A maior parte dos grandes bancos brasileiros não se protege de crimes eletrônicos como deveria. A conclusão é de uma análise realizada pela consultoria KPMG e apresentada nesta quarta-feira, 23, durante o Seminário sobre Segurança da Informação, organizado pela Febraban.

A análise foi apresentada por Frank Meylan, sócio da prática de IT Advisory da KPMG, para quem a atenção dada pelos bancos aos seus canais de relacionamento é desigual: muito foco na internet, quase nenhum nas agências. O analista lembrou que as agências continuam sendo o principal canal do banco com seus clientes e que hoje passam por profundas transformações.

“Os bancos tratam as agências como ambiente interno, e por isso acreditam que estão menos sujeitas a riscos”, disse. No entanto, Meylan lembrou que estas mesmas agências estão mudando hoje para absorver novas aplicações, embora continuem com seus parques desatualizados.

Um exemplo: as redes sem fio estão cada vez mais presentes na estrutura das agências. “Geralmente estas redes são implementadas seguindo rígidos padrões de segurança, mas o risco surge ao longo do tempo”, disse. De acordo com Meylan, a manutenção e a atualização destas redes geralmente são feitas por terceiros e sem a fiscalização dos bancos quanto ao cumprimento dos padrões de segurança existentes no início. O resultado é que estas redes estão se tornando, cada vez mais frequentemente, portas de entrada para hackers e fraudadores.

Outros canais de relacionamento também apresentam problemas. Os caixas eletrônicos, por exemplo, sofrem com a falta de padronização. Meylan disse que, em um grande banco, é possível encontrar até 30 modelos diferentes de caixas eletrônicos. “Essa diversidade é uma fonte de vulnerabilidades para invasão de redes”, diz.

No canal internet, para a KMPG, representa o maior desafio, já que é o mais exposto. Meylan revelou que aqui se encontram vulnerabilidades de aplicações e de infraestrutura. “Muitas aplicações mantêm um legado grande para se manterem competitivas, sem a devida manutenção dos padrões de segurança”, disse, lembrando que o crescimento do mobile banking torna o problema ainda mais complexo.

Diante deste quadro, a recomendação da consultoria é que os bancos mantenham-se atentos a três pontos:

1 – assegurar que o básico está sendo bem feito. Para Meylan, os bancos devem contar com um perímetro bem configurado e monitorado, além de equipes bem treinadas para responder em tempo às ameaças.

2 – aprimorar o SLA com os provedores de acesso a internet. A análise aponta que os bancos, sozinhos, não são capazes de lidar com todas as ameaças e que os provedores de acesso devem fazer a parte deles.

3 – inovar na gestão de crise. “É preciso, por exemplo, conhecer a origem dos acessos válidos que possibilite a criação de uma lista de acessos permitidos. Caso haja a necessidade de bloqueio, estes clientes não seriam prejudicados”, disse Meylan.