O banco Sumitomo, importante instituição do mercado financeiro japonês, foi vítima de uma tentativa de fraude, felizmente sem sucesso, a partir do roubo de senhas de funcionários que trabalham diretamente com transações bancárias de importantes quantias. A investida só foi possível através do uso de uma ferramenta específica, que guarda as senhas utilizadas e digitadas por funcionários. Porém aplicativos de software e até hardware também são comuns e podem facilmente ser baixados da Internet ou adquiridos como produtos de software completos para uso pessoal. Tal acometimento, por si só, já é uma notícia relevante para a comunidade financeira, porém a grande evolução desse acontecimento não se deu no forte esquema implementado para inibir a ação e sim ao fato do Sumitomo Bank divulgar amplamente o ocorrido, algo inesperado, pois normalmente os bancos gostam de passar segurança para seus clientes e investidores, não evidenciando publicamente tais iniciativas, visando proteção direta da boa imagem do estabelecimento bancário.
Se por um lado o Sumitomo Bank resolveu se sensibilizar e divulgando e colocando em risco sua personalidade empresarial, de outro, essa ação sensibilizou e trouxe para toda a comunidade um alerta para melhoria em seus processos para evitar que outras ações semelhantes resultem em uma fraude eficaz. Algo a se repensar no futuro, caso outras instituições também divulguem seus incidente, embora seja bastante improvável que alguma instituição divulgue e confirme alguma fraude de sucesso, limitando-se ao máximo em apresentar os casos onde as ações foram neutralizadas.
Nem sempre se perde dinheiro sendo vítima de um furto ou desvio. As empresas de tecnologia, por exemplo, possuem uma série de informações sensíveis de projetos em andamento ou planos de expansão que são tão ou mais valiosos do que somas diretas que possam ser desviadas.
As medidas de segurança de informações em uma instituição financeira ou qualquer outra devem ser assuntos prioritários, porém não adianta nada criar um robusto processo para combater tais investidas, sem a participação consciente e também com treinamento e sensibilização de seus funcionários.
Ações de segurança de informação devem contemplar três naturezas distintas: processo, pessoas e ferramentas. Mesmo atacando essas três frentes, ainda sim, o problema não é eliminado, mas torna-se provavelmente minimizado.
(Texto publicado em 8 de março de 2007 e revisado no dia 22 de março de 2007)
Veja +:
Nenhum comentário:
Postar um comentário