Nossa Caixa adota ferramenta de correlacionamento de incidentes

Seguranças armados, portas giratórias, detector de metais. Qualquer um conhece os meios para garantir a segurança das agências físicas contra ataques – e os bancos parecem muito bem servidos nesse quesito. Mas no momento em que o volume de dinheiro transacionado virtualmente (ATMs, telefone e internet) supera o das agências reais, outros tipos de barreiras devem ser criadas pelas instituições financeiras.

Na Nossa Caixa, uma ferramenta de gestão de ativos combinada a um projeto de controle e correlação de eventos foi a receita escolhida, segundo José Waldir Carvalho, gerente de segurança da informação, para garantir o insucesso dos insistentes ataques eletrônicos à instituição. “Há três anos, nosso indicador de ataques bem-sucedidos é zero. Mas as tentativas vêm aumentando muito e sempre”, revela o gerente.

Controlar possíveis ataques depende, na visão da empresa, do controle minucioso de todos os eventos que envolvem os ativos de TI, os quais, quando relacionados a comportamentos-padrão, revelam a existência de um problema ou de uma fraude. No entanto, cada um entre as centenas de equipamentos existentes no ambiente do banco gera logs que precisam ser analisados para a identificação de comportamentos fora do normal. Para realizar esse trabalho, a instituição adotou uma solução de correlacionamento de eventos, fornecida pela Symantec. “Os logs geram muita informação para coletar e basear decisões. A automação fez com que ganhássemos agilidade nos processos”, conta Carvalho. Apesar de ainda estar em fase de implantação e testes, a ferramenta já trouxe resultados para a instituição. De acordo com o executivo, incidentes que, manualmente, levavam dias para serem resolvidos, agora são tratados em 15 minutos.

Iniciado há pouco mais de quatro meses, o projeto já controla aproximadamente 150 ativos – e a empresa pretende ampliar em cerca de 70% o número de dispositivos monitorados ao longo de 2009. “Estamos na fase de refinamento da ferramenta, para reduzir o volume de falsos positivos”, explica o gerente, contando que são identificados cerca de 160 milhões de eventos por mês.

Carvalho conta que o projeto de correlação de eventos faz parte de uma iniciativa maior do banco cujo foco é reduzir a exposição da instituição a riscos – tanto financeiros quanto de imagem. “Neste projeto estão envolvidas praticamente todas as áreas. Pessoal de TI, de negócios, estatísticos, call Center, desenvolvedores, tudo”, diz o executivo. Especificamente para operação da ferramenta, a equipe compõe-se de profissionais de segurança da informação, com foco em resposta a incidentes. “Além disso, temos um comitê montado entre as áreas de tecnologia e negócios e também o integrador. Sem isso, um projeto desse porte não dá certo”, ensina.

O retorno sobre o investimento, apontado pelo gerente como um dos principais desafios para emplacar a iniciativa, deve acontecer, segundo a expectativa da equipe, de quatro a cinco meses após o término da implementação (estimada em um ano). “Foi um pouco difícil de explicar o retorno, mas hoje não temos nenhum problema”, garante. Sem revelar o montante investido, Carvalho conta que o ROI será mapeado tanto sob a ótica de tecnologia (redução do custo operacional e melhor aproveitamento do tempo dos profissionais) quanto pelo ponto de vista da redução do tempo de combate às fraudes. “Trata-se de uma iniciativa complicada durante a implantação, mas que, depois, se paga rapidamente.”