Tuesday, 10 June 2008

O Case REDECARD, um transplante de coração, um SOC e PCI como mantra...

Entrevista de Ed Wilson Menezes, CISSP, CISM, cedida a Diter Stein e equipe SecurityInfos Dados e Negócios a Salvo de Tragédias
SecurityInfos Dados e Negócios a Salvo de Tragédias: Oi Ed, comentam que graças a uma pane em um equipamento em uma operação de transplante de coração é que devemos o seu talento como profissional de SI... como é esta história?
Ed Wilson: foi quando reparava equipamentos da linha de medicina e saúde da HP, foi nesta época que vivi a passagem mais curiosa da minha carreira.
Depois de alguns meses, trabalhando no laboratório em Alphaville, fui transferido para o INCOR, onde fazia plantão para suportar os equipamentos médicos, instalados lá. Um dia fui chamado para comparecer com urgência no Centro Cirúrgico, pois um desfribilador estava apresentando problemas. Eu costumava ir lá fazer as manutenções preventivas, e sempre o Centro Cirúrgico estava vazio. Naquele dia, eles estavam no meio de uma cirurgia - eu não posso ver sangue, que desmaio – e o paciente estava no meio da cirurgia e eu vi um médico que já tinha visto na TV algumas vezes (era o Dr. Adid Jatene) preocupado com algo. Como a situação toda me incomodava estava muito concentrado em testar e reparar o equipamento o mais rápido possível para sair de lá, quando vejo uma caixa de isopor chegando, e sendo entregue ao Dr. Jatene. Ele abre a caixa e tira um coração de dentro (eu posso afirmar que literalmente já vi o Dr. Jatene com o coração na mão) e começa examiná-lo. Foi quando eu percebi que eles estavam no meio de uma cirurgia de transplante de coração. Terminei de reparar o desfribilador e saí de lá o mais rápido possível. E imediatamente pedi para sair da área, pois eu não conseguiria enfrentar novamente uma situação com esta.
Me transferiram para a área de computadores técnicos (UNIX) e redes, ficando por lá até 94, quando fui parar na área de consultoria da HP.
Na área de consultoria, trabalhei em diversos projetos de infra-estrutura, redes, downsizing, redes, etc. até que em 98 eu e um amigo montamos a pratica de segurança da informação da HP, e tivemos diversos projetos de internet banking, PKI na ICP Brasil, análise de risco, políticas, ethical hacking, e aí começou minha carreira em SI.
Em 2003 fui para GM, onde participei de vários projetos globais, incluindo o SOC mundial e o processo de analise de vulnerabilidades mundial, que foi adotado o modelo brasileiro que eu implementei e hoje estou na Redecard desde 2004..
SecurityInfos Dados e Negócios a Salvo de Tragédias: Quanto tempo está na Redecard e qual é o seu cargo? Quais são suas responsabilidades? A quem vc se reporta?
Ed Wilson: Estou na Redecard, há 4 anos como Gestor de Segurança da Informação. Neste papel, sou responsável em desenvolver toda a estratégia de Segurança da Informação da empresa, tanto internamente como na nossa rede de captura. Além disso, sou responsável pela implementação e conformidade com padrão da indústria de meios de pagamento o PCI. Atualmente me reporto ao Diretor de Riscos, Controles e Compliance. RCC
SecurityInfo Dados a Salvo de Tragédias: desculpe pela pergunta padrão: quais são seus maiores orgulhos em sua carreira profissional? Qual é o projeto que lhe traz maior orgulho por ter participado?
Ed Wilson: Essa é uma pergunta difícil de responder, pois todo projeto sempre traz um pouco de orgulho e aprendizado, mesmo aqueles que não dão certo. Como em consultoria, você participa de vários projetos ao mesmo tempo, acho que todos foram importantes no seu tempo. Os projetos de Internet Banking foram sempre muito desafiadores, e os de PKI também. Atualmente estou trabalhando na conformidade com o PCI na Redecard e na rede de estabelecimentos do Brasil, e também está sendo muito desafiador.
Eu penso o que me traz mais orgulho, não é o projeto em si, mas sim a equipe no qual você trabalha que permite que os projetos sempre saiam com a qualidade desejada. Neste item eu posso dizer que sempre tive sorte, pois até hoje trabalhei com pessoas muito comprometidas e com uma visão muito além do tradicional (out-of-the-box). Isso aconteceu na HP, onde trabalhei com certeza com um dos times mais brilhantes em inovação que conheci, e com o meu time atual, que apesar de não ter a senioridade do time da HP, é um time de alta performance, e em breve se equipará com os super arquitetos da HPC.
SecurityInfo Dados a Salvo de Tragédias: Pode falar um pouco da Redecard, números, seu mercado, o número de usuários e dados do parque de hardware e software?
Ed Wilson: A Redecard é uma das companhias líderes da indústria de cartões de pagamento no mercado brasileiro e principal Credenciadora das Bandeiras MasterCard e Diners Club International no Brasil. A Redecard é responsável pelo credenciamento de Estabelecimentos para aceitação de cartões de pagamento, bem como pela captura, transmissão, processamento e liquidação financeira das Transações realizadas com cartões de crédito e débito dessas Bandeiras.
Em 2007, a Companhia teve uma participação de 32,9% no valor das Transações com cartões de pagamento no mercado brasileiro, que alcançou R$310,8 bilhões, segundo dados da ABECS, que representou 19,4% do total do consumo privado no Brasil no mesmo ano.
Em 2007, a Redecard capturou e processou aproximadamente 1,8 bilhão de transações e totalizou 1,1 milhão de estabelecimentos credenciados, estando presente em todos os municípios brasileiros com infra-estrutura de energia elétrica e telecomunicações. Já no primeiro trimestre de 2008, a Companhia realizou mais de 399 milhões de transações e ampliou sua rede credenciada para a marca de 1,2 milhão de estabelecimentos.
A história da Redecard remonta a 1970, quando o Citibank, a Itaucard e o Unibanco, juntaram-se para fundar a Credicard. A Credicard exercia, concomitantemente, as atividades típicas de uma Bandeira, de um Emissor e de uma Credenciadora.
Em 1980 a Credicard possuía 500.000 cartões emitidos e 120.000 Estabelecimentos credenciados. Em 1987 passou a emitir cartões da Bandeira MasterCard e, em 1994, possuía 5 milhões de cartões emitidos. Nesse mesmo ano, a Credicard lançou o primeiro cartão de débito do mercado brasileiro, o Redeshop.
Em 1996, o Citibank, a Itaucard e o Unibanco entenderam ser necessária a especialização dos serviços de credenciamento de Estabelecimentos e constituíram a Redecard, a partir da cisão das atividades de credenciamento da Credicard. No mesmo ano, a MasterCard International também tornou-se acionista da Redecard. Desde então, a Redecard é a principal Credenciadora das Bandeiras MasterCard e Diners Club International no Brasil.
A Redecard, desde a sua constituição, foi a líder do Consórcio Redecard. O Consórcio Redecard, constituído nos termos da Lei das Sociedades por Ações, cujos membros eram os Acionistas Controladores e a Redecard, tinha por objeto as mesmas atividades hoje desenvolvidas pela Companhia, quais sejam, o credenciamento de Estabelecimentos para aceitação de cartões de pagamento, bem como a captura, a transmissão, o processamento e a liquidação financeira das Transações realizadas com cartões de crédito e débito das Bandeiras MasterCard e Diners Club International no Brasil. Os membros do Consórcio Redecard eram os Acionistas Controladores e a própria Redecard. Os ativos que eram detidos pelo Consórcio Redecard foram integralmente transferidos para a Companhia.
O Consórcio Redecard foi extinto em 31 de março de 2007, e, após o seu término, a Companhia assumiu todos os direitos e obrigações do Consórcio Redecard.
Para mais informações: https://services.redecard.com.br/novoportal/portals/institucional/ri/index.htm
SecurityInfo Dados a Salvo de Tragédias: Como é estruturada a segurança da informação na Redecard como é o envolvimento da diretoria da corporação e a alta gestão de negócios da empresa?
Ed Wilson: Na Redecard, a estrutura da área de segurança é um pouco diferente da maioria das empresas, pois além de garantirmos a segurança das informações corporativas, para o nosso negócio, a segurança da nossa rede de serviços também é muito crítica. Como temos que transmitir confiança para os nossos clientes, a segurança é um assunto tratado muito interesse pela alta direção (incluindo os diretores executivos e os conselho de administração)
Então a área é dividida em dois segmentos:
1. Segurança Corporativa: responsável pelas políticas processos e procedimentos que a Redecard deve ter quando olhamos para dentro de casa (muito parecido com a maioria da empresas). Temos aqui também a uma coordenação de continuidade de negócios.
2. Segurança na Rede de Serviços: responsável em garantir que todas as soluções de captura da Redecard, possuam um nível mínimo de segurança determinado pelo negócio. Aqui analisamos o grau de segurança de todas as máquinas de POS, e pedimos para os fabricantes alterarem os projetos de eletrônica, caso os equipamentos não passem pelos nossos critérios. Nesta área também fazemos as análises forenses, de fraudes que são identificadas pela nossa área de prevenção à fraude.
SecurityInfo Dados a Salvo de Tragédias: A pergunta para algumas empresas é óbvia, mas não podemos passar sem ela... você acredita que as pressões regulamentarias como a Sarbanes Oxley, foram importantes para os investimentos em segurança da informação na Redecard?
Ed Wilson: Sim, no nosso caso a SOX não é mandatória ainda, mas o PCI é. Como a norma se aplica diretamente a nossa indústria, e ela é baseada na ISO27001/2, todos os investimentos em segurança têm um único objetivo: atingir a manter a conformidade com o PCI. .
SecurityInfo Dados a Salvo de Tragédias: Quais os temas de segurança da informação que receberam ultimamente uma atenção especial na Redecard? Por que?
Ed Wilson: Como a Redecard está inserida na cadeios dos meios eletrônicos de pagamento, o PCI é o nosso mantra. Nos últimos anos, uma série de empresas nos EUA estão com os seus nomes divulgados na mídia por terem enormes quantidades de cartões comprometidos, que são usados para fraudes. Todas as empresas não estavam em conformidade com o PCI.
SecurityInfo Dados a Salvo de Tragédias: Pode nos detalhar um pouco como foi a implantação deste(s) projeto(s), o envolvimento da diretoria na implantação, se foi implantado por fases, se houve a participação de outros setores da empresa e de apoio externo?
Ed Wilson: Desde o final de 2006, estamos trabalhando com ajuda de empresas certificadas pelo PCI Council para atingirmos a conformidade com o PCI. Tudo começou com uma gap assessment, onde levantamos os pontos de não conformidade; definimos as prioridades em função do risco associado; analisamos alternativas, como controles compensatórios; desenvolvemos projetos para implementação dos gaps.
Acabamos de passar por outra análise, para identificar o progresso dos projetos em andamento e o nosso grau de aderência. O nosso target era 2010, mas depois da ultima análise, creio que atingiremos a conformidade com o PCI bem antes disso.
SecurityInfo Dados a Salvo de Tragédias: Como é o relacionamento da Redecard com a política de segurança da informação? Além dos treinamentos existe uma auditoria de riscos sobre a segurança das informações? Como funciona?
Ed Wilson: Além da política de segurança da Informação, temos que seguir as regras das Bandeiras e o PCI. Existe a área de controles internos e área de auditoria, que fazem que com que as políticas sejam cumpridas revisando os processos das diversas áreas periodicamente, baseados no risco do processo.
Temos sempre treinamentos de conscientização, e utilizamos todos os canais de comunicação interna (revista, Intranet, e-mail) para que as mensagens sejam passadas para todos na empresa.
SecurityInfo Dados a Salvo de Tragédias: Tudo indica que Gestão de Riscos, Governança e Compliance estão levando os executivos da gestão de negócios das empresas a ver com mais clareza a questão da necessidade dos investimentos em segurança da informação. Modismo a parte, como é o entrosamento entre gestão de riscos e segurança da informação na sua corporação e como estão estruturados na Redecard?
Ed Wilson: Neste caso, a Redecard também já está na vanguarda, pois a diretoria RCC, está estruturada para atender a esta demanda. Existe entrosamento muito grande das áreas de Controles Internos, Segurança da Informação, Risco e Prevenção à Fraude, que estão ligados diretamente ao CEO.
SecurityInfo Dados a Salvo de Tragédias: Segundo pesquisas recentes a grande evasão de dados acontece internamente por pessoas autorizadas ao acesso da rede. Vários estudos apontam que a prevenção contra perda de dados vai mudar o setor de TI. Na sua empresa estão avaliando investimento em DLP? Vc acredita que DLP vai mudar o setor de TI?
Ed Wilson: Todos os casos de vazamento de contas de cartão que chegaram à mídia foram justamente por este fato. O PCI tem uma grande preocupação com isso, e estamos investindo fortemente em soluções não apenas para proteger as informações, mas também para que as pessoas certas tenham acesso à informação que precisam para desempenhar as suas atribuições. Isso nos remetem à projetos de criptografia em banco de dados, monitoração ativa de acesso à informações e gestão de identidades.
SecurityInfo Dados a Salvo de Tragédias: Depois do roubo dos notebooks da Petrobras ficou claro que é preciso ficar mais atento ao risco para evasão de dados digitais em dispositivos móveis como notebooks, pen drives, quais foram os investimentos feitos neste sentido?
Ed Wilson: O Evento da Petrobras deu um pouco de mais ênfase no projeto que estávamos trabalhando com a equipe de TI. Hoje todas as portas USB na Redecard são bloqueadas, e somente as pessoas autorizadas têm acesso liberado. Com a implementação de uma nova ferramenta, vamos liberar o acesso de todos os funcionários para leitura, e para gravação de somente às pessoas autorizadas, mas com um nível de granularidade muito grande e com monitoração em real time do que está sendo gravado. Todos os notebooks terão os seus discos criptografados antes do boot.
SecurityInfo Dados a Salvo de Tragédias: Como é feita a avaliação do risco da aquisição de novas ferramentas e sua interferência na segurança da informação?
Ed Wilson: A área de TI, têm um processo de avaliação e homologação de toda nova ferramenta que é adquirida obedecendo a critérios muito bem definidos. Também são realizados POC´s para identificar as funcionalidades das ferramentas.
SecurityInfo Dados a Salvo de Tragédias: Existe mais alguma questão que gostaria de abordar?
Ed Wilson: O que vale ressaltar aqui, é que área de segurança da Informação na Redecard, apesar de ter um grande conhecimento tecnológico, não é subordinada à área de TI, o que traz uma grande vantagem para empresa, pois aspectos de negócio são levados em consideração na elaboração das políticas e processos.

No comments:

Post a Comment

Digite seu comentario