Segurança da Informação é fundamental para a era do Open Finance

Por Camilo Marques, Head de Segurança da Informação da klavi.

A Segurança da Informação deixou de ser uma área focada somente na proteção de dados ou proteção da infraestrutura e passou a fazer parte do negócio da maioria das companhias hoje em dia. Na klavi, levamos essa visão muito a sério. Criamos um departamento voltado para garantir a proteção das informações, em todo seu ciclo de vida como coleta, armazenamento, transferência e exclusão, já que trabalhamos com dados extremamente críticos, que são compartilhados entre as instituições financeiras durante o tempo todo.

Nós investimos pesado em Segurança da Informação, pois precisamos garantir que nossos sistemas sejam robustos em termos de Cybersecurity. Essa é uma das minhas principais preocupações, pois está nas minhas mãos cuidar do tema e orientar o time.

A missão da área de Segurança da Informação é construir e garantir um ambiente o mais seguro possível para suportar o dia a dia das informações que nossos colaboradores manejam internamente, sustentando a segurança dos dados e do ambiente. São realizadas constantes trocas de informações, que deve desfrutar de processos seguros para garantir que elas estejam de acordo com os processos estabelecidos e com as devidas proteções.

Cultura de Segurança da Informação

O segredo da eficiência da Segurança da Informação não está nas mãos somente de tecnologias de última geração, mas também das pessoas. As maiores vulnerabilidades de qualquer sistema acabam ficando na mão delas – segundo pesquisas, mais de 90% das falhas que ocorrem nesse sentido são humanas.

As tecnologias são fundamentais para proteger e trazer visibilidade no ambiente, por isso criar uma cultura de segurança da informação é fundamental para que os nossos colaboradores entendam como trabalhamos com a segurança dos dados, sobre qual impacto de um vazamento de informações ou da indisponibilidade do sistema na imagem da klavi e de nossos clientes. Basta um clique errado na hora errada para comprometer a empresa inteira! O usuário, na maioria das vezes, é o primeiro ou alvo principal de um ataque e dependendo das informações coletadas pelos atacantes, nem as melhores tecnologias são capazes de detectar.

Apostar em conscientização e educação é uma das estratégias adotadas por nós para criar essa cultura – por isso, encontros e treinamentos sobre o tema são tão essenciais. Procuramos explicar o básico adotando uma linguagem simples para que o entendimento seja facilitado. Investimos na realização de palestras e treinamentos que reúnem desde os executivos até os analistas para mostrar o que acontece no dia a dia, assim como trazer um panorama atual, já que todos os dias praticamente acontecem novos casos de ataques cibernéticos nas empresas. Além disso, complementamos esse trabalho enviando constantemente materiais com um conteúdo simplificado sobre o assunto.

Outro ponto que buscamos reforçar com a segurança de TI é o fato de que hoje em dia está tudo conectado. Principalmente pelo fato de que adotamos um sistema de trabalho híbrido, o que pede a criação dessas regras e cuidados. Se os colaboradores começarem a se preocupar com segurança da informação e o cumprimento de regras, ficando atentos às suas atitudes no mundo digital, elas vão trazer essa postura para o mundo corporativo. Quando este trabalho é realizado de forma leve e trazendo o tema para a realidade do dia a dia, o resultado é bastante efetivo e as pessoas começam a enraizar o conceito de Segurança independentemente de onde ou qual ambiente estão. É assim que estamos implementando a cultura de Segurança.

Processos para garantir a segurança

Uma das ações mais importantes de investimento em Cybersecurity que fizemos foi a criação de uma estrutura processual que engloba Políticas de Segurança, Procedimentos e documentos para apoiar o negócio. Quanto ao ambiente tecnológico estão sendo contratadas uma série de tecnologias para trazer maior proteção e visibilidade do ambiente da perspectiva de usuários até infraestrutura de cloud. O objetivo disso é fazer com que a tecnologia de segurança da informação trabalhe em cima da TI e tenha sincronismo com a parte processual e estratégia de segurança.

Nossa área de Segurança da Informação criou categorias de acesso aos dados para assegurar que somente pessoas autorizadas possam visualizar as informações. Cada colaborador tem uma senha individual, com múltiplo fator de autenticação, permissão de login baseado em localização geográfica, etc. Além disso, são poucas as pessoas que acessam as informações mais críticas, o que ajuda a reduzir o impacto de um possível vazamento.

Hoje em dia, o criminoso não vai ficar trocando tiros com a polícia na porta do banco: ele invade o sistema das empresas, pois é muito mais fácil conseguir um resultado financeiro de forma anônima.

Testes de segurança e desenvolvimento de produtos

Com o advento do Open Finance, o investimento em segurança de dados se tornou ainda maior, pois precisamos garantir que nossos sistemas não sejam falhos na questão de segurança.

Em um ambiente apartado, para entender o nível de vulnerabilidade de nossos sistemas, regularmente fazemos simulações para tentar violar o nosso próprio serviço e ambiente. São testes de penetração (Penetration Test) e estresse (Stress Test) para ter mais visibilidade das possíveis vulnerabilidades que o sistema possa apresentar. E com os clientes nós fazemos diligências para garantir que eles também sigam alguns padrões de segurança alinhados aos nossos.

Em busca da ISO 27001

Eu acredito que uma das atividades fundamentais para a efetividade de Cybersecurity é o mapeamento de todos os riscos. Precisamos ter noção de qual é a criticidade dos nossos sistemas e trabalhar em projetos para que esses riscos possam ser mitigados e controlados ao longo da jornada dos dados.

Para alcançar robustez sob o ponto de vista de segurança, decidimos investir na obtenção da certificação ISO 27001. Neste momento, estamos em uma jornada de implementação dos controles que envolvem a norma, que engloba desde o ponto de vista estratégico, RH, Financeiro, Desenvolvimento, Marketing, Vendas, Tecnologia até o controle de segurança voltado para a proteção de informações e da Operação

A conclusão do nosso processo de obtenção da ISO 27001 deve ocorrer ainda neste ano e será importante para passar ainda mais credibilidade para os clientes e usuários da klavi, elevando o nível da Segurança da Informação. Esse trabalho envolverá todas as áreas e colaboradores que lidam com informações, cujas perda de confidencialidade, dano ou indisponibilidade possam impactar o bom funcionamento da klavi e a correta entrega de serviços à sociedade.

Com isso, teremos uma organização mais efetiva de todos os controles que a gente precisa monitorar e ficar atento em relação ao tema de Segurança da Informação, posicionando a klavi num patamar de maior confiabilidade e eficiência no contexto internacional. Esse é um caminho sem volta e que vai demandar constante investimento. Ou seja, nosso cuidado com o assunto nunca termina.

Quer entender mais como funcionam os processos de segurança de dados na klavi? Fale com a gente!

Cookie	Duração	Descrição
cookielawinfo-checkbox-functional	24 hours	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	24 hours	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	24 hours	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	24 hours	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	24 hours	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.