”, disse. De acordo com Meylan, a manutenção e a atualização destas redes geralmente são feitas por terceiros e sem a fiscalização dos bancos quanto ao cumprimento dos padrões de segurança existentes no início. O resultado é que estas redes estão se tornando, cada vez mais frequentemente, portas de entrada para hackers e fraudadores.
Outros canais de relacionamento também apresentam problemas. Os caixas eletrônicos, por exemplo, sofrem com a falta de padronização. Meylan disse que, em um grande banco, é possível encontrar até 30 modelos diferentes de caixas eletrônicos. “Essa diversidade é uma fonte de vulnerabilidades para invasão de redes”, diz.
No canal internet, para a KMPG, representa o maior desafio, já que é o mais exposto. Meylan revelou que aqui se encontram vulnerabilidades de aplicações e de infraestrutura. “Muitas aplicações mantêm um legado grande para se manterem competitivas, sem a devida manutenção dos padrões de segurança”, disse, lembrando que o crescimento do mobile banking torna o problema ainda mais complexo.
Diante deste quadro, a recomendação da consultoria é que os bancos mantenham-se atentos a três pontos:
1 – assegurar que o básico está sendo bem feito. Para Meylan, os bancos devem contar com um perímetro bem configurado e monitorado, além de equipes bem treinadas para responder em tempo às ameaças.
2 – aprimorar o SLA com os provedores de acesso a internet. A análise aponta que os bancos, sozinhos, não são capazes de lidar com todas as ameaças e que os provedores de acesso devem fazer a parte deles.
3 – inovar na gestão de crise. “É preciso, por exemplo, conhecer a origem dos acessos válidos que possibilite a criação de uma lista de acessos permitidos. Caso haja a necessidade de bloqueio, estes clientes não seriam prejudicados”, disse Meylan.
“Os bancos tratam as agências como ambiente interno, e por isso acreditam que estão menos sujeitas a riscos”, disse. No entanto, Meylan lembrou que estas mesmas agências estão mudando hoje para absorver novas aplicações, embora continuem com seus parques desatualizados.
Um exemplo: as redes sem fio estão cada vez mais presentes na estrutura das agências. “Geralmente estas redes são implementadas seguindo rígidos padrões de segurança, mas o risco surge ao longo do tempo”, disse. De acordo com Meylan, a manutenção e a atualização destas redes geralmente são feitas por terceiros e sem a fiscalização dos bancos quanto ao cumprimento dos padrões de segurança existentes no início. O resultado é que estas redes estão se tornando, cada vez mais frequentemente, portas de entrada para hackers e fraudadores.
Outros canais de relacionamento também apresentam problemas. Os caixas eletrônicos, por exemplo, sofrem com a falta de padronização. Meylan disse que, em um grande banco, é possível encontrar até 30 modelos diferentes de caixas eletrônicos. “Essa diversidade é uma fonte de vulnerabilidades para invasão de redes”, diz.
No canal internet, para a KMPG, representa o maior desafio, já que é o mais exposto. Meylan revelou que aqui se encontram vulnerabilidades de aplicações e de infraestrutura. “Muitas aplicações mantêm um legado grande para se manterem competitivas, sem a devida manutenção dos padrões de segurança”, disse, lembrando que o crescimento do mobile banking torna o problema ainda mais complexo.
Diante deste quadro, a recomendação da consultoria é que os bancos mantenham-se atentos a três pontos:
1 – assegurar que o básico está sendo bem feito. Para Meylan, os bancos devem contar com um perímetro bem configurado e monitorado, além de equipes bem treinadas para responder em tempo às ameaças.
2 – aprimorar o SLA com os provedores de acesso a internet. A análise aponta que os bancos, sozinhos, não são capazes de lidar com todas as ameaças e que os provedores de acesso devem fazer a parte deles.
3 – inovar na gestão de crise. “É preciso, por exemplo, conhecer a origem dos acessos válidos que possibilite a criação de uma lista de acessos permitidos. Caso haja a necessidade de bloqueio, estes clientes não seriam prejudicados”, disse Meylan.
Nenhum comentário:
Postar um comentário