Fraude de 4,9 bilhões de euros

Os jornais de todo o mundo trazem a notícia da fraude de 4,9 bilhões de euros aplicada no Banco Société Générale, segundo maior banco da França, por um de seus operadores. O Jornal Estado de São Paulo desta sexta feira, data de aniversário da cidade, registra algumas informações sobre essa ocorrência:* é a maior fraude da história financeira mundial;* o operador usou conhecimento de tecnologia da informação; * o operador tinha um conhecimento íntimo e malicioso dos procedimentos;* os promotores franceses fizeram a acusação de falsificação de registros bancários, do uso fraudulento de registros e de fraude informática;  * o presidente do Banco da França (BC Francês), Christian Noyer informa que ?Não podemos ter um controlador atrás de cada operador em cada banco a todo o momento?. Evidentemente ainda não temos informações para fazer uma avaliação mais detalhada de que vulnerabilidades foram utilizadas. Mas temos condições de fazer algumas considerações gerais que podemos, com inteligência, trazer para uma avaliação na organização para a qual trabalhamos. a) Conhecimento                                                                                     O fraudador precisa conhecer os controles e como os processos acontecem. É impossível fraudar sem esse conhecimento. Em função disso sempre acontece a participação de pessoas internas na organização para realizar a fraude ou para fornecer informações para que a fraude aconteça por indivíduo fora da organização. Apesar de não ter sido o caso, é bom lembrar que muitas vezes as pessoas doam a informação da organização jogando indevidamente no lixo, falando demais nos encontros profissionais e pessoais ou em conferências e palestras; b) Falsificação de registros                                                                       Um dos objetivos da segurança é a integridade da informação. Se acontecer alguma alteração indevida, devemos ter meios de identificação dessa falsificação. Existe uma variedade técnica para garantir essa integridade, porém precisam existir processos rígidos para garantir esses controles. c) Temos limites                                                                                      Como disse o presidente do BC Francês, não é possível ter um controlador para cada operador. Até porque vem a questão: quem vai controlar o controlador? E quem controla o controlador do controlador? É sem fim. A sabedoria da proteção adequada será identificar qual o nível de controle (e investimento para esse controle) que a organização deve ter. d) A fraude se repete                                                                               Quem trabalha com segurança aprende na prática que um dos fatores que possibilita a descoberta de ações indevidas é que o fraudador normalmente repete o delito. A ganância do fraudador gera evidencias do seu ato. e) É necessário existir registros                                                                É fundamental a existência de tudo o que acontece no mundo virtual. Somente assim podemos investigar e identificar as situações indevidas. Parece simples, mas já participei de reuniões onde a área de TI não queria armazenar as tentativas de acesso indevido porque iria gastar muito espaço em disco. Temos que ter uma visão de segurança sustentável, por exemplo, é necessário gerar informações sobre evidências para situações futuras que ainda não sabemos quais serão. Com certeza, no caso em foco, existiam controles que foram aprovados por vários níveis de gestão. A questão é: controles aprovados e implantados, também precisam ser revisados pra garantir que continuam efetivos ao longo do tempo. À propósito, como andam os controles da sua organização?Edison Fontes, CISM, CISA.                                                                     Gerente Sênior CPM Braxis, Associado InfoSec Council, ABSEG e ISACA.                                                                             [email protected]