Riscos

UNIVERSIDADE DE BRASLIA
FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA
GESTO DE RISCOS APLICADA AO AMBIENTE

INTERNET BANKING DAS INSTITUIES FINANCEIRAS
DO BRASIL
ADRIANO DE MELO POUCHAIN
ORIENTADOR: RICARDO STACIARINI PUTTINI
DISSERTAO DE MESTRADO EM ENGENHARIA

ELTRICA
PUBLICAO: JULHO/2007
BRASLIA / DF: JULHO/2007

UNIVERSIDADE DE BRASLIA
FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA
GESTO DE RISCOS APLICADA AO AMBIENTE

INTERNET BANKING DAS INSTITUIES FINANCEIRAS
DO BRASIL
ADRIANO DE MELO POUCHAIN
DISSERTAO DE MESTRADO SUBMETIDA AO DEPARTAMENTO DE ENGENHARIA

ELTRICA DA FACULDADE DE TECNOLOGIA DA UNIVERSIDADE DE BRASLIA, COMO
PARTE DOS REQUISITOS NECESSRIOS PARA A OBTENO DO GRAU DE MESTRE.
APROVADA POR:
RICARDO STACIARINI PUTTINI, DOUTOR, ENE/UNB

(ORIENTADOR)
ANDERSON CLAYTON ALVES NASCIMENTO, DOUTOR, ENE/UNB

(EXAMINADOR INTERNO)
MAMEDE LIMA MARQUES, DOUTOR, CID/UNB

(EXAMINADOR EXTERNO)
RAFAEL TIMTEO DE SOUSA JUNIOR, DOUTOR, ENE/UNB

(SUPLENTE)
DATA: BRASLIA/DF, 31 DE JULHO DE 2007.
iii
iv
FICHA CATALOGRFICA
POUCHAIN, ADRIANO DE MELO
Gesto de Riscos Aplicada ao Ambiente Internet Banking das Instituies Financeiras do Brasil
[Distrito Federal] 2007.
xxi, 150p, 297 mm (ENE/FT/UnB, Mestre, Engenharia Eltrica, 2007).
Dissertao de Mestrado Universidade de Braslia, Faculdade de Tecnologia. Departamento de

Engenharia Eltrica.
1. Gesto de Riscos
2. Comportamento dos atacantes
3. Internet Banking
I. ENE/FT/UnB. II. Ttulo (Srie)
REFERNCIA BIBLIOGRFICA
POUCHAIN, ADRIANO DE MELO (2007). GESTO DE RISCOS APLICADA AO AMBIENTE
INTERNET BANKING DAS INSTITUIES FINANCEIRAS DO BRASIL. Dissertao de
Mestrado, Publicao JULHO/2007, Departamento de Engenharia Eltrica, Universidade de Braslia ,
Braslia , DF, 150p.
CESSO DE DIREITOS
NOME DO AUTOR: Adriano de Melo Pouchain
TTULO DA DISSERTAO: GESTO DE RISCOS APLICADA AO AMBIENTE INTERNET
BANKING DAS INSTITUIES FINANCEIRAS DO BRASIL.
GRAU/ANO: Mestre/2007.
concedida Universidade de Braslia permisso para reproduzir cpias desta Dissertao de

Mestrado e para emprestar ou vender tais cpias somente para propsitos acadmicos e cientficos. O
autor reserva outros direitos de publicao e nenhuma parte desta dissertao de mestrado pode ser
reproduzida sem a autorizao por escrito do autor.
Adriano de Melo Pouchain

SQSW 103 bloco J apto 607
CEP 70670-310 Braslia DF - Brasil
v
DEDICATRIA
A minha famlia, pelo estmulo, apoio e compreenso, fatores essenciais para a

concluso desse projeto.
vi
AGRADECIMENTOS
A Deus, pelo conforto nos momentos de incerteza e por permitir a concluso dessa
fase de minha vida.
Ao meu orientador Prof. Dr. Ricardo Staciarini Puttini, pela confiana e constante
apoio, incentivo, dedicao e amizade essenciais para o desenvolvimento deste trabalho e para
o meu desenvolvimento como pesquisador.
Aos colegas do Banco do Brasil, pelo apoio, ajuda em diversos aspectos, colaborao,
compreenso e amizade.
vii
viii
RESUMO
O presente trabalho descreve os conceitos e a importncia da gesto

de riscos para as instituies financeiras. Aborda algumas das
principais iniciativas na rea de gesto de riscos pelas instituies
financeiras do Brasil, resultando em uma proposta de metodologia a
ser aplicada no ambiente internet banking. Realizamos pesquisa sobre
os ataques desferidos contra as instituies financeiras instaladas no
Brasil, identificando os ambientes crticos, o comportamento dos
atacantes, as vulnerabilidades mais significativas e a melhor maneira
de gerir os riscos identificados. Utilizamos o resultado da pesquisa
como subsdio na aplicao da metodologia proposta, resultando em
uma anlise de riscos e proposta de gerenciamento. Assim, nos foi
possvel demonstrar a reduo das perdas operacionais, por parte das
instituies bancrias, decorrentes da consecuo dos ataques, a partir
da utilizao dos conceitos de gerenciamento de riscos.
ix
x
ABSTRACT
This work shows the necessity and advantages of using a risk

management model, applied to internet banking environment for the
financial institutions. We have identified the main risks of the internet
banking environment and analyzed the results of a survey carried out
by the author about attacks against financial institutions in Brazil.
Weve identified critical environments, the behavior of the hackers,
the most significant vulnerabilities and the best way to manage the
correspondent risks. At last, it was possible to show the reduction of
operational losses due the attacks against the financial institutions, by
using the concepts of risk management.
xi
xii
NDICE
1. INTRODUO............................................................................................................. 23
1.1. SISTEMA FINANCEIRO EM NMEROS ............................................................................. 24
1.2. ORGANIZAO DA DISSERTAO .................................................................................. 28
2. GERENCIAMENTO DE RISCOS.............................................................................. 30
2.1. DEFININDO RISCO .......................................................................................................... 30
2.2. CONTROLE INTERNO ...................................................................................................... 32
2.3. CICLO DE VIDA DO RISCO .............................................................................................. 33
2.3.1. IDENTIFICAO....................................................................................................... 34
2.3.2. ANLISE ......................................................................................................................... 36
2.3.2.1 MATRIZ DE RISCO ........................................................................................................ 38
2.3.2.1.1 QUANTIFICAO DO IMPACTO ................................................................................. 39
2.3.2.1.2 QUANTIFICAO DA PROBABILIDADE...................................................................... 40
2.3.2.1.3 APLICAO DA METODOLOGIA AHP (ANALYTIC HIERARCHY PROCESS) ............ 41
2.3.2.2. ANLISE S.W.O.T....................................................................................................... 43
2.3.3. PLANEJAMENTO ............................................................................................................. 46
2.3.4. MONITORAO .............................................................................................................. 50
2.3.5. COMUNICAO .............................................................................................................. 51
2.4. REGULAMENTAO........................................................................................................ 51
2.4.1. ACORDOS DA BASILIA I E II [2] [3] ............................................................................. 52
xiii
2.4.2. SARBANES-OXLEY ......................................................................................................... 57
2.4.3. LEGISLAO BRASILEIRA ............................................................................................. 59
2.4.3.1 RESOLUO 2.554........................................................................................................ 60
2.4.3.2 RESOLUO 3.198........................................................................................................ 61
2.4.3.3 RESOLUO 3.380........................................................................................................ 63
2.4.4. GOVERNANA CORPORATIVA ....................................................................................... 63
2.5. O PAPEL DA AUDITORIA NA AVALIAO DE RISCOS ..................................................... 65
3. METODOLOGIA ............................................................................................................... 67
3.1. IDENTIFICAO DOS RISCOS .......................................................................................... 67
3.2. ANLISE DOS RISCOS IDENTIFICADOS ............................................................................ 68
3.3. PLANEJAMENTO DE AES PARA GESTO DOS RISCOS ............................................... 69
3.4. MONITORAO............................................................................................................... 69
3.5. COMUNICAO ............................................................................................................... 70
4. APLICAO DO MODELO DE GERENCIAMENTO DE RISCOS AO AMBIENTE DE INTERNET

BANKING............................................................................................................................... 71
4.1. IDENTIFICAO DE RISCOS NO AMBIENTE INTERNET BANKING.................................... 71
4.2. A PRTICA DO MODELO DE GERENCIANDO DE RISCOS .................................................. 73
4.2.1. IDENTIFICAO DE RISCOS NO AMBIENTE DE INTERNET BANKING .............................. 74
4.2.1.1 WEB SITES INSTITUCIONAIS ........................................................................................ 78
4.2.1.2 WEB SITES TRANSACIONAIS ........................................................................................ 79
4.2.2. IDENTIFICANDO RISCOS NOS AMBIENTES DO CLIENTE E DA INSTITUIO ................... 80
xiv
4.2.2.1 RISCOS OPERACIONAIS ................................................................................................ 81
4.3.2.1.1 ATAQUES PASSIVOS .................................................................................................. 88
4.3.2.1.1.1 DECOD-DNS ............................................................................................................ 88
4.3.2.1.1.2 IP-PORTSCAN ......................................................................................................... 89
4.3.2.1.1.3 TROJANS, SPYWARES, CDIGOS MALICIOSOS ..................................................... 89
4.3.2.1.2 ATAQUES ATIVOS ...................................................................................................... 91
4.3.2.1.2.1 ATAQUES DE INVASO ........................................................................................... 91
4.3.2.1.2.1.1 IIS_CROSS_SITE_SCRIPTING (HTTP_CROSS_SITE_SCRIPTING).................... 92
4.3.2.1.2.1.2. IP-UNKNOWN ..................................................................................................... 92
4.3.2.1.2.1.3. HTTP-APACHE-COOKIE ................................................................................... 93
4.3.2.1.2.1.4. IIS-UNICODE-WIDE-ENCODING........................................................................ 94
4.3.2.1.2.1.5. DATABASE-IDA-PORTABLE-EXECUTABLE-BO ................................................. 95
4.3.2.1.2.1.6. ATAQUES DE DOS DENIAL OF SERVICE (INTERRUPO DE SERVIO)......... 96
4.3.2.1.2.1.7. SYNFLOOD .......................................................................................................... 96
4.3.2.1.2.1.8. STREAM-DOS ...................................................................................................... 97
4.3.2.1.2.1.9. BGP-ROUTE-UNREACHABLE ............................................................................ 98
4.3.2.1.2.1.10 ATAQUES DE ENVENENAMENTO DE TRANSAO ............................................ 99
4.3.2.1.2.1.11. ATAQUES INTERNOS......................................................................................... 99
4.3.2.1.2.1.12. ATAQUES DE ENGENHARIA SOCIAL .............................................................. 101
4.2.2.2. RISCOS LEGAIS ......................................................................................................... 106
xv
4.3.2.2.1 LEGISLAO BRASILEIRA ...................................................................................... 108
4.2.2.3 RISCOS DE IMAGEM ................................................................................................... 111
4.2.3. ANLISE E PLANEJAMENTO DE AES PARA GESTO DOS RISCOS ............................. 112
4.2.3.1 O COMPORTAMENTO DAS FRAUDES ......................................................................... 114
4.2.3.2 O PROBLEMA DA AUTENTICAO DOS CLIENTES...................................................... 118
4.2.3.3 SOLUES DE AUTENTICAO DE CLIENTES ............................................................ 124
4.2.3.3.1 SENHAS SIMPLES ..................................................................................................... 124
4.2.3.3.2 TECLADOS VIRTUAIS .............................................................................................. 124
4.2.3.3.3 SENHAS COGNITIVAS ............................................................................................... 125
4.2.3.3.4 SENHAS DINMICAS................................................................................................. 125
4.2.3.3.5 CARTES DE GRID .................................................................................................. 126
4.2.3.3.6 AUTENTICAO BASEADA EM TOKENS .................................................................. 126
4.2.3.3.7 IDENTIFICAO DE DISPOSITIVOS DOS CLIENTES .................................................. 127
4.2.3.3.8 DETECO DE TRANSAES ANMALAS ................................................................ 128
4.2.3.3.9 AUTENTICAO BIOMTRICA ................................................................................ 128
4.2.4. MONITORAO E COMUNICAO ............................................................................... 128
5. APLICAO DA PROPOSTA ........................................................................................... 132
6. CONCLUSO ............................................................................................................. 135
BIBLIOGRAFIA.................................................................................................................. 139
ANEXO I ................................................................................................................................. 143
xvi
ANEXO II.............................................................................................................................. 150
xvii
NDICE DE TABELAS
TABELA 1.1: VALORES DE TRANSAES BANCRIAS ............................................................... 28
TABELA 2.1: EXPOSIO AO RISCO ........................................................................................... 39
TABELA 2.2: FATORES DA ANLISE S.W.O.T............................................................................ 45
TABELA 4.1: QUANTIDADE DE TROJANS ENVIADOS A CLIENTES DE BANCOS ............................. 83
TABELA 4.2: ACUMULADO DE TROJANS ENVIADOS A CLIENTES DE BANCOS ............................. 84
TABELA 4.3: ATAQUES CONTRA OS SERVIDORES DOS BANCOS .................................................. 85
TABELA 4.4: INCIDENTES REPORTADOS AO CERT - JANEIRO A DEZEMBRO DE 2006 ................ 87
TABELA 4.5: DETECO DAS AMEAAS VERSUS IMPLEMENTAO DE MEDIDA DE SEGURANA

........................................................................................................................................ 117
xviii
NDICE DE FIGURAS
FIGURA 1.1: QUADRO DE INSTITUIES FINANCEIRAS NO BRASIL ............................................. 25
FIGURA 1.2: CANAIS DE ACESSO S INSTITUIES FINANCEIRAS ............................................... 25
FIGURA 1.3: QUADRO DE CONTAS CORRENTES .......................................................................... 26
FIGURA 1.4: EVOLUO DE TRANSAES BANCRIAS (MILHES)............................................. 27
FIGURA 2.1: MATRIZ IMPACTO E PROBABILIDADE .................................................................... 32
FIGURA 2.2: CICLO DE VIDA DO RISCO ....................................................................................... 34
FIGURA 2.3: CLASSIFICAO DE RISCOS .................................................................................... 37
FIGURA 2.4: ESCALA PROPOSTA POR SAATY ............................................................................. 42
FIGURA 2.5: QUADRO COMPARATIVO ENTRE CRITRIOS ............................................................ 42
FIGURA 2.6: SWOT FATORES INTERNOS E EXTERNOS ........................................................... 46
FIGURA 2.7: CONTROLES X CUSTOS .......................................................................................... 49
FIGURA 2.8: NDICE DE BASILIA .............................................................................................. 56
FIGURA 4.1: DIAGRAMA AMBIENTE INTERNET BANKING ........................................................... 77
FIGURA 4.2 VARIAO DOS ATAQUES POR TROJANS............................................................... 84
FIGURA 4.3: ESTATSTICA DOS ATAQUES CONTRA OS SERVIDORES DOS BANCOS ....................... 86
FIGURA 4.4: TROJAN CONCURSO PETROBRS .......................................................................... 102
FIGURA 4.5: TROJAN CARTO PETROBRS .............................................................................. 102
FIGURA 4.6: TROJAN VIA E-MAIL ............................................................................................. 103
FIGURA 4.7: TROJAN VIA AVISO BANCRIO ............................................................................. 103
xix
FIGURA 4.8: TROJAN VIA SITE DE CHARGES ............................................................................. 104
FIGURA 4.9: CARTO BRADESCO DE SENHAS DINMICAS ....................................................... 105
FIGURA 4.10: ATAQUES NA INTERNET ..................................................................................... 115
FIGURA 4.11: ATAQUES PRATICADOS VERSUS SOLUO ADOTADA......................................... 116
FIGURA 4.12: EVOLUO DOS ATAQUES VERSUS IMPLANTAO DE SOLUO DE SEGURANA

........................................................................................................................................ 117
FIGURA 4.13: TECLADO VIRTUAL ........................................................................................... 118
FIGURA 4.14: SITE DO BANK OF AMERICA .............................................................................. 120
FIGURA 4.15: SITE DO BANCO DA MALSIA ............................................................................ 121
FIGURA 4.16: PREFERNCIA DOS CLIENTES QUANTO AOS DISPOSITIVOS DE SEGURANA PARA
AUTENTICAO DE TRANSAES ON-LINE....................................................................... 123
FIGURA 4.17: E-CPF................................................................................................................ 127
FIGURA 5.1: GESTO INTEGRADA DE RISCOS .......................................................................... 132
FIGURA 5.2: VARIAO DE T NA ADOO DE SOLUES DE SEGURANA ............................. 133
FIGURA 5.3: DIMINUIO DA CURVA DE TEMPO NA ADOO DE SOLUES ............................ 134
xx
xxi
1. INTRODUO
O objetivo deste trabalho consiste em demonstrar a implementao de um modelo de

gesto de risco em uma situao real, vivenciada pelas instituies financeiras. Ao oferecer os
servios de internet banking para realizao de transaes bancrias, as instituies
financeiras ingressaram em um ambiente repleto de incertezas e cujo domnio sobre todas as
variveis encontra-se alm dessas instituies.
Aliado s incertezas advindas desse canal de relacionamento, a complexidade dos

ambientes computacionais que suportam as transaes financeiras, bem como as leis e
regulamentos as quais as instituies devem se submeter, apresentam-se como fatores de
risco, que somados podem determinam o fracasso do servio oferecido, ou seu sucesso,
dependendo da capacidade das empresas em adotarem medidas apropriadas para minimizao
dos riscos.
No identificamos literatura que contemplasse de forma abrangente a abordagem

apresentada nesta dissertao. As literaturas sobre o assunto esto dispersas em artigos, sites
de segurana, livros didticos e apresentaes em congressos e cursos especficos sobre
gesto de riscos e segurana, que se encontram referenciados na bibliografia desta dissertao.
Embora tenhamos identificado descries sobre metodologias de avaliao de risco

[66], no h publicao que alie a teoria com a administrao de riscos em ambiente de
internet banking das instituies financeiras.
Os administradores de empresas podem considerar o disposto neste trabalho para

aprimoramento dos modelos de gesto de risco, ampliando a capacidade de tomada de
decises e influenciando diretamente as estratgias adotadas na conduo dos negcios.
Assim, como primeira contribuio, apresentamos um modelo de gesto de riscos

adaptado a partir do modelo do SEI Software Engineering Institute, em que dividimos a
gesto de risco em vrias etapas. O modelo se prope a auxiliar os gestores de processos na
identificao dos riscos e no planejamento das aes de minimizao de eventos indesejados.
A segunda contribuio consiste em determinar as principais ameaas e
vulnerabilidades nos ambientes que constituem o internet banking, bem como, os tipos de
ataques mais freqentes disparados contra os clientes e as instituies financeiras no Brasil.
A terceira contribuio contempla a anlise dos dados de sries temporais de quatro

anos, quanto ao nmero de ataques sofridos pelas instituies, comparando com os perodos
em que foram implementadas medidas de segurana adicionais pelos bancos. Baseado nessa
comparao foi possvel identificar um padro de comportamento dos hackers, quando
executando ataques contra as instituies e clientes.
Como quarta contribuio, identificamos as principais medidas de segurana adotadas

pelas instituies financeiras, no Brasil, analisando suas vantagens e desvantagens.
A adoo de um modelo de gerenciamento de riscos atua de modo preventivo e

contnuo, possibilitando a adoo de aes mais rpidas, por parte dos administradores e,
conseqentemente, a diminuio das perdas resultantes dos ataques.
1.1. SISTEMA FINANCEIRO EM NMEROS
Coletamos informaes sobre o setor econmico em que as instituies bancrias

atuam, com o propsito de ressaltar o volume de transaes realizadas anualmente por meio
dos diversos canais e identificar as tendncias de sua utilizao pelos clientes.
O quadro geral dos bancos no Brasil mostra, no decorrer dos ltimos cinco anos, uma
gradual diminuio de instituies autorizadas pelo Banco Central a operar no pas. Este
cenrio sinaliza para uma estabilizao e consolidao de recente processo de fuses e
incorporaes no mercado financeiro. Observa-se uma diminuio do nmero de bancos
privados nacionais e uma estabilizao dos bancos estrangeiros. De acordo com a Febraban
Federao Brasileira de Bancos [21] ainda h espao para competitividade entre os bancos na
busca de maiores fatias do mercado. Sob esta anlise o uso da tecnologia certamente exercer
um papel decisivo na diferenciao dos produtos e servios oferecidos, como tambm na
gesto das estruturas das instituies financeiras. A figura 1.1 nos mostra a variao ocorrida
nos ltimos cinco anos.
24
Perodo 2000 2001 2002 2003 2004 2005
Nmero de Bancos 192 182 167 165 164 161
Bancos Privados Nacionais 105 95 87 88 88 84
Bancos Privados Estrangeiros 70 72 65 62 62 63
Bancos Pblicos 17 15 15 15 14 14
Fonte: Federao Brasileira dos Bancos
Figura 1.1: Quadro de instituies financeiras no Brasil
Nos ltimos cinco anos o nmero de agncias bancrias mostra-se relativamente

estvel, sendo esse o mais tradicional canal de acesso dos clientes aos bancos. O nmero de
equipamentos de auto-atendimento praticamente dobrou no mesmo perodo. Contudo, a
mudana mais significativa concentra-se no nmero de correspondentes bancrios. Entre 2004
e 2005 a variao foi de mais de 50%. Esse canal constitui-se na utilizao da infra-estrutura
de empresas parceiras (terceirizados) para atendimento de servios bancrios. A figura 1.2
ilustra o acima exposto [21].
2000 2001 2002 2003 2004 2005 Variao

2005/2004
Nmero de Agncias 16.396 16.841 17.049 16.829 17.260 17.515 1,5%
Postos eletrnicos 14.453 16.748 22.428 24.367 25.595 27.405 7,1%
Correspondentes bancrios 13.731 18.653 32.511 36.474 46.035 69.546 51,1%
Fonte: Federao Brasileira dos Bancos
Figura 1.2: Canais de acesso s instituies financeiras
Outro dado significativo mostrado na figura 1.3 que compara as quantidades de

contas correntes com o nmero de contas de clientes com internet banking. Nos ltimos trs
anos, a quantidade de clientes que passou a usar a internet para fazer suas transaes
bancrias praticamente triplicou.
25
2000 2001 2002 2003 2004 2005
Contas correntes (1) 48,2 53,6 55,7 61,4 66,9 70,5
Clientes com Internet (2) 8,3 8,8 9,2 11,7 18,1 26,3
Em milhes
(1) Contas correntes movimentadas Fonte Banco Central [62]
(2) Fonte Febraban [21]
Figura 1.3: Quadro de contas correntes
A figura 1.4 nos apresenta um quadro comparativo entre as transaes bancrias por
canal de atendimento. Alguns nmeros so significativos quanto ao comportamento dos
usurios. Primeiramente, observa-se uma expanso do nmero total de transaes bancrias,
na ordem de 17% na comparao entre o ano de 2005 em relao a 2004. Outra constatao
quanto ao crescimento de 50%, em mdia, do uso do internet banking, tanto por pessoas
fsicas quanto por jurdicas. Esse resultado sinaliza uma intensa migrao do uso dos canais
tradicionais (transaes presenciais nos caixas das agncias) para a internet.
O comportamento observado no Brasil, quanto utilizao da internet para realizao

de transaes bancrias, tambm observado em outros pases na Europa e Amrica do
Norte. Segundo pesquisa divulgada no site da Global Market Insite [30], envolvendo 17,5 mil
consumidores em 18 pases, constatou-se que pelo menos 50% de suas transaes bancrias
so realizadas atravs de internet banking, com destaque para Holanda, Alemanha e
Dinamarca. Os Estados Unidos e o Japo ficaram no 10 e 11 lugares, respectivamente, com
38% e 30% das transaes. O Brasil aparece na stima colocao, com 41% das transaes.
26
2000 2001 2002 2003 2004 2005 Variao
2005/2004
Total de transaes (1) 19.760 23.444 21.617 26.302 30.035 35.122 16,90%
Transaes de caixas 4.027 5.188 4.463 4.451 3.609 3.719 3,00%
Internet banking (PF) 370 820 1.139 1.457 2.045 3.167 54,90%
Internet banking (PJ) 359 664 970 1.174 1.862 2.682 44,00%
Correspondentes no - - - 125 187 296 58,20%
bancrios
Em milhes
Fonte: www.febraban.org.br/ [62]
(1) Transaes bancrias abrangendo os diversos canais de atendimento (call center, correspondentes no bancrios, cheques
compensados, internet, auto-atendimento, troca eletrnica de dados, transaes de caixas, POS point of sale)
Figura 1.4: Evoluo de transaes bancrias (milhes)
A pesquisa aponta a falta de confiana dos clientes americanos quanto segurana do

canal, como uma das razes pelas quais o servio de internet ainda no ter atingido ndices
majoritrios. O comportamento oposto observado nos pases europeus atribudo s medidas
adicionais de segurana adotadas pelos bancos. A pesquisa detectou que os sites dos bancos
trabalham com medidas adicionais para identificao e autenticao de usurios, como duas e
at trs senhas.
Contudo, independentemente da falta de confiana no canal internet poder ainda

afastar usurios, a pesquisa revela que os consumidores de todo o mundo acreditam na
irreversibilidade do movimento quanto ao uso do sistema virtual. Desta forma,
cabe s instituies financeiras gerenciar os riscos inerentes ao ambiente, como forma de
explorar as oportunidades oferecidas. A competitividade entre os bancos est cada vez mais
acirrada e os que oferecerem diversificao nos servios aliada a medidas de segurana mais
eficazes, podem ampliar sua presena no mercado financeiro, reduzir os custos operacionais e
elevar a satisfao de seus clientes.
Apresentamos na tabela 1.1 os valores mdios de transaes, calculados pelos bancos

instalados no Brasil, que no envolvam movimentao de dinheiro, em espcie, nos canais
apresentados na figura 1.4.
27
Tabela 1.1: Valores de Transaes Bancrias
Canal de Atendimento Valor da Transao

Internet Banking R$ 0,30
Transao no Caixa R$ 1,80
Correspondente no Bancrio R$ 1,20
Percebemos que transaes realizadas por meio do atendimento por caixas (canal
convencional) chega ser at seis vezes maior que a mesma transao, quando realizada pelo
canal Internet.
Essa diferena eleva a eficincia operacional das instituies, trazendo como benefcio
imediato uma maior rentabilidade e retorno sobre o investimento dos acionistas. Assim, a
irreversibilidade do movimento em direo ao canal eletrnico tambm percebida e
incentivada pelos bancos. Portanto, cabe a estes propiciar maior segurana aos clientes para
que o processo migratrio se intensifique cada vez mais.
1.2. ORGANIZAO DA DISSERTAO
Esse trabalho est organizado da seguinte forma: o captulo 2 apresenta os principais

conceitos que norteiam a disciplina de administrao de riscos. Introduz as definies sobre o
ciclo de vida dos riscos, propondo um modelo terico de gesto de riscos. A seguir descreve
as principais regulamentaes internacionais e nacionais, que norteiam as aes das
instituies financeiras, contemplando os conceitos sobre governana corporativa. Para
finalizar descrevemos o papel desempenhado pela auditoria na avaliao de riscos.
O capitulo 3 descreve a metodologia utilizada neste trabalho.
O captulo 4 aplica os conceitos introduzidos no modelo terico de gesto de riscos na

administrao dos servios bancrios disponibilizados por meio da internet. Baseados na
pesquisa de campo, realizada nas instituies financeiras instaladas no Brasil, seguimos
aplicando cada fase do ciclo de vida dos riscos ao ambiente real das empresas. Com base nas
pesquisas realizadas, caracterizamos o comportamento dos hackers e identificamos as
principais ameaas s quais o servio bancrio est sujeito. Como conseqncia, analisamos
28
as solues de segurana adotadas pelas instituies financeiras no Brasil e em alguns pases
estrangeiros.
O captulo 5 destina-se a demonstrar a aplicabilidade do modelo de gerenciamento de

riscos, ao reduzir o gap de tempo entre a deteco de uma ameaa e a adoo de medidas
adicionais de segurana.
O captulo 6 dedicado s concluses do trabalho.
29
2. GERENCIAMENTO DE RISCOS
A administrao de riscos suporta diretamente a tomada de decises, direcionando as

estratgias das empresas na conduo dos negcios. A dependncia cada dia mais crescente
dos sistemas informatizados culminou em ambientes complexos e altamente interligados.
Falhas originadas em um ambiente afetam diretamente os resultados esperados em outra rea
negocial. Assim, o domnio sobre o universo dos riscos de fundamental importncia para a
administrao dos negcios de qualquer empresa.
Este captulo trata, primeiramente, da definio de diversos conceitos que embasam a

disciplina de gerenciamento de riscos. Em seguida, abordamos as etapas que constituem o
modelo de gerenciamento de risco, adotado nesta dissertao. As legislaes e
regulamentaes vigentes so apresentadas, destacando-se sua relao com o gerenciamento
de riscos e a responsabilidade dos administradores perante os rgos de fiscalizao.
2.1. DEFININDO RISCO
A definio de risco no encontra unanimidade nas literaturas disponveis sobre o

assunto. Apresentamos quatro definies tcnicas sobre o assunto. Contudo, antes de
entrarmos nessas definies, apresentamos uma viso leiga do conceito, disposta no
dicionrio Houaiss: risco a probabilidade de insucesso, de malogro de determinada coisa,
em funo de acontecimento eventual, incerto, cuja ocorrncia no depende exclusivamente
da vontade dos interessados.
O Instituto de Auditores Internos [60] define risco como a possibilidade de um

evento ocorrer e que pode ter impacto no atingimento dos objetivos.
David Griffiths [31] define riscos como um conjunto de circunstncias que ameaa o
atingimento dos objetivos. Em um nvel macro, sabemos que toda organizao tem um
objetivo. A partir desse objetivo macro, todos os subprocessos, pelos quais a organizao foi
dividida, tambm possuem seus prprios objetivos. Griffiths parte do pressuposto de que se
no conhecemos todos os objetivos, tambm no conheceremos todos os riscos.
30
interessante observar e aprofundar um pouco a definio de Griffiths, tomando-se o
exemplo citado por ele sobre os objetivos de um fazendeiro e de um administrador de um
museu. Ambos atuam em uma rea prxima ao rio Nilo. Para o fazendeiro, o objetivo
cultivar terras que se fertilizam com a enchente do rio. J para o administrador do museu, seu
objetivo preservar o acervo de obras. Assim sendo, a circunstncia da enchente do rio a
mesma para ambos, contudo para o fazendeiro uma oportunidade para fertilizar suas terras,
enquanto para o administrador um risco de danificar as obras sob seus cuidados.
A definio utilizada pela ISO International Organization for Standardization [38]

trata o risco como a combinao da probabilidade de um evento ocorrer e de suas
conseqncias. Em suma, a combinao da probabilidade de ocorrncia com o impacto
causado. Particularmente, face s demais definies sobre gerenciamento de riscos que
veremos no decorrer deste trabalho, entendo que a definio da ISO estaria mais apropriada
para definir o grau de exposio a um risco. Para exemplificar, tomemos como exemplo a
queda de um raio sobre um data center. O risco de queda de um raio sempre vai existir, o
que chamamos de ameaa natural. Entretanto, a combinao de algumas atitudes como a
deciso sobre a localizao do data center e a instalao de pra-raios, que reduzem a
probabilidade de queda de um raio sobre as instalaes, bem como a instituio de backups e
a existncia de redundncia de equipamentos, que reduzem o impacto (conseqncias),
diminuem a exposio das instalaes ao risco de queda de raio.
Glyn Holton [33] nos fornece uma definio de risco simplificada, mas ao mesmo
tempo fascinante: risco expor-se a um propsito incerto, ou seja, a exposio
incerteza.
Dos conceitos citados, a definio trazida pela ISO, aliada ao disposto por Glyn
Holton, se coadunam para o meu entendimento sobre a definio de riscos. Entendo risco
como a ocorrncia de um evento incerto, que traz consigo conseqncias para o alcance dos
objetivos determinados. Basicamente distinguimos dois elementos quando tratamos de risco: a
possibilidade de ocorrncia e o impacto ocasionado pela ocorrncia do evento.
31
Alto
I
M
P Mdio
A
C
T
O
Baixo
Baixa Mdia Alta
PROBABILIDADE
Figura 2.1: Matriz Impacto e Probabilidade
A relao impacto versus probabilidade pode ser melhor entendida luz da figura 2.1.
A regio vermelha representa a rea de maior exposio ao risco, resultante do cruzamento de
uma alta probabilidade de ocorrncia de um evento versus um impacto mdio ou alto.
Outros conceitos referentes disciplina de gerenciamento de risco encontram-se

descritos no anexo I deste trabalho.
2.2. CONTROLE INTERNO
Um conceito que, imediatamente, vem associado ao risco o de controle interno.

Encontramos na literatura diversos conceitos para controle interno. O Instituto Francs de
Contadores [67] o define como um conjunto de medidas de segurana que contribuem para o
controle de uma companhia. Outra definio relaciona controle interno como um sistema que
tem por objetivo contribuir para o controle das atividades, para assegurar a eficincia das
operaes e o uso racional dos recursos. Segundo o Comit das Organizaes Patrocinadoras
(COSO) da Treadway Commission [44] controle interno definido como processo eficaz
adotado pela direo das organizaes, por gerentes e outros grupos designados para prover
segurana razovel no atingimento de objetivos.
32
Adoto a definio de controle interno como a tomada de aes que mitigam um
determinado risco. Por exemplo, David Griffiths [31] exemplifica a ao de reforar uma
ponte como de minimizao de um risco.
Tendo como base o disposto anteriormente, prefiro chamar de gesto do risco a toda
ao que vise minimizar ou mesmo conviver com o risco. Convm reforar que conviver com
riscos tambm uma forma de gerir riscos. Um administrador, ciente dos riscos, do impacto e
da probabilidade de ocorrncia, pode decidir por no adotar nenhuma atitude e correr o
risco. A instituio de um determinado controle pode ser a resultante final do processo de
anlise de riscos.
Aes para mitigar riscos implicam em um custo adicional para as empresas. Contudo,
no caso em que a perda ocasionada pela consecuo do risco for menor que o custo do
controle implementado, o administrador pode optar em conviver com a possibilidade de
ocorrncia do evento, sem que haja necessidade de implementar um controle.
Os controles internos podem ser de trs tipos: preventivos, detectivos e corretivos [44].
Os preventivos so aqueles que agem anteriormente consecuo do risco. So exemplos
deste tipo de controle: anlise prvia dos antecedentes de um funcionrio, quando de sua
contratao; controle sobre o acesso fsico de pessoas a ambientes; estabelecimento de
segregao de funes em transaes crticas etc. Atuam, portanto na linha das abscissas da
figura 2.1, diminuindo a probabilidade de ocorrer um evento.
Os controles detectivos e corretivos entram em ao aps a ocorrncia de um evento e

atuam em ambos os eixos da mesma figura. So exemplos desses controles: clculos de hash,
check points, planos de contingncia, cpias de segurana de arquivos etc. O objetivo desses
controles detectar, o mais rpido possvel, a ocorrncia indesejada, procurando estancar o
evento e ao mesmo tempo diminuir os impactos provocados.
2.3. CICLO DE VIDA DO RISCO
O ciclo de vida do risco compreende fases de um processo que se inicia pela

identificao das situaes de risco, passando pela anlise de sua criticidade, adoo de
33
estratgias para controlar e risco e finalmente o exerccio do monitoramento sobre a
efetividade das medidas adotadas.
Em Continuous Risk Management Guidebook [17], uma proposta de ciclo de vida de

risco nos apresentada sob a descrio de 06 fases, quais sejam: identificao, anlise,
planejamento, monitorao, controle e comunicao.
Percebemos que as fases de monitorao e controle so fortemente interdependentes e,

assim sendo, adotaremos uma variao do modelo em [19]. Aglutinamos na monitorao a
fase de controle, reduzindo para cinco as fases do modelo a ser adotado neste trabalho
identificao, anlise, planejamento, monitorao e comunicao.
Embora possamos identificar individualmente cada etapa, interessante destacar que

findada uma fase segue-se para a subseqente, mas concomitantemente reinicializa-se a
anterior. Como tratamos com incertezas sempre presentes, as fases devem giram
constantemente e simultaneamente, conforme demonstrado na figura 2.2.
Monitorao
Controle
Comunicao
Planejamento
Identificao
Anlise
Figura 2.2: Ciclo de vida do risco

Adaptao de: Software Engineering Institute
2.3.1. IDENTIFICAO
A fase de identificao consiste na atividade de apresentar o risco sob a forma

descritiva e que possa ser quantificado. Assim, procura-se identificar os mais diversos riscos,
34
associados ao processo sob anlise, antes que se concretizem em problemas. A identificao
parte, em primeiro lugar, do conhecimento do processo em curso, da determinao de seus
objetivos e de suas diversas interaes com os ambientes internos e externos, nos quais o
processo esteja inserido.
O produto final dessa fase a descrio ou declarao do risco, que pode e deve conter
as condies de incertezas e preocupaes, como tambm as conseqncias negativas geradas
pelas condies descritas.
Mostramos a seguir um exemplo de descrio de risco para o caso de servios internet

banking:
As senhas dos clientes podem ser interceptadas durante o acesso ao ambiente de

internet banking da instituio, possibilitando o acesso de pessoas no autorizadas s contas
dos usurios.
Observemos que a condio de incerteza est bem caracterizada quando se diz que as
senhas dos clientes podem ser interceptadas. As conseqncias ou impactos esto descritos
em possibilitando o acesso de pessoas no autorizadas s contas dos usurios.
A identificao de riscos uma atividade que deve envolver diversas pessoas, com
conhecimento sobre o processo que est sendo avaliado, pois possibilita juntar as mais
diferentes experincias prticas e conhecimentos tericos sobre o assunto.
Como ferramentas de identificao dos riscos so sugeridas tcnicas como as

seguintes:
brainstorming. Esta tcnica consiste em juntar as pessoas envolvidas no

trabalho e colecionar as mais diversas preocupaes e previses sobre os
possveis riscos, baseadas em experincias individuais e conhecimentos
tericos;
entrevistas, onde so colhidas, individualmente, as opinies de vrias
pessoas, conhecedoras de determinado assunto;
anlises de literaturas que tratam do assunto em questo;
35
experincias vivenciadas e reportadas por outras instituies; etc.
Adicionalmente descrio dos riscos, aconselhvel que se identifique o contexto

em que se encontra o risco. Trata-se de complementar o entendimento sobre todo o ambiente
em que se encontra inserido e com o qual se relaciona o processo, possibilitando gerar o maior
nmero de informaes possveis sobre os riscos identificados.
2.3.2. ANLISE
A atividade de anlise de risco significa determinar sua dimenso, com base nas
informaes produzidas na fase anterior. De maneira mais detalhada, consiste na descrio e
no contexto dos riscos identificados, produzindo informaes que subsidiaro a tomada de
decises quanto s aes a serem adotadas para gesto dos riscos.
A descrio e o contexto identificam os riscos dentro das vertentes de impacto e

probabilidade. A etapa de anlise de riscos consiste, num primeiro momento, em avaliar as
ameaas e vulnerabilidades, as probabilidades de concretizao, em quantificar os impactos,
passando, ento, classificao e priorizao dos riscos.
De acordo com Guidelines of the Management of IT Security, ISO/IEC 13335-1:2004,

o risco caracterizado pelos seguintes elementos: ameaas, vulnerabilidades, processos e
ativos.
Ameaa so quaisquer circunstncias que podem causar danos ao ativo informao,

como modificao, destruio, ou exposio indevida. Pode ser provocado por uma pessoa,
um evento, um recurso defeituoso de hardware ou software. Ataques maliciosos, fraude,
roubo, falhas em equipamentos so exemplos de ameaas.
Vulnerabilidades so caractersticas, ou fragilidades que podem ser exploradas por

uma ameaa, para causar danos.
A anlise dos riscos nos leva a concluir sobre o grau de exposio ao qual o processo
se encontra sujeito. A figura 2.1 nos apresentou uma matriz de risco baseada em impacto e
36
probabilidade, como uma das maneiras de calcular a exposio ao risco. Existem outros tipos
de matrizes e o tpico 2.3.2.1 trata do assunto.
Como resultado da identificao dos riscos possvel agrup-los por classes ou

grupos, a partir de critrios pr-estabelecidos. O objetivo desse agrupamento, ou classificao
identificar os riscos que se sujeitam s mesmas causas, os inter-relacionamentos entre eles,
ou mesmo os impactos ocasionados. Isso auxilia na simplificao do processo de avaliao de
risco, facilitando o planejamento quanto s aes corretivas.
Tal agrupamento pode ser melhor visualizado por meio da figura 2.3.
O objetivo final da classificao facilitar o planejamento das estratgias de gesto, a

partir de uma viso sistmica dos riscos.
20
20
18 16
16
14
12
10
Qtde 10
8
6
4
2
2
0
Ambiente Ambiente Meio de Outros
Operacional Transacional Transmisso
Grupos
Figura 2.3: classificao de riscos

Fonte: Silas Roberto Souza [57]
A classificao dos riscos auxilia na deciso sobre a priorizao daqueles que se

mostrarem mais crticos ou relevantes.
37
2.3.2.1. Matriz de Risco
A ferramenta matriz de risco consiste em um sistema estruturado e ordenado para

anlise do nvel de criticidade dos riscos identificados em um processo.
Identificados os riscos inerentes a cada processo, a fase de anlise constitui-se em

quantificar o grau de criticidade em que o risco se encontra. Uma das metodologias de anlise
a matriz de riscos, que objetiva o estabelecimento de prioridades, com propsito de
classificar os riscos em mais crticos e menos crticos. Dessa forma, possvel um melhor
gerenciamento sobre os recursos disponveis, estabelecendo uma estratgia de atuao a partir
dos riscos mais crticos.
Para os gestores que precisam justificar a necessidade de investimentos na rea de

segurana, a matriz de risco fundamenta a destinao dos recursos, com base na maior
criticidade dos riscos e, conseqentemente, na necessidade de aprimoramento dos controles
internos.
A figura 2.1 mostra uma matriz de riscos baseada em dois indicadores: probabilidade e
impacto. Por meio do cruzamento de seus dois eixos possvel calcular o grau de exposio
de um risco.
Os quadrantes em vermelho sinalizam as situaes de alta exposio, os amarelos

tratam dos nveis de exposio moderada, enquanto os verdes so as situaes de risco baixo.
Esse grfico pode tambm ser ampliado para um nvel de detalhamento maior, resultando nas
seguintes situaes, para cada eixo:
1. muito alto;
2. alto;
3. moderado;
4. baixo; e
5. muito baixo.
A resultante do grfico o nvel de exposio ao risco que pode ser obtido pela
multiplicao do impacto pela probabilidade.
38
A tabela 2.1 sintetiza a combinao de situaes, que resulta em vrios nveis de
exposio:
Probabilidade
Impacto Alto (3) Moderado (2) Low (1)
Alto (3) Alto (9) Alto (6) Moderado (3)
Mdio (2) Alto (6) Moderado(4) Baixo (2)
Baixo (1) Moderado (3) Baixo (2) Baixo (1)
Tabela 2.1: Exposio ao risco
O problema que se apresenta para avaliao do grau de exposio ao risco como

quantificar o impacto e a probabilidade do risco identificado.
Tendo em vista a quantidade de conhecimentos disponibilizados aos gestores, a

subjetividade na avaliao da probabilidade e dos impactos um fator que se faz fortemente
presente quando da construo de matrizes de risco [32]. possvel, assim, identificar o grau
de criticidade do risco tanto pela quantificao do impacto e das probabilidades, como pode
ser utilizada uma metodologia baseada fundamentalmente na subjetividade dos avaliadores.
2.3.2.1.1 Quantificao do Impacto
A quantificao do impacto, em uma matriz de risco, consiste em identificarmos no

somente as perdas financeiras para as instituies, mas os prejuzos diretos e indiretos,
incluindo:
danos imagem da instituio, com conseqente perda de clientes, de mercado

ou de oportunidades;
danos s pessoas (clientes, empregados, fornecedores);
perodos de indisponibilidade e recuperao;
degradao do desempenho de sistemas;
descrdito sobre os servios oferecidos;
inter-relacionamento com outros sistemas;
39
penalizaes impostas pelos rgos de Fiscalizao;
existncia de planos de contingncia.
2.3.2.1.2 Quantificao da Probabilidade
A quantificao da probabilidade pode se d por meio de clculos probabilsticos, ou

fundamentar-se em uma anlise eminentemente subjetiva.
O artigo Management of IT Auditing [59], afirma que a quantificao da probabilidade

mais difcil de se calcular, por se tratar de incertezas Qual a probabilidade de um hacker
invadir uma organizao?. Contudo as experincias passadas e as melhores prticas podem
ser usadas para auxiliar nessa estimativa.
Para o clculo da quantificao da probabilidade, possvel utilizarmos uma avaliao

numrica, com base nos clculos de probabilidade, aliada a uma avaliao subjetiva. Neste
caso, deveremos estabelecer critrios de avaliao, que fundamentaro os valores produzidos
para a probabilidade.
Quando do uso dos clculos probabilsticos, fundamental dispormos de histricos

sobre as estatsticas de ocorrncia do evento. Contudo, lembrando Jacob Bernoulli, o passado
no nos garante o futuro. Para esses clculos consideramos os conceitos de mdia, desvio
padro, coeficiente de varincia e de probabilidade.
No caso em que necessrio utilizarmos a subjetividade para quantificao das

probabilidades, necessrio estabelecermos alguns critrios que fundamentaro a
classificao da probabilidade nos nveis pr-definidos (alta, mdia, baixa, por exemplo).
Assim sendo, compreensvel que utilizemos descries qualitativas resultantes de avaliaes
subjetivas.
So exemplos desses critrios:
freqncia das ocorrncias dos eventos de risco (dirio, vrias vezes ao dia,
ocasional);
existncia de controles preventivos, detectivos e corretivos;
40
existncia e periodicidade de monitorao dos servios;
grau de estabilizao dos servios tempo que est implantado, freqncia de
atualizaes;
estabilidade do ambiente de tecnologia;
orientaes/documentaes disponveis para os procedimentos executados;
grau de treinamento dos funcionrios;
nvel de interveno manual;
quantidade de penalizaes imposta em determinado perodo;
complexidade dos procedimentos;
ocorrncia de fraudes.
2.3.2.1.3 Aplicao da Metodologia AHP (Analytic Hierarchy Process)
Criada na dcada de 70 por Thomas Saaty [53], a AHP est classificada como
multicritrio ao ramo das metodologias de Pesquisa Operacional. Por essa metodologia,
possvel comparar critrios de natureza diferente, para determinao do nvel de criticidade de
um dado risco.
A metodologia AHP a mais difundida/utilizada das tcnicas voltadas para atribuio

de pesos aos critrios utilizados para classificao quantitativa e conseqentemente para
tomada de decises.
O desafio final que se apresenta consiste em estabelecermos pesos para os mais

diversos critrios, formulados para serem indicadores de impacto e probabilidade e, assim,
traduzir o grau de criticidade em uma pontuao que varia entre 0 (zero) e 1 (um).
Edson de Oliveira Pamplona [50] escreve que o mtodo AHP pode ser usado na
quantificao das caractersticas qualitativas, permitindo a ponderao de todas as
caractersticas e a priorizao dos critrios. A questo primordial do mtodo identificar com
que pesos os fatores individuais influenciam os objetivos definidos. De acordo com o
proposto por Saaty, os modelos tm que incluir e medir todos os fatores importantes,
qualitativa e quantitativamente mensurveis sejam eles tangveis ou intangveis.
41
Dessa maneira, a AHP [1] um processo que permite o estabelecimento de
prioridades, quando considerados aspectos qualitativos e quantitativos. Esse processo facilita
a tomada de deciso pelos administradores.
Dado um determinado risco, o mtodo AHP exige que os critrios sejam bem
definidos e sem sobreposio. Uma vez definidos, esses critrios so comparados dois a dois
e, em cada comparao, deve ser dito o quanto um critrio mais importante, ou prioritrio
ou, ainda, mais grave que um outro. Saaty prope a utilizao da escala mostrada na figura
2.4, para formao de uma matriz comparativa.
Intensidade de Definio Explicao

Importncia
1 Mesma Importncia. Duas atividades contribuem
igualmente para o mesmo
objetivo.
3 Importncia pequena de uma A experincia e o julgamento
sobre a outra. favorecem levemente uma
atividade em relao outra.
5 Importncia grande ou essencial. A experincia e o julgamento
favorecem fortemente uma
atividade em relao outra.
7 Importncia muito grande ou Uma atividade fortemente
demonstrada. favorecida; sua dominao de
importncia demonstrada na
prtica.
9 Importncia Absoluta. A evidncia favorece uma
atividade em relao outra com
o mais alto grau de certeza
Figura 2.4: Escala proposta por Saaty
Fonte: Analytic Hierarchy Process [50]
A matriz mostrada na figura 2.5, nos orienta com relao comparao entre os
critrios.
A B C
A A/B A/C
B B/A B/C
C C/A C/B
Figura 2.5: Quadro comparativo entre critrios
42
Como exemplo, se A comparado com B for fortemente mais importante, a relao
A/B ter valor de 5, conforme a escala proposta por Saaty.
Ao final de todas as comparaes entre os critrios, obtm-se um peso para cada um

deles.
O prximo passo consiste em quantificar a importncia dos critrios, a qual chamamos

de resposta. Determinamos o nmero de opes de repostas para cada critrio e atribumos
graduaes entre 0 e 1 para essas respostas. Por exemplo:
04 opes de resposta:
Resposta Valor da intensidade

Intenso 1
Moderado alto 0,66
Moderado baixo 0,33
Baixo 0
Por exemplo, ao avaliarmos o critrio grau de treinamento dos funcionrios

podemos assinalar a opo Intenso, o que faria com que fosse assumido o valor de 1 para
este critrio.
Assim, multiplicando-se os pesos e a intensidade de cada critrio e somando os valores

resultantes dessas multiplicaes, chegaremos a um valor total para o risco em questo.
O processo se repete para todos os riscos identificados, fornecendo aos gestores uma
classificao quanto ao grau de criticidade para cada um deles. De posse desses valores e
tendo em vista os recursos disponveis, cabe aos gestores decidir sobre a estratgia de
gerenciamento a ser aplicada.
2.3.2.2. Anlise S.W.O.T.
A anlise SWOT uma tcnica baseada na identificao dos pontos fortes, dos pontos
fracos, das oportunidades e das ameaas ajuda a identificar as fontes de recursos externas e
43
internas para suportar os objetivos negociais. Essa tcnica conhecida por anlise S.W.O.T.,
ou seja, strengths (foras), weakness (fraquezas), opportunities (oportunidades) e threats
(ameaas) e utilizada na busca de riscos que possam afligir a organizao. Pontos fortes e
fraquezas dizem respeito ao ambiente interno, enquanto ameaas e oportunidades ao ambiente
externo.
A anlise S.W.O.T auxilia na determinao dos recursos e servios internos e externos

que o administrador dispe para gerenciamento de seu negcio, atravs do tempo. No
importa o nvel de terceirizao utilizado, a responsabilidade sobre os recursos e servios
disponveis sempre do gestor.
As fortalezas identificam os pontos fortes da organizao. Referem-se s competncias

que atribuem destaque s organizaes quando comparadas com outras empresas
concorrentes. Os pontos fortes so identificados a partir dos recursos e competncias
disponveis dentro da empresa.
As fraquezas identificam os pontos deficientes das organizaes, no apenas sob a

perspectiva da empresa, mas sob a tica dos clientes e fornecedores. Esses pontos podem ser
definidos como limitaes ou deficincias em um ou mais recursos ou competncias, quando
comparados com outras empresas. Essas fraquezas se refletem na eficincia das
organizaes.
As oportunidades, quando identificadas, proporcionam s empresas condies de

crescimento dentro do mercado de atuao. As oportunidades so identificadas nos mais
diversos segmentos, a partir de mudanas nas tecnologias, leis e regulamentos,
comportamentos sociais etc.
A capacidade de perceber antecipadamente as mudanas ocorridas no ambiente em

que atua pode se traduzir em elemento chave para o atingimento dos objetivos a serem
alcanados pelas organizaes.
As ameaas so circunstncias ou situaes desfavorveis e que podem causar

prejuzo aos ativos de uma organizao ou ao atingimento de seus objetivos. Esto
44
classificadas dentro dos fatores externos s organizaes, que precisam estar preparadas para
enfrent-las, embora possam estar fora de seu controle.
A tabela 2.2 nos apresenta exemplos dos fatores acima descritos.
Tabela 2.2: Fatores da anlise S.W.O.T.
Fortalezas / Fraquezas Oportunidades / Ameaas

Nvel de treinamento dos funcionrios. Comportamento dos concorrentes
Infra-estrutura de tecnologia Economia de mercado
Recursos disponveis financeiros, localizao Atendimento legislao

Maturidade dos processos Fraudes, roubos,
Diversidade de produtos Falhas de aplicativos
Erros operacionais
A tcnica SWOT consiste em comparar os fatores internos com os externos, criando

uma matriz estratgica para atuao da organizao. Importante ressaltar que os fatores
internos esto sujeitos aos controles da organizao, no ocorrendo o mesmo com os fatores
externos. Segundo Weihrich [64], do cruzamento desses fatores, demonstrado na fig 2.6,
resultam 04 estratgias conforme a seguir.
1. Maxi-maxi (S/O). Combinao entre os pontos fortes e as oportunidades. Esta estratgia

direciona a organizao no aproveitamento de seus pontos fortes para explorar as
oportunidades identificadas.
2. Maxi-mini (S/T). Combinao entre os pontos fortes e as ameaas. Em resumo, as

organizaes devem utilizar seus pontos fortes para minimizar as ameaas.
3. Mini-maxi (W/O). Cruzamento que mostra o fator ponto fraco atrelado s oportunidades.
uma estratgia de esforo para dominar as fraquezas fazendo o melhor a cada nova
oportunidade.
4. Mini-mini (W/T). Esta combinao mostra o cruzamento entre os pontos fracos e as

ameaas. uma estratgia eminentemente defensiva, em que se procura evitar as ameaas
externas.
45
Fatores Externos
Threats
Opportunities
Strengths Weaknesses
Fatores Internos
Figura 2.6: SWOT Fatores Internos e Externos
Em uma anlise SWOT o primeiro e primordial passo a definio ou identificao

dos objetivos a serem alcanados. Assim, tendo os objetivos como meta a ser alcanada, a
organizao dever identificar os pontos fortes e os pontos onde h deficincias na
organizao. Ser capaz de monitorar o ambiente externo na busca de oportunidades de
crescimento e de ganhos e na deteco de ameaas que possam por em risco os objetivos
definidos. Quanto s ameaas, embora sejam fatores externos, podem surgir dentro da prpria
empresa, como eventos de fraudes internas, perdas de conhecimento pela sada de
funcionrios, dentre outros.
2.3.3. PLANEJAMENTO
A fase de planejamento o momento em que, obtidas as informaes sobre os riscos

aos quais o processo se sujeita, so determinadas as aes para tratamento dos riscos. nessa
atividade que o apetite ao risco e as relaes de custo-benefcio so mais proeminentes.
Como resultado dessa fase se espera uma avaliao sobre as ameaas, vulnerabilidades
e impactos, tendo em vista a adoo de medidas apropriadas para proteger as necessidades e
continuidade de negcio, os recursos de informao, bem como os usurios destes recursos. O
planejamento resultante dever estabelecer as aes a serem adotadas para os riscos
identificados, respeitados os resultados obtidos quanto s suas priorizaes.
46
Ao final, algumas perguntas devem ser respondidas como forma de assegurarmos a
plena conscincia sobre o tratamento dispensado:
O que ser protegido?

Do que ser protegido?
Quais as caractersticas dos riscos envolvidos?
Qual o benefcio de se proteger?
Qual o custo estimado para se proteger?
Qual ser o impacto de no se proteger?
Como ser protegido?
Toda ao para mitigar um risco implica em um custo adicional para as empresas. Ao

gerirmos riscos, adotamos basicamente as seguintes estratgias: diminuio dos impactos,
diminuio da probabilidade de ocorrncia, terceirizao dos riscos ou aceitao dos riscos /
convivncia com eles.
Reportando-nos figura 2.1, entendemos que as duas primeiras estratgias de gesto

de risco buscam trazer a resultante do grfico para mais prximo da zona de menos exposio
ao risco. Assim, ao diminuirmos a probabilidade de ocorrncia do risco, estamos diminuindo
o grau de exposio ao risco. A mesma situao ocorre, ao diminuirmos os impactos
resultantes.
A terceira estratgia consiste em transferirmos a gesto de um risco para outra

organizao. O exemplo mais freqente o pagamento de seguros que cobrem determinados
riscos, como incndio, desmoronamento, alagamento etc. As seguradoras assumem o
ressarcimento do valor segurado, mediante o pagamento de um prmio pela empresa
segurada.
Ao aceitarmos conviver com os riscos, a relao custo-benefcio de implantarmos

controles para minimizao dos riscos deve estar representada por uma diferena positiva em
favor dos custos. Nessa situao, a perda ocasionada pela efetivao do risco avaliada como
de menor valor que os custos para implementar controles.
47
O grfico da figura 2.7 apresenta a relao entre a curva de eficincia/eficcia dos
controles institudos versus os custos de implantao dos controles. Verificamos que os custos
de implementao de controles so sempre crescentes, enquanto a eficincia/eficcia dos
controles diminui a partir de certo ponto timo. Isto implica dizer que a adoo de
controles sobre controles no necessariamente resulta em garantia total da minimizao de um
risco. A chave da questo determinar o ponto timo de interseo entre as curvas.
O fator determinante para identificao desse ponto justamente o custo-benefcio da

implementao dos controles. O benefcio alcanado pelo novo controle compensa os custos
associados? Se sim, aconselhvel a adoo de medidas para minimizao dos riscos.
Interessante observar que mesmo aps a implementao dos controles, ainda restar o risco
residual. Se outras medidas adicionais forem adotadas, a exposio tender a diminuir, at
certo nvel. Ento resta saber se o grau de risco residual aceito pela administrao,
considerado o apetite de risco.
A literatura descreve uma outra estratgia para aqueles riscos que no so passveis de
convivncia, mas para os quais no identificamos aes a serem implementadas e que possam
minimiz-los. Para essa situao recomendado que se mantenha um monitoramento
constante sobre esses riscos, com intuito de identificar os eventos indesejados, ainda nos
estgios iniciais, adotando aes imediatas para sua correo ou diminuio dos impactos.
48
Valor /
Grau /
ndice
Ponto
Custo
timo
Integridade/Segurana
Faixa
Aceitvel Eficincia/Eficcia
Controles
Fonte: ARIMA, Carlos H. Metodologia de Auditoria de Sistemas
Figura 2.7: Controles x Custos
Decidida a estratgia de mitigar os riscos, o planejamento dever prever a adoo de

medidas que visem diminuir a probabilidade de ocorrncia, ou os impactos decorrentes. Essas
medidas so categorizadas em trs tipos:
Medidas preventivas;
Medidas detectivas; e
Medidas corretivas.
As aes preventivas se prestam a detectar problemas, mesmo potenciais, antes que

esses ocorram, possibilitando a adoo de medidas inibidoras. Tambm previnem erros,
omisses ou aes maliciosas.
As medidas detectivas revelam e reportam a ocorrncia de um erro, de uma omisso

ou de aes maliciosas.
J as corretivas minimizam o impacto de um fato consumado ou disparam a adoo de

medidas corretivas para os problemas reportados pelas medidas detectivas. Essas aes
possibilitam alteraes nos processos, objetivando minimizar a recorrncia dos fatos.
49
2.3.4. MONITORAO
A fase de monitorao consiste coletar informaes precisas, relevantes e em tempo

oportuno sobre o comportamento dos eventos de riscos para um processo. Essas informaes
servem como entrada para a fase de identificao dos riscos, dinamizando o ciclo de vida dos
riscos.
Quando no nos possvel, a priori, calcular as probabilidades de ocorrncia de um

evento, tendo em vista no dispormos de todas as informaes, o exerccio do monitoramento
dos fatos passados nos ajuda a identificar uma linha de comportamento dos eventos.
Em um cenrio de incertezas, as informaes geradas pelo monitoramento so de

grande ajuda na identificao dos riscos que se apresentam.
As atividades de monitoramento exercem, grosso modo, duas grandes funes:
1. identificao de alteraes nos cenrios ou nos padres de comportamento, que podem

resultar no aparecimento de novos riscos; e
2. reavaliao das aes adotadas para minimizao dos riscos identificados.
As informaes coletadas subsidiam a avaliao da efetividade das aes em curso e

possibilitam a identificao de novos padres de comportamento, que introduzem riscos at
ento no imaginados, ou que elevam o grau de relevncia de outros considerados de menor
prioridade.
Para aquelas situaes em que os riscos no so passveis de convivncia, mas no

foram identificadas aes cabveis para sua mitigao, a monitorao atua como um gatilho a
disparar medidas alternativas de correo ou de contingncia. Para operacionalizar esse
procedimento, so estabelecidos indicadores que sejam capazes de identificar situaes de
risco alm da desejada, ou seja, situaes que extrapolem o apetite de risco da instituio.
50
2.3.5. COMUNICAO
A etapa prevista como comunicao trata da divulgao de informaes sobre os

riscos associados ao projeto ou negcio em curso por toda a equipe responsvel.
Quando da identificao dos riscos, algumas tcnicas foram apresentadas e

objetivavam permitir que riscos fossem identificados, com base nas experincias vividas e nos
conhecimentos adquiridos.
As informaes produzidas em cada fase do ciclo de vida dos riscos subsidiam as

etapas posteriores e ao mesmo tempo retroalimentam as anteriores, fazendo girar o ciclo.
Aplica-se ento o mesmo raciocnio utilizado na identificao dos riscos. Ao

comunicarmos a todos os participantes do processo as informaes obtidas, contribumos para
o aprimoramento das competncias individuais, que novamente so utilizadas na formao de
um entendimento comum sobre os riscos, s que de uma forma mais sinrgica.
2.4. REGULAMENTAO
Toda organizao, independentemente do seu tamanho ou ramo de atividade, est

sujeita s leis e regulamentos estabelecidos pelos organismos de superviso e fiscalizao. Em
especial, as instituies financeiras se submetem s leis no s relacionadas ao sistema
financeiro, como quelas associadas privacidade dos dados dos clientes, e mais
recentemente lei de defesa do consumidor, dentre outras.
Aps os escndalos da Enron e WorldCom, nos Estados Unidos, a qualidade das

informaes disponibilizadas pelos administradores passou a figurar em destaque e reforou
uma preocupao cada vez mais presente dos rgos legisladores e de superviso, em tornar a
gesto das instituies mais transparente para o mercado e para as partes interessadas
(stakeholders).
A dependncia cada vez maior da tecnologia, associada migrao dos processos

outrora manuais para sistemas informatizados, promoveu a necessidade de leis e regulamentos
51
ainda mais efetivos e conseqentemente a melhoria da gesto dos riscos por parte dos
administradores.
Organizaes de classes, supervisores bancrios e legisladores direcionam seus

esforos na busca de padres, regras e leis que garantam uma maior transparncia para o
mercado quanto forma de conduo dos negcios pelas instituies. Assim, vimos surgir
iniciativas como os acordos Basilia I e II, na Europa, a lei Sarbanes-Oxley, nos Estados
Unidos, assim como as regras de governana corporativa e de tecnologia da informao.
No Brasil, o Banco Central divulgou as resolues do Conselho Monetrio Nacional

de nmeros 2554, 3198 e mais recentemente a 3.380, que elevam o rigor das fiscalizaes, por
meio do estabelecimento de critrios a serem atendidos pelas instituies financeiras
instaladas no Brasil.
Nos subtpicos a seguir, resumimos os principais itens de cada legislao, procurando

ressaltar as influncias na rea de tecnologia e na gesto dos riscos.
2.4.1. ACORDOS DA BASILIA I E II [2] [3]
Em 1997, o Comit da Basilia divulgou os princpios essenciais da Basilia, em

nmero de 25, necessrios para suportar um sistema de superviso bancria eficaz. Passam,
ento, a ser considerados como referncias internacionais para os rgos de superviso
bancria (Bancos Centrais) de todos os pases. Entende o Comit que a adequao de todos os
pases aos princpios significa o fortalecimento da estabilidade do sistema bancrio
internamente, em cada pas, e tambm internacionalmente.
Os vinte e cinco princpios podem ser divididos em 06 grupos, conforme a seguir:
precondies para uma superviso bancria eficaz trata das responsabilidades

e objetivos dos Bancos Centrais envolvidos na superviso de instituies
bancrias;
autorizaes e estrutura definio das atividades permitidas s instituies
autorizadas a operar em cada pas; autorizao de funcionamento; autoridade
para os Bancos Centrais examinarem propostas de transferncia de controle,
52
bem como para examinar as aquisies e investimentos mais relevantes de um
banco;
regulamentos e requisitos prudenciais estabelecimento de requisitos
mnimos, prudentes e apropriados, de adequao de capital para os bancos.
Esses requisitos devem refletir os riscos a que os bancos se submetem,
definindo os componentes de capital, em funo da capacidade de absoro de
perdas de cada um;
mtodos de Superviso Bancria Contnua trata da constituio de atividades
de superviso direta ou indireta a ser exercida pelos Bancos Centrais;
requisitos de informao manuteno, pelos bancos, de registros que
possibilitem uma avaliao precisa da real condio financeira dos bancos,
aliado publicao regular dos relatrios financeiros;
poderes formais dos supervisores trata da adoo de aes corretivas a serem
aplicadas quando os bancos no cumprirem os requisitos prudenciais.
Destacamos os princpios 7 e 15 no que se referem gesto dos riscos pelas

instituies financeiras.
Principle 7 Risk management process: Supervisors must be satisfied that banks and
banking groups have in place a comprehensive risk management process (including
Board and senior management oversight) to identify, evaluate, monitor and control or
mitigate all material risks and to assess their overall capital adequacy in relation to
their risk profile. These processes should be commensurate with the size and
complexity of the institution.
Principle 15 Operational risk: Supervisors must be satisfied that banks have in

place risk management policies and processes to identify, assess, monitor and mitigate
operational risk. These policies and processes are commensurate with the size and
complexity of the bank.
O princpio 7 descreve a necessidade dos bancos adotarem um processo de

gerenciamento de riscos para identificar, avaliar, monitorar e controlar ou mitigar os riscos
materiais e manter capital que suporte tais riscos.
53
O princpio 15 determina que os bancos adotem polticas e procedimentos para
identificar, avaliar, monitorar e mitigar os riscos operacionais.
Em 1998, o Comit da Basilia divulgou o documento Estrutura para sistemas de

controles internos em organizaes bancrias, estabelecendo 13 princpios para avaliao de
sistemas de controles internos. Esse documento a base para a Resoluo 2.554, que dispe
sobre a implantao e implementao de sistema de controles internos nas instituies
financeiras instaladas no Brasil.
Destacamos os princpios 4 e 5 que tratam da avaliao de riscos pelas instituies.
Principle 4 Senior management should ensure that the internal and external
factors that could adversely affect the achievement of the banks objectives are being
identified and evaluated. This assessment should cover all the various risks facing the
bank (for example, credit risk, country and transfer risk, market risk, interest rate risk,
liquidity risk, operational risk, legal risk and reputational risk).
Principle 5 Senior management should ensure that the risks affecting the
achievement of the banks strategies and objectives are continually being evaluated.
Internal controls may need to be revised to appropriately address any new or
previously uncontrolled risks.
O princpio 4 descreve a responsabilidade da administrao superior em assegurar que

fatores internos e externos que possam afetar negativamente os objetivos do banco estejam
identificados e avaliados. Essa avaliao deve cobrir os mais variados riscos enfrentados pelos
bancos (por exemplo, risco de crdito, risco pas, risco de mercado, risco de liquidez, risco
operacional, risco legal e risco de reputao).
O princpio 5 descreve a responsabilidade da administrao superior em assegurar que

os riscos que afetam o atingimento das estratgias e objetivos do banco sejam continuamente
avaliados. Controles internos devem ser revisados como forma de identificar novos riscos ou
monitorar aqueles considerados como no controlveis.
54
Desde a publicao dos treze princpios, em 1998, o chamado Acordo de Capitais da
Basilia continuou a produzir recomendaes com vistas a aprimorar os controles das
instituies e adequar-se s inovaes financeiras e tecnolgicas.
O segundo Acordo de Capitais da Basilia, referenciado como Basilia II, introduziu

novas normas e metodologias para controle do risco operacional. Entenda-se risco operacional
como risco de perdas resultantes da inadequao dos processos internos, de falha humana e
de sistemas ou decorrente de eventos externos.
Essa definio significa que todos os processos, desde aqueles considerados como
fim at os processos-meio, pelos quais os negcios-fim se realizam, so possveis geradores
de perdas e, assim, sujeitos aos controles internos.
O Basilia II, que tem previso de vigorar a partir do final de 2007, sustenta-se em trs
pilares: requisito mnimo de capital, processo de reviso supervisora e disciplina de mercado.
Lopes & Associados no artigo O Novo Acordo de Capital da Basilia [45] descreve
que As principais mudanas esto no fim da padronizao generalizada por um enfoque mais
flexvel, dando nfase nas metodologias de gerenciamento de risco dos bancos, na superviso
das autoridades bancrias e no fortalecimento da disciplina de mercado. A nova estrutura
pretende alinhar a avaliao da adequao de capital mais intimamente aos principais
elementos dos riscos bancrios e fornecer incentivos aos bancos para aumentar suas
capacidades de mensurao e administrao dos riscos.
Para o nosso estudo, entendemos ser adequado explorarmos o pilar que trata do
requisito mnimo de capital. Esse pilar estabelece a quantidade mnima de capital que as
entidades devem manter para suportar os riscos de crdito, de mercado e operacional. Esse
requisito mnimo conhecido como ndice de Basilia e est definido como de no mnimo
8%, cuja frmula de clculo mostrada na figura 2.8. A novidade que se apresenta quanto
necessidade de alocao de capital para enfrentar os riscos operacionais.
55
Capital total = % do Capital
(risco de crdito + risco de mercado + risco operacional)
Figura 2.8: ndice de Basilia
O risco operacional apresenta-se como uma das novidades introduzidas pela reviso
do acordo. Risco operacional, definido como risco de perdas resultantes de inadequao ou
falhas de processos internos, pessoas e sistemas, ou de eventos externos, inclui os riscos
decorrentes de no atendimento legislao, mas exclui os riscos de estratgia e de imagem
[4]. Em suma, so as falhas que podem ocorrer no desenvolvimento das atividades do dia-a-
dia.
A partir da definio de risco operacional percebemos a necessidade da disciplina de

gesto de risco aplicada ao ambiente internet banking. Quanto melhor gerenciado o risco
operacional, maior o percentual do capital, tendo em vista a diminuio do denominador da
figura 2.8, pela reduo do fator risco operacional.
Embora ainda no esteja fixado seu valor, os bancos esto adotando um percentual de
20% de seu capital para cobrir os riscos operacionais.
Os trs principais critrios para mensurao de risco operacional propostos pelo

comit foram:
1. Indicador Bsico determina um percentual de capital para cobrir o risco

operacional, com base em um nico indicador. Por exemplo: receita bruta. Um banco ter que
assegurar um capital mnimo para cobrir o risco operacional igual a um percentual da Receita
Bruta. Ainda no h definio pelo comit sobre o indicador mais apropriado.
2. Critrio Padro o banco poder dividir suas atividades em reas de negcios,

como por exemplo: varejo, atacado e governo, aplicando para cada uma o indicador bsico. A
soma dos indicadores resultantes para cada segmento determinar o percentual do capital que
dever ser alocado para cobrir o risco operacional.
56
3. Critrio de Mensurao Interno permite que os bancos utilizem clculos internos
para a determinao do capital proposto. Os bancos podero considerar trs indicadores: a
exposio ao risco operacional, mais a probabilidade de que a perda ocorra e o total da perda
causada por este evento. A este clculo, o banco aplicar um percentual que ser determinado
pelo Comit, para determinao do percentual de capital.
2.4.2. SARBANES-OXLEY
A legislao federal The U.S. Public Company Accounting Reform and Investor
Protection Act of 2002 [5] [39], conhecida como Sarbanes-Oxley Act of 2002 ou
simplesmente SOX, uma lei aprovada pelo governo norte americano para coibir com as
fraudes contbeis. Foi criada pelos senadores americanos Paul Sarbanes e Michael Oxley.
Tinha como objetivo restabelecer e aumentar a confiana do investidor e a sustentabilidade
das organizaes, abaladas pelos escndalos financeiros verificados em empresas como Enron
e Worldcom.
Todas as empresas, inclusive estrangeiras, com aes negociadas nas bolsas de valores
dos EUA devem se submeter a SOX. Alm do aperfeioamento dos padres contbeis, a lei
introduziu mudanas na responsabilidade dos administradores, na forma com que as empresas
tratam os acionistas minoritrios e nos relatrios de prestao de contas. A responsabilidade
pela correta avaliao e monitoramento dos controles referentes aos processos internos fica
atribuda aos principais administradores das empresas, que se irregular esto sujeitas a multas
de milhes de dlares e seus administradores a penas de 10 a 20 anos de priso.
A seo 302 da SOX trata da responsabilidade pessoal dos diretores executivos e

financeiros, enquanto a seo 404 determina a avaliao anual dos controles e procedimentos
internos para fins de emisso do relatrio financeiro. Sendo assim, a que mais impacta a rea
de TI. A incorporao dos processos de negcios aos sistemas de tecnologia da informao
faz com que a aplicabilidade da lei recaia diretamente sobre esse segmento.
De acordo com Rodney de Castro Peixoto [52] A Seo 404 da lei o principal foco
de ateno das empresas neste particular, por trazer os mandamentos sobre os controles de
processos internos e sistemas contbeis. Esta Seo determina uma avaliao anual dos
57
controles e processos internos para a realizao de relatrios financeiros, com a obrigao de
emisso de relatrio, a ser encaminhado a SEC Security Exchange Comission, rgo
regulador das empresas de capital aberto dos EUA, que ateste estes parmetros. Dentre
outros itens, o relatrio dever conter atestado de responsabilidade dos administradores da
empresa e manuteno da estrutura dos controles internos.
Ainda segundo Peixoto temos, por fora da Sarbanes-Oxley, a obrigatoriedade da

observncia de prticas de segurana de redes e critrios rgidos para uso de aplicaes
terceirizadas por companhias que se encontram ao alcance da presente lei.
Invases em sistemas, vrus, roubo de dados, fraudes de senhas e demais ameaas

segurana das informaes podem, se no houver prova suficiente de adoo de medidas
preventivas, implicar em responsabilidade direta dos administradores, com possibilidades de
sanes civis e penais.
Peixoto levanta a preocupao com dois pontos quanto tecnologia da informao:
1. Segurana de sistemas de informao as polticas de segurana da

informao devem ser adaptadas ao teor da Sarbanes-Oxley, contemplando
inclusive a responsabilidade pela segurana do ambiente de Internet.
2. Controle de registros estabelecimento de procedimentos que garantam a

integridade, a confiabilidade e a guarda e recuperao dos registros das
operaes, quer sejam em papel, quer em mdia eletrnica. Na lei encontram-se
disposies que penalizam severamente a falsificao, destruio e perda de
documentos e registros, bem como a inobservncia dos prazos para
armazenamento.
A constituio de um comit de auditoria uma novidade introduzida pela SOX,

atribuindo a esse comit a responsabilidade de supervisionar o trabalho dos auditores.
A SOX requer que, alm de desenvolver os controles internos, os executivos analisem

e certifiquem o funcionamento desses mecanismos de controle. Exige, ainda que o auditor
externo certifique a avaliao feita pela administrao e emita relatrio. Assim
58
indispensvel o perfeito funcionamento dos controles internos, fornecendo segurana aos
administradores e auditores.
Como forma de auxiliar as empresas na misso de desenvolver um sistema de

controles internos, o COSO (Commitee of Sponsoring Organizations of the Treadway
Commission) [44] apresenta uma estrutura baseada em cinco componentes, conforme a
seguir:
1. Ambiente de controle estabelece a forma de atuao de uma empresa e

constitui a base para um sistema de controles internos eficiente. Compreende
o estabelecimento, pela administrao, de um ambiente tico de controle e
cultura;
2. Avaliao de riscos estabelecimento de mecanismo que identifique, analise

e administre os riscos relacionados ao negcio da empresa;
3. Atividades de controle polticas e procedimentos de controle devem ser

estabelecidos e executados, a fim de assegurar que as aes adotadas pela
administrao para gerir os riscos estejam sendo, efetivamente, executadas;
4. Informao e comunicao os sistemas de comunicao e informao

devem permitir que as pessoas da empresa obtenham e forneam
informaes adequadas conduo, ao gerenciamento e ao controle das
operaes.
5. Monitoramento o processo inteiro deve ser monitorado e as modificaes

introduzidas, assegurando que o sistema de controle interno mantenha a sua
efetividade.
2.4.3. LEGISLAO BRASILEIRA
O Sistema Financeiro Nacional e em especial o sistema bancrio um dos mais

avanados do mundo em tecnologia. Os canais eletrnicos so responsveis pela maioria das
transaes efetuadas pelos clientes, superando quelas executadas pelos meios tradicionais,
59
com o uso dos caixas manuais nas agncias. Documentos outrora existentes, como a
transferncia de fundos com uso dos DOC, em papel, praticamente inexistem, tendo sido
substitudos pelas TED (Transferncia Eletrnica Disponvel) ou pelos DOC eletrnicos.
Como conseqncia natural dessa evoluo, as leis e regulamentos tiveram que ser
adaptados, ou mesmo criados para amparar o funcionamento eficaz e transparente das
instituies financeiras.
Como vimos na seo 2.4.1, o Comit da Basilia conjuntamente com os Bancos

Centrais mundiais enfatizam cada vez mais a importncia dos controles internos nas
instituies, descrevendo no s as medidas regulatrias, mas dando nfase ao
desenvolvimento efetivo de atividades de superviso.
O princpio 13 da Basilia determina que os supervisores bancrios devem se

assegurar de que os bancos adotam um processo abrangente de administrao de risco
(incluindo a superviso adequada pelo conselho de diretores e pela administrao snior), para
identificar, medir, monitorar e controlar todos os demais riscos materiais e, quando
necessrio, para manter capital contra tais riscos [2].
A resoluo 2.554 a resposta a esse princpio.
2.4.3.1. Resoluo 2.554
A Resoluo 2.554 [7] dispe sobre a implantao e implementao de sistema de

controles internos. O Banco Central do Brasil, em setembro de 1998, tornou pblica a
resoluo do CMN Conselho Monetrio Nacional que contemplou medidas quanto:
a superviso gerencial e cultura de controles;

a identificao, avaliao e tratamento dado aos riscos;
aos procedimentos de controle e segregao de funes;
a informao e comunicao;
as atividades de monitoramento e correo de deficincias; e
a avaliao do sistema de controles internos pelas autoridades.
60
O artigo 2 desta resoluo contempla as diretrizes relacionadas gesto de riscos em
seus incisos III e V e pargrafo 1.
Art. 2 Os controles internos, cujas disposies devem ser acessveis a todos os

funcionrios da instituio de forma a assegurar que sejam conhecidas a respectiva
funo no processo e as responsabilidades atribudas aos diversos nveis da
organizao, devem prever:
III meios de identificar e avaliar fatores internos e externos que possam afetar
adversamente a realizao dos objetivos da instituio;
V a contnua avaliao dos diversos riscos associados s atividades da instituio;
Pargrafo 1 Os controles internos devem ser periodicamente revisados e atualizados,

de forma a que sejam a eles incorporadas medidas relacionadas a riscos novos ou
anteriormente no abordados.
2.4.3.2. Resoluo 3.198
A lei Sarbanes-Oxley determinou a constituio de um comit de auditoria, atribuindo

a este a responsabilidade de supervisionar o trabalho dos auditores.
A resoluo do Banco Central do Brasil de nmero 3.081, de maio de 2003, criou a

exigncia de que as instituies financeiras possuam comit de auditoria, com as atribuies
de monitorar a efetividade dos processos operacionais e o cumprimento das normas legais. A
resoluo 3.198 [8], de maio de 2004, altera e revoga a 3.081.
O captulo V, artigo 10 trata da criao e do funcionamento do comit de auditoria e

assim descreve:
Art. 10. Devem constituir rgo estatutrio denominado comit de auditoria as

instituies referidas no art. 1, inciso I, alnea a, que tenham apresentado no
encerramento dos dois ltimos exerccios sociais:
I - Patrimnio de Referncia (PR) igual ou superior a R$ 1.000.000.000,00 (um
bilho de reais); ou
61
II - administrao de recursos de terceiros em montante igual ou superior a R$
1.000.000.000,00 (um bilho de reais); ou
III - somatrio das captaes de depsitos e de administrao de recursos de
terceiros em montante igual ou superior a R$ 5.000.000.000,00 (cinco bilhes de
reais).
4 As instituies devem ter o comit de auditoria em pleno funcionamento at o dia
31 de maro do exerccio subseqente aos exerccios previstos no caput, cumprindo
suas atribuies inclusive no que se refere s demonstraes contbeis daquela data-
base.
5 Para as instituies que se enquadrem no disposto no caput ou no 1,
relativamente aos exerccios de 2002 e 2003, o comit de auditoria deve estar instalado
e em pleno funcionamento at 1 de julho de 2004.
Dentre as funes previstas para o comit de auditoria destacamos, no artigo 15, os
incisos VI e VII:
VI estabelecer e divulgar procedimentos para recepo e tratamento de informaes
acerca do descumprimento de dispositivos legais e normativos aplicveis instituio,
alm de regulamentos e cdigos internos, inclusive com previso de procedimentos
especficos para proteo do prestador e da confidencialidade da informao;
VII recomendar, diretoria da instituio, correo ou aprimoramento de polticas,
prticas e procedimentos identificados no mbito de suas atribuies.
O art. 17. prev que ao final dos semestres findos em 30 de junho e 31 de dezembro, o
comit de auditoria deva elaborar, documento denominado relatrio do comit de
auditoria contendo diversas informaes, dentre as quais destacamos os incisos II, III e
IV:
II avaliao da efetividade dos sistemas de controle interno da instituio, com
nfase no cumprimento do disposto na Resoluo 2.554, de 24 de setembro de 1998, e
com evidenciao das deficincias detectadas;
III descrio das recomendaes apresentadas diretoria, com evidenciao
daquelas no acatadas e respectivas justificativas;
IV avaliao da efetividade das auditorias independente e interna, inclusive quanto
verificao do cumprimento de dispositivos legais e normativos aplicveis
62
instituio, alm de regulamentos e cdigos internos, com evidenciao das
deficincias detectadas.
2.4.3.3. Resoluo 3.380
O Banco Central do Brasil [9], atravs da resoluo 3.380, tornou pblico que o
Conselho Monetrio Nacional resolveu determinar s instituies financeiras a
implementao de estrutura de gerenciamento do risco operacional. Entre os eventos de risco
operacional destacamos:
I. fraudes internas;
II. fraudes externas;
III. aqueles que acarretam a interrupo das atividades da instituio;
IV. falhas em sistemas de tecnologia da informao;
A estrutura de gerenciamento do risco operacional deve prever, dentre outras medidas:
I. identificao, avaliao, monitoramento, controle e mitigao do risco

operacional;
II. documentao e armazenamento de informaes referentes s perdas operacionais;
III. elaborao e disseminao da poltica de gerenciamento de risco operacional ao
pessoal da instituio;
IV. existncia de plano de contingncia;
A estrutura de gerenciamento do risco operacional deve estar capacitada a identificar,

avaliar, monitorar, controlar e mitigar os riscos associados a cada instituio.
2.4.4. GOVERNANA CORPORATIVA
No intuito de tornar a gesto das organizaes mais transparente para o mercado e para
todas as partes interessadas, o conceito de Governana Corporativa ganhou aceitao e
difundiu-se entre as empresas, como prticas referenciais de gesto a serem adotadas e
63
principalmente como subsdio na deciso dos investidores em colocar ou no seus ativos
financeiros nessas empresas.
O IBGC Instituto Brasileiro de Governana Corporativa [34] assim a define:
Governana corporativa o sistema pelo qual as sociedades so dirigidas e

monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de
Administrao, Diretoria, Auditoria Independente e Conselho Fiscal. As boas prticas de
governana corporativa tm a finalidade de aumentar o valor da sociedade, facilitar seu acesso
ao capital e contribuir para a sua perenidade.
Ressalte-se que Governana no uma legislao a qual as organizaes devam se

submeter, mas boas prticas a serem utilizadas na administrao dos recursos disponveis para
conduo e continuidade dos negcios. Essas boas prticas esto calcadas principalmente no
fornecimento ao mercado de informaes precisas e transparentes, na igualdade de direitos
entre os acionistas e na atuao independente do Conselho de Administrao.
de se esperar que as empresas com uma estrutura de governana corporativa mais

adequada s boas prticas obtenham melhores resultados e tenham suas aes mais
valorizadas pelo mercado financeiro.
Em Governana Corporativa, Desempenho e Valor da Empresa no Brasil, Alexandre

Di Miceli da Silveira [54] discorre que a discusso sobre governana corporativa envolve a
criao de mecanismos externos e internos que assegurem que as decises corporativas sero
tomadas no melhor interesse dos investidores, de forma a maximizar a probabilidade dos
fornecedores de recursos obterem para si o retorno sobre seu investimento. Assim, a empresa
que quiser sobreviver com responsabilidade ter como objetivo maior a maximizao do
retorno aos seus acionistas. Contudo, sem prejudicar o conjunto da sociedade e/ou o meio
ambiente, ou ainda tendo como base a violao dos princpios legais e ticos que orientam o
seu negcio.
Um dos principais mecanismos de governana o Conselho de Administrao, ao qual

compete, entre outras, controlar a alta administrao, fiscalizar e avaliar o desempenho da
gesto.
64
O IBGC foi responsvel pela elaborao, no Brasil, do Cdigo das Melhores Prticas
de Governana Corporativa. O Cdigo est dividido em seis captulos e aborda o Conselho de
Administrao e temas relativos propriedade/acionistas, gesto, auditoria independente,
Conselho Fiscal e conflito de interesses.
Quanto ao gerenciamento de riscos, o cdigo estabelece em seu captulo 2 que o

Conselho de Administrao deve assegurar-se de que a Diretoria identifique preventivamente
por meio de sistema de informaes adequado e liste os principais riscos aos quais a
sociedade est exposta, sua probabilidade de ocorrncia, bem como as medidas e os planos
adotados para sua preveno ou minimizao.
Ainda no captulo 2, o cdigo prescreve que a auditoria interna deve reportar-se ao

Comit de Auditoria ou, na falta deste, ao Conselho de Administrao. Sua competncia
verificar o funcionamento dos controles internos e se os regulamentos, instrues e polticas
esto sendo observados.
2.5. O PAPEL DA AUDITORIA NA AVALIAO DE RISCOS
Uma primeira definio a ser reforada quanto responsabilidade da administrao

das empresas na gesto dos riscos. sim atribuio destes estabelecer processo de
gerenciamento de riscos, estabelecendo estratgias e atribuindo aos gestores as suas
implementaes. A existncia e funcionamento de uma efetiva gesto de riscos contribuem
decididamente para o atingimento dos objetivos definidos.
A crescente importncia que a gesto dos riscos vem suscitando nas empresas reflete-
se nas funes desempenhadas pela auditoria. As orientaes de Turnbull, divulgadas pela
Bolsa de Valores de Londres, estabelecem que todas as pessoas dentro de uma organizao
possuem, em graus diferentes, responsabilidades pela gesto do risco. Neste sentido, a
auditoria, no papel de superviso, contribui em garantir que o processo de gesto de risco
esteja efetivamente funcionando. Para que o trabalho desenvolvido pela auditoria se revista de
um carter de agregao de valor, adequado que ela emita parecer sobre a conduo do
processo de gesto de riscos pelos gestores.
65
Encontramos em The Role of Internal Audit in Risk Management [61] o papel da
auditoria assim traduzido:
Focar o trabalho da auditoria interna nos riscos mais relevantes que a organizao
enfrenta, identificados pelos gestores, e auditar o processo de gesto de riscos, assegurando
organizao que esses esto minimizados a nveis aceitveis, ou no.
Segundo David M Griffiths A auditoria fornece a garantia independente e objetiva,

direo da Organizao, de que seus riscos esto mitigados a um nvel aceitvel e relata onde
no esto.
De acordo com o The Institute of Internal Auditors, o papel da Auditoria rever o

processo de gesto de riscos que est sendo adotado na reduo do nvel de riscos aceitveis
pela Administrao (apetite de risco).
Esses conceitos representam o que h de mais moderno quanto ao papel a ser

desempenhado pela auditoria. Um papel de assessoramento alta administrao quanto ao
desenvolvimento e conduo dos processos de gesto de riscos na organizao, contemplando
a identificao, anlise e aes de mitigao dos riscos.
66
3. METODOLOGIA
O objetivo desse trabalho consiste em demonstrar a aplicabilidade de um modelo de
gerenciamento de riscos em uma situao real vivenciada por instituies financeiras,
instaladas no Brasil.
Assim, partimos da identificao da situao real, qual seja o ambiente de internet

banking, que se constitui na disponibilizao para os clientes de um canal eletrnico para
realizao de transaes bancrias.
Identificamos alguns modelos de gerenciamento de riscos para, ento, adotarmos

aquele que consideramos mais prximo realidade das instituies e, conseqentemente, mais
factvel sua utilizao. Esse modelo constitudo das seguintes fases ou etapas:
identificao de riscos, anlise dos riscos identificados, planejamento das aes para gesto
dos riscos, monitorao do ambiente das instituies e comunicao dos resultados.
A metodologia, descrita a seguir, possibilita atingir o objetivo inicialmente proposto

podendo ser utilizada por qualquer instituio financeira.
3.1. IDENTIFICAO DOS RISCOS
Essa etapa se inicia pelo mapeamento do processo de internet banking disponibilizado

aos clientes das instituies financeiras. Nesta etapa, so identificados os ambientes que
constituem o internet banking, ou seja, o ambiente do cliente, a rede internet e o ambiente da
instituio.
Identificados os ambientes, determinamos os possveis riscos que podem impedir a

disponibilizao dos servios bancrios. Esses riscos foram categorizados em: operacionais,
legais e de imagem. No significa que essas trs categorias abranjam todo o conjunto de
riscos. Para esse trabalho, limitamos a abordagem para melhor demonstrar a aplicabilidade da
metodologia. O leitor poder ampliar as categorias, de acordo com suas necessidades. A
identificao dos riscos feita para cada um dos ambientes que constituem o internet banking.
67
Para que os riscos se tornem realidade necessrio que uma ameaa explore uma
determinada vulnerabilidade do ambiente, causando impacto nos servios oferecidos.
Assim, apresentamos as principais ameaas e as mais significativas vulnerabilidades para
os ambientes de internet banking.
3.2. ANLISE DOS RISCOS IDENTIFICADOS
Nessa etapa, os riscos identificados so classificados de acordo com sua criticidade

para a instituio. Essa classificao realizada por meio da adoo de uma matriz de risco,
que neste trabalho, baseia-se em dois indicadores: impacto e probabilidade.
Os impactos podem ser de diversas ordens, desde prejuzos financeiros at prejuzos

de imagem, retratada em danos marca da organizao.
A outra vertente consiste em determinar a probabilidade do risco ocorrer, tendo em

vista os controles institudos.
De posse desses dois indicadores, possvel determinar o nvel de exposio que a

organizao se encontra perante o risco avaliado.
Outras formas de medir o nvel de criticidade de um risco podem ser adotadas. Nesse
sentido, apresentamos a metodologia AHP Analytic Hierarchy Process [55].
Analisamos os diversos tipos de ameaas para cada ambiente, com base em sries
histricas de ataques disparados contra os servios de internet banking.
Com base nos dados colhidos, procedemos s anlises conclusivas com objetivo de
identificar padres de comportamento e comprovar a efetividade da adoo de modelo de
gerenciamento de riscos. Historicamente, sabe-se que as instituies bancrias quase sempre
combateram as fraudes de forma reativa.
O resultado da anlise das sries histricas possibilita determinar a efetividade e a

tempestividade das aes adotadas pelas instituies.
68
A adoo de um modelo de gerenciamento de riscos atua de modo preventivo e
contnuo, possibilitando aes mais rpidas e, conseqentemente, estancar as perdas
resultantes dessas fraudes.
3.3. PLANEJAMENTO DE AES PARA GESTO DOS RISCOS
A fase de planejamento se resume na adoo de medidas, por parte dos

administradores, para minimizao dos riscos identificados e analisados.
A matriz de riscos fornece o direcionamento das aes a serem adotadas, tendo por
base o nvel de criticidade de cada risco identificado.
Apresentamos as seguintes estratgias para gerir os riscos: diminuio dos impactos,

diminuio da probabilidade de ocorrncia, terceirizao da gesto dos riscos e convivncia
com o risco. Para cada uma dessas estratgias so adotadas medidas de carter preventivo,
detectivo e corretivo.
Como forma de aprimorar o gerenciamento das aes adotadas apresentamos, no

anexo II, planilha para controle dos riscos identificados. A planilha constitui-se em um
excelente instrumento gerencial para o planejamento e acompanhamento das aes institudas
para gerenciamento dos riscos.
3.4. MONITORAO
A fase de monitorao identifica e relata os ataques disparados contra os ambientes

que constituem o internet banking. O exerccio dessa atividade fundamental para o sucesso
da metodologia aqui apresentada.
Acompanhamos, durante trinta dias, os trabalhos das equipes responsveis pelo

monitoramento dos ambientes das instituies financeiras. Ao final desse perodo,
identificamos as principais ameaas lanadas contra os Bancos e seus clientes.
De acordo com a metodologia, aqui proposta, essas informaes serviro de insumo

para as etapas de identificao, anlise e planejamento das aes de gerenciamento de riscos.
69
Os relatos provenientes desse monitoramento informam, dentre outros, a evoluo dos
riscos mapeados, a eficcia dos controles institudos, o aparecimento de novas ameaas, o
comportamento dos atacantes etc.
3.5. COMUNICAO
A fase de comunicao age como catalisador de todas as demais etapas. Mantm os

responsveis pelas demais etapas cientes sobre as mudanas no ambiente monitorado, divulga
o aparecimento de novas ameaas, fornece informaes que subsidiam a avaliao das
medidas adotadas e dissemina o conhecimento entre os diversos atores responsveis por cada
etapa.
O processo de comunicao deve ser claro e conhecido por todos os integrantes das
diversas equipes responsveis pelas demais etapas. Dessa forma, possvel agir com maior
rapidez na adoo de medidas de segurana, minimizando os impactos advindos de uma
ameaa.
70
4. APLICAO DO MODELO DE GERENCIAMENTO DE
RISCOS AO AMBIENTE DE INTERNET BANKING
Este captulo dedicado aplicao dos conceitos apresentados e do modelo de

gerenciamento de riscos quando gerenciados os riscos inerentes ao servio de internet
banking.
Percorremos cada etapa do modelo de gerenciamento de risco proposto, apresentando

os resultados obtidos durante a pesquisa e nas fases que compem o modelo.
4.1. IDENTIFICAO DE RISCOS NO AMBIENTE INTERNET

BANKING
medida que a sociedade humana evolui, novas ferramentas e tecnologias surgem

como conseqncia natural, levando a sociedade a uma dependncia crescente dessas
inovaes. Essa sujeio percebida nas organizaes de todos os portes, na medida em que a
operacionalizao dos negcios vista como impraticvel sem o auxlio dos sistemas
computadorizados. Durante todas as fases da evoluo humana, a presena de pessoas de boa
e m ndole observada rotineiramente. Falamos isso para ressaltar a forte influncia que os
maus elementos exercem na explorao no s das vulnerabilidades dos artefatos, como das
outras pessoas, usurias das ferramentas e tecnologias.
O canal internet banking tem sido a bola da vez dentro da evoluo dos servios
bancrios. Muito se fala de suas vulnerabilidades, do volume de fraudes perpetradas e dos
recursos investidos pelas instituies financeiras na busca de maior segurana para seus
clientes. Contudo, o elo humano, a capacitao dos clientes na utilizao das tecnologias
uma vertente nem sempre bem observada por algumas instituies, quando da avaliao dos
riscos desse ambiente. bom lembrar que as fraudes bancrias no surgiram com o advento
dos servios de on-line banking. At poucos anos atrs, o instrumento de contra-ordem de
cheques inexistia em grandes bancos ingleses. A premissa usada pelas instituies era de que
a responsabilidade pela segurana dos cheques dos clientes. No Brasil, nas dcadas de 80 e
71
90, quando a utilizao de cheques era bastante elevada, o nmero de fraudes com cheques
era tambm bastante preocupante.
A complexidade e, antagonicamente, as facilidades advindas das interconexes das

redes mundiais trouxeram consigo um aumento significativo nos riscos de segurana e no
acesso a ferramentas de ataque, utilizadas antigamente apenas por agncias de inteligncia.
De spans infestao de vrus, o uso dos computadores domsticos como zumbis

cada vez mais crescente. Cada computador que possa ser infectado e usado para propsitos
malvolos um alvo em potencial, tanto para destino final dos ataques, como para
lanamento de ataques do tipo Distributed Denial of Service (DoS).
Da pgina da British Bankers Association [12] extramos uma preocupao das

autoridades com a fraude bancria. O volume de perdas com as fraudes e os gastos investidos
pelas instituies para combat-las esto representadas como um custo a mais para a
sociedade. Os reflexos podem ser percebidos no aumento das tarifas bancrias e nos
procedimentos adicionais de controle sobre as transaes. Essa mesma preocupao existe no
setor bancrio brasileiro. Embora o Brasil possua um dos sistemas bancrios mais avanados
do mundo, no est imune s aes criminosas de pessoas que utilizam o canal internet para
cometerem delitos, antes praticados dentro das agncias.
Sabedores das facilidades proporcionadas aos seus clientes na economicidade de

tempo e comodidade de acesso s transaes bem como na reduo de seus custos
operacionais, os bancos investem cada vez no aprimoramento da tecnologia e nas medidas de
segurana. Por sua vez, as modalidades de golpes crescem a cada dia em volume e em
diversidade, desafiando no s os especialistas da rea de tecnologia, mas a sociedade e as
autoridades pblicas.
Destarte, imprescindvel que os bancos exeram uma gesto sobre os riscos inerentes
ao canal internet banking, como forma de reduzir sua exposio, por meio da identificao
das ameaas e das vulnerabilidades a que esto sujeitos, contribuindo para o alcance dos
objetivos estratgicos estabelecidos, com conseqente elevao do nvel de satisfao de seus
clientes.
72
4.2. A PRTICA DO MODELO DE GERENCIANDO DE RISCOS
Neste ponto, entendemos ser necessrio equalizarmos os conceitos e objetivos do

internet banking. Afinal, o primeiro passo na gesto de riscos consiste na compreenso dos
objetivos a serem atingidos.
Tambm chamado de on-line banking ou e-banking, trata-se de disponibilizar aos

usurios canal eletrnico de comunicao para entrega automtica de produtos e servios
bancrios diretamente aos clientes. Dentre os diversos produtos e servios, hoje disponveis,
destacamos o acesso s contas correntes e de investimento, pagamentos de contas e compras
de servios (a exemplo de recarga de celulares e aquisio de aes).
A operacionalizao desses produtos e servios se d por meio do uso de dispositivos

eletrnicos por parte dos clientes (computadores, palms, celulares) que se conectam aos
servidores dos bancos atravs da rede mundial de computadores. Resumidamente, o objetivo
do e-banking fornecer produtos e servios bancrios aos seus clientes, por meio do uso da
internet.
Com esse objetivo, fundamental que os bancos possam identificar positivamente

seus clientes, apresentar ao usurio o local verdadeiro do site da instituio para realizao
das transaes e garantir a segurana dos dados armazenados.
No segundo captulo deste trabalho, apresentamos a gesto de riscos como um

processo para disciplinar nossa convivncia com a possibilidade de ocorrer um evento que
pode causar danos. Para os servios de internet banking, a gesto de riscos o processo que
possibilita a conciliao entre o fornecimento de um servio considerado diferencial de
mercado e a exposio aos mais diversos riscos para as instituies e seus clientes. A seguir
propusemos um ciclo de vida para a gesto de riscos dividido em cinco fases, quais sejam:
identificao, anlise, planejamento, monitorao e comunicao.
Aliado a este estudo e como subsdio s proposies aqui apresentadas, realizamos

pesquisa sobre os ataques desferidos contra as instituies financeiras instaladas no Brasil,
bem como as medidas de defesa implementadas. O monitoramento dos ataques foi realizado
no perodo de 01/05/2006 a 31/05/2006.
73
Ressalte-se que algumas instituies financeiras no Brasil exercem uma atuao
conjunta no monitoramento, anlise e comunicao dos eventos maliciosos detectados,
contribuindo para o fortalecimento e aprimoramento do canal internet banking. Esse
monitoramento aponta eventos maliciosos detectados no somente contra o respectivo banco,
mas contra os demais bancos co-participantes.
A seguir conciliamos a teoria exposta no captulo 2, com a realidade enfrentada pelos

bancos no gerenciamento dos riscos para o ambiente internet, por meio da aplicao do
modelo de gesto de riscos apresentado neste trabalho, contemplando cada uma das fases do
ciclo de vida dos riscos.
4.2.1. IDENTIFICAO DE RISCOS NO AMBIENTE DE INTERNET BANKING
A fase de identificao de riscos parte, em primeiro lugar, do conhecimento do

processo em curso, da determinao de seus objetivos e de suas diversas interaes com os
ambientes internos e externos, nos quais o processo esteja inserido. A anlise S.W.O.T auxilia
na determinao dos recursos e servios internos e externos que o administrador dispe para
gerenciamento de seu negcio.
De acordo com Kevin Knight [43], o segredo da gesto de riscos est em identificar
os riscos que precisam ser gerenciados efetivamente para que os objetivos estratgicos da
companhia no sejam ameaados. A estratgia para se obter uma gesto efetiva concentrar-
se na administrao dos riscos mais crticos, ou seja, nos que possam impactar o atingimento
dos objetivos. A fase de identificao tem como propsito mapear esses riscos de forma
contnua. No devemos imaginar que uma vez terminada essa fase, no haja mais necessidade
de retom-la. O ciclo de fases (fig. 2.2) gira continuamente e o monitoramento est
constantemente retroalimentando as fases iniciais.
Somente a constante reviso dos riscos garante seu gerenciamento ao:
maximizar as oportunidades advindas;

explorar os pontos fortes e dominar as fraquezas mapeadas na organizao; e
minimizar as ameaas identificadas.
74
As instituies financeiras continuamente enfrentam os riscos inerentes a cada canal
de comunicao com seus clientes. O ambiente de internet, como um canal adicional, trouxe
comodidade e facilidade no acesso pelos clientes aos servios bancrios. Contudo,
potencializou a exposio ao risco de roubo de informaes sobre a identidade dos clientes e
quanto autenticao dos clientes, perante as instituies, na execuo das transaes
bancrias.
Assim, o primeiro passo desta etapa consiste em conhecer o ambiente no qual as
transaes de internet banking se realizam, sendo vigilante na identificao proativa de
ameaas, possibilitando implementar medidas de ajustes em seus sistemas para desta forma
proteger a integridade, confidencialidade e disponibilidade das informaes armazenadas.
As instituies financeiras podem optar por ter seus servios de internet banking
suportados pela prpria organizao, ou de forma alternativa, podem terceirizar qualquer parte
desse servio.
Ao adotar a soluo terceirizada a instituio tem o mesmo objetivo a ser atingido, ou

seja: disponibilizar aos usurios canal eletrnico de comunicao para entrega automtica de
produtos e servios bancrios. A alternativa se faz vivel para:
reduo de custos;
direcionamento dos esforos da organizao para seu core business, ou seja,
manter o foco nos negcios;
melhoria da soluo, tendo como premissa que a empresa terceirizada
especialista na sua rea de atuao;
Entretanto, ao se decidir por uma soluo terceirizada, a instituio no se isenta do

gerenciamento de riscos, pois aos clientes a disponibilizao dos servios feita de forma
transparente, como se fosse pelo prprio banco. Assim, outros riscos se somam aos j
presentes na soluo on-line. Esse adicional de risco est ligado aos seguintes fatores, dentre
outros:
confidencialidade dos dados trafegados, processados e armazenados no ambiente

terceirizado;
75
continuidade da empresa terceirizada, ou seja, capacidade da empresa terceirizada
manter-se atuante no mercado;
dependncia da instituio ao terceirizado. A instituio fica totalmente
dependente de outra no fornecimento dos servios, podendo acarretar dificuldades
quando das negociaes para renovao de contrato;
procedimentos de encerramento de contrato e transferncia dos servios para outra
empresa;
No site da FFIEC [25] encontramos a figura 4.1 que nos apresenta o ambiente de
internet no caso de processamento in-house, ou seja, o prprio banco fornece o servio de
hospedagem de seu site. Esse tipo de ambiente o mais freqente entre as maiores
instituies bancrias instaladas no Brasil e sobre o qual esse trabalho se baseia.
Desse diagrama identificamos, basicamente, trs ambientes: o ambiente do usurio que

engloba o fluxo da transao desde o computador do cliente at a entrega dos pacotes tcp/ip
na internet. O segundo ambiente compreende o recebimento e a entrega dos pacotes tcp/ip
atravs da rede mundial. Por fim, o ambiente de processamento das transaes na prpria
instituio financeira.
A pesquisa realizada nos bancos brasileiros, para fundamentao deste trabalho,

abordou os ataques nos ambientes do usurio (primeiro ambiente) e das instituies
financeiras (terceiro ambiente).
Embora sejam conhecidos os riscos quanto monitorao e captura dos dados em

transferncia (segundo ambiente), os bancos adotam o uso de criptografia para os dados
transmitidos e partem do pressuposto de que o nvel de criptografia usado suficiente para
desestimular os ataques nesse ambiente.
O pressuposto reside na confiana depositada nos algoritmos criptogrficos de

mercado que asseveram que mesmo que os dados sejam capturados, sua compreenso no
ser possvel, a no ser pela quebra da criptografia. Ao adotar algoritmos compatveis com os
padres de mercado, as instituies financeiras transferem as iniciativas de monitorao de
riscos e melhoria das solues criptogrficas para organismos mundiais ligados s aes de
76
segurana nessa rea. Em suma, a estratgia consiste em manter-se atualizado quanto aos
padres mundiais de criptografia.
Essa abordagem est perfeitamente aderente s estratgias de gesto de riscos,

descritas na seo 2.3.3, ou seja: diminuio dos impactos, diminuio da probabilidade de
ocorrncia, terceirizao dos riscos ou aceitao dos riscos / convivncia com eles. Neste
caso, as instituies transferem a gesto do risco de quebra dos algoritmos criptogrficos para
outras entidades.
O ambiente de internet banking compreende dois tipos de web sites: os que fornecem
informaes aos usurios, no obrigatoriamente clientes e os que disponibilizam as transaes
bancrias para os clientes. evidente que a anlise de riscos para cada um deles tem
abordagens diferentes, face aos objetivos a que se destinam.
Fonte: FFIEC Federal Financial Institutions Examination Councils
Figura 4.1: Diagrama ambiente internet banking
77
4.2.1.1. Web sites Institucionais
Os web sites destinados ao fornecimento de informaes possibilitam acesso de

qualquer usurio s chamadas pginas institucionais, ou seja, provm informaes sobre as
empresas, seus produtos e servios, dicas de segurana, resultados financeiros etc.
Na identificao dos riscos inerentes a esse servio, devem ser considerados os

seguintes fatores:
Fornecimento de informaes imprecisas ou incompletas sobre produtos, servios

e tarifas, podendo a instituio ser responsabilizada por infringir a lei de defesa do
consumidor. Em alguns pases europeus, como a Itlia, a legislao sobre defesa
do consumidor impe pesadas sanes que podem culminar no fechamento de
instituies, por desrespeito aos direitos dos consumidores;
Possibilidade de acesso no autorizado a informaes financeiras da instituio ou
de clientes, caso o web site no esteja devidamente apartado da rede interna que
armazena os dados financeiros;
Possibilidade de envio de vrus ou outros cdigos maliciosos aos computadores
conectados ao web site da instituio;
Possibilidade de pichao das pginas institucionais, decorrente de invaso,
afetando negativamente a imagem do banco perante o pblico em geral. Esse
ataque conhecido como Web Site Defacement;
Possibilidade de indisponibilidade da pgina do banco, em virtude de ataques
externos, a exemplo do DoS (denial of service), ou de problemas de origem
interna, como erros operacionais, falhas em aplicativos ou equipamentos, desastre
natural etc.
Dos exemplos acima relatados podemos identificar riscos legais, de imagem e

operacionais. No distinguimos riscos relacionados identificao e autenticao do usurio
perante a instituio, tendo em vista tratar-se apenas da disponibilizao de informaes
institucionais.
78
Contudo, vislumbramos a possibilidade de um ataque muito comum at pouco tempo e
que raramente vm sendo utilizadas: as famosas pginas falsas.
As pginas falsas usam endereos parecidos com o do site original, mas com pequenas
alteraes em seu nome ou na extenso, como, por exemplo: www.banco.com.br.info
(extenso info no final). Geralmente, as pginas falsas esto associadas a e-mails maliciosos,
ou partem de atalhos indicados em outros sites, que no os dos bancos.
A recomendao para os usurios para sempre acessar seu banco digitando o

endereo diretamente na janela do navegador. Como exemplo citamos as recomendaes
disponibilizadas no link acesso e segurana, do site do Banco do Brasil, em que aconselha
ao usurio evitar atalhos para acessar o site da instituio, especialmente os obtidos em sites
de pesquisa. A orientao para sempre digitar www.bb.com.br no campo de endereo dos
browsers de navegao. Aliada s aes educativas, os bancos implantaram pluggins que
cadastram os endereos de seus servidores, possibilitando a deteco das pginas falsas.
4.2.1.2. Web sites Transacionais
Os web sites transacionais so os responsveis por disponibilizar aos clientes dos

bancos ambiente propcio para realizao de suas transaes bancrias. As grandes
instituies financeiras, instaladas no Brasil, oferecem aos clientes praticamente todos os
servios disponveis nas agncias bancrias, ou nos terminais de auto-atendimento, com
exceo daqueles em h necessidade de entrega fsica de documentos ou saques de dinheiro.
Dos sites do Banco do Brasil [10] e do Bradesco [6], identificamos os principais

grupos de servios e produtos disponveis aos clientes:
Gerenciamento das contas corrente, de investimento e de poupana:

Consultas, extratos e transferncias;
Gerenciamento de Cartes de crdito:
Extratos, pagamentos de faturas, programa de fidelidade;
Aplicaes financeiras:
Fundos de investimento e carteira de aes;
Emprstimos e Financiamentos;
79
Pagamentos de boletos de cobrana, impostos, taxas e outros convnios;
Dbito automtico;
Consrcios;
Seguros, previdncia e capitalizao;
Alm de outros servios.
Como em todo canal de comunicao disponvel para realizao de transaes

bancrias, o internet banking tambm tem como procedimento inicial a identificao positiva
do cliente. Entretanto, em face da virtualizao do ambiente, esse problema se manifesta de
forma mais intensa. Como os bancos podem se assegurar de que o cliente que se apresenta
realmente quem se diz ser? A que tipos de riscos esto expostos o cliente e a instituio
financeira? A seguir identificamos os principais riscos nesses dois ambientes.
4.2.2. IDENTIFICANDO RISCOS NOS AMBIENTES DO CLIENTE E DA

INSTITUIO
Os sistemas de e-banking para efetivao dos servios esto suportados por recursos e
processos, dentro de uma complexidade cada vez mais crescente. Destacamos os seguintes:
Recursos de infra-estrutura de tecnologia da informao: servidores de internet

banking, servidores da rede interna, sistema de processamento central, firewall, intrusion
detection system ou IDS etc;
Processo de administrao e gerenciamento de redes;
Sistemas aplicativos que suportam as transaes bancrias;
Sistemas operacionais e gerenciadores de bancos de dados;
Monitores de transaes.
Conhecido o ambiente e identificados os objetivos a serem alcanados, a fase de

identificao de riscos prossegue com o mapeamento das possveis ameaas as quais as
instituies esto sujeitas e que podem inviabilizar o xito do negcio.
80
4.2.2.1. Riscos Operacionais
So riscos de perdas resultantes de fraudes, inadequao ou falhas de processos

internos, pessoas e sistemas, ou de eventos externos. O impacto resultante da consecuo
desse risco est diretamente relacionado incapacidade da instituio em disponibilizar os
servios de banco eletrnico para os clientes. Este risco existe para todo produto ou servio
oferecido.
As principais ameaas dizem respeito segurana da informao, ou seja, abrangem

os aspectos de confidencialidade, disponibilidade e integridade. Destruio, danificao da
informao ou de outros recursos; modificao da informao; furto, remoo ou perda de
informao ou de outros recursos; revelao de informao a pessoas no autorizadas;
interrupo de servios de servidores ou estaes de trabalho [13].
Um tipo de ataque envolve vasculhar informaes sobre uma rede de computadores ou

sobre o computador de um usurio. a chamada ameaa passiva, ou seja, o atacante busca
informaes sobre dados dos usurios ou sobre a configurao da rede, disponibilizada pelos
bancos para prover informaes ou realizar transaes, que podero ser usadas para atingir
um sistema ou conjunto de sistemas, em um ataque real. No resultam em qualquer
modificao nas informaes dos sistemas, ou na sua forma de operao.
Um exemplo desse tipo de ataque, lanado contra os servidores dos bancos, a anlise
de rede (Network analysis). O atacante aplica uma abordagem sistemtica e metdica
conhecida como footprinting para constituir um perfil sobre a infra-estrutura de segurana da
rede de uma instituio. Nessa fase de reconhecimento, so obtidas informaes sobre
endereos de rede, localizao de gateways e firewalls, bem como analisa os nmeros de
portas mais conhecidos para detectar informaes ou servios em execuo no sistema. A
anlise do conjunto de informaes obtidas possibilita identificar vulnerabilidades a serem
exploradas.
Pelo lado do cliente, esse tipo de ataque pode levar ao vazamento de informaes
sobre dados bancrios que sero usadas para possibilitar ao atacante realizar transaes
fraudulentas. Interessante observar que o atacante no tem interesse em alterar ou destruir as
81
informaes dos usurios. Para o atacante, necessrio que a passividade e a invisibilidade
do ataque sejam seus pontos fortes, pois caso o cliente no perceba que est sendo
monitorado, as chances de sucesso do ataque e conseqente utilizao dos dados capturados
se potencializam. De posse dos dados bancrios obtidos por meio dessas tcnicas, o atacante
ter condies de realizar transaes em nome do verdadeiro cliente.
Monitoramos, no perodo de 01/05/2006 e 31/05/2006, o envio de trojans aos clientes

dos bancos instalados no Brasil e apresentamos o resultado na tabela 4.1. Essas instituies
financeiras constituem um grupo que atua de forma conjunta na monitorao de incidentes de
segurana. Por razes de segurana deixamos de nomear as entidades. Os nmeros ali
dispostos representam a quantidade total de cdigos maliciosos enviados aos clientes, por dia
e detectados pelas ferramentas disponveis. No necessariamente significam novos trojans. s
vezes o mesmo cdigo, mas com novo apelo, do tipo:
voc est sendo trado, clique aqui para ver as fotos;

sua declarao de imposto de renda est na malha da Receita Federal, clique aqui
para saber mais informaes;
seu ttulo de eleitor foi cancelado, clique para informaes;
seu nome est no Serasa, informe-se clicando em....
Os trojans atuando por trs desses cliques tm como objetivo capturar informaes
bancrias e/ou induzir o cliente a executar aes que acabam por revelar e permitir o envio
dos dados dos clientes ao atacante.
82
Tabela 4.1: Quantidade de Trojans enviados a clientes de bancos
5/1/2006 178 5/17/2006 115

5/2/2006 419 5/18/2006 133
5/3/2006 163 5/19/2006 86
5/4/2006 81 5/20/2006 97
5/5/2006 85 5/21/2006 20
5/6/2006 23 5/22/2006 61
5/7/2006 8 5/23/2006 149
5/8/2006 96 5/24/2006 65
5/9/2006 24 5/25/2006 200
5/10/2006 144 5/26/2006 129
5/11/2006 137 5/27/2006 95
5/12/2006 157 5/28/2006 51
5/13/2006 2 5/29/2006 195
5/14/2006 38 5/30/2006 56
5/15/2006 190 5/31/2006 98
5/16/2006 139 Total 3434
Outra estatstica sobre a ocorrncia de trojans nas instituies financeiras do Brasil

nos apresentada pela empresa GAS Informtica e demonstrada acumuladamente na tabela
4.2. O valor apontado no ms de maio difere do valor obtido na pesquisa de campo. A
explicao reside na utilizao de fontes de pesquisas diferentes entre a monitorao realizada
por este autor e a procedida pela empresa GAS informtica. Entretanto, acreditamos que uma
no invalida a outra, tendo em vista a materialidade do nmero de ocorrncias apontadas.
83
Tabela 4.2: Acumulado de Trojans enviados a clientes de bancos
Ms Acumulado No ms
Setembro/2005 12.267
Outubro/2005 14.072 1.805
Novembro/2005 16.208 2.136
Dezembro/2005 18.225 2.017
Janeiro/2006 24.104 5.879
Fevereiro/2006 25.785 1.681
Maro/2006 27.539 1.754
Abril/2006 30.822 3.283
Maio/2006 35.485 4.663
At 08 de Junho de 2006 36.150 665
Graficamente podemos representar os nmeros acima conforme a seguir:
Trojans que atacam bancos
7.000
6.000
5.000
4.000
3.000
2.000
1.000
0
out/05 nov/05 dez/05 jan/06 fev/06 mar/06 abr/06 mai/06
Figura 4.2 Variao dos ataques por trojans
Uma vez obtidas as informaes sobre o ambiente dos bancos e sobre seus clientes, os
atacantes iniciam os chamados ataques ativos. Estes envolvem a alterao da informao
contida no sistema ou modificaes em seu estado ou operao. Tambm consideramos como
84
ataques ativos, a consecuo de transaes fraudulentas, com uso dos dados bancrios
capturados nos ataques passivos.
O intruso lana um ataque real contra a rede da instituio ou contra o cliente, com
intuito de obter controle sobre o sistema, possibilitando a materializao da ameaa. Isto pode
abranger desde o acesso no autorizado para modificar dados ou programas, at deixar o site
da instituio indisponvel, caracterizando um ataque de denial of service, ou seja, negao de
servio.
A figura 4.3 e a tabela 4.3 apresentam o resultado do monitoramento realizado no

perodo de 05/05/2006 a 05/06/2006, onde mapeamos os ataques realizados contra os bancos
participantes do grupo de monitoramento anteriormente referenciado. Tambm esses dados
refletem a populao dos ataques detectados pelas ferramentas disponveis nas instituies.
Tabela 4.3: Ataques contra os servidores dos bancos
Identification of the attack Ocurrences %

synflood 1.758.020 25,90
HTTP_Cross_Site_Scripting 714.457 10,52
IP_Unknown_Protocol 534.306 7,87
Stream_DoS 469.548 6,92
BGP_Route_Unreachable 449.138 6.62
DNS_Query_All 274.311 4,04
TCP_Port_Scan 223.576 3,29
HTTP_IIS_Unicode_Wide_En-coding 150.952 2,22
RealSecure_Kill 140.230 2,07
Email_Outlook_URL_Spoof 131.296 1,93
Other 1.942.847 28,62
Total 6.788.681 100,00
85
Figura 4.3: Estatstica dos ataques contra os servidores dos bancos
A tabela 4.4 nos apresenta o nmero de incidentes reportados ao CERT Centro de

Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil [14] no perodo de
janeiro a dezembro de 2006. Os incidentes esto distribudos entre worms, incidentes de
invaso, ataques a servidor web, ocorrncias de denial of service (DoS), varredura de portas
(scan) e consecuo de transaes fraudulentas.
86
Tabela 4.4: Incidentes reportados ao CERT Janeiro a Dezembro de 2006
Totais mensais e trimestral classificados por tipo de ataque
Ms Total Worm (%) DoS (%) Invaso (%) Aw (%) Scan (%) Fraude (%)
jan 8446 1358 16 71 0 24 0 32 0 3274 38 3687 43
fev 7742 1223 15 33 0 59 0 54 0 2737 35 3636 46
mar 11945 4062 34 41 0 112 0 29 0 2925 24 4776 39
abr 14126 7327 51 3 0 61 0 28 0 2742 19 3965 28
mai 18204 11139 61 81 0 24 0 29 0 3153 17 3778 20
jun 17470 11036 63 24 0 44 0 43 0 3127 17 3196 18
jul 18754 12833 68 11 0 57 0 46 0 2823 15 2984 15
ago 17501 8961 51 4 0 44 0 37 0 5160 29 3295 18
set 23321 13499 57 4 0 26 0 38 0 5507 23 4247 18
out 18592 8944 48 3 0 21 0 35 0 6823 36 2766 14
nov 23414 16355 69 0 0 43 0 51 0 3777 16 3188 13
dez 18377 12939 70 2 0 8 0 27 0 3143 17 2258 12
Total 197892 109676 55 277 0 523 0 449 0 45191 22 41776 21
Legenda:
DoS: Denial of Service AW: Ataque a servidor WEB
Diversas formas de ataques aos servios de internet banking so identificadas todos os

dias. Com base no resultado do monitoramento mostrado na figura 4.3, bem como nas
conseqncias advindas pela efetivao do trojans lanados contra os clientes, descrevemos, a
seguir, os principais tipos de ameaas contra os servios de internet banking, atualmente
observadas com mais intensidade. No pretendemos esgotar todas as formas de ataque, mas
enfatizar as estatisticamente mais utilizadas, no perodo da pesquisa, dentro da filosofia de
otimizar os recursos disponveis na minimizao dos principais riscos. Lembremo-nos de que
o constante monitoramento possibilita identificar novos riscos e conseqentemente
desenvolver aes direcionadas ao seu combate e minimizao.
87
Informamos que as descries, plataformas afetadas e contra-medidas referentes aos
ataques descritos a seguir foram obtidas a partir do site da Internet Security Systems [37] e
livremente traduzidas pelo autor deste trabalho.
4.3.2.1.1 Ataques Passivos

Objetivo do ataque
Obter informaes sobre a configurao de uma rede ou sobre dados dos usurios, que
possibilitem a utilizao dessas informaes em ataques ativos.
4.3.2.1.1.1 Decod-dns
Mdio Risco
Descrio
Uma requisio de DNS para todos os registros disparada contra um host pode indicar
um ataque passivo de sondagem sobre uma rede. Com ferramentas do tipo dig, um
atacante poder executar esse tipo de ataque e obter informaes sobre uma
determinada rede. Esse tipo de ataque pode ser confundido com uma requisio
legtima de DNS.
Um programa do tipo dig um sistema de indexao e procura por intranets e
pequenos domnios. Esse programa, em algumas distribuies linux pode permitir um
atacante obter arquivos de forma remota.
Plataformas afetadas:
o DNS: qualquer verso de DNS.

o Qualquer aplicao em qualquer verso.
Contramedidas
Eventos deste tipo so em sua maioria partes de requisies normais e no maliciosas

de DNS. Os sites requisitantes dessas informaes devem ser monitorados quanto a
estes eventos, na tentativa de se identificar eventos que possam caracterizar um ataque
passivo de sondagem de rede.
88
4.3.2.1.1.2 IP-Portscan
Mdio Risco
Descrio
Um ataque de portscan uma tentativa de determinar quais servios esto sendo

executados em um sistema, por meio da sondagem de portas, obtida quando das
respostas a requisies enviadas.
Plataformas afetadas
Contramedidas
Identificar a fonte do ataque de port scan. Correlacionar a fonte do scan com os

servios que esto sendo executados no host sobre ameaa. Mapear a fonte e a
inteno da varredura. Verificar os logs de acesso buscando identificar acessos no
autorizados. Se forem constatados esses acessos considere seu sistema comprometido
e adote as medidas cabveis.
4.3.2.1.1.3 Trojans, Spywares, Cdigos Maliciosos

Alto Risco
Descrio
Esse conjunto de programas tem como objetivo o roubo de informaes, como, por
exemplo, nmeros de contas, senhas, nmeros de cartes de crditos, certificados
digitais etc. Genericamente so programas de computador que, ao serem instalados,
fazem com que outra pessoa possa controlar virtualmente a mquina infectada, ou
executar funes sem o conhecimento do usurio, como as sobrescritas.
Dentro dessa categoria, destacamos trs tipos de ataques diretamente relacionados com
ataques passivos ao ambiente internet banking do usurio.
89
Keyloggers: Programas que visam capturar dados digitados pelo usurio, durante a
execuo de transaes bancrias. Depois, o trojan envia a lista de informaes para o
endereo do autor do programa invasor. Como no Brasil as grandes instituies
financeiras adotaram os teclados virtuais, que utilizam o mouse para entrada dos dados
crticos (em especial as senhas), esses programas no representam maiores problemas.
Contudo, muitos bancos internacionais ainda utilizam o teclado para entrada dos dados
bancrios, tornando eficaz a utilizao de keyloggers.
Mouseloggers: Programas adaptados para interceptarem cada clique do mouse. Essa

tcnica se tornou mais freqente com o advento do uso de teclados virtuais. Uma vez
detectado o clique do mouse, o programa captura a imagem sob o cursor. Com isso, os
programas de monitorao conseguem determinar a seqncia de imagens clicadas que
correspondem aos dados que normalmente seriam digitados pelo usurio.
Screenlogger: ataque de monitoramento da tela. Como numa seqncia lgica

crescente de explorao a vulnerabilidades, esse tipo de ataque veio imediatamente
aps os bancos terem adotado o uso de teclados virtuais. Agora, esses trojans agem
por meio da captura de telas, vigiando e monitorando as aes dos clientes, quando do
acesso ao site dos bancos. Ao obter as informaes dos usurios, esses cdigos
maliciosos as enviam para seus donos remotos.
No site da SOPHOS [56] encontramos uma srie de exemplos de trojans destinados a

capturar informaes sobre dados de clientes, quando transacionando com seus
respectivos bancos. Fazem parte dessa gama de cdigos:
Troj/Banker-AJ Aliases: PWSteal, Revcuss.A, Win32.Recvuss.H;

Troj/Banker-JJ Aliases: Trojan-Spy.Win32.Banker.jj, PWS-Banker.f,
TROJ_BANKER.EY. Esse trojan destinado a capturar senhas de bancos,
monitora os acessos do usurio a internet. Quando determinados bancos so
acessados, ele captura e armazena as atividades do usurio, enviando os dados
para um web site remoto.
90
Troj/Banker-HS um trojan de captura de senhas que tem como alvo os web
sites de bancos brasileiros. Aliases: Trojan-Spy.Win32.Banker.ri,
PWSteal.Bancos, W32/Bancos.AIQ, W32/Banker.CNE e PWS-Banker.gen.b.
Da lista sobre alertas quanto a trojans e cess divulgada para setembro de 2006,
identificamos dentre os dez mais detectados, a presena de 03 cdigos destinados a
captura de dados bancrios: Troj/Bancos-AWI, Troj/Bancos-AWG e Troj/Banker-
DNM.
1. W32/Sdbot-CRR Sun, 24 Sep 2006 04:26:46 Z
2. Troj/Lineag-ABA Sat, 23 Sep 2006 15:52:58 Z
3. Troj/WowPWS-Z Sat, 23 Sep 2006 06:25:46 Z
4. Troj/Bancos-AWI Sat, 23 Sep 2006 01:39:36 Z
5. Troj/WOW-HH Fri, 22 Sep 2006 19:29:28 Z
6. Troj/Bancos-AWG Fri, 22 Sep 2006 14:50:02 Z
7. W32/WinLose-A Fri, 22 Sep 2006 14:23:05 Z
8. W32/Stration-AE Fri, 22 Sep 2006 11:09:48 Z
9. Troj/LowZone-CX Fri, 22 Sep 2006 09:52:47 Z
10. Troj/Banker-DNM Fri, 22 Sep 2006 09:16:38 Z
4.3.2.1.2 Ataques Ativos
4.3.2.1.2.1 Ataques de Invaso

Alto Risco
Objetivo do ataque
91
Enganar os controles de segurana para obteno de acesso no autorizado ao sistema
gerenciador de servios do site da instituio financeira.
4.3.2.1.2.1.1. IIS_Cross_Site_Scripting (HTTP_Cross_Site_Scripting)

Baixo Risco
Descrio
As verses 4.0 e 5.0 do servio IIS da Microsoft (Internet Information Server) so

vulnerveis ao Cross-Site Scripting (CSS), que afeta diretamente os servidores web
responsveis pela gerao automtica de pginas HTML. Cross-Site Scripting pode ser
usado de forma maliciosa por um operador de um web site para introduzir e executar
um cdigo em outra sesso web de usurio.
o Microsoft Corporation: Microsoft IIS 4.0

o Microsoft Corporation: Microsoft Personal Web Server 4.0
o Microsoft Corporation: Windows 2000 Qualquer verso
o Microsoft Corporation: Windows NT Qualquer verso
Contramedidas
Atualizar o sistema com as correes disponibilizadas no site da Microsoft.
4.3.2.1.2.1.2. IP-Unknown
Low Risk
Descrio
Existem diversos protocolos padro de mercado usados no topo da arquitetura tcp/ip

para transmitir dados. So exemplos desses protocolos o tcp, o udp e o igmp.
Contudo os usurios podem criar seus prprios protocolos e transmitir dados usando
suas customizaes. Essas aplicaes que usam seus prprios formatos de protocolo
tornam difcil, ou mesmo impossvel, determinar o que est sendo transmitido, a no
ser diretamente pelo exame dos dados. Por essa razo, protocolos customizados so,
92
algumas vezes, usados por atacantes para evitar deteco enquanto transmitem dados
pela rede.
Muitas ferramentas de segurana ignoram protocolos que elas no entendem. Assim
sendo, comum se estabelecer canais de comunicao dissimulados usando protocolos
desconhecidos. Um canal escondido pode indicar a presena de uma porta dos
fundos (backdoor) dentro de uma rede de comunicao.
Contramedidas
Se h suspeitas sobre atividades anormais, aconselhvel utilizar ferramentas de

anlise para capturar e verificar o trfego dentro da rede.
4.3.2.1.2.1.3. HTTP-Apache-Cookie
Alto Risco
Descrio
O servidor Apache EM possui um mdulo opcional (mod_cookies) que pode permitir

a um atacante remoto provocar sobrecarga (overflow) de buffer interno no servidor
web, possibilitando a execuo arbitrria de cdigos no servidor. Esse mdulo
compilado no servidor web, no sendo instalado por default em nenhuma verso do
Apache. Esses servidores de http, at a verso 1.1.1, podem estar vulnerveis a ataque
de overflow, se o mdulo descrito tiver sido compilado no servidor.
o Apache Software Foundation: Apache EM Server qualquer verso

o Data General: DG/UX qualquer verso
o Hewlett-Packard Company: HP-UX qualquer verso
o Hewlett-Packard Company: Tru64 UNIX qualquer verso
o IBM: AIX qualquer verso
93
o Linux: Linux qualquer verso
o Santa Cruz Operation, Inc.: SCO Unix qualquer verso
o SGI: IRIX qualquer verso
o Sun Microsystems: Solaris qualquer verso
o Wind River Systems, Inc.: BSD qualquer verso
Contramedidas
Essa vulnerabilidade somente afeta sites que executam Apache verso 1.1.1 ou inferior
com mdulos cookies compilados no servidor. A recomendao para atualizar o
servidor com as devidas correes.
4.3.2.1.2.1.4. IIS-Unicode-Wide-Encoding
Alto Risco
Descrio
O servio de Internet Information Server (IIS) da Microsoft possibilita que caracteres

sejam codificados no padro Unicode em requisies URL, dentro de um formato
que use %u. Essa codificao aparece como %uXXXX, onde XXXX representa
caracteres hexadecimais (0-9, A-F). Por exemplo, a letra a pode ser codificada como
%u0061. Um atacante remoto pode usar essa forma de codificao para tentar burlar
os sistemas de deteco de intrusos.
Muitos ataques do tipo .ida (incluindo os worms do tipo CodeRed) usam esse tipo
de codificao quando executam tentativas de buffer overflow .
o Cisco Systems, Inc.: CiscoSecure IDS qualquer verso

o Enterasys Networks, Inc: Dragon Sensor 4.x
o Internet Security Systems, Inc.: RealSecure Network Sensor 5.x
o Internet Security Systems, Inc.: RealSecure Network Sensor 6.0
o Internet Security Systems, Inc.: RealSecure Network Sensor 6.5
o Internet Security Systems, Inc.: RealSecure Server Sensor 5.5
o Internet Security Systems, Inc.: RealSecure Server Sensor 6.0
94
o Snort: Snort anterior verso 1.8.1
Contramedidas
Para RealSecure Network Sensor 5.x, 6.x: aplicar a ltima atualizao do RealSecure
Network Sensor X-Press (XPU 3.2 ou posterior).
Para RealSecure Server Sensor 6.0: atualizar a ltima verso do RealSecure Server
Sensor (6.0.1 ou posterior).
Para IDS Cisco Secure (Netranger): aplicar o mais recente service pack conforme
indicado em Cisco Systems Field Notice, September 5, 2001.
Para Snort anterior a 1.8.1: atualizar com a ltima verso do Snort (1.8.1 ou posterior)
disponvel em: http://www.snort.org/downloads.html.
4.3.2.1.2.1.5. Database-Ida-Portable-Executable-Bo
Alto Risco
Objetivo do ataque
Obter acesso a sistema, fraudando a segurana atravs de artifcios de burla do IDS

(Intrusion Detection System).
Descrio
DataRescue IDA Pro um multi-processor disassembler para Linux e Microsoft

Windows. DataRescue IDA Pro verses 4.6 Service Pack 1, 4.7, e possivelmente
outras verses so vulnerveis a stack-based buffer overflow na anlise gramatical de
longas listas de nomes de bibliotecas importadas. Um atacante remoto pode provocar
uma sobrecarga (overflow) em um buffer e executar cdigos arbitrrios no sistema,
pelo uso de privilgios de usurios.
o IDA Pro Disassembler: DataRescue IDA Pro 4.6 Service Pack 1
95
o IDA Pro Disassembler: DataRescue IDA Pro 4.7
o Jibz, Qwerton, snaker and xineohP.: PeiD prior to 0.93
o Linux: Linux Qualquer verso
o Microsoft Corporation: Windows 95
o Microsoft Corporation: Windows 98
o Microsoft Corporation: Windows 98 Second Edition
o Microsoft Corporation: Windows Me
o Microsoft Corporation: Windows NT 4.0
o Microsoft Corporation: Windows XP Qualquer verso
4.3.2.1.2.1.6. Ataques de DOS Denial of Service (Interrupo de Servio)

Alto Risco
Esse tipo de ataque tem por objetivo interromper um servio ou impedir totalmente
que usurios ou entidades autorizadas o utilizem. Seu objetivo principal tirar do ar
(no deixar disponvel) um servio ou o sistema, apenas para causar prejuzo,
transtorno ou eliminar um servio de proteo que possa permitir que se tenha acesso
a outros servios no autorizados.
4.3.2.1.2.1.7. Synflood
Mdio Risco
Descrio
Uma conexo padro TCP se estabelece pelo envio de pacotes com sinalizao do bit
SYN (Synchronous Idle, ou Synchronize sequence number caractere de controle
utilizado para manter o sincronismo na ausncia de dados trafegando pela rede) ao
host de destino. Caso esteja preparado para esperar por conexes em uma porta
especfica, ele responder com um pacote SYN/ACK (SYN-Acknowlegment cdigo
de comunicao reconhecendo que os dados transmitidos foram recebidos sem erros,
ou que o host de destino est preparado para receber mais dados). Ento, a estao que
96
iniciou a conexo (host de origem) responde com um pacote ACK para
estabelecimento da conexo.
Quando um pacote SYN/ACK enviado de volta origem, um bloco de memria no
host destino alocado para aguardar pela informao sobre o estado da conexo que
est sendo estabelecida. At que o pacote ACK final seja recebido, a partir da origem,
ou o timeout seja alcanado, esse bloco de memria permanece alocado, esperando por
mais informaes a serem recebidas.
O ataque de DoS se concretiza pelo envio de numerosos pacotes SYN a um host de
destino, com objetivo de esgotar a poro de memria destina a abrir conexes.
Quando essa memria exaurida, nenhuma conexo, mesmo as legtimas, poder ser
estabelecida.
Essa situao pode ser detectada pelo monitoramento do fluxo de pacotes SYN que
no tiveram respostas. Para corrigi-la, enviam-se pacotes RST, ao host destino,
correspondentes aos pacotes SYN enviados pela origem. O resultado dessa ao a
liberao da poro de memria alocada para aguardar por mais informaes sobre o
estabelecimento da conexo.
Contramedidas
Atualizaes dos sistemas operacionais trazem correes para ataques baseados em

SYN flood. Adicionalmente os administradores dos hosts de destino devem
considerar a possibilidade de elevar o limite default de buffers de conexo.
4.3.2.1.2.1.8. Stream-Dos
Mdio Risco
Descrio
O stream.c um ataque de denial of service projetado para derrubar um sistema

operacional pelo envio de pacotes TCP, adulterados (spoofs) pela marcao do
sinalizador de ACK, a vrias portas do host de destino. Essa situao pode causar, em
certas verses do FreeBSD e possivelmente de outros sistemas, reaes descontroladas
e derrubada do kernel do sistema operacional. Essa forma de ataque tambm
utilizada no software de ataque Mstream que rene todas as ferramentas utilizadas
97
para tirar do ar vrios sites como Yahoo e Amazon, como por exemplo: Trin00,
Tribal Flood Network, TFN2K ou Stacheldraht.
Spoofs Tem como objetivo a falsificao ou disfarce de identidade. Existem vrias

formas de spoofs:
- IP Address Spoofing Falsificao de endereo IP: utiliza um endereo IP vlido e
aceito pelo sistema de validao para ter acesso determinada rede.
Qualquer aplicao em qualquer verso.
Contramedidas
Atualizar os sistemas operacionais com as correes disponveis para esse tipo de

ataque.
4.3.2.1.2.1.9. BGP-Route-Unreachable
Baixo Risco
Descrio
Uma rota anunciada como inalcanvel em uma mensagem de protocolo BGP

Border Gateway Protocol. Esse ataque impede o acesso do usurio ao servio
legtimo.
Qualquer aplicao em qualquer verso.
Contramedidas
Essa mensagem no necessariamente significa um ataque. O monitoramento do host

deve procurar por repeties constantes em um curto perodo de tempo e trat-las na
medida adequada.
98
4.3.2.1.2.1.10. Ataques de Envenenamento de Transao
Alto Risco
Esse tipo de ataque tem por objetivo capturar e adulterar a mensagem original, sem
que o cliente e o sistema de segurana da instituio financeira percebam. Essa
situao uma das formas de ataque conhecido como man in the middle, ou mais
recentemente man in the browser.
O ataque de MIM Man in the middle uma tcnica de se colocar no meio da
comunicao entre a estao do cliente e o servidor de e-banking. Geralmente, o
atacante captura a transmisso e procede a alteraes nas transaes antes de reenvi-
las ao destino final.
O que se vem observando no ambiente de internet banking a instalao de
aplicativos na estao do cliente para adulterar as transaes efetuadas pelo cliente.
Como exemplo descrevemos a seguinte situao: o usurio se autentica normalmente
no banco, tendo inclusive utilizado todos os dispositivos de segurana
disponibilizados pela instituio (teclado seguro, browser defence etc). O cliente
procede ento uma transferncia de valores entre contas correntes. Ao enviar a
transao, o aplicativo residente no computador intercepta a mensagem e procede a
alteraes nos dados de agncia e conta de destino, bem como no valor a ser
transferido. O banco recebe a solicitao e envia um pedido de confirmao. O
aplicativo tambm monitora esse pedido, altera novamente a transao e apresenta ao
cliente os dados originais. Ao confirmar a transao, o banco efetua a transferncia
para a conta indicada pelo atacante. Na seo sobre anlise e planejamento de aes
para gesto do risco retomaremos esse tipo de ataque e as contramedidas adotadas.
4.3.2.1.2.1.11. Ataques Internos

Alto Risco
Administradores de segurana devem considerar esse tipo de ataque quando do

monitoramento do ambiente de internet banking. Por se encontrarem dentro das
instituies, os funcionrios ou contratados j ultrapassaram vrias barreiras impostas
99
aos atacantes externos, elevando o risco de efetuarem acesso a ambientes ou
aplicaes no autorizadas para eles.
O fator confiana, neste tipo de ataque, bastante explorado pelos usurios mal
intencionados. Por considerarem confiveis os colegas de trabalho, os administradores
muitas vezes concentram sua ateno nos ataques que vm de fora da instituio. O
ambiente interno fica assim mais fragilizado quanto a medidas de segurana a serem
implementadas na preservao das informaes trafegadas e armazenadas
internamente.
Destarte, ferramentas de defesa e de monitorao necessitam ser instaladas de modo a

detectar a execuo de aplicativos no autorizados ou inadequados ao desempenho das
funes, com objetivo de burlar a segurana ou mesmo capturar dados de clientes e de
outros usurios internos.
Destacamos da ISO-27001 no item 6.3 Respondendo aos incidentes de segurana e

ao mau funcionamento:
Devem estar claramente definidos os procedimentos a serem adotados nas
diversas ocorrncias indesejveis no ambiente de processamento de
informaes da empresa.
Incidentes que afetam a segurana devem ser relatados, o mais rapidamente

possvel, aos nveis gerenciais adequados.
Devem ser do conhecimento de todos os funcionrios e contratados os

procedimentos para relatar os diversos tipos de incidentes (quebras de
segurana, ameaas, fraquezas e mau funcionamentos) que podem impactar a
segurana dos ativos da instituio.
Processo disciplinar deve ser instaurado para investigar casos de falhas

relacionadas ao descumprimento da Poltica de Segurana da Informao.
100
4.3.2.1.2.1.12. Ataques de Engenharia Social
Alto Risco
Este tipo de ataque merece um destaque todo especial. Com certeza representa o maior
desafio para as instituies financeiras, pois esse ataque trabalha com o
comportamento das pessoas, usurias dos servios de internet banking. J escrevemos
sobre o despreparo das pessoas quanto ao uso da rede mundial de computadores. Alie-
se, ento, a explorao por parte dos atacantes dos desejos de ganhos e da curiosidade
dos usurios, para dissimular as aes de ataque.
As instituies financeiras, no Brasil, destacam-se pelos altos investimentos

financeiros na rea de tecnologia. A rea de segurana, em especial a questo de
proteo est entre as maiores preocupaes dos administradores. Diversas camadas
de segurana so implementadas, abrangendo desde a autenticao do cliente,
passando pela proteo aos sistemas, aos dados dos clientes e chegando at o ambiente
pessoal do usurio. E justamente esse ambiente que mais preocupa os executivos
das instituies.
As camadas de segurana implementadas nos ambientes de e-banking das instituies

financeiras proporcionam um nvel confortvel de exposio ao risco de invaso,
levando os atacantes a investirem justamente no elo mais fraco do sistema. O que
observamos como resultado da pesquisa realizada uma concentrao de aes muito
mais relacionadas com engenharia social do que com tecnologia. So mtodos no-
tecnolgicos para se obter acesso a um sistema, constituindo-se em um processo de
convencimento, em que o cliente iludido com intudo de fornecer ou revelar seus
dados bancrios.
As tcnicas so as mais diversas e criativas possveis. Neste item, de se destacar a
criatividade dos atacantes. Durante a pesquisa realizada por este autor, conseguimos
recolher alguns exemplos, que anexamos nas figuras a seguir.
101
Figura 4.4: Trojan concurso Petrobrs
Figura 4.5: Trojan carto Petrobrs
102
Voc est sendo
trado
(Sou um amigo!)
Figura 4.6: Trojan via e-mail
Figura 4.7: Trojan via aviso bancrio
103
Figura 4.8: Trojan via site de charges
Os apelos, as promessas de ganhos, as ajudas oferecidas ou mesmo a explorao de

sites de diverso so os mais diversos possveis. Observamos, em todos, a indicao
para acessar determinado endereo, figura ou links na prpria pgina apresentada, de
forma a possibilitar ao usurio baixar ou visualizar arquivos.
A medida em que os bancos foram implementando solues de segurana, novas
formas de engenharia social foram aparecendo. Vejamos, por exemplo, dois grandes
bancos nacionais.
O Banco do Brasil, em sua mais recente medida de segurana, implementou o
cadastramento de computadores para identificao de seus clientes. Ao aderir
soluo de cadastramento de computadores, as transaes de pagamentos e de
transferncias ficam restritas aos computadores previamente cadastrados. Se o cliente
tiver necessidade de cadastrar outros computadores, poder faz-lo por meio da opo
de cadastramento de computadores, gerando um cdigo de quatro nmeros que dever
104
ser informado em um computador previamente cadastrado, na agncia de
relacionamento, nas centrais de atendimento ou nos terminais de auto-atendimento. O
ataque de engenharia social para essa soluo consiste em solicitar ao cliente, em troca
de alguma premiao, via e-mail supostamente enviado pelo banco, que faa o
cadastro de um determinado cdigo de cadastramento de computador. Ao faz-lo, o
cliente estar cadastrando o equipamento do atacante que, de posse de seus dados
bancrios poder transacionar com o banco.
O Bradesco implementou a soluo de senha dinmica, para possibilitar a execuo de

transaes crticas. Assim, alm das senhas e contra-senhas tradicionais, uma adicional
solicitada para cada transao. As senhas dinmicas so distribudas aos clientes por
meio de um carto contendo 70 senhas de trs dgitos, conforme fig 4.9.
Figura 4.9: Carto Bradesco de senhas dinmicas
105
O ataque de engenharia social consiste em solicitar ao cliente, tambm via e-mail
supostamente enviado pelo banco, que digite suas 70 senhas. O que constatamos que h
usurios que o fazem.
O grande desafio enfrentado pelos bancos do mundo inteiro auxiliar seus clientes no
gerenciamento de seus ambientes, quanto ao nvel de segurana implementado. Como as
instituies no possuem controle sobre o ambiente do cliente, essa atividade ainda mais
onerosa. Observamos diversas iniciativas adotadas para minimizar os riscos no ambiente dos
clientes. Essas iniciativas sero abordadas no decorrer deste trabalho. Contudo, face
diversidade de leis e regulamentos, muitas das medidas de segurana esbarram em leis que se
prestam a defender a privacidade das pessoas, impedindo uma atuao mais eficiente dos
aplicativos no ambiente dos clientes.
4.2.2.2. Riscos Legais
Risco associado ao no atendimento a leis e regulamentos aos quais a organizao se

encontra submetida. Tem como impactos, sanes aplicadas pelos rgos reguladores, que
podem, dependendo do pas, levar desautorizao para funcionamento das organizaes.
De acordo com o site do Federal Financial Institutions Examination Council [23] [24],
os servios de banco on-line um novo canal de negociao onde as leis e regulamentos
podem ser ambguos ou ainda em desenvolvimento. Esses regulamentos incluem:
Procedimentos quanto entrega/exigncia de documentao para efetivao das

transaes;
Identificao de operaes com indcios de lavagem de dinheiro;
Confidencialidade dos dados dos clientes;
Medidas quanto ao ressarcimento de clientes, por transaes fraudulentas;
Armazenamento das informaes e condies negociais disponibilizadas na
internet;
Leis e regulamentos que governam as transaes disponibilizadas aos clientes
requerem tipos especficos de divulgao, notcias e requerimentos de guarda de registro.
Esses requerimentos tambm se aplicam ao e-banking e os rgos supervisores continuam a
106
atualizar as leis e regulamentos para refletir o impacto do e-banking e relacionamentos com os
clientes virtuais. Alguns dos requerimentos legais e normativos nos Estados Unidos [63] que
freqentemente se aplicam aos produtos e servios e-banking incluem:
Solicitao, coleta e reporte de informao monitorada pelo governo para aplicaes e

emprstimos, conforme requerida pelos regulamentos Equal Credit Opportunity Act
(Regulation B) e Home Mortgage Disclosure Act (Regulation C).
Requerimentos de propaganda, divulgao aos clientes, ou notcias requeridas pelos

regulamentos The Real Estate Settlement Procedures Act (RESPA), Thruth in Lending
(Regulation Z) e Truth in Savings (Regulation DD) e Fair Housing;
Exibio apropriada e destacada de informaes sobre seguros do FDIC (Federal

Deposit Insurance Corporation) ou NCUA (National Credit Union Administration);
Divulgao destacada nas pginas web indicando que certos tipos de investimento,
corretagem e produtos de seguro oferecidos tm alguns tipos de riscos associados,
incluindo no estarem cobertos por seguros do FDIC ou NCUA;
Programas e procedimentos de identificao de clientes, bem como guarda de registros

e requerimentos de notificao aos clientes, requeridas pelo Bank Secrecy Act;
Processos de identificao de clientes para determinar se as transaes efetuadas so

proibidas pelo the Office of Foreign Asset Control (OFAC) e, quando necessrio, se os
clientes aparecem em alguma lista de terroristas suspeitos ou conhecidos ou
organizaes terroristas providenciadas por qualquer rgo do governo;
Requerimentos de guarda de registros conforme os regulamentos dispostos no: The

Equal Credit Opportunity Act (Regulation B) and Fair Credit Reporting Act.
Instituies que oferecem servios de e-banking, tanto informacionais como

transacionais, assumem um alto risco de conformidade em virtude da natureza mutvel da
tecnologia, da velocidade com a qual os erros se propagam e a freqncia das mudanas de
regulao para direcionar as questes de e-banking. O potencial para violaes sobrepesado
107
pela necessidade de assegurar consistncia entre propagandas em papel e eletrnicas,
divulgaes e notcias. Informaes adicionais sobre requerimentos de conformidade para e-
banking podem ser encontradas nos web sites das agncias reguladoras.
4.3.2.2.1 Legislao Brasileira
H muito se discute sobre a lacuna existente na legislao brasileira no que se refere

tipificao dos crimes virtuais. Essa lacuna obriga os juzes a adaptarem suas decises e
conseqentemente as penas impostas tomando como base outras legislaes. No queremos
afirmar que em pases onde existe legislao especfica os crimes virtuais no ocorram.
Contudo, a situao atual da legislao brasileira favorece a proliferao de crimes da espcie,
provavelmente pela sensao de impunidade percebida pelos autores.
A iniciativa mais recente para o tratamento do tema com mais profundidade reside no
Substitutivo de Projeto de Lei de autoria do senador Eduardo Azeredo, do ano de 2003 [51].
H uma expectativa quanto ao seu envio para sano do presidente da repblica ainda neste
ano.
Antes dessa, outras iniciativas tambm trataram do assunto, sem que fossem
implementadas. Resumimos a seguir as principais medidas propostas anteriormente.
Projeto de Lei do Senado no. 76, de 2000.

Senador Renan Calheiros
Divide os crimes virtuais em sete categorias: contra a inviolabilidade de dados e sua

comunicao; contra a propriedade e o patrimnio; contra a honra e a vida privada;
contra a vida e a integridade fsica das pessoas; contra o patrimnio fiscal; contra a
moral pblica e opo sexual; e contra a segurana nacional.
Projeto de Lei do Senado no. 137, de 2000.

Senador Leomar Quintanilha
Visava alterar o cdigo penal para que se aumentasse, em at 03 vezes, a pena prevista
para os crimes contra a pessoa, o patrimnio, a propriedade imaterial e intelectual, os
108
costumes, e a criana e o adolescente, na hiptese de tais crimes serem cometidos por
meio da utilizao da tecnologia da informao e telecomunicaes.
Projeto de Lei da Cmara no. 89 de 2003, anteriormente PLC 84 de 1999.

Deputado Luiz Piauhylino.
Visava criar tipos penais tanto para delitos cometidos contra sistemas de computador, quanto
por meio de computador. Destacam-se:
acesso indevido a meio eletrnico (art. 154-A);
manipulao indevida de informao eletrnica (art. 154-B);
definio de meio eletrnico e sistema informatizado, para efeitos penais (art. 154-
C);
difuso de vrus eletrnico (art. 163 3.);
pornografia infantil (art. 218-A);
falsificao de telefone celular ou meio de acesso a sistema informtico (art. 298-A);
De acordo com as declaraes do Senador Eduardo Azeredo revista Security

Review edio nmero 08 a tipificao das penas de acordo com o delito eletrnico
culminar em uma realidade mais factvel aos juzes. Por mais que seja um instrumento
vlido, definir as penas por analogia muito difcil para os juzes que esto num cenrio ainda
sem clareza. O criminoso se safa por no haver a definio clara dos crimes, nem das
punies que deve receber declara o senador.
Destacamos alguns pontos do Substitutivo ao Projeto de Lei n 89, de 2003:
Art. 163, pargrafo segundo: Dano em dado ou informao eletrnica, base de

dados ou sistema informatizado decorrente da difuso de vrus eletrnico.
Pena: recluso de um a trs anos e multa
Inserir no Cdigo Penal (CP) o artigo 163-A para tipificar o crime de dano por
difuso de vrus eletrnico;
Inserir no CP os artigos:
109
o Art. 154-A: Acessar indevidamente ou sem autorizao dispositivo de
comunicao ou sistema informatizado. Pena: recluso de dois a quatro
anos e multa.
o Art. 154-B: Manter, transportar ou fornecer indevidamente ou sem
autorizao dado ou informao obtidos em dispositivo de
comunicao ou sistema informatizado. Pena: recluso de dois a quatro
anos e multa.
o Art. 154-D: Difundir, por qualquer meio, sistema informatizado com o
propsito de induzir algum a fornecer, espontaneamente e por
qualquer meio, dados ou informaes que facilitem ou permitam o
acesso indevido ou sem autorizao a dispositivo de comunicao ou a
sistema informatizado. Pena: recluso de dois a quatro anos e multa.
o Art. 154F tipificando a conduta de permitir acesso por usurio no
identificado e autenticado. Este ltimo item fez emergir calorosas
discusses nos diversos meios da sociedade, sobre a liberdade de
navegao na internet, culminando, em 07/11/2006, com o adiamento
da votao.
o Art. 154-H: Utilizar, de forma annima, dispositivo de comunicao ou
sistema informatizado para o envio de mensagem eletrnica de
qualquer tipo. Pena: recluso de um a dois anos e multa.
Acrescentar, ainda no CP, o art. 183A, para equiparar coisa todo dado ou
informao em meio eletrnico; a base de dados armazenada em dispositivo de
comunicao e o sistema informatizado, a senha ou qualquer meio que
proporcione acesso aos mesmos;
Alterar o art. 265 do CP, para incluir como objeto do crime de atentado os
servios de comunicao e telecomunicao;
110
Alterar o art. 266 do CP, para prever o crime de perturbao ou interrupo de
servio telemtico ou de telecomunicao;
Acrescentar no CP o art. 266A para definir o crime de difuso maliciosa de

cdigo;
4.2.2.3. Riscos de Imagem
Risco associado ao impacto negativo da opinio pblica sobre uma organizao,

decorrente de envolvimento da empresa com operaes ilcitas, danos ao meio ambiente,
notcias sobre sua sade financeira, falhas operacionais e de sistemas etc.
O risco de imagem vem associado consecuo de algum risco operacional ou legal e

reflete-se diretamente no resultado dos negcios, quer pela perda de clientes, quer pela
diminuio de negcios realizados. Assim, alm dos prejuzos advindos do impacto de outros
riscos, a organizao v sua imagem arranhada perante seus clientes.
Ao disponibilizar os servios de internet banking aos clientes, as instituies elevam o

grau de exposio do risco de imagem. Isto procede em virtude do fornecimento de mais um
canal de negociao, e para o qual so requeridas aes especficas de gerenciamento de seus
riscos inerentes. Situaes, como as listadas a seguir, so decorrentes de outros riscos, mas
contribuem para elevao do risco de imagem, a partir da diminuio da confiana dos
clientes pela:
efetivao de transaes no autorizadas em contas de clientes;

exposio ou roubo de informaes confidenciais de clientes;
constante indisponibilidade dos servios oferecidos;
dificuldades quanto usabilidade das transaes eletrnicas;
sanes impostas por rgos de superviso bancria; dentre outras.
A etapa de identificao de riscos uma atividade permanente em que a coleta de

informaes subsidia a fase subseqente de anlise e gesto dos riscos. Destaque-se a
importncia quanto ao estabelecimento de um procedimento contnuo de identificao de
111
riscos, tendo em vista a constante alterao nas formas de ataques, na identificao de novas
vulnerabilidades e de novos cdigos maliciosos.
4.2.3. ANLISE E PLANEJAMENTO DE AES PARA GESTO DOS RISCOS
De posse dos dados resultantes da monitorao dos ambientes dos clientes e dos
bancos, e identificados os riscos a que a instituio est exposta, iniciam-se as fases de anlise
dos riscos e planejamento das aes de gesto.
Remetendo ao item 2.3.2, o administrador pode utilizar vrias tcnicas para analisar os
riscos identificados, com o objetivo de mapear aqueles de maior criticidade. Desta forma, os
gestores podero direcionar seus esforos e recursos para minimiz-los, a partir dos nveis
mais altos de exposio.
Importante relembrar que adotamos basicamente as seguintes estratgias para gerir os

riscos: diminuio dos impactos, diminuio da probabilidade de ocorrncia, terceirizao dos
riscos ou aceitao dos riscos / convivncia com eles.
O planejamento dever prever a adoo de medidas que visem diminuir a

probabilidade de ocorrncia, ou os impactos decorrentes. Essas medidas so categorizadas em
trs tipos:
Medidas preventivas;
Medidas detectivas; e
Medidas corretivas.
Para as situaes em que a estratgia de convivncia com os riscos, a monitorao

atua como um gatilho a disparar medidas alternativas de correo ou de contingncia. Neste
caso, os indicadores de risco so fundamentais na identificao das situaes de risco que
extrapolem o apetite da instituio.
Nesta fase de anlise e planejamento de suma importncia o exerccio do controle

sobre os riscos identificados. Assim, como forma de sugesto quanto prtica dessa
112
atividade, apresentamos, no anexo II, planilha para anlise, planejamento e monitorao de
riscos, na qual possvel identificar todos os elementos anteriormente citados.
A planilha concentra as informaes resultantes da fase de identificao dos riscos,

avaliando o grau de exposio pela medio do impacto versus a probabilidade de ocorrncia.
As etapas de anlise e planejamento esto representadas pela definio e acompanhamento
dos controles necessrios para minimizao dos riscos identificados. Por fim, as fases de
monitorao e controle se prestam ao acompanhamento da evoluo das medidas
implementadas e gerenciamento dos riscos, identificando os responsveis pelas providncias a
serem adotadas, bem como a situao atual de exposio ao risco, face implementao das
medidas de controle.
Aplicando-se as orientaes acima para os servios de internet banking, percebe-se

que, atualmente, o maior risco existente e conseqentemente grande foco de ataques est na
monitorao passiva desenvolvida pelos atacantes. cada vez mais crescente o nmero e a
diversidade de trojans enviados aos clientes com objetivo de capturar os dados pessoais
(agncia, conta e senha de bancos, senha de MSN, orkut, gmail etc).
importante ressaltar que embora o ataque de monitorao seja passivo de alto

risco, pois possibilita a captura dos dados bancrios dos usurios e na seqncia efetuar
transaes fraudulentas por spoofing de autenticao.
Analisando-se a tabela 4.1, obtemos uma mdia de 111 ocorrncias de trojans por dia
enviados aos clientes. So ocorrncias diversas, mas com o mesmo intuito de obter os dados
dos usurios. Em suma, uma diversidade muito grande de armadilhas, que distribudas em
um universo de aproximadamente 26 milhes de contas correntes (figura 1.3) elevam as
probabilidades sucesso desse tipo de ataque.
O quadro apresentado torna-se mais preocupante quando juntamos o despreparo das

pessoas para utilizar a internet, por desconhecimento dos riscos inerentes ao ambiente em que
esto atuando, como tambm por parte dos administradores de rede e de sistemas, que
demoram em atualizar os ambientes, ou no possuem habilitao suficiente para tal.
113
4.2.3.1. O COMPORTAMENTO DAS FRAUDES
Paralelamente pesquisa sobre os ataques sofridos pelas instituies financeiras,
procedemos com uma pesquisa sobre o comportamento dos atacantes, quanto ao modus
operandi empregado nos ataques.
A concluso a que chegamos de que o atacante busca sempre o caminho mais fcil
para seu ataque. No encontramos materialidade suficiente relacionada com ataques a
criptogramas, por exemplo. Esse tipo de ataque demanda um investimento muito alto tanto
financeiramente, quanto de tempo e de conhecimento. O atacante busca sempre a forma mais
simples para consecuo de seus objetivos. Percebe-se que em todos os momentos em que h
implementao de aes de segurana por parte das instituies financeiras, os ataques
decrescem imediatamente, sinalizando uma fuga para outros bancos que ainda no
implementaram medida adequada.
Pesquisa divulgada pelo Gartner Group [27], em 02 de junho de 2006, retrata o acima
exposto. De acordo com a pesquisa, o mercado bancrio brasileiro sempre esteve frente na
luta contra o cybercrime. Os bancos brasileiros tm presenciado todo tipo de ataque em seus
servios de internet banking, conforme figura 4.10. Por essa representao, percebemos a
evoluo dos ataques nos ltimos quatro anos, desde os keyloggers at o mais recente tipo de
ataque man in the middle. Contudo, todas as formas apresentadas atuam no ambiente do
cliente, ou seja, no elo mais fraco da cadeia de segurana. A ausncia de legislao especfica
para o combate dos crimes virtuais contribui como motivador para o nmero de ocorrncias
registradas.
114
Sofistificao
Man in the
Middle
Trojan/Virus/
Spyware
Phishing/Fake
Web Site
Mouse/Screen
Logging
Keylogging
2001 2002 2003 2004 2005
Figura 4.10: Ataques na internet
As figuras 4.11 e 4.12 corroboram com a afirmao quanto ao comportamento dos

atacantes. O grfico apresentado na figura 4.11 faz parte da pesquisa divulgada pelo Gartner
Group, aplicado no banco HSBC, enquanto a 4.12 fruto da pesquisa realizada por este autor.
Percebe-se que cada vez que as instituies adotam medidas de segurana adicionais, a
incidncia de ocorrncias diminui de imediato, voltando a crescer, quando os atacantes
mudam a estratgia ou descobrem alguma outra vulnerabilidade.
Essa variao notria e pode ser comprovada quando da implementao do teclado

virtual, de sua randomizao, do clique oculto, dos limites de transaes, da monitorao
ativa, do cadastramento de clientes e de computadores.
Como exemplo mais recente, o cadastramento de computadores realizado pelo Banco

do Brasil, reduziu significativamente as ocorrncias de fraudes no ambiente de internet. O que
115
se percebeu, logo em seguida, foi a migrao dos ataques para o ambiente de internet
banking, que no exigia cadastramento prvio para realizao de transaes financeiras.
Cada queda verificada nos grficos associada com a implementao de medida de

segurana adicional pelos bancos. No significa, contudo, que o ataque cessou.
Provavelmente foi direcionado a outro banco, ou continuou surtindo efeito nos clientes que
no adotaram as novas ferramentas de segurana.
Este fato, tambm vem a ser um problema a mais para os bancos. Embora disponveis
para uso pelos clientes, alguns optam por no as utilizarem, por motivos diversos. Assim, os
ataques ainda continuam a surtir efeito, embora em menores grandezas.
Ao juntarmos as figuras 4.10, 4.11 e 4.12, conforme mostrado na tabela 4.5, podemos
observar as ameaas e as medidas de segurana adotadas pelos bancos. Percebemos o atraso
que existe entre a deteco de um novo tipo de ameaa e a adoo da soluo de segurana.
Esse atraso pode ser explicado por alguma falha no processo de gerenciamento de riscos
algumas etapas podem no estar sendo conduzidas apropriadamente.
Como exemplo de medida de segurana, apresentamos o teclado virtual do Banco do

Brasil figura 4.13.
Figura 4.11: Ataques praticados versus soluo adotada.
116
Evoluo dos ataques
Clique oculto e
Reduo de limites e Melhoria no
randomizao de
melhoria no monitoramento monitoramento e
teclado
novos limites
Cadastramento de
computadores
Teclado virtual
obrigatrio
out/03
nov/04
abr/05
set/05
out/05
jan/03
jun/03
jan/04
jun/04
jun/05
jan/06
mar/03
mar/05
mai/06
Figura 4.12: Evoluo dos Ataques versus implantao de soluo de
segurana
Tabela 4.5: Deteco das ameaas versus implementao de medida de

segurana
Ameaa Deteco Medida de Segurana Implementao

Keylogger 2001-2002 Virtual keyboard 2003
Screen Capture 2002-2003 Browser defense 2004
Fake web site 2003-2004 Monitoring 2004
Trojan 2004-2005 Monitoring 2005
Man in the middle 2005-2006 cryptography 2006
Legenda:
Keylogger ataque de captura das teclas digitadas
Screen Capture ataque de captura das telas, buscando identificar a posio do
teclado virtual.
Fake web site pginas falsas de bancos
Man in the middle ataque de envenenamento da transao
Virtual keyboard teclado virtual
Browser defense programa que blinda o browser do cliente quanto ataques de
captura de teclado e tela.
Monitoring monitoramento exercido pelos bancos sobre as transaes dos clientes.
Cryptography uso de criptografia como soluo de autenticao e confidencialidade
117
Figura 4.13: Teclado Virtual
Uma avaliao do ex-conselheiro da Casa Branca para segurana em TI, Howard

Schmidt, divulgada no site da empresa Mdulo [47], sinaliza que pequenas empresas devem
tomar cuidados extras com a segurana de suas redes, pois vo tornar-se o principal alvo de
crackers num futuro prximo. Em situao oposta encontram-se as grandes corporaes que
investem em solues avanadas, tornando-se pouco atrativas para invases. A explicao
est diretamente relacionada ao fato de que, segundo Schimidt, poucos crackers so
tecnicamente habilidosos a ponto de criarem mecanismos para driblar as medidas de
segurana adotadas nos ambientes das instituies bancrias.
4.2.3.2. O PROBLEMA DA AUTENTICAO DOS CLIENTES

Conforme exposto nos pargrafos anteriores, a caracterstica marcante nos ataques aos
ambientes que compem o internet banking das instituies financeiras o caminho mais
fcil. Assim, observamos que o roubo de senhas bancrias reutilizveis, dentro da
arquitetura atualmente em uso pelos bancos, vem se mostrando ser o meio mais fcil de
118
perpetrar fraudes. A gesto desse risco vem sendo tratada de diversas formas pelas
instituies, na busca de elevar o nvel de segurana do processo de autenticao.
O Federal Financial Institutions Examination Council (FFIEC) editou um guia [22]

abordando os controles para gerenciamento de riscos e autenticao de clientes em ambientes
baseados em web. Esse guia utiliza uma abordagem baseada em riscos para o gerenciamento
de transaes e recomenda que os bancos utilizem tecnologias de autenticao compatveis
com o risco das aplicaes disponibilizadas aos clientes. O FFIEC o rgo responsvel pela
uniformizao da superviso bancria nos Estados Unidos.
Embora no determine qual tecnologia deva ser adotada, promove a discusso sobre
diversas formas de autenticao, como por exemplo, a biometria e os smart cards. O guia d
nfase ao fato de que a adoo de senhas reutilizveis no mais suficiente para proteger os
usurios das ameaas do mundo virtual, bem como das fraudes eletrnicas. A publicao
desse documento visto como um fator de motivao para que as instituies promovam
melhorias quanto segurana dos acessos de seus clientes aos servios on-line.
De forma semelhante o FDIC Federal Deposit Insurance Corparation vem editando

artigos e publicaes orientando os usurios sobre os riscos e cuidados a serem adotados
quando utilizando servios de on-line banking [18] [19].
A adoo de autenticao baseada unicamente em senhas tambm observada em

outros pases. A soluo de internet banking, fornecida pela empresa Misys, sediada em
Londres, fundamentava-se na utilizao de uma nica senha para autenticar os clientes. Em
raras situaes, uma contra-senha era solicitada para realizao de algumas transaes.
Adicionalmente, analisamos os seguintes servios de internet banking,

disponibilizados por bancos estrangeiros:
1. Banco de Boston na Argentina - www.bankboston.com.ar

O site oferece, em carter opcional, o uso de teclado virtual para seus clientes.
So exigidos cdigo do usurio e senha.
2. Barclays Bank www.barclays.co.uk
119
No utiliza teclado virtual. O acesso no se d pela conta, mas por combinao
de nome e cdigo de oito dgitos. A senha tem tamanho de 04 dgitos.
3. Citibank www.citi.com
No utiliza teclado virtual. O cdigo do usurio e a senha so informados via
digitao dos caracteres. O cdigo do usurio cadastrado online informando
o nmero do carto de crdito ou dbito e da conta. Nos acessos subseqentes
s usa o cdigo do usurio, no precisa mais do nmero da conta ou carto.
4. Bank of America www.bofa.com
Sem utilizao de teclado virtual. So usados cdigo do usurio, figura e
senha. No primeiro acesso, o usurio escolhe, alm do cdigo e da senha
internet, uma figura, supostamente para garantir a origem do site. Ao fazer o
sign-on informado o cdigo do usurio e, antes de informar a senha,
apresentada a figura para que o usurio confirme se a previamente escolhida.
Figura 4.14: Site do Bank of America
120
5. Banco da Malsia Maybank2u.com
No utiliza teclado virtual. O acesso se d pela conta e senha.
Figura 4.15: Site do Banco da Malsia
A Mdulo Security [48] divulgou, em 20/10/2006, pesquisa conduzida pela empresa

uSwitch, especializada em pesquisa de mercado, relatando que O nmero de incidentes
envolvendo a prtica do phishing contra computadores pessoais no Reino Unido aumentou
800% em um ano. De agosto de 2005 a agosto de 2006, os registros saltaram de 160
ocorrncias para 1.484.
Um fator que deve ser considerado a influncia da cultura no comportamento das

pessoas. No perodo de outubro de 2006, em que estivemos desenvolvendo trabalhos de
auditoria em Londres, percebemos que prevalece a premissa de confiar nas pessoas. Quando
algum se identifica verbalmente, presume-se que ela esteja falando a verdade. Contudo, as
penalidades so severas para os casos em que se comprovem o fornecimento de informaes
falsas. Acontece, que no se pode transportar essa cultura para o ambiente virtual, em que os
121
atacantes no obrigatoriamente esto localizados em territrio ingls e sujeitos legislao
local. Sob essa anlise, os resultados apresentados pela uSwitch se justificam.
O Brasil, talvez por falta de uma legislao mais eficiente, est frente desses pases
em termos de adoo de solues de autenticao. Teclados virtuais, browser defense, senhas
dinmicas, cadastramento de computadores, biometria e mais recentemente a certificao
digital so medidas j adotadas por vrios bancos.
A questo da autenticao contnua, em contra-partida com a realizada uma nica vez,

destaca-se atualmente, tendo em vista que os ataques de man in the middle ou man in the
browser podem executar aplicativos, escondidos nos computadores do usurio, aps a
identificao e autenticao inicias do usurio. Como a autenticao realizada apenas no
incio, o ataque se aproveita para envenenar as transaes realizadas subseqentemente
autenticao.
Sobre o guia do FFIEC, o Gartner publicou, em 2005, artigo intitulado Regulators

Tell U.S. Banks to Adopt Stronger Risk-Based Authentication [28] em que tece algumas
consideraes sobre a implementao de aes de segurana pelos bancos americanos, em
resposta referida publicao. De acordo com o artigo, as instituies estariam dispostas a
adotar autenticao forte, mais para aumentar a confiana do cliente e atender
regulamentao, do que para reduzir as ameaas de fraude. A expectativa de at o final de
2006, 85% dos bancos americanos adotassem autenticao de usurios mais fortes que as
baseadas unicamente em senhas, como: teclados virtuais, ou autenticao por desafio
(knowledge-based). As instituies que dispem de mais recursos podero adotar medidas
complementares como monitorao de transaes fundamentadas em redes bayeseanas.
Esse mtodo implementa monitorao de comportamento anormal das transaes.
Supe-se que o comportamento resultante seja de migrao dos ataques,

primeiramente para as instituies que no adotam algum tipo de autenticao forte, depois
para as instituies com solues menos seguras. O Gartner acredita que em 2007 os ataques
mais freqentes sero predominantemente de man in the middle, burlando as autenticaes
que no so contnuas e no suportadas por deteco de transaes anormais.
122
Sobre o uso de autenticao por certificao digital (tokens, smart-card) ou mesmo
biometria, os bancos estariam mais propensos pelos dispositivos de tokens ao invs de
biometria, pelos custos associados. Os clientes, entretanto, preferem o uso da biometria, como
demonstrado pela pesquisa realizada pelo Gartner [29], em maio de 2005 figura 4.16.
Consumer Preferences On Authentication/Security Devices
30
25
20
15
10
0
Phone Call Smart USB Key Fob OTP Biometrics
from Provider CardReader dedicated bulit into PC
Attached to Token
PC
Fonte: State of the Art for Online Consumer Authentication.pdf [29]

Figura 4.16: Preferncia dos clientes quanto aos dispositivos de
segurana para autenticao de transaes on-line.
O artigo State of the Art for Online Consumer Authentication [29], publicado pelo
Gartner Group, em 05/05/2006, trata do problema enfrentado pelas instituies financeiras, no
mundo todo, quanto identificao e autenticao de seus clientes, usurios dos servios de
internet banking. De acordo com esse artigo, autenticao forte necessria, mas nunca ser
suficiente, por si s, mas apenas uma camada em uma arquitetura que demanda outros nveis
de proteo.
Como exemplo dessa complementao de camadas, so apresentadas as aes de

monitorao sobre as anomalias dos padres de transaes dos clientes (redes bayeseanas),
autenticao interativa com os usurios e verificao de transaes. Os bancos americanos e
123
brasileiros destacam-se, perante o resto do mundo, na adoo de medidas complementares de
segurana.
Dentro da linha de raciocnio explicitada na anlise sobre o comportamento dos

atacantes, pode-se prever que os bancos que no investirem em autenticao forte e
subseqentemente aqueles que investirem to somente nessa camada de defesa sero, nesta
ordem, alvos de ataques contra seus clientes, o que com certeza elevar o risco de imagem da
instituio, refletindo em perda de confiana e fuga de clientes.
Analisaremos, a seguir, as principais medidas de segurana quanto autenticao dos

clientes, adotadas pelos principais bancos brasileiros. Essa anlise tomou como base o artigo
acima citado, o conhecimento e a experincia deste autor em auditoria de sistemas e do
orientador dessa dissertao.
4.2.3.3. SOLUES DE AUTENTICAO DE CLIENTES
4.2.3.3.1. Senhas Simples

Senhas so palavras ou combinaes de caracteres, de conhecimento exclusivo do
usurio, que so digitadas por meio do teclado do computador para validar a autenticao dos
clientes. Essas senhas so cifradas e assim enviadas aos bancos para autenticao.
Esse tipo de autenticao, embora bastante simples, universalmente utilizada e seu

uso facilmente compreendido pelos usurios. So vulnerveis aos ataques de phishing scan
e trojans de keylogger.
Esse tipo de autenticao ainda bastante utilizado pelos bancos nos Estados Unidos e
outros pases fora do Brasil. Vide exemplos indicados na seo anterior.
4.2.3.3.2. Teclados Virtuais

A utilizao dos teclados virtuais veio para incrementar a segurana do uso de senhas,
no permitindo sua digitao pelo teclado do computador e sim por meio de um teclado
exibido na tela de entrada dos web sites dos bancos. Assim, o usurio faz uso do mouse para
digitar sua senha, clicando sobre os respectivos caracteres.
124
Embora proteja o usurio contra ataques de keyloggers, vulnervel aos mouseloggers
e screenloggers, ou seja, trojans que capturam as telas acessadas e conseqentemente o
movimento e clique dos mouses.
4.2.3.3.3. Senhas cognitivas

As senhas cognitivas so aquelas baseadas no conhecimento de informaes adicionais
por parte dos usurios. Assim, previamente, o usurio cadastra algumas informaes que so
solicitadas, randomicamente, quando de sua autenticao perante a instituio financeira.
As senhas cognitivas, embora sejam de fcil utilizao pelos clientes, esto sujeitas
aos ataques de engenharia social e trojans que capturam teclados ou telas. Aps um certo
nmero de observaes possvel ao atacante constituir banco de dados com as informaes
dos clientes.
Esse tipo de senha geralmente usado complementarmente ao uso de senhas simples,

ou teclado virtual.
4.2.3.3.4. Senhas dinmicas

As instituies financeiras entregam aos clientes uma lista de nmeros que sero
solicitados, seqencialmente ou no, a cada transao. So as chamadas OTP One Time
Password. Para efetivao de uma transao ou para autenticar o cliente, o banco solicita um
determinado nmero, dentro da lista entregue previamente ao cliente. Esse tipo de senha
utilizado complementarmente solicitao da senha do cliente.
Essa soluo, de baixo custo de implementao vulnervel a ataques de engenharia

social. O uso pelo cliente demanda medida adicional de segurana, pois no aconselhvel
que a lista de senhas seja guardada em conjunto com o carto bancrio. Como normalmente o
usurio faz uso da internet no trabalho, em notebooks e na residncia, eleva-se a dificuldade
da guarda e transporte seguros da lista gerada. A administrao pelo cliente tambm
considerada como dificultador para essa soluo, pois ele deve ir, a cada utilizao,
eliminando os nmeros solicitados.
Como a instituio usa uma lista pr-definida, o atacante pode utilizar-se dos ataques
de spoofing e phishing. Apresenta ao cliente um site forjado do internet banking da instituio
125
e solicita os dados dos clientes, inclusive um nmero da lista. Em resposta aos dados
digitados, o atacante pode alegar que o nmero j foi utilizado, induzindo o cliente a digitar
outro nmero. Assim, o atacante obtm um nmero vlido de senha dinmica.
Tambm susceptvel ao ataque de man-in-the-browser.
4.2.3.3.5. Cartes de Grid

Essa soluo j foi apresentada nesse trabalho e corresponde quela utilizada pelo
banco Bradesco. Os clientes recebem um carto com nmeros dispostos randomicamente por
linhas e colunas. A cada autenticao, o usurio solicitado a digitar o nmero
correspondente a determinada posio.
Baixo custo e fcil utilizao so os pontos fortes dessa soluo. Contudo, est sujeita
a ataques de engenharia social, conforme j detalhado em Ataques de Engenharia Social.
Tambm possui os mesmos inconvenientes quanto guarda e transporte seguros do carto.
Como o carto no possui proteo para encobrir os nmeros, a cpia do seu contedo
facilitada, por meio de scanner ou fotocopiadoras.
4.2.3.3.6. Autenticao baseada em Tokens

Dispositivos OTP (One Time Password). Esse mtodo utiliza tokens pessoais para
gerar as OTP que so enviadas, via browser, para as instituies financeiras. Caracteriza-se
por ser uma tecnologia j testada e aprovada, mas possui um alto custo como fator
desestimulante. Outra desvantagem dessa tecnologia diz respeito ao fato do token ser
exclusivo para um determinado banco. Assim, caso o usurio possua contas em vrios bancos,
dever possuir vrios tokens.
Dispositivos de smart tokens ligados aos computadores. Nesse mtodo, os clientes

dispem de smart cards ou tokens com dispositivos de smart chip que armazenam as senhas
criptogrficas. Possui como vantagem as caractersticas de segurana associadas ao uso da
criptografia, mas os altos custos e a mobilidade ainda so fatores que no permitem o uso
macio dos dispositivos. A questo da mobilidade refere-se disponibilidade de leitores e
software de suporte operacional nos computadores a serem utilizados pelos clientes.
126
Alguns bancos brasileiros, dentre os quais o Banco do Brasil, j disponibilizam aos
seus clientes a soluo de certificao digital para autenticao forte [20].
A certificao digital implementa um nvel mais avanado de segurana, por meio de

uma soluo que utiliza uma chave privativa do certificado do cliente, que de seu uso
exclusivo, secreto e intransfervel, e uma chave pblica. No processo de autenticao, o banco
desconhece a chave privativa de criptografia do cliente, armazenada no chip do smart card.
A soluo aqui descrita utiliza certificados vinculados a ICP-Brasil, dentro do padro

e-CPF (Figura 4.17) e e-CNPJ. Essa utilizao traz como vantagem o uso de um carto nico
para todas as instituies financeiras, no havendo necessidade de adotar cartes individuais
para cada banco.
Figura 4.17: e-CPF
4.2.3.3.7. Identificao de dispositivos dos clientes

Esse mtodo, utilizado pelo Banco do Brasil, consiste em cadastrar previamente os
dispositivos utilizados pelos clientes para efetuarem suas transaes financeiras. O
cadastramento restringe o acesso a servios bancrios aos dispositivos previamente
cadastrados.
O cadastramento pode se dar pela utilizao de diversas caractersticas inerentes aos

dispositivos usados pelos clientes, como nmeros de endereos IP, configuraes de hardware
ou software.
O ponto forte consiste em impedir que os atacantes utilizem seus prprios

equipamentos para efetuarem as transaes financeiras em nome de clientes legtimos. No
item dedicado aos ataques de engenharia social, descrevemos a forma que os atacantes usam
127
para enganar os usurios e cadastrarem seus prprios computadores. A mobilidade tambm se
apresenta como fator de desvantagem, pois para efetuar as transaes financeiras, os clientes
devem, a priori, cadastrar os computadores.
4.2.3.3.8. Deteco de transaes anmalas

Esse mtodo complementar ao uso de autenticao forte. Um perfil de uso criado
para cada cliente. Ao realizar uma determinada transao, essa comparada com o perfil
armazenado. Caso a transao seja considerada anormal disparada alguma ao
preventiva por parte da instituio, podendo contemplar a realizao de uma ligao de
confirmao, ou o envio de mensagem solicitando confirmao.
No h necessidade de instalao de aplicativos nos dispositivos dos clientes. Mas, o

elevado ndice de ocorrncias do tipo falso-positivo (transaes verdadeiras consideradas
esprias) impe um gerenciamento mais rigoroso sobre as travas realizao das transaes.
Tambm no garante a autenticidade do usurio que est realizando a transao, sendo usada
como mtodo complementar aos de autenticao.
4.2.3.3.9. Autenticao Biomtrica

Esse mtodo usa traos biomtricos dos usurios para realizar a autenticao nos
servidores das instituies. Os traos mais comuns so as digitais, a voz, a palma da mo, o
mapeamento das veias sanguneas, a ris e a face.
Tem como principais desvantagens, os custos e a mobilidade, pois necessitam que os

computadores, a serem utilizados para realizao das transaes, possuam dispositivos
biomtricos de autenticao. Tambm devemos considerar os aspectos de intruso, como as
radiaes emitidas pelos dispositivos.
4.2.4. MONITORAO E COMUNICAO
O processo de monitorao consiste no acompanhamento dos eventos que possam por

em risco a segurana dos servios financeiros disponibilizados pelos bancos, a segurana dos
dados dos clientes armazenados nas instituies e a prpria segurana dos sistemas bancrios.
128
A ISO 17799 [36] dispe no captulo 9, item 9.7 que: Convm que os sistemas sejam
monitorados para detectar divergncias entre a poltica de controle de acesso e os registros de
eventos monitorados, fornecendo evidncias no caso de incidentes de segurana.
O meio encontrado pelas instituies financeiras para exercer um monitoramento

eficiente sobre os riscos de segurana no ambiente de internet banking foi a instituio dos
CSIRT Computer Security Incident Response Team, que em portugus traduzida como
Grupo de Resposta a Incidentes de Segurana. Alm de exercer uma atividade de reao aos
eventos detectados, essa equipe desenvolve um trabalho preventivo na deteco dos riscos e
das ameaas ao ambiente de internet.
Este grupo capacitado a prover rpida recuperao dos sistemas, em casos de

incidentes de segurana, com a vantagem de preservar suas evidncias e causas, tendo assim
maiores condies de avaliar a extenso do problema.
Foi justamente como base no trabalho desenvolvido pelos CSIRT das instituies
financeiras, que desenvolvemos nossas pesquisas. Esse grupo mantm uma ao conjunta na
identificao de eventos maliciosos e troca de informaes, contribuindo para uma maior
agilidade na adoo das aes corretivas.
O monitoramento do ambiente do cliente executado por meio de agentes instalados

nos computadores pessoais. Os agentes baseiam-se em padres de assinatura e mtodos
heursticos. Ao detectar comportamentos no previstos, os agentes informam ao servidor dos
Bancos a ocorrncia de ataque. As equipes de monitorao adotam, ento as medidas
apropriadas para controle da ameaa.
A monitorao no ambiente das Instituies feita pelo acompanhamento dos logs de

segurana para os firewalls e IDS (Intrusion Detection System). Estes equipamentos so
ajustados para detectar padres de comportamentos diferentes das regras estabelecidas.
Dentro da etapa de monitorao, uma das atividades mais importantes a coleta de

informaes relevantes para um determinado risco. Durante a etapa de planejamento das
aes de gesto dos riscos identificados, informaes de acompanhamento ou mesmo
indicadores de risco so estabelecidos de forma a observar o progresso dos riscos mapeados,
129
como forma de medir a eficcia dos controles estabelecidos. Lembremo-nos, que para aqueles
riscos classificados dentro da estratgia de convivncia, o acompanhamento da evoluo do
nvel de criticidade fundamental e pode influenciar na reavaliao da estratgia adotada
pelos administradores.
O resultado da etapa de monitorao consolidado por meio de relatrios que

informam, dentre outros fatores, a evoluo dos riscos mapeados, a eficincia dos controles
estabelecidos, as mudanas significativas no ambiente de internet banking, bem como no
comportamento dos atacantes e as tendncias identificadas para ameaas e vulnerabilidades.
Esses relatos retroalimentam as etapas anteriores do ciclo de gerenciamento dos riscos, sendo
fundamentais na identificao, anlise e planejamento das aes de gesto de riscos.
Decises como replanejamento, encerramento de risco, ativao de plano de

contingncia ou mesmo continuao do monitoramento e execuo do plano corrente so
tomadas com base nas informaes coletadas e reportadas pela equipe de monitorao.
Aqui, cabe-nos aprofundar as razes para as decises acima explicitadas. O

replanejamento se d quando da necessidade de alterar ou mesmo criar planos de ao.
Quando os indicadores de riscos so extrapolados h uma sinalizao de que os controles
institudos se mostram ineficazes. Outra situao a identificao de novas vulnerabilidades
ou tendncias de ataques, requerendo uma ao de replanejamento para ambas as situaes.
O encerramento de um risco se justifica quando aquele no mais se apresenta, ou a

relao custo x benefcio no mais se justifica em face da reduo da probabilidade de
ocorrncia ou dos impactos advindos a ndices tolerveis pela organizao.
Recorremos aos planos de contingncia quando os indicadores de risco so excedidos

e h a necessidade de adoo de medidas emergenciais. Importante frisar que mesmo aps a
retomada das atividades normais, os riscos que causaram a ativao dos planos de
contingncia voltam a ser monitorados, dentro do planejamento em curso.
Por fim, a deciso pela continuidade dos planos atuais se justifica quando os relatos da
monitorao indicam que todos os fatores esto se comportando dentro do planejado.
130
Quanto ao processo de comunicao, este se destina a prover informaes sobre os
riscos identificados, bem como sobre o aparecimento de novas situaes.
O processo deve ser exercido em via de mo dupla, ou seja, tanto pelos responsveis
por garantir a segurana dos servios de internet banking, como pelos funcionrios e clientes
de um modo geral. Sem a participao ativa dos funcionrios, e dos clientes, atravs de relatos
sobre incidentes de segurana, a eficcia da gesto de riscos pode diminuir significativamente.
Assim, torna-se imprescindvel que usurios saibam da importncia de relatar incidentes de
segurana, assim como a forma e o local de envio dos relatos.
131
5. APLICAO DA PROPOSTA
A proposta de utilizao de um modelo de gerenciamento de riscos para ambientes de

internet banking, como forma de minimizar os riscos de fraudes e de perdas financeiras foi
aplicada com base nas sries histricas de perdas ou de ataques e na efetiva monitorao dos
eventos de segurana.
Dentre as fases que constituem o modelo de gerenciamento apresentado, destacamos

as de monitoramento e de anlise e planejamento de solues como essenciais para seu
sucesso, considerando-se seu carter preventivo.
IDS FIREWALL WEBSERVER Outros
Aes Eventos Eventos
M o n i t o r a me n t o
Eventos Eventos
Medidas
Negcio Bancrio
Internet Banking
Figura 5.1: Gesto integrada de Riscos
A figura 5.1 nos apresenta o processo de monitoramento, em que os eventos de

segurana, bem como as transaes de negcio so acompanhadas pela equipe de
monitoramento. Como base em regras pr-estabelecidas e considerando-se o apetite ao risco,
estabelecido pela administrao, so adotadas aes corretivas e medidas de segurana, como
resposta aos eventos monitorados.
132
Pela figuras 5.2 percebemos, de forma clara, que at incio de 2004 o gap de tempo
entre a deteco de eventos maliciosos e a adoo de medidas adicionais de segurana
possibilitava um nmero elevado de fraudes bancrias.
A partir de 2004, as equipes de monitoramento (CSIRT) passam a exercer suas

funes de forma mais efetiva, aliada instituio do consrcio de bancos. Observa-se, ento,
uma diminuio no tempo decorrido entre a deteco de eventos de fraude e a adoo de
solues, que passaremos a chamar de t.
T T T T T T T
Figura 5.2: Variao de T na adoo de solues de segurana
A conjugao dos fatores: definio do apetite de riscos pela administrao, efetivo

exerccio do ciclo de gerenciamento de riscos, em destaque as fases de monitoramento e
anlise e planejamento influenciam significativamente na diminuio do intervalo de tempo
decorrido entre a observao de eventos, a anlise e entendimento do ataque e a implantao
de camadas adicionais de segurana. A atuao colaborativa dos bancos tambm contribui na
diminuio desse tempo.
133
A figura 5.3 apresenta a curva 2 como representao da variao de tempo desejvel,
quando aplicados os conceitos de gerenciamento de riscos. O uso disciplinado e maduro
possibilita a reduo do tempo de resposta aos ataques detectados. A diminuio representa
uma atuao mais rpida pelas instituies, implicando na reduo das fraudes e
conseqentemente no nmero de ataques com sucesso.
t t t
Figura 5.3: Diminuio da curva de tempo na adoo de solues
Legenda: Curva 1
Curva 2
134
6. CONCLUSO
Administrar riscos administrar incertezas. O modelo apresentado neste trabalho

props a adoo de cinco fases dentro de um ciclo contnuo de gerenciamento de riscos. O
ponto central da adoo de um modelo de gerenciamento de riscos consiste em uma cuidadosa
identificao de riscos, como forma de classificar e ranquear todas as ameaas de acordo com
suas relevncias. Essa classificao possibilita uma atuao preventiva no combate aos riscos.
Ao seguir as etapas propostas, possvel reduzir o tempo decorrido entre a

identificao de uma nova ameaa e a adoo de aes corretivas. Conforme verificamos na
tabela 4.5, existe um atraso entre a percepo de uma ameaa e a adoo de medidas
corretivas. Na medida em que o modelo se torne maduro, as aes hoje adotadas pelas
instituies tambm se aprimoraro, possibilitando a adoo de solues de segurana cada
vez mais rpidas. Acreditamos que um modelo maduro de gerenciamento dos riscos pode
permitir uma antecipao aos atacantes, impedindo a consecuo de uma nova ameaa.
Nesse contexto, as fases de monitorao, pela atuao conjunta das equipes de CSIRT
Computer Security Incident Response Team e a anlise dos eventos detectados exercem
papis fundamentais para o amadurecimento do modelo apresentado.
Ao adotar um modelo de gerenciamento de riscos, a instituio pode reduzir o nmero

de fraudes e de perdas financeiras. Algo bastante apreciado pelos acionistas e rgos
reguladores. Ademais, reduz os riscos operacionais, legais e de imagem, elevando a satisfao
dos clientes com a segurana implementada pela instituio.
De acordo com Liliana Rojas-Surez [58], uma das caractersticas do futuro do setor
bancrio pelo mundo a de melhorar as tcnicas de avaliaes de risco e o Brasil no
exceo.
Os principais riscos identificados foram de ordem operacional, legal e de imagem. Os

riscos operacionais esto diretamente relacionados segurana da informao, nos aspectos
de confidencialidade, integridade e disponibilidade.
135
No Brasil, a deficincia nas leis quanto tipificao de crimes virtuais e das
respectivas penas considerada como um dos fatores que favorecem o crescente nmero de
ataques.
Quanto ao risco de imagem, essencial que os clientes tenham uma clara percepo de
segurana, quando transacionando com seus bancos. A adoo de solues seguras favorece
esse objetivo e contribui para a fidelizao dos usurios.
Algumas instituies financeiras exercem atuao conjunta no monitoramento, anlise

e comunicao dos eventos maliciosos detectados. As equipes de CSIRT interagem entre si e
entre as diversas entidades de segurana (inclusive a fora policial), possibilitando a troca de
informaes e a adoo imediata de medidas corretivas. Sobre a atuao desse grupo,
efetuamos pesquisas sobre os principais ataques desferidos contra esses bancos.
As concluses resultantes dessa pesquisa apontaram o ambiente pessoal dos clientes

como de maior criticidade e alvo predileto dos ataques contra os servios de internet banking.
A forma de ataque mais comum e de maior efetividade a engenharia social. Esse tipo de
ameaa representa o maior desafio para os bancos, pois trabalha com o comportamento das
pessoas e os clientes dos bancos vm demonstrando ingenuidade, quando submetidos a esses
ataques, facilitando a descoberta de seus dados pessoais e bancrios.
Quanto aos ataques desferidos contra o ambiente das instituies, conclumos que so
todos conhecidos e suas correes disponveis nos web sites dos fornecedores dos aplicativos.
Aqui, a vulnerabilidade consiste na demora, ou despreparo por parte dos administradores de
rede em atualizar os ambientes.
Outra importante ameaa identificada est relacionada ao envenenamento de

transaes. Nesse tipo de ataque, as transaes bancrias so interceptadas e modificadas
antes de seu envio aos Bancos. A soluo que mais se adequa ao combate a esse tipo de
ataque a utilizao de tokens.
Sobre o comportamento dos atacantes, ficou evidenciado que esses buscam sempre o
caminho mais fcil. Em todos os momentos em que os bancos implementam medidas
adicionais de segurana, percebe-se uma diminuio do nmero de ataques. Essa diminuio
136
pode significar a migrao dos ataques para outros bancos que ainda no implementaram
medidas semelhantes.
Outra vulnerabilidade apontada refere-se ao despreparo dos usurios em utilizar o

internet banking. Por desconhecerem os riscos e as ameaas que se fazem presentes, os
clientes so vtimas mais fceis para os fraudadores. essencial que as instituies, bem
como a federao de bancos, invistam cada vez mais forte em campanhas educativas. J se
percebe alguma movimentao nesse sentido, contudo incipientes e no contnuas.
Acreditamos que a medida em que os usurios estejam mais preparados, os atacantes tero
mais dificuldades em obter sucesso.
Em resposta s ameaas identificadas, os bancos implementam solues cada vez mais

sofisticadas e criativas, dentre as quais destacamos: o cadastramento de computadores, a
utilizao de senhas dinmicas, autenticao baseada em tokens e certificados digitais, bem
como a deteco de transaes anmalas.
Os resultados das pesquisas realizadas nos mostraram a queda do nmero de

ocorrncias, quando da implantao de medidas adicionais de segurana, trazendo uma
diminuio dos prejuzos por parte dos bancos.
Da parte das instituies, apresentamos na tabela 1.1 um comparativo entre os valores

das transaes, quando efetuadas nos canais internet banking, agncia e correspondente no
bancrio. Os custos para os bancos de longe favorvel ao canal internet.
Assim, entendemos que as instituies financeiras devam alinhar os interesses pelo

uso do canal eletrnico com a adoo de medidas adicionais de segurana. Ousamos propor
uma estratgia aos bancos quanto ao uso de certificados digitais. Primeiramente, identificar os
nichos negociais mais atraentes e tambm de maior incidncia de ataques. Distribuir, sem
custos adicionais, certificados digitais a esses clientes. Comparar os ganhos obtidos pela
reduo do nmero de fraudes com os valores dos certificados distribudos. Sabendo que o
custo de um certificado varia em torno de duzentos reais, acredito que esse custo total se
pagaria somente com o obtido com a reduo nos valores das fraudes.
137
Essa estratgia fruto da utilizao efetiva do modelo de gerenciamento de riscos,
onde percebemos a utilizao direta das fases de identificao, anlise, planejamento e
monitorao.
O ambiente de internet banking trouxe facilidade e comodidade aos usurios e abriu

perspectivas de novos negcios para os bancos, resultando no incremento de seus resultados
financeiros. Fraudes e roubo de informaes sempre existiram, mesmo antes do surgimento
desse novo canal de atendimento.
A facilidade proporcionada aos atacantes reside no acesso a uma amostra de clientes

muito superior ao que se conseguiria ao abordar os clientes dentro das agncias bancrias. Ao
lanar trojans ou loggers sobre esse universo de possibilidades, quer seja para infeco dos
computadores pessoais, quer para obteno dos dados bancrios, as probabilidades de sucesso
so muito maiores.
Alie-se a isto, uma aparente impunidade proporcionada pelas deficincias na

legislao brasileira. O que deve ficar claro para todos os clientes desse tipo de servio que,
embora os bancos estejam trabalhando na melhoria das solues disponibilizadas, cabe a cada
um fazer sua parte, protegendo seu patrimnio da forma mais adequada. O conhecimento
prvio sobre os riscos no ambiente de internet e a adoo de medidas bsicas de segurana
pode contribuir para a diminuio do nmero de ocorrncias hoje registradas.
138
BIBLIOGRAFIA
[1] Analytic Hierarchy Process, disponvel em

http://www.expertchoice.com/markets/index.html#AHP. Acessado em
03/08/2007.
[2] ACORDO DA BASILIA I Basel Committee On Banking Supervision. Core
Principles For Effective Banking Supervision.pdf, abril 2006
[3] ACORDO DA BASILIA II Basel Committee on Banking Supervision.
International Convergence of Capital Measurement and Capital Standards.pdf,
novembro2005.
[4] ACORDO DA BASILIA II BASEL COMMITTEE ON BANKING
SUPERVISION. International Convergence of Capital Measurement and Capital
Standards.pdf Traduo livre p.129.
[5] AICPA- CENTER For PUBLIC COMPANY AUDIT FIRMS, Summary of
Sarbanes-Oxley Act of 2002,
http://cpcaf.aicpa.org/Resources/Sarbanes+Oxley/Summary+of+the+Provisions+o
f+the+Sarbanes-Oxley+Act+of+2002.htm, cess acesso em 03.08.2007.
[6] BANCO BRADESCO www.bradesco.com.br diversas opes disponveis
aps o login do cliente. Acessado em 15/03/2007
[7] BANCO CENTRAL DO BRASIL , Resoluo 2554,
http://www5.bcb.gov.br/normativos/detalhamentocorreio.asp?N=098186548&C=
2554&ASS=RESOLUCAO+2.554. Acessado em 03.08.2007
3198&ASS=RESOLUCAO+3.198, ltimo acesso em 03.08.2007
&ASS=RES. Acessado em 03.08.2007.
[10] BANCO DO BRASIL S.A. www.bb.com.br diversas opes disponveis aps
o login do cliente. Acessado em 15/03/2007.
[11] BERNSTEIN, PETER L. Desafio aos Deuses: a fascinante histria do risco. Rio
de Janeiro, 1997, p.01.
[12] BRITISH BANKERS ASSOCIATION,
http://www.bba.org.uk/bba/jsp/polopoly.jsp?d=146&a=568. Acessado em
03.08.2007.
[13] CALDEIRA, RENATA MARTINO e VIEIRA NETO, AMRICO CORDEIRO-
Dissertao Autenticao De Usurio Em Servios Web de Instituies
Financeiras Projeto Final de Graduao em Engenharia de Redes de
Comunicao, UNB 2005.
[14] CERT Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no
Brasil, http://www.cert.br/stats/incidentes/2006-jan-dec/total.html, ltimo acesso
em acessado em 03.08.2007
[15] COSTA, FERNANDO, Desafio aos Economistas,
http://www.eco.unicamp.br/artigos/artigo49.htm, acessado em 03/08/2007.
[16] CUNHA, GILBERTO R. O paradoxo de So Petersburgo.
http://www.agrolink.com.br/colunistas/pg_detalhe_coluna.asp?Cod=1170,
139
acessado em 10/08/2006
[17] Dorofee, Andrey J., Walker, Julie A., Alberts, J.Christopher, Higuera, Ronald P.,
Murphy, Rochard L., Williams, Ray C. Continuous Risk Management Guidebook,
SEI Software Engineering Institute da Carnegie Mellon University.
[18] FDIC FEDERAL DEPOSIT INSURANCE CORPORATION Authentication in
an Electronic Banking Environment.pdf
[19] FDIC FEDERAL DEPOSIT INSURANCE CORPORATION, Tips for Safe
Banking Over the Internet. Disponvel em:
http://www.newyorkfed.org/education/addpub/safeinternet.pdf. Acessado em
03/08/2007
[20] FEBRABAN Federao Brasileira de Bancos, CIAB 2006 Apresentao
sobre Uso da Certificao Digital no Banco do Brasil S.A., proferida pela Sra.
Francimara Viotti em junho/2006.
[21] FEBRABAN Federao Brasileira de Bancos, http://www.febraban.org.br/.
Artigo Bancarizao. Artigo restrito aos bancos associados federao.
Disponvel com o autor desta dissertao.
[22] FFIEC Federal Financial Institutions Examination Councils, FFIEC-
authentication_guidance.pdf.
[23] FFIEC Federal Financial Institutions Examination Councils,
http://www.ffiec.gov/ffiecinfobase/booklets/e_banking/ebanking_01_risks.html
http://www.ffiec.gov/ffiecinfobase/booklets/e_banking/ebanking_00_intro_def.ht
ml. Acessado em 03/08/2007.
http://www.ffiec.gov/ffiecinfobase/booklets/e_banking/e_banking.pdf IT
Examination Handbook E-Banking agosto 2003.
[26] Gartner Group Conduct a SWOT Analysis to Shape Your Sourcing Practice,
September 2004.
[27] Gartner Group Artigo: HSBC Bank Brasil Turns to Back-End Fraud Detection
to Curb Cybercrime.
[28] Gartner Group Regulators Tell U.S. Banks to Adopt Stronger Risk-Based
Authentication.pdf, Publication date: 27 Octuber 2005.
[29] GARTNER GROUP Publicao: State of the Art for Online Consumer
Authentication.pdf
[30] GLOBAL MARKET INSITE, Online Banking Gaining Worldwide Momentum,
Disponvel em: http://www.gmi-mr.com/gmipoll/release.php?p=20051019.
Acessado em: 01.03.2007
[31] GRIFFITHS DAVID, Risk Based Internal Auditing. Disponvel em:
http://www.internalaudit.biz/files/introduction/Internalauditv2_0_3.pdf.Acessado
em 07/09/2006.
[32] GTAG GLOBAL TECHNOLOGY AUDIT GUIDE, Publicao: Management
of IT Auditing.pdf
[33] HOLTON, GLYN. Defining Risks Financial Analysts Journal Volume 60
Number 6, page 22 (2004, November)
[34] IBGC INSTITUTO BRASILEIRO DE GOVERNANA CORPORATIVA,
Governana Princpios IBGC , http://www.ibgc.org.br/ibConteudo.asp?IDArea=2.
acessado em 03/08/2007.
140
[35] INSTITUTE Of CHARTERED ACCOUNTANTS In ENGLAND & WALES,
Policy Risk Management and Reporting, Risk Management in Small and
Medium Sized Enterprises.pdf. Disponvel em
http://www.icaew.com/index.cfm?route=120062. Acessado em 03/08/2007.
[36] INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, Publicao
ISO 17799.pdf
[37] INTENET SECURITY SYSTEMS, Disponvel em
https://gtoc.iss.net/issEn/delivery/gtoc/index.jsp. Acessado em 03/08/2007.
[38] ISO International Organization For Standardization / IEC Guide 73 Risk
Management Standards page 03, Ferma Federation of European Risk
Management Associations, 2003
[39] IT Control Objectives for Sarbanes-Oxley, 2nd Edition
[40] Kawano, Carmen. http://revistagalileu.globo.com/Galileu/0,6993,ECT705269-
2680,00.html. Acessado em 03/08/2007.
[41] KEYNES, JOHN MAYNARD. A Treatise on Probability. Londres, 1921.
[42] KNIGHT, FRANK. Risk, Uncertainty and Profit. New York, 1921.
[43] KNIGHT, KEVIN, Revista Security Review, maro/abril de 2006 pginas 8,9,
10 e 12
[44] LIVRO-TEXTO PARA O EXAME CISA, Estrutura de Controles Internos
COSO Commitee of Sponsoring Organizations of the Treadway Commission
Comit das Organizaes Patrocinadoras da Treadway Commission.
[45] LOPES & ASSOCIADOS. O Novo Acordo de Capital da Basilia, boletim Risk
Bank, de 21/08/2002.
[46] LORENZONNI, PABLO. http://www.propus.com.br/articles/alt/1/1.html.
Acessado em 03/12/2006.
[47] Mdulo Security
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=4954&pagenumbe
r=0&idiom=0, acessado em 03/12/2006.
[48] MDULO SECURITY, www.modulo.com.br documento: Ataques com
phishing a computadores domsticos no Reino Unido crescem 800% em um ano.
acessado em 29/10/2006.
[49] OCONNOR J. J. e ROBERTSON E. F. http://www-history.mcs.st-
andrews.ac.uk/Biographies/Bernoulli_Jacob.html. Acessado em 03/08/2007.
[50] PAMPLONA, EDSON DE OLIVEIRA. Avaliao Quantitativa de Cost Drivers
pelo mtodo AHP, http://www.iepg.unifei.edu.br/edson/download/Artavalahp.pdf.
Acessado em 03.08.2007.
[51] Pareceres da Comisso de Constituio, Justia e Cidadania e da Comisso de
Educao sobre o Substitutivo de Projeto de Lei de autoria do senador Eduardo
Azeredo, 2006.
[52] PEIXOTO, RODNEY De CASTRO, Mdulo Security Magazine, 12 de abril de
2004.
[53] SAATY ,THOMAS. Apostila do Banco do Brasil sobre Analytic Hierarchy
Process.
[54] SILVEIRA, ALEXANDRE DI MICELI Da, Governana Corporativa
Desempenho e Valor da Empresa no Brasil, Tese de Mestrado em Administrao
apresentada Faculdade de Economia, Administrao e Contabilidade, USP -
Universidade de So Paulo, 2002
141
[55] SIMONIS, ADILSON. Em://www.ime.usp.br/~asimonis/probmagna.html.
Acessado em 03.08.2007.
[56] SOPHOS, Security Information, http://www.sophos.com/security/. Acessado em
01/05/2007
[57] SOUZA, SILAS ROBERTO. Macroavaliao de Riscos em Auditoria Interna.
Apostila do seminrio de Formao de Auditores Internos da gerncia de auditoria
de sistemas do Banco do Brasil, junho 2006.
[58] SUREZ LILIANA ROJAS, Center for Global Development. Apresentao O
Futuro das Operaes Bancrias: Perspectivas Globais e o Brasil, Braslia 28 de
julho de 2007.
[59] THE INSTITUTE OF INTERNAL AUDITORS. Global Techonology Audit
Guide BROCHURE_Mar10__1.pdf
[60] THE INSTITUTE OF INTERNAL AUDITORS.
http://www.theiia.org/download.cfm?file=42122 Putting COSO Theory into
Practice, Tone at the Top, The Institute of Internal Auditors, November 2005
(PDF). Disponvel em 03/08/2007.
[61] THE INSTITUTE OF INTERNAL AUDITORS. The Role of Internal Audit in
Risk Management, Disponvel em http://www.iia.org.uk/cms/IIA/uploads/-
38c9a362-ed71ce5fa5--7770/PositionStatementRiskManagement.pdf. Acessado
em 03/08/2007.
[62] Transaes Bancrias e Automao. Disponvel em:
http://www.febraban.org.br/Arquivo/Servicos/Dadosdosetor/2006/item05.asp.
Accessado em 01.03.2007. rea restrita necessrio senha de acesso. Disponvel
com o autor desta dissertao.
[63] U.S. GOVERNMENT PRINTING OFFICE, The text of the law
http://www.access.gpo.gov/index.html. Acessao em 03/08/2007.
[64] Weihrich, H. (1982) The TOWS matrix: a tool for situational analysis, Journal of
Long Range Planning, Vol. 15 Issue 2, pp.12-14.
[65] WIKIPEDIA. http://en.wikipedia.org/wiki/Law_of_large_numbers, acessado em
01/05/2007
[66] Gua para la realizacin del anlisis del Riesgo medioambiental.pdf, editado pelo
Ministrio do Interior da Espanha; Norma de Gesto de Riscos, editada pela
Federacion of European Risk Management Associantions; Auditoria Interna: Um
Negcio Arriscado.pdf, David M Griffiths; Macroavaliao de Risco em
Auditoria Interna, Silas Roberto de Souza; Specchio Silvia Reina Astorino Matriz
de Riscos IBCB Instituto Brasileiro de Cincia Bancria; Kaplan Robert S.;
Norton David P. A Estratgia em Ao, Editora Campus, 1997; Continuous
Risk Management Guidebook, SEI Software Engineering Institute
[67] The Internal Control System.pdf. Working Group set up by the AMF Financial
Markets Authority.
142
ANEXO I
Glossrio sobre Gesto de Riscos
O gerenciamento de riscos um processo que, mesmo de forma inconsciente, vem

sendo executado pelas organizaes, h algum tempo, como forma de maximizar as chances
de alcanar os objetivos estratgicos definidos. Contudo, somente recentemente, tem surgido
a necessidade de definir uma linguagem comum para a gesto de riscos.
Este glossrio contm os termos mais usuais em se tratando da disciplina de gerir

riscos, abordando tambm a definio de metodologias e a descrio dos principais
regulamentos. Entretanto, no se destina a usurios iniciantes na busca de tutoriais sobre o
assunto. O foco est centrado no fornecimento de informaes concisas para aqueles j
iniciados na disciplina. Assim, os leitores obtero um melhor uso deste documento como
referncia, aps o estudo dos textos apresentados.
A
AHP Analytic Hierarchy Process
Metodologia voltada para atribuio de pesos para os mais diversos critrios,

formulados para serem indicadores de matrizes de risco, e, assim, traduzir o grau de
criticidade de um risco, em uma pontuao que varia entre 0 (zero) e 1 (um).
Ameaa (Threat)
Evento ou circunstncia que possa causar dano aos ativos de uma organizao, como
captura, destruio, alterao ou exposio de informaes. Tipos de ameaas: erros
operacionais, ataques maliciosos, fraude, roubo e falhas de aplicativos e
equipamentos, dentre outros.
Amostragem (Sampling)
Tcnica estatstica que se baseia no no universo de informaes, mas nas amostras

em quantidade suficiente para concluso sobre o todo.
143
Anlise S.W.O.T. (S.W.O.T. Analysis)
Tcnica utilizada no planejamento estratgico das organizaes, com objetivo de

identificar os pontos fortes (strenghts), as vulnerabilidades (weaknessess), as
oportunidades (oportunities) e as ameaas (threats), na busca de riscos que possam
afligir a organizao.
Apetite ao risco (Appetite for risk)
Nvel de risco residual que os administradores consideram aceitvel. Deciso de se

expor mais ou menos aos riscos, em funo da quantidade de controles institudos.
C
COBIT (Control Objectives for Information and related Technology)
Modelo (framework) que descreve uma estrutura de controle para a rea de tecnologia
da informao. Identifica uma lista de objetivos de controle e um conjunto de
diretrizes de auditoria. Descreve 04 domnios de atuao: Planejamento e
Organizao, Aquisio e Implementao, Entrega e Suporte e Monitorao.
Comit de Basilia (Basel Comitee)
Composto pelos representantes dos bancos centrais e das autoridades supervisoras dos
principais pases industrializados foi constitudo em 1974. Os acordos firmados pelo
Comit so balizadores para a superviso bancria mundial.
Controle corretivo (Corrective Control)
Controle projetado para corrigir erros, omisses, usos no autorizados e intruses,

aps serem detectados, minimizando os impactos da ocorrncia.
Controle detectivo (Detective Control)
Controle implementado para detectar e reportar as ocorrncias de erros, omisses, uso

no autorizado ou intruses.
144
Controle interno (Internal Control)
Medida adotada para diminuio da exposio a riscos, pela preveno ou reduo da

probabilidade de ocorrer o evento de risco, em detectar a ocorrncia do evento
indesejado e em minimizar o impacto da ocorrncia. Qualquer medida de gesto de
risco, com intuito de minimizar a probabilidade de ocorrncia, minimizar o impacto ou
transferir o risco para outra empresa. Os controles internos so desenvolvidos para
auxiliar o atingimento dos objetivos das organizaes, pela preveno ou deteco e
correo de eventos indesejados.
Controle Operacional (Operacional Control)
Controle relacionado s operaes do dia-a-dia das organizaes e que assegura o

atingimento de seus objetivos.
Controle preventivo (Preventive Control)
Controle projetado para prevenir ou restringir a ocorrncia de eventos indesejados,

provendo os devidos ajustes. Esse controle atua de forma a evitar a ocorrncia dos
eventos indesejados.
COSO (The Committee of Sponsoring Organizations of the Treadway Commission)
Metodologia que define controles internos descreve seus componentes e fornece

critrios para avaliar os sistemas de controle institudos pelas organizaes.
E
Exposio (Exposure)
Potencial resultado ou conseqncia adversa a ser considerado quando da avaliao

dos controles internos institudos. Um forte sistema de controles internos pode reduzir
a exposio a riscos, mas raramente elimin-la.
145
F
Fragilidade (weakness)
Vulnerabilidade identificada nos controles internos institudos por uma organizao,

ou ausncia de controles que possam contribuir para a minimizao de um risco.
G
Gerenciamento de risco (Risk Management)
Processo de identificao dos riscos aos quais a empresa est exposta, sua
probabilidade de ocorrncia, bem como as medidas e os planos adotados para sua
preveno ou minimizao.
Governana Corporativa (Corporate Governance)
Sistema pelo qual as organizaes so dirigidas e controladas. Compreende as

polticas, normas e procedimentos institudos com o objetivo de otimizar o
desempenho das empresas e facilitar o acesso ao capital. Governana Corporativa
tambm inclui os relacionamentos entre todas as partes interessadas (stakeholders) e
os objetivos institudos para a organizao. Entenda-se stakeholders como: acionistas,
conselho de administrao, conselho diretor, empregados, clientes, fornecedores,
reguladores, sociedade em geral.
I
Impacto (Impact)
Perdas decorrentes da consecuo de uma ameaa ao explorar uma vulnerabilidade

existente. Exemplo: perdas financeiras, descumprimento de legislao, danos
imagem da organizao, perda de confiana dos clientes, interrupo de operaes,
perda de dados de clientes etc.
M
Materialidade (Materiality)
Conceito de auditoria que representa a relevncia ou importncia de um determinado

item ou assunto. Por exemplo, a deteco de falhas isoladas, dentro de uma grande
146
quantidade de operaes, pode no ter materialidade suficiente para representar uma
vulnerabilidade.
Matriz de risco (Risk Matrix)
Cruzamento de indicadores com propsito de classificar os riscos em mais crticos e

menos crticos. O impacto e a probabilidade podem representar indicadores dentro de
uma matriz de risco.
P
Ponto de Controle (Point of control)
Ponto ou local, dentro de um processo, considerado ideal pelos gestores para

implementao de controles internos.
Probabilidade (Probability)
Possibilidade de ocorrncia de um evento.
R
Risco (Risk)
Possibilidade de perda, ou grau de incerteza a respeito de um evento. Potencial de uma

ameaa explorar uma vulnerabilidade causando perdas ou danos aos ativos de uma
organizao.
Risco de controle (Control Risk)
Risco de que uma falha possa ocorrer e que no seja prevenida ou detectada a tempo,
pelo sistema de controles internos.
Risco inerente (Inherent risk)
Risco prprio do processo ou negcio. Risco de um erro ocorrer, supondo que no haja
controles institudos.
147
Risco Legal (Legal Risk)
Risco associado ao no atendimento a leis e regulamentos aos quais a organizao se

encontra submetida. Tem como impactos, sanes aplicadas pelos rgos reguladores,
que podem, dependendo do pas, levar desautorizao para funcionamento das
organizaes.
Risco de Imagem (Reputation Risk)
Risco associado ao impacto negativo da opinio pblica sobre uma organizao,

decorrente de envolvimento da empresa com operaes ilcitas, danos ao meio
ambiente, notcias sobre sua sade financeira, falhas operacionais e de sistemas etc. As
conseqncias do risco de imagem podem ser percebidas por: queda do valor das
aes, perda de clientes, diminuio da quantidade de negcio realizada, dentre outras.
O risco de imagem est presente por toda a organizao e significa agir com
preocupao no trato com clientes e com a sociedade.
Risco Operacional (Operational Risk)
Risco de perdas resultantes de inadequao ou falhas de processos internos, pessoas e

sistemas, ou de eventos externos. Esta definio inclui os riscos decorrentes de no
atendimento legislao.
Risco remanescente ou residual (Residual risk)
Nvel de conforto aceitvel quanto exposio ao risco, face relao custos versus
benefcios da implementao de controles adicionais. Est diretamente relacionado
com o apetite de risco da organizao.
S
Segurana dos dados (Data security)
Controles que buscam manter a confidencialidade, integridade e disponibilidade das

informaes.
148
SOX Sarbanes Oxley
Lei aprovada pelo governo norte americano para coibir as fraudes contbeis, elevando
a credibilidade das informaes constantes nas demonstraes financeiras de empresas
que operam no mercado financeiro americano. Assim, todas as empresas que
transacionam suas aes na Bolsa de Valores de Nova Iorque (EUA) esto obrigadas a
atenderem o disposto nessa Lei. A SOX descreve 11 ttulos, ou sees, e foca
principalmente a Responsabilidade Penal da Diretoria. As sees 302 e 404 so as
mais discutidas. A 302 trata da responsabilidade pessoal dos Diretores Executivos e
Diretores Financeiros, enquanto a 404 determina avaliao anual dos controles e
procedimentos internos para fins de emisso do relatrio financeiro.
U
Utilidade (Utility)
Motivao que rege o comportamento das pessoas, perante um risco, baseada em

desejo, proveito ou satisfao.
V
Vulnerabilidade (Vulnerability)
Caracterstica inerente a um processo, ou ativo organizacional que pode ser explorada

por uma ameaa. Exemplos: treinamento insuficiente de usurios, ausncia de
funcionalidades de segurana, aplicativos no testados, transmisso de informaes
sem utilizar dispositivos de confidencialidade, uso de senhas fracas etc.
149
ANEXO II
Planilha gerencial para identificao, anlise, planejamento e monitorao de riscos
IDENTIFICAO ANLISE E PLANEJAMENTO MONITORAMENTO E CONTROLE

Ao Ao Ao Indicadores
Risco Identificado Categoria Probabil. Impacto Severidade Providncia Responsvel Status Controle
Preventiva Detectiva Corretiva de Risco
Categoria:
Risco Operacional, Legal, Imagem
Probabilidade: (1) Baixa; 2 (Mdia); 3 (Alta); (4) Muito Alta
Impacto: (1) Baixo; (2) Mdio; (3) Alto; (4) Muito Alto
Severidade: Impacto x Probabilidade
Ao Preventiva: detectar problemas, mesmo potenciais, antes que esses ocorram
Ao Detectiva: revela e reporta a ocorrncia de um erro, de uma omisso ou de aes maliciosas.
Ao Corretiva: minimizam o impacto de um fato consumado ou disparam a adoo de medidas corretivas para os problemas reportados pelas medidas detectivas
Indicadores de Risco: fatores capazes de identificar situaes de risco alm da desejada.
Providncia: medidas alternativas de correo ou de contingncia, para os casos oriundos dos indicadores de risco.
Status: situao em que se encontra o risco, podendo assumir valores como mitigado, controlado ou contingenciado.
Controle: Campo auxiliar para acompanhamento do planejamento. Exemplo: Mantido o Controle; Retirado o Controle
150

Riscos

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Riscos

Caricato da

Copyright:

Formati disponibili

UNIVERSIDADE DE BRASLIA

GESTO DE RISCOS APLICADA AO AMBIENTE

ADRIANO DE MELO POUCHAIN

ORIENTADOR: RICARDO STACIARINI PUTTINI

DISSERTAO DE MESTRADO EM ENGENHARIA

BRASLIA / DF: JULHO/2007

GESTO DE RISCOS APLICADA AO AMBIENTE

ADRIANO DE MELO POUCHAIN

DISSERTAO DE MESTRADO SUBMETIDA AO DEPARTAMENTO DE ENGENHARIA

RICARDO STACIARINI PUTTINI, DOUTOR, ENE/UNB

ANDERSON CLAYTON ALVES NASCIMENTO, DOUTOR, ENE/UNB

MAMEDE LIMA MARQUES, DOUTOR, CID/UNB

RAFAEL TIMTEO DE SOUSA JUNIOR, DOUTOR, ENE/UNB

DATA: BRASLIA/DF, 31 DE JULHO DE 2007.

Dissertao de Mestrado Universidade de Braslia, Faculdade de Tecnologia. Departamento de

I. ENE/FT/UnB. II. Ttulo (Srie)

concedida Universidade de Braslia permisso para reproduzir cpias desta Dissertao de

Adriano de Melo Pouchain

A minha famlia, pelo estmulo, apoio e compreenso, fatores essenciais para a

O presente trabalho descreve os conceitos e a importncia da gesto

This work shows the necessity and advantages of using a risk

1.1. SISTEMA FINANCEIRO EM NMEROS ............................................................................. 24

1.2. ORGANIZAO DA DISSERTAO .................................................................................. 28

2.1. DEFININDO RISCO .......................................................................................................... 30

2.2. CONTROLE INTERNO ...................................................................................................... 32

2.3. CICLO DE VIDA DO RISCO .............................................................................................. 33

2.3.2. ANLISE ......................................................................................................................... 36

2.3.2.1 MATRIZ DE RISCO ........................................................................................................ 38

2.3.2.1.1 QUANTIFICAO DO IMPACTO ................................................................................. 39

2.3.2.1.2 QUANTIFICAO DA PROBABILIDADE...................................................................... 40

2.3.2.1.3 APLICAO DA METODOLOGIA AHP (ANALYTIC HIERARCHY PROCESS) ............ 41

2.3.2.2. ANLISE S.W.O.T....................................................................................................... 43

2.3.3. PLANEJAMENTO ............................................................................................................. 46

2.3.4. MONITORAO .............................................................................................................. 50

2.3.5. COMUNICAO .............................................................................................................. 51

2.4.1. ACORDOS DA BASILIA I E II [2] [3] ............................................................................. 52

2.4.3. LEGISLAO BRASILEIRA ............................................................................................. 59

2.4.3.1 RESOLUO 2.554........................................................................................................ 60

2.4.3.2 RESOLUO 3.198........................................................................................................ 61

2.4.3.3 RESOLUO 3.380........................................................................................................ 63

2.4.4. GOVERNANA CORPORATIVA ....................................................................................... 63

2.5. O PAPEL DA AUDITORIA NA AVALIAO DE RISCOS ..................................................... 65

3.1. IDENTIFICAO DOS RISCOS .......................................................................................... 67

3.2. ANLISE DOS RISCOS IDENTIFICADOS ............................................................................ 68

3.3. PLANEJAMENTO DE AES PARA GESTO DOS RISCOS ............................................... 69

3.5. COMUNICAO ............................................................................................................... 70

4. APLICAO DO MODELO DE GERENCIAMENTO DE RISCOS AO AMBIENTE DE INTERNET

4.1. IDENTIFICAO DE RISCOS NO AMBIENTE INTERNET BANKING.................................... 71

4.2. A PRTICA DO MODELO DE GERENCIANDO DE RISCOS .................................................. 73

4.2.1. IDENTIFICAO DE RISCOS NO AMBIENTE DE INTERNET BANKING .............................. 74

4.2.1.1 WEB SITES INSTITUCIONAIS ........................................................................................ 78

4.2.1.2 WEB SITES TRANSACIONAIS ........................................................................................ 79

4.2.2. IDENTIFICANDO RISCOS NOS AMBIENTES DO CLIENTE E DA INSTITUIO ................... 80

4.3.2.1.1 ATAQUES PASSIVOS .................................................................................................. 88

4.3.2.1.1.1 DECOD-DNS ............................................................................................................ 88

4.3.2.1.1.2 IP-PORTSCAN ......................................................................................................... 89

4.3.2.1.1.3 TROJANS, SPYWARES, CDIGOS MALICIOSOS ..................................................... 89

4.3.2.1.2 ATAQUES ATIVOS ...................................................................................................... 91

4.3.2.1.2.1 ATAQUES DE INVASO ........................................................................................... 91

4.3.2.1.2.1.1 IIS_CROSS_SITE_SCRIPTING (HTTP_CROSS_SITE_SCRIPTING).................... 92

4.3.2.1.2.1.2. IP-UNKNOWN ..................................................................................................... 92

4.3.2.1.2.1.3. HTTP-APACHE-COOKIE ................................................................................... 93

4.3.2.1.2.1.5. DATABASE-IDA-PORTABLE-EXECUTABLE-BO ................................................. 95