Alinhamento estratégico

Conforme a estratégia de focar apenas a gestão do negócio, a área de segurança, extremamente enxuta como será descrita a seguir, contrata diversos serviços especializados em segurança para a VISANET. No início de 2002, a VISANET contratou a consultoria especializada da PricewaterhouseCoopers para

ajudar o redesenho e estruturação da área de segurança da empresa através de um Plano Diretor de Segurança da Informação.

Em entrevista com o Security Officer da VISANET, este trabalho estruturou a maior parte das informações de caráter estratégico para área a serem apresentados a seguir.

a. Visão e apoio estratégico

A área de segurança possui um Security Charter, conforme recomendado por BYRNES (2001), muito bem estruturado. Neste documento é possível encontrar a missão da área de segurança:

“Garantir o nível de proteção física e lógica dos dados e informações de nossa rede e nossos produtos, de forma a diminuir ou eliminar o risco de perda, destruição e indisponibilidade das mesmas.”

De forma bastante estruturada e complementar, a VISANET possui formalmente descrita também uma visão da área de segurança:

“A área de segurança da VISANET tem como visão os seguintes processos:

Prevenir

??Estabelecer requisitos mínimos que assegurem a confidencialidade, integridade e disponibilidade das informações sensíveis da empresa, dos estabelecimentos comerciais, dos portadores de cartões e dos bancos associados.

??Desenvolver políticas, normas e procedimentos de segurança relacionados aos meios de pagamentos eletrônicos e a rede corporativa em conjunto com as áreas da empresa.

??Implementar, soluções tecnológicas em conjunto com as demais áreas da empresa, os padrões e práticas que

maximizem a segurança das informações nas transações de débito e crédito.

??Implementar em conjunto com as demais áreas da empresa, soluções tecnológicas de segurança da informação nas operações de negócio da VISANET. Monitorar

??Assegurar que as várias entidades, que estão envolvidas na atividade de meios de pagamentos eletrônicos, cumpram os requisitos mínimos de segurança estabelecidos pela VISA e pelos padrões e normas internacionais que regulam a indústria.

??Assegurar que todas as entidades envolvidas na atividade de meios de pagamentos eletrônicos estejam em conformidade com as políticas, normas e procedimentos de segurança adotados pela VISANET. ??Revisar em conjunto com as outras áreas da empresa

os controles e a conformidade da execução, implementação e monitoramento dos requisitos e atividades de segurança da informação.

Reagir

??Implementar normas e procedimentos que

possibilitem a continuidade do negócio em caso de um ataque ou desastre aos sistemas de informação da empresa.

??Estabelecer em conjunto com as demais áreas da empresa procedimentos para suporte técnico, jurídico e organizacional para resposta à incidentes e captura de evidências.”

Segundo entrevista com o Information Security Officer, o sucesso das ações e iniciativas segurança contam com o apoio estratégico da alta administração. Segundo ele, o trabalho para a estruturação do plano diretor da área, houve envolvimento direto do presidente e demais diretores executivos em mais de 40 horas.

O comprometimento do presidente e alta direção com a segurança da informação pode ser observada também nas divulgações e comunicações relativas a normas e padrões de segurança da informação.

b. Organização e competências

Segundo levantamentos com a área de Desenvolvimento Organizacional, a estruturação da área de segurança da informação na VISANET é formada por três gerências ligadas diretamente ao diretor executivo de risco, com o papel de

CRO – Chief Risk Officer. Diferentemente das demais gerências não existe um

diretor intermediário entre os gerentes e o diretor executivo. Segundo o gerente de segurança da informação, esta estruturação permite maior velocidade para tratamento dos assuntos.

A estrutura organizacional para área de segurança da informação na VISANET é a seguinte:

Figura 35: Estrutura Organizacional da área de segurança

A gerência de segurança da informação trata exclusivamente das questões de segurança da informação relativas a área corporativa da empresa. Ou seja, ela é responsável por toda a segurança das informações que trafegam dentro da empresa. Esta gerência é composta pelo gerente de segurança da informação e dois analistas em segurança da informação.

A gerência de segurança tecnológica é especializada nas questões de segurança relativas as tecnologias criptográficas aplicadas na ponta da rede de captura (entenda-se estabelecimento comercial) e no servidores de processamento das transações (dentro da VISANET). Esta gerência é composta pelo um gerente de segurança tecnológica e um especialista técnico.

E a gerência de segurança da rede de captura é responsável por tratar as questões de segurança do meio pelos quais os dados trafegam e são manipulados através da rede de captura. São analisados os riscos de segurança da informação em estabelecimentos que possuem uma rede interna distribuída, como por exemplo uma rede de supermercados, onde as informações dos cartões são armazenados, manipulados e transmitidos internamente antes do envio a VISANET. Esta gerência é composta apenas pelo gerente de segurança da rede de captura.

Como pode se observar, a área de segurança da informação é bastante enxuta. Segundo o gerente de segurança da informação, trabalhos específicos e pontuais em segurança da informação são implementados por fornecedores. Avaliações e implementações tecnológicas são realizadas através do acionamento de outras áreas dentro da empresa. Por exemplo, a área de segurança da informação não é responsável por disponibilizar a infra-estrutura tecnológica necessária, cabe a área de Tecnologia & Operações desempenhar essa função. Além desta, outras atividades da área de segurança da informação serão suportadas por outras áreas da VISANET, como por exemplo, Departamento Jurídico, Departamento Organizacional, Segurança Patrimonial, etc.

Conforme a explicação do gerente de segurança da informação, a equipe de monitoramento e resposta são equipes multidisciplinares formadas através de equipes pertencentes a área de Tecnologia & Operações e Risco & Fraude.

Segundo o gerente de segurança da informação, a VISANET possui um comitê de segurança da informação desde a sua criação. No entanto, até o final do ano de 2001, era composta por membros das áreas de Tecnologia & Operações e Risco & Fraude. A partir do ano de 2002, com a reestruturação das áreas, o comitê atual se tornou uma equipe multidisciplinar, envolvendo todas as áreas da empresa exceto a área de Vendas & Negócio. Participam atualmente deste comitê: um diretor financeiro representando a diretoria executiva de Finanças & Administração, dois gerentes da área de Tecnologia & Operações, um gerente da área de Processos & Auditoria, um diretor do Desenvolvimento Organizacional, uma gerente de Marketing & Produtos, além do próprio diretor executivo de Risco & Fraude e do gerente de segurança da informação.

c. Conformidade e aderência

Em entrevista com o gerente de segurança da informação, os projetos de segurança desenvolvidos pela VISANET estão em conformidade com as necessidades de negócio da VISANET.

Segundo ele, todos os projetos que apresentem riscos para as informações da VISANET, possuem o envolvimento formal da área de segurança da informação, visto que cabe a ela identificar e determinar os controles de segurança necessários para que a integridade, confidencialidade e disponibilidade da informação sejam preservadas.

Este envolvimento formal da área de segurança da informação só é possível devido ao trabalho conjunto com a área de Processos, no qual definiu o fluxo de atividades a serem seguidas para o desenvolvimento de novos projetos. Além disto, isto permite que a área de segurança da informação esteja em constante contato com os gestores das áreas de negócio facilitando o propósito de identificar as necessidades e riscos de segurança inerentes ao processo produtivo.

d. Política e normas de segurança

Segundo o gerente de segurança da VISANET, no ano de 2001 foi contratada uma consultoria especializada para a elaboração da política de segurança da informação para rede corporativa.

De acordo com ele, ao longo do ano de 2002, a VISANET reestruturou a política e as normas de segurança internamente através do envolvimento e esforços das diversas áreas, acionadas a partir da equipe multidisciplinar do comitê de segurança da informação.

Durante a entrevista com o gerente de segurança da informação foram apresentadas as políticas e normas de segurança da informação da VISANET. Segundo ele, tanto para elaboração quanto para a reestruturação e detalhamento das políticas, foram seguidos rigorosamente as diretrizes da NBR ISO/EC toda as políticas e normas Por questões estratégicas, a política e as normas de segurança não podem ser apresentadas neste trabalho.

e. Monitoramento e prevenção

Segundo o gerente de segurança da informação, são realizados periodicamente trabalhos com a área de Auditoria e Compliance para avaliar se os controles e responsabilidades de segurança definidos por meio das Políticas, Normas e Procedimentos de Segurança da informação, após publicação dos mesmos, estão sendo adequadamente cumpridos. Este monitoramento é necessário pois os bancos associados e acionistas realizam auditorias constantemente.

f. Treinamento e conscientização

Segundo entrevista com o Security Officer, garantir a segurança das informações é uma responsabilidade de todos os funcionários, prestadores de serviço e demais indivíduos que tenham acesso as informações e recursos do ambiente da VISANET. Por isso no ano de 2002, a VISANET realizou um treinamento de conscientização da segurança da informação para mais de 600

pessoas, englobando funcionários e todos os prestadores de serviços. Estas sessões contemplaram, dentre outros aspectos, os seguintes:

??a importância da Política de Segurança da Informação; ??aplicabilidade das Normas de Segurança;

??descrição dos principais elementos de segurança do ambiente

de tecnologia (segurança física e segurança lógica);

??engenharia social;

??descrição do propósito da Análise de Risco realizada pela

VISANET;

??penalidades decorrentes da não aderência a Política de

Segurança da Informação;

??procedimentos para reporte de incidentes, falhas de segurança e

suspeitas de fraudes;

??os riscos que a VISANET está sujeita decorrentes de falhas de

segurança;

??casos práticos ocorridos na VISANET decorrentes de falhas de

segurança;

??medidas de prevenção contra incidentes já ocorridos; e ??classificação das informações.

Ao final da sessão de conscientização ou do treinamento de segurança os funcionários e prestadores de serviço foram submetidos a uma avaliação, o que permitiu a VISANET mapear o nível de conscientização de segurança de seus colaboradores, possibilitando identificar falhas ocorridas no processo, e assegurando a efetividade de cada elemento do programa de conscientização.

Além disto, segundo o gerente de segurança da informação, foram adotadas as seguintes medidas para a conscientização de seus funcionários e prestadores de serviço:

??periodicamente, são anexados posters em pontos estratégicos, com

pequenas mensagens sobre segurança. Os posters são realocados periodicamente de forma a evitar que passem desapercebidos;

??são distribuídos, periodicamente, folhetos informativos que

contenham artigos sobre segurança e casos práticos ocorridos;

??serão distribuídos prêmios e brindes que contenham bons empenhos

de segurança ou idéias que reforçarão a atitude da companhia no sentido da segurança;

??serão adotadas competições para motivar os funcionários e prestadores

de serviço na aderência as medidas de segurança; e

??será avaliada a efetividade do Programa de Conscientização por meio

de pesquisas e questionários, das avaliações dos cursos e dos treinamentos realizados, da freqüência e tipo de falhas de segurança ocorridas no ambiente da VISANET.