Por Inaldo Cristoni | Para o Valor, de São Paulo
A indústria de meios eletrônicos de pagamentos aprimora os mecanismos de proteção das operações de compra feitas com vários “dispositivos inteligentes” de uso pessoal, em substituição ao cartão ou o celular, utilizando diferentes modalidades de identificação por biometria como fator de autenticação digital dos consumidores. As empresas do setor também intensificam o processo de autenticação por meio da chamada tokenização. Tratase de uma tecnologia que permite a criação de um número virtual associado ao cartão de crédito dentro do dispositivo utilizado na operação de pagamento, que os hackers não conseguem decifrar, mitigando o risco de fraudes. A Mastercard vem fazendo testes com mecanismos de autenticação pela frequência do batimento cardíaco, que pretende lançar no mercado brasileiro no início do próximo ano. Segundo Valério Murta, vicepresidente de produtos e soluções da Mastercard Brasil e Cone Sul, não há risco de fraude porque o batimento cardíaco é único por pessoa. “É como se fosse uma impressão digital”, compara. A companhia faz experiência de fator de autenticação baseada no piscar de olhos. Dessa forma, basta o usuário tirar uma selfie com o celular para validar uma transação. Outra novidade é a biometria da impressão digital. O objetivo é substituir a tradicional senha de acesso com caracteres diferentes, que combinam letras e números, mas não muito seguras. Além de tornar a transação mais mais rápida, simples e segura, a tokenização e a biometria contribuem para aumentar a fidelidade dos usuários, ressalta Murta, acrescentando que esses mecanismos de autenticação eliminam o risco de esquecimento ou compartilhamento da senha de acesso, como normalmente ocorre. O executivo cita pesquisas segundo as quais pouco mais da metade das pessoas esquecem ou compartilham a senha de acesso. A Visa também desenvolveu um mecanismo de segurança baseado na tokenização. Segundo Percival Jatobá, vicepresidente de produtos da companhia, tratase de uma camada adicional de segurança que se associa a outras implementadas pelas instituições financeiras no processo de autenticação, como sistemas neurais e ferramentas que analisam o comportamento do usuário, para detecção de fraudes. As novidades na área de autenticação de transações chegam ao mercado brasileiro no rastro das novas facilidades de pagamento implementadas pelas instituições financeiras com o objetivo de melhorar a experiência de compras dos usuários. Pulseiras, anéis e relógios começam a ser utilizados em operações comerciais, como parte das chamadas “tecnologias vestíveis”. A Mastercard, por exemplo, lançou a carteira virtual Masterpass, que pode ser usada para compras em um site de comércio eletrônico ou nas lojas físicas. A vantagem é que o consumidor pode realizar uma transação com apenas um clique no botão habilitado em um dispositivo inteligente. De acordo com Murta, não há necessidade de digitar dados cadastrais porque essas informações já estão armazenada na carteira virtual. A Visa lançou uma pulseira e um relógio de pulso inteligentes em parceria com o Bradesco e a Brasil PréPago, respectivamente. Em julho, a empresa apresentou o celular Samsung Pay, desenvolvido em parceria com Samsung. De acordo com Percival, a pulseira foi testada por 3 mil usuários durante os Jogos Olímpicos. Os pagamentos com a pulseira seguem os mesmos termos e condições dos cartões prépagos. Para melhorar a experiência de uso, um aplicativo permite que os clientes acompanhem seus histórico de transação, visualizem o saldo autorizado de sua conta, façam recarga de crédito e o bloqueio o dispositivo em caso de roubo ou perda. Os dispositivos são dotados de chip e uma antena para comunicação com terminais que permitem o pagamento por aproximação (tecnologia NFC, na sigla em inglês) ao terminal de ponto de venda (POS) do estabelecimento comercial. A tecnologia atingiu o ponto de maturidade no que diz respeito à segurança da transação e até o momento não houve registro de violação das transações efetuadas. De acordo com Percival, o fato de existir no Brasil cerca 2,5 milhões de terminais habilitados a efetuar uma transação sem contato facilita o processo de educação dos lojistas e dos usuários. “A indústria de meios eletrônicos de pagamento aprendeu muito com a migração do cartão de tarja magnética para o cartão com chip e esta expertise está sendo utilizada no treinamento dos estabelecimentos comerciais para o uso da tecnologia de pagamento sem contato”, afirma.
Segurança avança nas estruturas organizacionais
Por Martha Funke | Para o Valor, de São Paulo
A sofisticação de ameaças a ambientes mais digitais está colocando a preocupação com a segurança da informação na agenda de executivos de gestão e negócios das empresas. O cenário ainda é longe do ideal e foi refreado por restrições dos investimentos nos últimos dois anos. Mas cresce o interesse em estruturas organizacionais que alojem profissionais de segurança digital mais qualificados, independentes de áreas operacionais de tecnologia e mais próximos de gestores e conselhos de administração. Pesquisa realizada pela PwC há dois anos mostrou que as mudanças na natureza dos ataques, hoje em boa parte orquestrados pelo crime organizado, fizeram a segurança digital ocupar mais espaço na avaliação de riscos das organizações e, entre 10 mil empresas consultadas, 54% contavam com especialista de alto nível no segmento (CISO, na sigla em inglês), dos quais 37% se reportando à presidência. “O crime cibernético é o crime econômico de maior impacto no Brasil, só perde para roubos de ativos”, diz Edgard D’Andrea, um dos sócios da consultoria. Um dos reflexos desse quadro é a maior contratação de segurança como serviço em substituição a técnicos internos, e o maior interesse da gestão em mais informações sobre o tema. Em muitos casos, o interesse surge em seguida a algum evento desafiador, como um ataque sofrido pela própria empresa ou por outras. As dúvidas envolvem o nível de exposição da empresa e suas possíveis consequências e o desenho ideal da estrutura para abrigar um CISO. A mudança no perfil dos criminosos digitais é um dos primeiros itens na pauta. Nos últimos dez anos, hackers vaidosos foram substituídos por ativistas digitais bem preparados, ou criminosos e quadrilhas especializadas em fraude, chantagem e espionagem industrial, com capacidade de causar fortes prejuízos financeiros e reputacionais. A retirada da segurança digital da tutela da TI é outro. “Manter a segurança sob a TI compromete a independência”, diz o diretor executivo da Accenture, Walmir Freitas. Isso porque a natureza dos crimes exige mais do que a proteção mecânica tradicional apoiada por ferramentas como antivírus e firewalls. Demanda a monitoração de controles internos capazes de detectar ataques silenciosos, persistentes e pouco visíveis, e a exigência operacional que recai sobre as áreas de TI pode colocar a segurança em segundo plano. Idealmente, o CISO deve responder a áreas de risco, responsáveis por controles internos e compliance. Segmentos maduros, como bancos e instituições financeiras, já adotam desenho deste tipo, seguidos por varejo e telecomunicações. Outros ainda deixam a desejar. “Das empresas com as quais nos relacionamos, só 30% contam com profissionais dedicados”, estima Demétrio Carrion, sócio de consultoria em segurança cibernética da EY. Uma das barreiras é a carência de profissionais com conhecimentos técnicos e de gestão e habilidades pessoais como capacidade de comunicação para usar linguagem de negócios em vez do “tecniquês”, que repele as demais áreas da discussão e compromete o potencial de receita em segmentos como ecommerce. “A preocupação é grande em áreas mais relacionadas ao cliente, como marketing, controles financeiros e retenção de clientes”, exemplifica o diretor da Tivit Fabiano Droguetti. Rodrigo Sanchez, vicepresidente de gestão e estratégia de dados da Serasa Experian, área criada no fim do ano passado, é um dos que se prepararam para este diálogo. Com formação em tecnologia, administração de empresas e marketing, já passou pelas áreas de TI, gestão de produtos e negócios e tem como um de seus papéis estimular a cultura de segurança na empresa. “Os clientes também querem saber como cuidar da questão”, aponta. Outra dificuldade é descolar a questão da segurança digital de decisões mais pontuais de investimentos, trazendo para a pauta o tripé pessoas, processos e tecnologia como preocupação a perder de vista. “Sempre falo para os executivos que os planos de segurança têm começo e meio, mas não têm fim”, resume Carrion, da EY. O diretor da consultoria em serviços de riscos cibernéticos da Deloitte costuma chamar a atenção dos executivos para outros pontos. Além da autonomia, inclusive para agilizar a contratação de serviços ou equipes para responder a ataques, ele ressalta o perfil multidisciplinar da segurança como atribuição de toda a organização e a necessidade de observar impactos decorrentes de incidentes, como o aumento no custo de dívidas e no prêmio de seguros.
Mobilidade traz riscos adicionais
Por Ana Luiza Mahlmeister | Para o Valor, de São Paulo
A mobilidade trazida por celulares e tablets faz com que seja frequente o uso de uma conexão com a internet em redes wifi gratuitas para compartilhar fotos nas redes sociais, se comunicar com familiares, pedir um táxi ou responder a um email corporativo. Esses serviços são potenciais vetores para golpes online, segundo o time de analistas e pesquisadores da Kaspersky Lab na América Latina. Os cibercriminosos configuram falsos pontos de acesso, ou simplesmente comprometem redes legítimas, e as programam para interceptar e manipular as conexões feitas pelas vítimas. “Redes wifi abertas e mal configuradas são atualmente as preferências dos criminosos para obter senhas, cartões de crédito e outros dados pessoais sensíveis”, diz Fábio Assolini, especialista em segurança da Kaspersky Lab. De acordo com uma pesquisa da Norton, apenas 35% dos brasileiros utilizam acesso protegido ou VPN (Virtual Private Network) quando acessam uma rede wifi pública. Um dos principais motivos apontado pelas pessoas que não utilizam essa proteção que cria uma conexão privada entre computadores e outros dispositivos é a falta de conhecimento 40% dizem não saber como usar uma VPN e 24% não sabem como comprar e instalar uma. Mais da metade dos consumidores acredita que estão seguros ao navegar em uma rede wifi aberta. “Se a empresa permitir que os funcionários tragam seus próprios dispositivos, é importante que ofereça o mesmo tipo de proteção dos equipamentos corporativos, incluindo, principalmente, proteções para o conteúdo armazenado como emails e documentos”, afirma André Carreto, estrategista de segurança da informação da Symantec. Para acessar redes wifi públicas é necessário que esses dispositivos sempre estejam conectados a uma VPN autorizada pela empresa, para garantir o sigilo das comunicações dos seus funcionários. As redes privadas virtuais já são bastante adotadas nas empresas para o acesso de equipamentos tradicionais como servidores e desktops. “Essa proteção deve ser estendida para os dispositivos móveis como tablets e smartphones”, ressalta. Outra política de segurança fundamental é o treinamento dos funcionários sobre os riscos das redes públicas estimulando o uso das VPNs ao acessarem dados e aplicações da empresa com seus dispositivos pessoais. “Esse recurso cria uma conexão segura e criptografada, e envia seu tráfego como se fosse por meio de um túnel para o servidor protegendo os dados pessoais, evitando que os hackers acessem ou mesmo alterem os dados da comunicação pela Internet”, afirma o presidente da Avast, Vince Steckler. Em uma pesquisa realizada em 2014, a Avast descobriu que mais de metade dos brasileiros se conectavam a wifi públicas, mas menos de 7% utilizavam uma VPN ou um servidor seguro para proteger seus dados. A empresa pode restringir o uso das redes abertas limitando o acesso aos serviços corporativos como emails e portais, afirma Assolini. “O uso de uma VPN irá cifrar os dados trafegados, não importa se o funcionário está conectado em uma rede confiável ou não”, afirma. Esse recurso somado a autenticações duplas, como o uso de tokens, limita o roubo de informação. “Essa prática de segurança deve ser usada por todas as empresas que possuem funcionários em trânsito”, diz Assolini. Outro recurso é o uso da tecnologia Mobile Device Managament (MDM) que permite ao responsável pela segurança monitorar dispositivos móveis que estão dentro da rede da empresa e acessam recursos corporativos. Essa tecnologia permite cifrar os dados, mesmo que estejam no dispositivo do funcionário, e bloquear de forma remota caso o aparelho seja perdido ou roubado.
Fonte: Valor Econômico – 22/08