Notícia - 25/08/2008
Certificação Pioneira
Nossa Caixa é pioneira na certificação BS 25999-2:2007, que comprova a capacidade de gerenciar a continuidade de seus negócios no SPB. Em entrevista exclusiva, o Gerente de Segurança da TI do banco conta os detalhes da conquista.
Certas atividades não podem parar nunca. Este é o caso do mercado financeiro, que pode sofrer prejuízos incalculáveis com poucos minutos de paralisação. Por isso, a alta disponibilidade é tema constante no setor, especialmente após a implementação do Sistema de Pagamentos Brasileiro (SPB), que fez com que transações financeiras passassem a ser processadas on-line. Nesse cenário, a Nossa Caixa alcançou um grande feito: foi o primeiro banco do mundo a conquistar o certificado da norma internacional BS 25999-2:2007, concedido pela British Standard Institution (BSI). O certificado é dado a empresas que comprovem excelência na capacidade de gerenciar a continuidade de seus negócios no SPB.Para alcançar essa condição, o Banco Nossa Caixa passou por um longo processo de preparação, que contou com a atuação de consultorias e parceiros. A True Access, empresa de Segurança da Informação do Grupo TBA, desenvolveu e é responsável pela Camada de Segurança, que garante a integridade e a confidencialidade, assim como o não-repúdio das mensagens trocadas entre o banco e os demais participantes do SPB. Nesta entrevista exclusiva, o Gerente de Segurança da TI da Nossa Caixa, José Waldir Carvalho, conta os detalhes do preparo, do processo e da importância da certificação para o banco.
IF: O pioneirismo nesta conquista era uma estratégia da empresa? JW: Sim. Pela pela maturidade atingida no Banco Nossa Caixa, esta estratégia foi definida em julho de 2007. Objetivo de melhoria contínua em nossos processos internos e abertura de novas oportunidades de negócios. IF: O SPB promoveu uma grande transformação no cotidiano dos bancos. A conquista de uma certificação deste porte confere maior tranqüilidade e segurança para investidores?
JW: Sim, porque garante a continuidade de negócios de um dos sistemas mais críticos nas instituições financeiras, o SPB. Demonstra uma estratégia operacional para melhorar a capacidade de resistir aos efeitos de um incidente causado por possíveis interrupções do SPB. Permite também oferecer uma prática para restabelecer a capacidade de fornecer os principais produtos e serviços do SPB, em um nível previamente acordado, dentro de um tempo pré-determinado após uma interrupção.
IF: Qual a importância da segurança da informação na obtenção desta certificação? JW: É total, pois está alinhada às melhores práticas de Continuidade de Negócios das empresas e aos seus macroprocessos, conforme a norma ISO 27002 (Sistema de Gestão de Segurança da Informação). IF: Como as soluções em segurança da informação apresentadas pela True Access Consulting contribuíram para a obtenção desta certificação?
JW: A True Access é uma das empresas fornecedoras de ativos que integram o escopo da Certificação BS 25999 e tem participado trimestralmente dos testes dos Planos de Contingência Operacional, no tocante aos HSMs (Hardware Security Molules) que compõem a infra-estrutura de TI da plataforma baixa do SPB do Banco. Sendo um componente vital para o processo criptográfico no envio e recebimento de mensagens do SPB, os HSMs devem ter um alto nível de redundância e um SLA (Níveis de Serviços), para solução de problemas, compatível com a criticidade dos negócios do SPB. Além disso, a True Access também é fornecedora da nossa solução de Firewalls (softwares de proteção de ambientes), que protegem a topologia do ambiente SPB.
IF: Como a Nossa Caixa se preparou para alcançar essa condição de segurança que permitiu a obtenção desta certificação?
JW: Com anos de trabalho, desde o início do SPB em 2002. Fizemos inúmeros investimentos nos ambientes tecnológicos, mas também focamos em processos e pessoas. Estruturamos a área de Segurança da Informação, alocando um setor específico para atender às necessidades de continuidade de negócios. Treinamos muitos recursos, testamos bastante os produtos e serviços de cada área, principalmente os da área financeira. Adquirimos ferramentas para a construção de planos de continuidade, segundo metodologia de GCN (Continuidade de Negócios).
IF: Diariamente, milhares de TEDs são realizadas por meio de mensagens eletrônicas que circulam no SPB. Como o banco garante a confidencialidade e a integridade dessas informações que trafegam por essa rede?
JW: O SPB é um dos negócios mais importantes do banco, pois, além de controlar o envio de TEDs bancárias, mantém o inter-relacionamento com as clearings e controla a grade de envio de mensagens com a fiscalização do Banco Central. É na verdade a automatização do sistema financeiro nacional, respaldada pelo mercado internacional, como um dos mais respeitados e estruturados. A confidencialidade e a integridade das informações que trafegam neste sistema e no meio são garantidas pelo processo seguro implantado, por segregação de ambientes e de pessoas e pela utilização de Certificação Digital, específicos para o SPB.
IF: Uma pequena falha no sistema de segurança pode causar prejuízos milionários. Como é possível garantir que o sistema de segurança responsável pela integridade e confidencialidade das informações esteja sempre funcionando?
JW: A garantia de pleno funcionamento é feita com a monitoração de ambientes tecnológicos e de negócios. Caso haja algum problema, o Plano de Contingência é acionado de imediato. A integridade e a confidencialidade são garantidas ainda por ambientes de contingência para o núcleo tecnológico do SPB (site backup) e por ambientes de negócios devidamente testados dia-a-dia (site backup).
Dia da Inovação
O evento já se tornou tradicional na Nossa Caixa. Durante um dia inteiro, colaboradores e executivos da empresa, fornecedores, jornalistas e especialistas de mercado se reúnem para debater as novidades do setor de TI no Dia da Inovação. A última edição, realizada em novembro de 2007, teve como tema a “Motivação e Inovação Tecnológica” e contou com a participação de empresas e entidades como IDC, CPqD, Febraban e True Access.Entre os assuntos debatidos, se destacaram: o papel da Segurança da Informação nas Empresas; Governança, Riscos e Compliance; o Cenário da Certificação Digital em Aplicações no Setor Financeiro e Governos; e Projetos de Conectividade Social e Segurança. O principal objetivo do evento é divulgar o trabalho de segurança da informação que está sendo feito, bem como apresentar os fornecedores aos colaboradores do Banco.
IF: O pioneirismo nesta conquista era uma estratégia da empresa? JW: Sim. Pela pela maturidade atingida no Banco Nossa Caixa, esta estratégia foi definida em julho de 2007. Objetivo de melhoria contínua em nossos processos internos e abertura de novas oportunidades de negócios. IF: O SPB promoveu uma grande transformação no cotidiano dos bancos. A conquista de uma certificação deste porte confere maior tranqüilidade e segurança para investidores?
JW: Sim, porque garante a continuidade de negócios de um dos sistemas mais críticos nas instituições financeiras, o SPB. Demonstra uma estratégia operacional para melhorar a capacidade de resistir aos efeitos de um incidente causado por possíveis interrupções do SPB. Permite também oferecer uma prática para restabelecer a capacidade de fornecer os principais produtos e serviços do SPB, em um nível previamente acordado, dentro de um tempo pré-determinado após uma interrupção.
IF: Qual a importância da segurança da informação na obtenção desta certificação? JW: É total, pois está alinhada às melhores práticas de Continuidade de Negócios das empresas e aos seus macroprocessos, conforme a norma ISO 27002 (Sistema de Gestão de Segurança da Informação). IF: Como as soluções em segurança da informação apresentadas pela True Access Consulting contribuíram para a obtenção desta certificação?
JW: A True Access é uma das empresas fornecedoras de ativos que integram o escopo da Certificação BS 25999 e tem participado trimestralmente dos testes dos Planos de Contingência Operacional, no tocante aos HSMs (Hardware Security Molules) que compõem a infra-estrutura de TI da plataforma baixa do SPB do Banco. Sendo um componente vital para o processo criptográfico no envio e recebimento de mensagens do SPB, os HSMs devem ter um alto nível de redundância e um SLA (Níveis de Serviços), para solução de problemas, compatível com a criticidade dos negócios do SPB. Além disso, a True Access também é fornecedora da nossa solução de Firewalls (softwares de proteção de ambientes), que protegem a topologia do ambiente SPB.
IF: Como a Nossa Caixa se preparou para alcançar essa condição de segurança que permitiu a obtenção desta certificação?
JW: Com anos de trabalho, desde o início do SPB em 2002. Fizemos inúmeros investimentos nos ambientes tecnológicos, mas também focamos em processos e pessoas. Estruturamos a área de Segurança da Informação, alocando um setor específico para atender às necessidades de continuidade de negócios. Treinamos muitos recursos, testamos bastante os produtos e serviços de cada área, principalmente os da área financeira. Adquirimos ferramentas para a construção de planos de continuidade, segundo metodologia de GCN (Continuidade de Negócios).
IF: Diariamente, milhares de TEDs são realizadas por meio de mensagens eletrônicas que circulam no SPB. Como o banco garante a confidencialidade e a integridade dessas informações que trafegam por essa rede?
JW: O SPB é um dos negócios mais importantes do banco, pois, além de controlar o envio de TEDs bancárias, mantém o inter-relacionamento com as clearings e controla a grade de envio de mensagens com a fiscalização do Banco Central. É na verdade a automatização do sistema financeiro nacional, respaldada pelo mercado internacional, como um dos mais respeitados e estruturados. A confidencialidade e a integridade das informações que trafegam neste sistema e no meio são garantidas pelo processo seguro implantado, por segregação de ambientes e de pessoas e pela utilização de Certificação Digital, específicos para o SPB.
IF: Uma pequena falha no sistema de segurança pode causar prejuízos milionários. Como é possível garantir que o sistema de segurança responsável pela integridade e confidencialidade das informações esteja sempre funcionando?
JW: A garantia de pleno funcionamento é feita com a monitoração de ambientes tecnológicos e de negócios. Caso haja algum problema, o Plano de Contingência é acionado de imediato. A integridade e a confidencialidade são garantidas ainda por ambientes de contingência para o núcleo tecnológico do SPB (site backup) e por ambientes de negócios devidamente testados dia-a-dia (site backup).
Dia da Inovação
O evento já se tornou tradicional na Nossa Caixa. Durante um dia inteiro, colaboradores e executivos da empresa, fornecedores, jornalistas e especialistas de mercado se reúnem para debater as novidades do setor de TI no Dia da Inovação. A última edição, realizada em novembro de 2007, teve como tema a “Motivação e Inovação Tecnológica” e contou com a participação de empresas e entidades como IDC, CPqD, Febraban e True Access.Entre os assuntos debatidos, se destacaram: o papel da Segurança da Informação nas Empresas; Governança, Riscos e Compliance; o Cenário da Certificação Digital em Aplicações no Setor Financeiro e Governos; e Projetos de Conectividade Social e Segurança. O principal objetivo do evento é divulgar o trabalho de segurança da informação que está sendo feito, bem como apresentar os fornecedores aos colaboradores do Banco.
NOTA FISCAL ELETRÔNICA?
Conheça as soluções
da NFe do Brasil
Ligue 11 3304-3100