Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA
PUBLICAO: JULHO/2007
APROVADA POR:
iii
iv
FICHA CATALOGRFICA
POUCHAIN, ADRIANO DE MELO
Gesto de Riscos Aplicada ao Ambiente Internet Banking das Instituies Financeiras do Brasil
[Distrito Federal] 2007.
xxi, 150p, 297 mm (ENE/FT/UnB, Mestre, Engenharia Eltrica, 2007).
1. Gesto de Riscos
2. Comportamento dos atacantes
3. Internet Banking
REFERNCIA BIBLIOGRFICA
POUCHAIN, ADRIANO DE MELO (2007). GESTO DE RISCOS APLICADA AO AMBIENTE
INTERNET BANKING DAS INSTITUIES FINANCEIRAS DO BRASIL. Dissertao de
Mestrado, Publicao JULHO/2007, Departamento de Engenharia Eltrica, Universidade de Braslia ,
Braslia , DF, 150p.
CESSO DE DIREITOS
NOME DO AUTOR: Adriano de Melo Pouchain
TTULO DA DISSERTAO: GESTO DE RISCOS APLICADA AO AMBIENTE INTERNET
BANKING DAS INSTITUIES FINANCEIRAS DO BRASIL.
GRAU/ANO: Mestre/2007.
v
DEDICATRIA
vi
AGRADECIMENTOS
A Deus, pelo conforto nos momentos de incerteza e por permitir a concluso dessa
fase de minha vida.
Ao meu orientador Prof. Dr. Ricardo Staciarini Puttini, pela confiana e constante
apoio, incentivo, dedicao e amizade essenciais para o desenvolvimento deste trabalho e para
o meu desenvolvimento como pesquisador.
Aos colegas do Banco do Brasil, pelo apoio, ajuda em diversos aspectos, colaborao,
compreenso e amizade.
vii
viii
RESUMO
ix
x
ABSTRACT
xi
xii
NDICE
1. INTRODUO............................................................................................................. 23
2. GERENCIAMENTO DE RISCOS.............................................................................. 30
2.3.1. IDENTIFICAO....................................................................................................... 34
2.4. REGULAMENTAO........................................................................................................ 51
xiii
2.4.2. SARBANES-OXLEY ......................................................................................................... 57
3. METODOLOGIA ............................................................................................................... 67
3.4. MONITORAO............................................................................................................... 69
xiv
4.2.2.1 RISCOS OPERACIONAIS ................................................................................................ 81
4.3.2.1.2.1.4. IIS-UNICODE-WIDE-ENCODING........................................................................ 94
xv
4.3.2.2.1 LEGISLAO BRASILEIRA ...................................................................................... 108
4.2.3. ANLISE E PLANEJAMENTO DE AES PARA GESTO DOS RISCOS ............................. 112
BIBLIOGRAFIA.................................................................................................................. 139
xvi
ANEXO II.............................................................................................................................. 150
xvii
NDICE DE TABELAS
xviii
NDICE DE FIGURAS
FIGURA 4.3: ESTATSTICA DOS ATAQUES CONTRA OS SERVIDORES DOS BANCOS ....................... 86
xix
FIGURA 4.8: TROJAN VIA SITE DE CHARGES ............................................................................. 104
FIGURA 4.16: PREFERNCIA DOS CLIENTES QUANTO AOS DISPOSITIVOS DE SEGURANA PARA
AUTENTICAO DE TRANSAES ON-LINE....................................................................... 123
xx
xxi
1. INTRODUO
O quadro geral dos bancos no Brasil mostra, no decorrer dos ltimos cinco anos, uma
gradual diminuio de instituies autorizadas pelo Banco Central a operar no pas. Este
cenrio sinaliza para uma estabilizao e consolidao de recente processo de fuses e
incorporaes no mercado financeiro. Observa-se uma diminuio do nmero de bancos
privados nacionais e uma estabilizao dos bancos estrangeiros. De acordo com a Febraban
Federao Brasileira de Bancos [21] ainda h espao para competitividade entre os bancos na
busca de maiores fatias do mercado. Sob esta anlise o uso da tecnologia certamente exercer
um papel decisivo na diferenciao dos produtos e servios oferecidos, como tambm na
gesto das estruturas das instituies financeiras. A figura 1.1 nos mostra a variao ocorrida
nos ltimos cinco anos.
24
Perodo 2000 2001 2002 2003 2004 2005
Nmero de Bancos 192 182 167 165 164 161
Bancos Privados Nacionais 105 95 87 88 88 84
Bancos Privados Estrangeiros 70 72 65 62 62 63
Bancos Pblicos 17 15 15 15 14 14
Fonte: Federao Brasileira dos Bancos
25
2000 2001 2002 2003 2004 2005
Contas correntes (1) 48,2 53,6 55,7 61,4 66,9 70,5
Clientes com Internet (2) 8,3 8,8 9,2 11,7 18,1 26,3
Em milhes
(1) Contas correntes movimentadas Fonte Banco Central [62]
(2) Fonte Febraban [21]
A figura 1.4 nos apresenta um quadro comparativo entre as transaes bancrias por
canal de atendimento. Alguns nmeros so significativos quanto ao comportamento dos
usurios. Primeiramente, observa-se uma expanso do nmero total de transaes bancrias,
na ordem de 17% na comparao entre o ano de 2005 em relao a 2004. Outra constatao
quanto ao crescimento de 50%, em mdia, do uso do internet banking, tanto por pessoas
fsicas quanto por jurdicas. Esse resultado sinaliza uma intensa migrao do uso dos canais
tradicionais (transaes presenciais nos caixas das agncias) para a internet.
26
2000 2001 2002 2003 2004 2005 Variao
2005/2004
Total de transaes (1) 19.760 23.444 21.617 26.302 30.035 35.122 16,90%
Transaes de caixas 4.027 5.188 4.463 4.451 3.609 3.719 3,00%
Internet banking (PF) 370 820 1.139 1.457 2.045 3.167 54,90%
Internet banking (PJ) 359 664 970 1.174 1.862 2.682 44,00%
Correspondentes no - - - 125 187 296 58,20%
bancrios
Em milhes
Fonte: www.febraban.org.br/ [62]
(1) Transaes bancrias abrangendo os diversos canais de atendimento (call center, correspondentes no bancrios, cheques
compensados, internet, auto-atendimento, troca eletrnica de dados, transaes de caixas, POS point of sale)
27
Tabela 1.1: Valores de Transaes Bancrias
Percebemos que transaes realizadas por meio do atendimento por caixas (canal
convencional) chega ser at seis vezes maior que a mesma transao, quando realizada pelo
canal Internet.
Essa diferena eleva a eficincia operacional das instituies, trazendo como benefcio
imediato uma maior rentabilidade e retorno sobre o investimento dos acionistas. Assim, a
irreversibilidade do movimento em direo ao canal eletrnico tambm percebida e
incentivada pelos bancos. Portanto, cabe a estes propiciar maior segurana aos clientes para
que o processo migratrio se intensifique cada vez mais.
28
as solues de segurana adotadas pelas instituies financeiras no Brasil e em alguns pases
estrangeiros.
29
2. GERENCIAMENTO DE RISCOS
David Griffiths [31] define riscos como um conjunto de circunstncias que ameaa o
atingimento dos objetivos. Em um nvel macro, sabemos que toda organizao tem um
objetivo. A partir desse objetivo macro, todos os subprocessos, pelos quais a organizao foi
dividida, tambm possuem seus prprios objetivos. Griffiths parte do pressuposto de que se
no conhecemos todos os objetivos, tambm no conheceremos todos os riscos.
30
interessante observar e aprofundar um pouco a definio de Griffiths, tomando-se o
exemplo citado por ele sobre os objetivos de um fazendeiro e de um administrador de um
museu. Ambos atuam em uma rea prxima ao rio Nilo. Para o fazendeiro, o objetivo
cultivar terras que se fertilizam com a enchente do rio. J para o administrador do museu, seu
objetivo preservar o acervo de obras. Assim sendo, a circunstncia da enchente do rio a
mesma para ambos, contudo para o fazendeiro uma oportunidade para fertilizar suas terras,
enquanto para o administrador um risco de danificar as obras sob seus cuidados.
Glyn Holton [33] nos fornece uma definio de risco simplificada, mas ao mesmo
tempo fascinante: risco expor-se a um propsito incerto, ou seja, a exposio
incerteza.
Dos conceitos citados, a definio trazida pela ISO, aliada ao disposto por Glyn
Holton, se coadunam para o meu entendimento sobre a definio de riscos. Entendo risco
como a ocorrncia de um evento incerto, que traz consigo conseqncias para o alcance dos
objetivos determinados. Basicamente distinguimos dois elementos quando tratamos de risco: a
possibilidade de ocorrncia e o impacto ocasionado pela ocorrncia do evento.
31
Alto
I
M
P Mdio
A
C
T
O
Baixo
PROBABILIDADE
A relao impacto versus probabilidade pode ser melhor entendida luz da figura 2.1.
A regio vermelha representa a rea de maior exposio ao risco, resultante do cruzamento de
uma alta probabilidade de ocorrncia de um evento versus um impacto mdio ou alto.
32
Adoto a definio de controle interno como a tomada de aes que mitigam um
determinado risco. Por exemplo, David Griffiths [31] exemplifica a ao de reforar uma
ponte como de minimizao de um risco.
Tendo como base o disposto anteriormente, prefiro chamar de gesto do risco a toda
ao que vise minimizar ou mesmo conviver com o risco. Convm reforar que conviver com
riscos tambm uma forma de gerir riscos. Um administrador, ciente dos riscos, do impacto e
da probabilidade de ocorrncia, pode decidir por no adotar nenhuma atitude e correr o
risco. A instituio de um determinado controle pode ser a resultante final do processo de
anlise de riscos.
Aes para mitigar riscos implicam em um custo adicional para as empresas. Contudo,
no caso em que a perda ocasionada pela consecuo do risco for menor que o custo do
controle implementado, o administrador pode optar em conviver com a possibilidade de
ocorrncia do evento, sem que haja necessidade de implementar um controle.
Os controles internos podem ser de trs tipos: preventivos, detectivos e corretivos [44].
Os preventivos so aqueles que agem anteriormente consecuo do risco. So exemplos
deste tipo de controle: anlise prvia dos antecedentes de um funcionrio, quando de sua
contratao; controle sobre o acesso fsico de pessoas a ambientes; estabelecimento de
segregao de funes em transaes crticas etc. Atuam, portanto na linha das abscissas da
figura 2.1, diminuindo a probabilidade de ocorrer um evento.
33
estratgias para controlar e risco e finalmente o exerccio do monitoramento sobre a
efetividade das medidas adotadas.
Monitorao
Controle
Comunicao
Planejamento
Identificao
Anlise
2.3.1. IDENTIFICAO
34
associados ao processo sob anlise, antes que se concretizem em problemas. A identificao
parte, em primeiro lugar, do conhecimento do processo em curso, da determinao de seus
objetivos e de suas diversas interaes com os ambientes internos e externos, nos quais o
processo esteja inserido.
O produto final dessa fase a descrio ou declarao do risco, que pode e deve conter
as condies de incertezas e preocupaes, como tambm as conseqncias negativas geradas
pelas condies descritas.
Observemos que a condio de incerteza est bem caracterizada quando se diz que as
senhas dos clientes podem ser interceptadas. As conseqncias ou impactos esto descritos
em possibilitando o acesso de pessoas no autorizadas s contas dos usurios.
A identificao de riscos uma atividade que deve envolver diversas pessoas, com
conhecimento sobre o processo que est sendo avaliado, pois possibilita juntar as mais
diferentes experincias prticas e conhecimentos tericos sobre o assunto.
35
experincias vivenciadas e reportadas por outras instituies; etc.
2.3.2. ANLISE
A atividade de anlise de risco significa determinar sua dimenso, com base nas
informaes produzidas na fase anterior. De maneira mais detalhada, consiste na descrio e
no contexto dos riscos identificados, produzindo informaes que subsidiaro a tomada de
decises quanto s aes a serem adotadas para gesto dos riscos.
A anlise dos riscos nos leva a concluir sobre o grau de exposio ao qual o processo
se encontra sujeito. A figura 2.1 nos apresentou uma matriz de risco baseada em impacto e
36
probabilidade, como uma das maneiras de calcular a exposio ao risco. Existem outros tipos
de matrizes e o tpico 2.3.2.1 trata do assunto.
Tal agrupamento pode ser melhor visualizado por meio da figura 2.3.
20
20
18 16
16
14
12
10
Qtde 10
8
6
4
2
2
0
Ambiente Ambiente Meio de Outros
Operacional Transacional Transmisso
Grupos
37
2.3.2.1. Matriz de Risco
A figura 2.1 mostra uma matriz de riscos baseada em dois indicadores: probabilidade e
impacto. Por meio do cruzamento de seus dois eixos possvel calcular o grau de exposio
de um risco.
1. muito alto;
2. alto;
3. moderado;
4. baixo; e
5. muito baixo.
A resultante do grfico o nvel de exposio ao risco que pode ser obtido pela
multiplicao do impacto pela probabilidade.
38
A tabela 2.1 sintetiza a combinao de situaes, que resulta em vrios nveis de
exposio:
Probabilidade
Impacto Alto (3) Moderado (2) Low (1)
Alto (3) Alto (9) Alto (6) Moderado (3)
Mdio (2) Alto (6) Moderado(4) Baixo (2)
Baixo (1) Moderado (3) Baixo (2) Baixo (1)
39
penalizaes impostas pelos rgos de Fiscalizao;
existncia de planos de contingncia.
freqncia das ocorrncias dos eventos de risco (dirio, vrias vezes ao dia,
ocasional);
existncia de controles preventivos, detectivos e corretivos;
40
existncia e periodicidade de monitorao dos servios;
grau de estabilizao dos servios tempo que est implantado, freqncia de
atualizaes;
estabilidade do ambiente de tecnologia;
orientaes/documentaes disponveis para os procedimentos executados;
grau de treinamento dos funcionrios;
nvel de interveno manual;
quantidade de penalizaes imposta em determinado perodo;
complexidade dos procedimentos;
ocorrncia de fraudes.
Criada na dcada de 70 por Thomas Saaty [53], a AHP est classificada como
multicritrio ao ramo das metodologias de Pesquisa Operacional. Por essa metodologia,
possvel comparar critrios de natureza diferente, para determinao do nvel de criticidade de
um dado risco.
Edson de Oliveira Pamplona [50] escreve que o mtodo AHP pode ser usado na
quantificao das caractersticas qualitativas, permitindo a ponderao de todas as
caractersticas e a priorizao dos critrios. A questo primordial do mtodo identificar com
que pesos os fatores individuais influenciam os objetivos definidos. De acordo com o
proposto por Saaty, os modelos tm que incluir e medir todos os fatores importantes,
qualitativa e quantitativamente mensurveis sejam eles tangveis ou intangveis.
41
Dessa maneira, a AHP [1] um processo que permite o estabelecimento de
prioridades, quando considerados aspectos qualitativos e quantitativos. Esse processo facilita
a tomada de deciso pelos administradores.
Dado um determinado risco, o mtodo AHP exige que os critrios sejam bem
definidos e sem sobreposio. Uma vez definidos, esses critrios so comparados dois a dois
e, em cada comparao, deve ser dito o quanto um critrio mais importante, ou prioritrio
ou, ainda, mais grave que um outro. Saaty prope a utilizao da escala mostrada na figura
2.4, para formao de uma matriz comparativa.
A matriz mostrada na figura 2.5, nos orienta com relao comparao entre os
critrios.
A B C
A A/B A/C
B B/A B/C
C C/A C/B
42
Como exemplo, se A comparado com B for fortemente mais importante, a relao
A/B ter valor de 5, conforme a escala proposta por Saaty.
04 opes de resposta:
O processo se repete para todos os riscos identificados, fornecendo aos gestores uma
classificao quanto ao grau de criticidade para cada um deles. De posse desses valores e
tendo em vista os recursos disponveis, cabe aos gestores decidir sobre a estratgia de
gerenciamento a ser aplicada.
A anlise SWOT uma tcnica baseada na identificao dos pontos fortes, dos pontos
fracos, das oportunidades e das ameaas ajuda a identificar as fontes de recursos externas e
43
internas para suportar os objetivos negociais. Essa tcnica conhecida por anlise S.W.O.T.,
ou seja, strengths (foras), weakness (fraquezas), opportunities (oportunidades) e threats
(ameaas) e utilizada na busca de riscos que possam afligir a organizao. Pontos fortes e
fraquezas dizem respeito ao ambiente interno, enquanto ameaas e oportunidades ao ambiente
externo.
44
classificadas dentro dos fatores externos s organizaes, que precisam estar preparadas para
enfrent-las, embora possam estar fora de seu controle.
Erros operacionais
3. Mini-maxi (W/O). Cruzamento que mostra o fator ponto fraco atrelado s oportunidades.
uma estratgia de esforo para dominar as fraquezas fazendo o melhor a cada nova
oportunidade.
45
Fatores Externos
Threats
Opportunities
Strengths Weaknesses
Fatores Internos
2.3.3. PLANEJAMENTO
Como resultado dessa fase se espera uma avaliao sobre as ameaas, vulnerabilidades
e impactos, tendo em vista a adoo de medidas apropriadas para proteger as necessidades e
continuidade de negcio, os recursos de informao, bem como os usurios destes recursos. O
planejamento resultante dever estabelecer as aes a serem adotadas para os riscos
identificados, respeitados os resultados obtidos quanto s suas priorizaes.
46
Ao final, algumas perguntas devem ser respondidas como forma de assegurarmos a
plena conscincia sobre o tratamento dispensado:
47
O grfico da figura 2.7 apresenta a relao entre a curva de eficincia/eficcia dos
controles institudos versus os custos de implantao dos controles. Verificamos que os custos
de implementao de controles so sempre crescentes, enquanto a eficincia/eficcia dos
controles diminui a partir de certo ponto timo. Isto implica dizer que a adoo de
controles sobre controles no necessariamente resulta em garantia total da minimizao de um
risco. A chave da questo determinar o ponto timo de interseo entre as curvas.
A literatura descreve uma outra estratgia para aqueles riscos que no so passveis de
convivncia, mas para os quais no identificamos aes a serem implementadas e que possam
minimiz-los. Para essa situao recomendado que se mantenha um monitoramento
constante sobre esses riscos, com intuito de identificar os eventos indesejados, ainda nos
estgios iniciais, adotando aes imediatas para sua correo ou diminuio dos impactos.
48
Valor /
Grau /
ndice
Ponto
Custo
timo
Integridade/Segurana
Faixa
Aceitvel Eficincia/Eficcia
Controles
Fonte: ARIMA, Carlos H. Metodologia de Auditoria de Sistemas
Medidas preventivas;
Medidas detectivas; e
Medidas corretivas.
49
2.3.4. MONITORAO
50
2.3.5. COMUNICAO
2.4. REGULAMENTAO
51
ainda mais efetivos e conseqentemente a melhoria da gesto dos riscos por parte dos
administradores.
52
bem como para examinar as aquisies e investimentos mais relevantes de um
banco;
regulamentos e requisitos prudenciais estabelecimento de requisitos
mnimos, prudentes e apropriados, de adequao de capital para os bancos.
Esses requisitos devem refletir os riscos a que os bancos se submetem,
definindo os componentes de capital, em funo da capacidade de absoro de
perdas de cada um;
mtodos de Superviso Bancria Contnua trata da constituio de atividades
de superviso direta ou indireta a ser exercida pelos Bancos Centrais;
requisitos de informao manuteno, pelos bancos, de registros que
possibilitem uma avaliao precisa da real condio financeira dos bancos,
aliado publicao regular dos relatrios financeiros;
poderes formais dos supervisores trata da adoo de aes corretivas a serem
aplicadas quando os bancos no cumprirem os requisitos prudenciais.
Principle 7 Risk management process: Supervisors must be satisfied that banks and
banking groups have in place a comprehensive risk management process (including
Board and senior management oversight) to identify, evaluate, monitor and control or
mitigate all material risks and to assess their overall capital adequacy in relation to
their risk profile. These processes should be commensurate with the size and
complexity of the institution.
53
O princpio 15 determina que os bancos adotem polticas e procedimentos para
identificar, avaliar, monitorar e mitigar os riscos operacionais.
Principle 4 Senior management should ensure that the internal and external
factors that could adversely affect the achievement of the banks objectives are being
identified and evaluated. This assessment should cover all the various risks facing the
bank (for example, credit risk, country and transfer risk, market risk, interest rate risk,
liquidity risk, operational risk, legal risk and reputational risk).
Principle 5 Senior management should ensure that the risks affecting the
achievement of the banks strategies and objectives are continually being evaluated.
Internal controls may need to be revised to appropriately address any new or
previously uncontrolled risks.
54
Desde a publicao dos treze princpios, em 1998, o chamado Acordo de Capitais da
Basilia continuou a produzir recomendaes com vistas a aprimorar os controles das
instituies e adequar-se s inovaes financeiras e tecnolgicas.
Essa definio significa que todos os processos, desde aqueles considerados como
fim at os processos-meio, pelos quais os negcios-fim se realizam, so possveis geradores
de perdas e, assim, sujeitos aos controles internos.
O Basilia II, que tem previso de vigorar a partir do final de 2007, sustenta-se em trs
pilares: requisito mnimo de capital, processo de reviso supervisora e disciplina de mercado.
Lopes & Associados no artigo O Novo Acordo de Capital da Basilia [45] descreve
que As principais mudanas esto no fim da padronizao generalizada por um enfoque mais
flexvel, dando nfase nas metodologias de gerenciamento de risco dos bancos, na superviso
das autoridades bancrias e no fortalecimento da disciplina de mercado. A nova estrutura
pretende alinhar a avaliao da adequao de capital mais intimamente aos principais
elementos dos riscos bancrios e fornecer incentivos aos bancos para aumentar suas
capacidades de mensurao e administrao dos riscos.
Para o nosso estudo, entendemos ser adequado explorarmos o pilar que trata do
requisito mnimo de capital. Esse pilar estabelece a quantidade mnima de capital que as
entidades devem manter para suportar os riscos de crdito, de mercado e operacional. Esse
requisito mnimo conhecido como ndice de Basilia e est definido como de no mnimo
8%, cuja frmula de clculo mostrada na figura 2.8. A novidade que se apresenta quanto
necessidade de alocao de capital para enfrentar os riscos operacionais.
55
Capital total = % do Capital
(risco de crdito + risco de mercado + risco operacional)
O risco operacional apresenta-se como uma das novidades introduzidas pela reviso
do acordo. Risco operacional, definido como risco de perdas resultantes de inadequao ou
falhas de processos internos, pessoas e sistemas, ou de eventos externos, inclui os riscos
decorrentes de no atendimento legislao, mas exclui os riscos de estratgia e de imagem
[4]. Em suma, so as falhas que podem ocorrer no desenvolvimento das atividades do dia-a-
dia.
Embora ainda no esteja fixado seu valor, os bancos esto adotando um percentual de
20% de seu capital para cobrir os riscos operacionais.
56
3. Critrio de Mensurao Interno permite que os bancos utilizem clculos internos
para a determinao do capital proposto. Os bancos podero considerar trs indicadores: a
exposio ao risco operacional, mais a probabilidade de que a perda ocorra e o total da perda
causada por este evento. A este clculo, o banco aplicar um percentual que ser determinado
pelo Comit, para determinao do percentual de capital.
2.4.2. SARBANES-OXLEY
A legislao federal The U.S. Public Company Accounting Reform and Investor
Protection Act of 2002 [5] [39], conhecida como Sarbanes-Oxley Act of 2002 ou
simplesmente SOX, uma lei aprovada pelo governo norte americano para coibir com as
fraudes contbeis. Foi criada pelos senadores americanos Paul Sarbanes e Michael Oxley.
Tinha como objetivo restabelecer e aumentar a confiana do investidor e a sustentabilidade
das organizaes, abaladas pelos escndalos financeiros verificados em empresas como Enron
e Worldcom.
Todas as empresas, inclusive estrangeiras, com aes negociadas nas bolsas de valores
dos EUA devem se submeter a SOX. Alm do aperfeioamento dos padres contbeis, a lei
introduziu mudanas na responsabilidade dos administradores, na forma com que as empresas
tratam os acionistas minoritrios e nos relatrios de prestao de contas. A responsabilidade
pela correta avaliao e monitoramento dos controles referentes aos processos internos fica
atribuda aos principais administradores das empresas, que se irregular esto sujeitas a multas
de milhes de dlares e seus administradores a penas de 10 a 20 anos de priso.
De acordo com Rodney de Castro Peixoto [52] A Seo 404 da lei o principal foco
de ateno das empresas neste particular, por trazer os mandamentos sobre os controles de
processos internos e sistemas contbeis. Esta Seo determina uma avaliao anual dos
57
controles e processos internos para a realizao de relatrios financeiros, com a obrigao de
emisso de relatrio, a ser encaminhado a SEC Security Exchange Comission, rgo
regulador das empresas de capital aberto dos EUA, que ateste estes parmetros. Dentre
outros itens, o relatrio dever conter atestado de responsabilidade dos administradores da
empresa e manuteno da estrutura dos controles internos.
58
indispensvel o perfeito funcionamento dos controles internos, fornecendo segurana aos
administradores e auditores.
59
com o uso dos caixas manuais nas agncias. Documentos outrora existentes, como a
transferncia de fundos com uso dos DOC, em papel, praticamente inexistem, tendo sido
substitudos pelas TED (Transferncia Eletrnica Disponvel) ou pelos DOC eletrnicos.
Como conseqncia natural dessa evoluo, as leis e regulamentos tiveram que ser
adaptados, ou mesmo criados para amparar o funcionamento eficaz e transparente das
instituies financeiras.
60
O artigo 2 desta resoluo contempla as diretrizes relacionadas gesto de riscos em
seus incisos III e V e pargrafo 1.
61
II - administrao de recursos de terceiros em montante igual ou superior a R$
1.000.000.000,00 (um bilho de reais); ou
III - somatrio das captaes de depsitos e de administrao de recursos de
terceiros em montante igual ou superior a R$ 5.000.000.000,00 (cinco bilhes de
reais).
4 As instituies devem ter o comit de auditoria em pleno funcionamento at o dia
31 de maro do exerccio subseqente aos exerccios previstos no caput, cumprindo
suas atribuies inclusive no que se refere s demonstraes contbeis daquela data-
base.
5 Para as instituies que se enquadrem no disposto no caput ou no 1,
relativamente aos exerccios de 2002 e 2003, o comit de auditoria deve estar instalado
e em pleno funcionamento at 1 de julho de 2004.
Dentre as funes previstas para o comit de auditoria destacamos, no artigo 15, os
incisos VI e VII:
VI estabelecer e divulgar procedimentos para recepo e tratamento de informaes
acerca do descumprimento de dispositivos legais e normativos aplicveis instituio,
alm de regulamentos e cdigos internos, inclusive com previso de procedimentos
especficos para proteo do prestador e da confidencialidade da informao;
VII recomendar, diretoria da instituio, correo ou aprimoramento de polticas,
prticas e procedimentos identificados no mbito de suas atribuies.
O art. 17. prev que ao final dos semestres findos em 30 de junho e 31 de dezembro, o
comit de auditoria deva elaborar, documento denominado relatrio do comit de
auditoria contendo diversas informaes, dentre as quais destacamos os incisos II, III e
IV:
II avaliao da efetividade dos sistemas de controle interno da instituio, com
nfase no cumprimento do disposto na Resoluo 2.554, de 24 de setembro de 1998, e
com evidenciao das deficincias detectadas;
III descrio das recomendaes apresentadas diretoria, com evidenciao
daquelas no acatadas e respectivas justificativas;
IV avaliao da efetividade das auditorias independente e interna, inclusive quanto
verificao do cumprimento de dispositivos legais e normativos aplicveis
62
instituio, alm de regulamentos e cdigos internos, com evidenciao das
deficincias detectadas.
O Banco Central do Brasil [9], atravs da resoluo 3.380, tornou pblico que o
Conselho Monetrio Nacional resolveu determinar s instituies financeiras a
implementao de estrutura de gerenciamento do risco operacional. Entre os eventos de risco
operacional destacamos:
I. fraudes internas;
II. fraudes externas;
III. aqueles que acarretam a interrupo das atividades da instituio;
IV. falhas em sistemas de tecnologia da informao;
No intuito de tornar a gesto das organizaes mais transparente para o mercado e para
todas as partes interessadas, o conceito de Governana Corporativa ganhou aceitao e
difundiu-se entre as empresas, como prticas referenciais de gesto a serem adotadas e
63
principalmente como subsdio na deciso dos investidores em colocar ou no seus ativos
financeiros nessas empresas.
64
O IBGC foi responsvel pela elaborao, no Brasil, do Cdigo das Melhores Prticas
de Governana Corporativa. O Cdigo est dividido em seis captulos e aborda o Conselho de
Administrao e temas relativos propriedade/acionistas, gesto, auditoria independente,
Conselho Fiscal e conflito de interesses.
A crescente importncia que a gesto dos riscos vem suscitando nas empresas reflete-
se nas funes desempenhadas pela auditoria. As orientaes de Turnbull, divulgadas pela
Bolsa de Valores de Londres, estabelecem que todas as pessoas dentro de uma organizao
possuem, em graus diferentes, responsabilidades pela gesto do risco. Neste sentido, a
auditoria, no papel de superviso, contribui em garantir que o processo de gesto de risco
esteja efetivamente funcionando. Para que o trabalho desenvolvido pela auditoria se revista de
um carter de agregao de valor, adequado que ela emita parecer sobre a conduo do
processo de gesto de riscos pelos gestores.
65
Encontramos em The Role of Internal Audit in Risk Management [61] o papel da
auditoria assim traduzido:
Focar o trabalho da auditoria interna nos riscos mais relevantes que a organizao
enfrenta, identificados pelos gestores, e auditar o processo de gesto de riscos, assegurando
organizao que esses esto minimizados a nveis aceitveis, ou no.
66
3. METODOLOGIA
O objetivo desse trabalho consiste em demonstrar a aplicabilidade de um modelo de
gerenciamento de riscos em uma situao real vivenciada por instituies financeiras,
instaladas no Brasil.
67
Para que os riscos se tornem realidade necessrio que uma ameaa explore uma
determinada vulnerabilidade do ambiente, causando impacto nos servios oferecidos.
Assim, apresentamos as principais ameaas e as mais significativas vulnerabilidades para
os ambientes de internet banking.
Outras formas de medir o nvel de criticidade de um risco podem ser adotadas. Nesse
sentido, apresentamos a metodologia AHP Analytic Hierarchy Process [55].
Analisamos os diversos tipos de ameaas para cada ambiente, com base em sries
histricas de ataques disparados contra os servios de internet banking.
Com base nos dados colhidos, procedemos s anlises conclusivas com objetivo de
identificar padres de comportamento e comprovar a efetividade da adoo de modelo de
gerenciamento de riscos. Historicamente, sabe-se que as instituies bancrias quase sempre
combateram as fraudes de forma reativa.
68
A adoo de um modelo de gerenciamento de riscos atua de modo preventivo e
contnuo, possibilitando aes mais rpidas e, conseqentemente, estancar as perdas
resultantes dessas fraudes.
A matriz de riscos fornece o direcionamento das aes a serem adotadas, tendo por
base o nvel de criticidade de cada risco identificado.
3.4. MONITORAO
69
Os relatos provenientes desse monitoramento informam, dentre outros, a evoluo dos
riscos mapeados, a eficcia dos controles institudos, o aparecimento de novas ameaas, o
comportamento dos atacantes etc.
3.5. COMUNICAO
O processo de comunicao deve ser claro e conhecido por todos os integrantes das
diversas equipes responsveis pelas demais etapas. Dessa forma, possvel agir com maior
rapidez na adoo de medidas de segurana, minimizando os impactos advindos de uma
ameaa.
70
4. APLICAO DO MODELO DE GERENCIAMENTO DE
RISCOS AO AMBIENTE DE INTERNET BANKING
O canal internet banking tem sido a bola da vez dentro da evoluo dos servios
bancrios. Muito se fala de suas vulnerabilidades, do volume de fraudes perpetradas e dos
recursos investidos pelas instituies financeiras na busca de maior segurana para seus
clientes. Contudo, o elo humano, a capacitao dos clientes na utilizao das tecnologias
uma vertente nem sempre bem observada por algumas instituies, quando da avaliao dos
riscos desse ambiente. bom lembrar que as fraudes bancrias no surgiram com o advento
dos servios de on-line banking. At poucos anos atrs, o instrumento de contra-ordem de
cheques inexistia em grandes bancos ingleses. A premissa usada pelas instituies era de que
a responsabilidade pela segurana dos cheques dos clientes. No Brasil, nas dcadas de 80 e
71
90, quando a utilizao de cheques era bastante elevada, o nmero de fraudes com cheques
era tambm bastante preocupante.
Destarte, imprescindvel que os bancos exeram uma gesto sobre os riscos inerentes
ao canal internet banking, como forma de reduzir sua exposio, por meio da identificao
das ameaas e das vulnerabilidades a que esto sujeitos, contribuindo para o alcance dos
objetivos estratgicos estabelecidos, com conseqente elevao do nvel de satisfao de seus
clientes.
72
4.2. A PRTICA DO MODELO DE GERENCIANDO DE RISCOS
73
Ressalte-se que algumas instituies financeiras no Brasil exercem uma atuao
conjunta no monitoramento, anlise e comunicao dos eventos maliciosos detectados,
contribuindo para o fortalecimento e aprimoramento do canal internet banking. Esse
monitoramento aponta eventos maliciosos detectados no somente contra o respectivo banco,
mas contra os demais bancos co-participantes.
De acordo com Kevin Knight [43], o segredo da gesto de riscos est em identificar
os riscos que precisam ser gerenciados efetivamente para que os objetivos estratgicos da
companhia no sejam ameaados. A estratgia para se obter uma gesto efetiva concentrar-
se na administrao dos riscos mais crticos, ou seja, nos que possam impactar o atingimento
dos objetivos. A fase de identificao tem como propsito mapear esses riscos de forma
contnua. No devemos imaginar que uma vez terminada essa fase, no haja mais necessidade
de retom-la. O ciclo de fases (fig. 2.2) gira continuamente e o monitoramento est
constantemente retroalimentando as fases iniciais.
74
As instituies financeiras continuamente enfrentam os riscos inerentes a cada canal
de comunicao com seus clientes. O ambiente de internet, como um canal adicional, trouxe
comodidade e facilidade no acesso pelos clientes aos servios bancrios. Contudo,
potencializou a exposio ao risco de roubo de informaes sobre a identidade dos clientes e
quanto autenticao dos clientes, perante as instituies, na execuo das transaes
bancrias.
Assim, o primeiro passo desta etapa consiste em conhecer o ambiente no qual as
transaes de internet banking se realizam, sendo vigilante na identificao proativa de
ameaas, possibilitando implementar medidas de ajustes em seus sistemas para desta forma
proteger a integridade, confidencialidade e disponibilidade das informaes armazenadas.
As instituies financeiras podem optar por ter seus servios de internet banking
suportados pela prpria organizao, ou de forma alternativa, podem terceirizar qualquer parte
desse servio.
reduo de custos;
direcionamento dos esforos da organizao para seu core business, ou seja,
manter o foco nos negcios;
melhoria da soluo, tendo como premissa que a empresa terceirizada
especialista na sua rea de atuao;
75
continuidade da empresa terceirizada, ou seja, capacidade da empresa terceirizada
manter-se atuante no mercado;
dependncia da instituio ao terceirizado. A instituio fica totalmente
dependente de outra no fornecimento dos servios, podendo acarretar dificuldades
quando das negociaes para renovao de contrato;
procedimentos de encerramento de contrato e transferncia dos servios para outra
empresa;
No site da FFIEC [25] encontramos a figura 4.1 que nos apresenta o ambiente de
internet no caso de processamento in-house, ou seja, o prprio banco fornece o servio de
hospedagem de seu site. Esse tipo de ambiente o mais freqente entre as maiores
instituies bancrias instaladas no Brasil e sobre o qual esse trabalho se baseia.
76
segurana nessa rea. Em suma, a estratgia consiste em manter-se atualizado quanto aos
padres mundiais de criptografia.
O ambiente de internet banking compreende dois tipos de web sites: os que fornecem
informaes aos usurios, no obrigatoriamente clientes e os que disponibilizam as transaes
bancrias para os clientes. evidente que a anlise de riscos para cada um deles tem
abordagens diferentes, face aos objetivos a que se destinam.
77
4.2.1.1. Web sites Institucionais
78
Contudo, vislumbramos a possibilidade de um ataque muito comum at pouco tempo e
que raramente vm sendo utilizadas: as famosas pginas falsas.
As pginas falsas usam endereos parecidos com o do site original, mas com pequenas
alteraes em seu nome ou na extenso, como, por exemplo: www.banco.com.br.info
(extenso info no final). Geralmente, as pginas falsas esto associadas a e-mails maliciosos,
ou partem de atalhos indicados em outros sites, que no os dos bancos.
79
Pagamentos de boletos de cobrana, impostos, taxas e outros convnios;
Dbito automtico;
Consrcios;
Seguros, previdncia e capitalizao;
Alm de outros servios.
Os sistemas de e-banking para efetivao dos servios esto suportados por recursos e
processos, dentro de uma complexidade cada vez mais crescente. Destacamos os seguintes:
80
4.2.2.1. Riscos Operacionais
Um exemplo desse tipo de ataque, lanado contra os servidores dos bancos, a anlise
de rede (Network analysis). O atacante aplica uma abordagem sistemtica e metdica
conhecida como footprinting para constituir um perfil sobre a infra-estrutura de segurana da
rede de uma instituio. Nessa fase de reconhecimento, so obtidas informaes sobre
endereos de rede, localizao de gateways e firewalls, bem como analisa os nmeros de
portas mais conhecidos para detectar informaes ou servios em execuo no sistema. A
anlise do conjunto de informaes obtidas possibilita identificar vulnerabilidades a serem
exploradas.
Pelo lado do cliente, esse tipo de ataque pode levar ao vazamento de informaes
sobre dados bancrios que sero usadas para possibilitar ao atacante realizar transaes
fraudulentas. Interessante observar que o atacante no tem interesse em alterar ou destruir as
81
informaes dos usurios. Para o atacante, necessrio que a passividade e a invisibilidade
do ataque sejam seus pontos fortes, pois caso o cliente no perceba que est sendo
monitorado, as chances de sucesso do ataque e conseqente utilizao dos dados capturados
se potencializam. De posse dos dados bancrios obtidos por meio dessas tcnicas, o atacante
ter condies de realizar transaes em nome do verdadeiro cliente.
Os trojans atuando por trs desses cliques tm como objetivo capturar informaes
bancrias e/ou induzir o cliente a executar aes que acabam por revelar e permitir o envio
dos dados dos clientes ao atacante.
82
Tabela 4.1: Quantidade de Trojans enviados a clientes de bancos
83
Tabela 4.2: Acumulado de Trojans enviados a clientes de bancos
Ms Acumulado No ms
Setembro/2005 12.267
Outubro/2005 14.072 1.805
Novembro/2005 16.208 2.136
Dezembro/2005 18.225 2.017
Janeiro/2006 24.104 5.879
Fevereiro/2006 25.785 1.681
Maro/2006 27.539 1.754
Abril/2006 30.822 3.283
Maio/2006 35.485 4.663
At 08 de Junho de 2006 36.150 665
7.000
6.000
5.000
4.000
3.000
2.000
1.000
0
out/05 nov/05 dez/05 jan/06 fev/06 mar/06 abr/06 mai/06
Uma vez obtidas as informaes sobre o ambiente dos bancos e sobre seus clientes, os
atacantes iniciam os chamados ataques ativos. Estes envolvem a alterao da informao
contida no sistema ou modificaes em seu estado ou operao. Tambm consideramos como
84
ataques ativos, a consecuo de transaes fraudulentas, com uso dos dados bancrios
capturados nos ataques passivos.
O intruso lana um ataque real contra a rede da instituio ou contra o cliente, com
intuito de obter controle sobre o sistema, possibilitando a materializao da ameaa. Isto pode
abranger desde o acesso no autorizado para modificar dados ou programas, at deixar o site
da instituio indisponvel, caracterizando um ataque de denial of service, ou seja, negao de
servio.
85
Figura 4.3: Estatstica dos ataques contra os servidores dos bancos
86
Tabela 4.4: Incidentes reportados ao CERT Janeiro a Dezembro de 2006
Totais mensais e trimestral classificados por tipo de ataque
Ms Total Worm (%) DoS (%) Invaso (%) Aw (%) Scan (%) Fraude (%)
jan 8446 1358 16 71 0 24 0 32 0 3274 38 3687 43
fev 7742 1223 15 33 0 59 0 54 0 2737 35 3636 46
mar 11945 4062 34 41 0 112 0 29 0 2925 24 4776 39
abr 14126 7327 51 3 0 61 0 28 0 2742 19 3965 28
mai 18204 11139 61 81 0 24 0 29 0 3153 17 3778 20
jun 17470 11036 63 24 0 44 0 43 0 3127 17 3196 18
jul 18754 12833 68 11 0 57 0 46 0 2823 15 2984 15
ago 17501 8961 51 4 0 44 0 37 0 5160 29 3295 18
set 23321 13499 57 4 0 26 0 38 0 5507 23 4247 18
out 18592 8944 48 3 0 21 0 35 0 6823 36 2766 14
nov 23414 16355 69 0 0 43 0 51 0 3777 16 3188 13
dez 18377 12939 70 2 0 8 0 27 0 3143 17 2258 12
Total 197892 109676 55 277 0 523 0 449 0 45191 22 41776 21
Legenda:
DoS: Denial of Service AW: Ataque a servidor WEB
87
Informamos que as descries, plataformas afetadas e contra-medidas referentes aos
ataques descritos a seguir foram obtidas a partir do site da Internet Security Systems [37] e
livremente traduzidas pelo autor deste trabalho.
Obter informaes sobre a configurao de uma rede ou sobre dados dos usurios, que
possibilitem a utilizao dessas informaes em ataques ativos.
4.3.2.1.1.1 Decod-dns
Mdio Risco
Descrio
Uma requisio de DNS para todos os registros disparada contra um host pode indicar
um ataque passivo de sondagem sobre uma rede. Com ferramentas do tipo dig, um
atacante poder executar esse tipo de ataque e obter informaes sobre uma
determinada rede. Esse tipo de ataque pode ser confundido com uma requisio
legtima de DNS.
Um programa do tipo dig um sistema de indexao e procura por intranets e
pequenos domnios. Esse programa, em algumas distribuies linux pode permitir um
atacante obter arquivos de forma remota.
Plataformas afetadas:
Contramedidas
88
4.3.2.1.1.2 IP-Portscan
Mdio Risco
Descrio
Plataformas afetadas
Contramedidas
Descrio
Esse conjunto de programas tem como objetivo o roubo de informaes, como, por
exemplo, nmeros de contas, senhas, nmeros de cartes de crditos, certificados
digitais etc. Genericamente so programas de computador que, ao serem instalados,
fazem com que outra pessoa possa controlar virtualmente a mquina infectada, ou
executar funes sem o conhecimento do usurio, como as sobrescritas.
Dentro dessa categoria, destacamos trs tipos de ataques diretamente relacionados com
ataques passivos ao ambiente internet banking do usurio.
89
Keyloggers: Programas que visam capturar dados digitados pelo usurio, durante a
execuo de transaes bancrias. Depois, o trojan envia a lista de informaes para o
endereo do autor do programa invasor. Como no Brasil as grandes instituies
financeiras adotaram os teclados virtuais, que utilizam o mouse para entrada dos dados
crticos (em especial as senhas), esses programas no representam maiores problemas.
Contudo, muitos bancos internacionais ainda utilizam o teclado para entrada dos dados
bancrios, tornando eficaz a utilizao de keyloggers.
90
Troj/Banker-HS um trojan de captura de senhas que tem como alvo os web
sites de bancos brasileiros. Aliases: Trojan-Spy.Win32.Banker.ri,
PWSteal.Bancos, W32/Bancos.AIQ, W32/Banker.CNE e PWS-Banker.gen.b.
Da lista sobre alertas quanto a trojans e cess divulgada para setembro de 2006,
identificamos dentre os dez mais detectados, a presena de 03 cdigos destinados a
captura de dados bancrios: Troj/Bancos-AWI, Troj/Bancos-AWG e Troj/Banker-
DNM.
Objetivo do ataque
91
Enganar os controles de segurana para obteno de acesso no autorizado ao sistema
gerenciador de servios do site da instituio financeira.
Descrio
Plataformas afetadas
4.3.2.1.2.1.2. IP-Unknown
Low Risk
Descrio
92
algumas vezes, usados por atacantes para evitar deteco enquanto transmitem dados
pela rede.
Muitas ferramentas de segurana ignoram protocolos que elas no entendem. Assim
sendo, comum se estabelecer canais de comunicao dissimulados usando protocolos
desconhecidos. Um canal escondido pode indicar a presena de uma porta dos
fundos (backdoor) dentro de uma rede de comunicao.
Plataformas afetadas
Contramedidas
4.3.2.1.2.1.3. HTTP-Apache-Cookie
Alto Risco
Descrio
Plataformas afetadas
93
o Linux: Linux qualquer verso
o Santa Cruz Operation, Inc.: SCO Unix qualquer verso
o SGI: IRIX qualquer verso
o Sun Microsystems: Solaris qualquer verso
o Wind River Systems, Inc.: BSD qualquer verso
Contramedidas
Essa vulnerabilidade somente afeta sites que executam Apache verso 1.1.1 ou inferior
com mdulos cookies compilados no servidor. A recomendao para atualizar o
servidor com as devidas correes.
4.3.2.1.2.1.4. IIS-Unicode-Wide-Encoding
Alto Risco
Descrio
Plataformas afetadas
94
o Microsoft Corporation: Microsoft IIS 4.0
o Microsoft Corporation: Microsoft IIS 5.0
o Snort: Snort anterior verso 1.8.1
Contramedidas
Para RealSecure Network Sensor 5.x, 6.x: aplicar a ltima atualizao do RealSecure
Network Sensor X-Press (XPU 3.2 ou posterior).
Para RealSecure Server Sensor 6.0: atualizar a ltima verso do RealSecure Server
Sensor (6.0.1 ou posterior).
Para IDS Cisco Secure (Netranger): aplicar o mais recente service pack conforme
indicado em Cisco Systems Field Notice, September 5, 2001.
Para Snort anterior a 1.8.1: atualizar com a ltima verso do Snort (1.8.1 ou posterior)
disponvel em: http://www.snort.org/downloads.html.
4.3.2.1.2.1.5. Database-Ida-Portable-Executable-Bo
Alto Risco
Objetivo do ataque
Descrio
Plataformas afetadas
95
o IDA Pro Disassembler: DataRescue IDA Pro 4.7
o Jibz, Qwerton, snaker and xineohP.: PeiD prior to 0.93
o Linux: Linux Qualquer verso
o Microsoft Corporation: Windows 95
o Microsoft Corporation: Windows 98
o Microsoft Corporation: Windows 98 Second Edition
o Microsoft Corporation: Windows Me
o Microsoft Corporation: Windows 2000 Qualquer verso
o Microsoft Corporation: Windows 2003 Qualquer verso
o Microsoft Corporation: Windows NT 4.0
o Microsoft Corporation: Windows XP Qualquer verso
Esse tipo de ataque tem por objetivo interromper um servio ou impedir totalmente
que usurios ou entidades autorizadas o utilizem. Seu objetivo principal tirar do ar
(no deixar disponvel) um servio ou o sistema, apenas para causar prejuzo,
transtorno ou eliminar um servio de proteo que possa permitir que se tenha acesso
a outros servios no autorizados.
4.3.2.1.2.1.7. Synflood
Mdio Risco
Descrio
Uma conexo padro TCP se estabelece pelo envio de pacotes com sinalizao do bit
SYN (Synchronous Idle, ou Synchronize sequence number caractere de controle
utilizado para manter o sincronismo na ausncia de dados trafegando pela rede) ao
host de destino. Caso esteja preparado para esperar por conexes em uma porta
especfica, ele responder com um pacote SYN/ACK (SYN-Acknowlegment cdigo
de comunicao reconhecendo que os dados transmitidos foram recebidos sem erros,
ou que o host de destino est preparado para receber mais dados). Ento, a estao que
96
iniciou a conexo (host de origem) responde com um pacote ACK para
estabelecimento da conexo.
Quando um pacote SYN/ACK enviado de volta origem, um bloco de memria no
host destino alocado para aguardar pela informao sobre o estado da conexo que
est sendo estabelecida. At que o pacote ACK final seja recebido, a partir da origem,
ou o timeout seja alcanado, esse bloco de memria permanece alocado, esperando por
mais informaes a serem recebidas.
O ataque de DoS se concretiza pelo envio de numerosos pacotes SYN a um host de
destino, com objetivo de esgotar a poro de memria destina a abrir conexes.
Quando essa memria exaurida, nenhuma conexo, mesmo as legtimas, poder ser
estabelecida.
Essa situao pode ser detectada pelo monitoramento do fluxo de pacotes SYN que
no tiveram respostas. Para corrigi-la, enviam-se pacotes RST, ao host destino,
correspondentes aos pacotes SYN enviados pela origem. O resultado dessa ao a
liberao da poro de memria alocada para aguardar por mais informaes sobre o
estabelecimento da conexo.
Contramedidas
4.3.2.1.2.1.8. Stream-Dos
Mdio Risco
Descrio
97
para tirar do ar vrios sites como Yahoo e Amazon, como por exemplo: Trin00,
Tribal Flood Network, TFN2K ou Stacheldraht.
Plataformas afetadas
Contramedidas
4.3.2.1.2.1.9. BGP-Route-Unreachable
Baixo Risco
Descrio
Plataformas afetadas
Contramedidas
98
4.3.2.1.2.1.10. Ataques de Envenenamento de Transao
Alto Risco
Esse tipo de ataque tem por objetivo capturar e adulterar a mensagem original, sem
que o cliente e o sistema de segurana da instituio financeira percebam. Essa
situao uma das formas de ataque conhecido como man in the middle, ou mais
recentemente man in the browser.
O ataque de MIM Man in the middle uma tcnica de se colocar no meio da
comunicao entre a estao do cliente e o servidor de e-banking. Geralmente, o
atacante captura a transmisso e procede a alteraes nas transaes antes de reenvi-
las ao destino final.
O que se vem observando no ambiente de internet banking a instalao de
aplicativos na estao do cliente para adulterar as transaes efetuadas pelo cliente.
Como exemplo descrevemos a seguinte situao: o usurio se autentica normalmente
no banco, tendo inclusive utilizado todos os dispositivos de segurana
disponibilizados pela instituio (teclado seguro, browser defence etc). O cliente
procede ento uma transferncia de valores entre contas correntes. Ao enviar a
transao, o aplicativo residente no computador intercepta a mensagem e procede a
alteraes nos dados de agncia e conta de destino, bem como no valor a ser
transferido. O banco recebe a solicitao e envia um pedido de confirmao. O
aplicativo tambm monitora esse pedido, altera novamente a transao e apresenta ao
cliente os dados originais. Ao confirmar a transao, o banco efetua a transferncia
para a conta indicada pelo atacante. Na seo sobre anlise e planejamento de aes
para gesto do risco retomaremos esse tipo de ataque e as contramedidas adotadas.
99
aos atacantes externos, elevando o risco de efetuarem acesso a ambientes ou
aplicaes no autorizadas para eles.
O fator confiana, neste tipo de ataque, bastante explorado pelos usurios mal
intencionados. Por considerarem confiveis os colegas de trabalho, os administradores
muitas vezes concentram sua ateno nos ataques que vm de fora da instituio. O
ambiente interno fica assim mais fragilizado quanto a medidas de segurana a serem
implementadas na preservao das informaes trafegadas e armazenadas
internamente.
100
4.3.2.1.2.1.12. Ataques de Engenharia Social
Alto Risco
Este tipo de ataque merece um destaque todo especial. Com certeza representa o maior
desafio para as instituies financeiras, pois esse ataque trabalha com o
comportamento das pessoas, usurias dos servios de internet banking. J escrevemos
sobre o despreparo das pessoas quanto ao uso da rede mundial de computadores. Alie-
se, ento, a explorao por parte dos atacantes dos desejos de ganhos e da curiosidade
dos usurios, para dissimular as aes de ataque.
101
Figura 4.4: Trojan concurso Petrobrs
102
Voc est sendo
trado
(Sou um amigo!)
103
Figura 4.8: Trojan via site de charges
104
ser informado em um computador previamente cadastrado, na agncia de
relacionamento, nas centrais de atendimento ou nos terminais de auto-atendimento. O
ataque de engenharia social para essa soluo consiste em solicitar ao cliente, em troca
de alguma premiao, via e-mail supostamente enviado pelo banco, que faa o
cadastro de um determinado cdigo de cadastramento de computador. Ao faz-lo, o
cliente estar cadastrando o equipamento do atacante que, de posse de seus dados
bancrios poder transacionar com o banco.
105
O ataque de engenharia social consiste em solicitar ao cliente, tambm via e-mail
supostamente enviado pelo banco, que digite suas 70 senhas. O que constatamos que h
usurios que o fazem.
O grande desafio enfrentado pelos bancos do mundo inteiro auxiliar seus clientes no
gerenciamento de seus ambientes, quanto ao nvel de segurana implementado. Como as
instituies no possuem controle sobre o ambiente do cliente, essa atividade ainda mais
onerosa. Observamos diversas iniciativas adotadas para minimizar os riscos no ambiente dos
clientes. Essas iniciativas sero abordadas no decorrer deste trabalho. Contudo, face
diversidade de leis e regulamentos, muitas das medidas de segurana esbarram em leis que se
prestam a defender a privacidade das pessoas, impedindo uma atuao mais eficiente dos
aplicativos no ambiente dos clientes.
De acordo com o site do Federal Financial Institutions Examination Council [23] [24],
os servios de banco on-line um novo canal de negociao onde as leis e regulamentos
podem ser ambguos ou ainda em desenvolvimento. Esses regulamentos incluem:
106
atualizar as leis e regulamentos para refletir o impacto do e-banking e relacionamentos com os
clientes virtuais. Alguns dos requerimentos legais e normativos nos Estados Unidos [63] que
freqentemente se aplicam aos produtos e servios e-banking incluem:
Divulgao destacada nas pginas web indicando que certos tipos de investimento,
corretagem e produtos de seguro oferecidos tm alguns tipos de riscos associados,
incluindo no estarem cobertos por seguros do FDIC ou NCUA;
107
pela necessidade de assegurar consistncia entre propagandas em papel e eletrnicas,
divulgaes e notcias. Informaes adicionais sobre requerimentos de conformidade para e-
banking podem ser encontradas nos web sites das agncias reguladoras.
A iniciativa mais recente para o tratamento do tema com mais profundidade reside no
Substitutivo de Projeto de Lei de autoria do senador Eduardo Azeredo, do ano de 2003 [51].
H uma expectativa quanto ao seu envio para sano do presidente da repblica ainda neste
ano.
Antes dessa, outras iniciativas tambm trataram do assunto, sem que fossem
implementadas. Resumimos a seguir as principais medidas propostas anteriormente.
Visava alterar o cdigo penal para que se aumentasse, em at 03 vezes, a pena prevista
para os crimes contra a pessoa, o patrimnio, a propriedade imaterial e intelectual, os
108
costumes, e a criana e o adolescente, na hiptese de tais crimes serem cometidos por
meio da utilizao da tecnologia da informao e telecomunicaes.
Visava criar tipos penais tanto para delitos cometidos contra sistemas de computador, quanto
por meio de computador. Destacam-se:
acesso indevido a meio eletrnico (art. 154-A);
manipulao indevida de informao eletrnica (art. 154-B);
definio de meio eletrnico e sistema informatizado, para efeitos penais (art. 154-
C);
difuso de vrus eletrnico (art. 163 3.);
pornografia infantil (art. 218-A);
falsificao de telefone celular ou meio de acesso a sistema informtico (art. 298-A);
Inserir no Cdigo Penal (CP) o artigo 163-A para tipificar o crime de dano por
difuso de vrus eletrnico;
Inserir no CP os artigos:
109
o Art. 154-A: Acessar indevidamente ou sem autorizao dispositivo de
comunicao ou sistema informatizado. Pena: recluso de dois a quatro
anos e multa.
o Art. 154-B: Manter, transportar ou fornecer indevidamente ou sem
autorizao dado ou informao obtidos em dispositivo de
comunicao ou sistema informatizado. Pena: recluso de dois a quatro
anos e multa.
o Art. 154-D: Difundir, por qualquer meio, sistema informatizado com o
propsito de induzir algum a fornecer, espontaneamente e por
qualquer meio, dados ou informaes que facilitem ou permitam o
acesso indevido ou sem autorizao a dispositivo de comunicao ou a
sistema informatizado. Pena: recluso de dois a quatro anos e multa.
o Art. 154F tipificando a conduta de permitir acesso por usurio no
identificado e autenticado. Este ltimo item fez emergir calorosas
discusses nos diversos meios da sociedade, sobre a liberdade de
navegao na internet, culminando, em 07/11/2006, com o adiamento
da votao.
o Art. 154-H: Utilizar, de forma annima, dispositivo de comunicao ou
sistema informatizado para o envio de mensagem eletrnica de
qualquer tipo. Pena: recluso de um a dois anos e multa.
Acrescentar, ainda no CP, o art. 183A, para equiparar coisa todo dado ou
informao em meio eletrnico; a base de dados armazenada em dispositivo de
comunicao e o sistema informatizado, a senha ou qualquer meio que
proporcione acesso aos mesmos;
Alterar o art. 265 do CP, para incluir como objeto do crime de atentado os
servios de comunicao e telecomunicao;
110
Alterar o art. 266 do CP, para prever o crime de perturbao ou interrupo de
servio telemtico ou de telecomunicao;
111
riscos, tendo em vista a constante alterao nas formas de ataques, na identificao de novas
vulnerabilidades e de novos cdigos maliciosos.
De posse dos dados resultantes da monitorao dos ambientes dos clientes e dos
bancos, e identificados os riscos a que a instituio est exposta, iniciam-se as fases de anlise
dos riscos e planejamento das aes de gesto.
Remetendo ao item 2.3.2, o administrador pode utilizar vrias tcnicas para analisar os
riscos identificados, com o objetivo de mapear aqueles de maior criticidade. Desta forma, os
gestores podero direcionar seus esforos e recursos para minimiz-los, a partir dos nveis
mais altos de exposio.
Medidas preventivas;
Medidas detectivas; e
Medidas corretivas.
112
atividade, apresentamos, no anexo II, planilha para anlise, planejamento e monitorao de
riscos, na qual possvel identificar todos os elementos anteriormente citados.
Analisando-se a tabela 4.1, obtemos uma mdia de 111 ocorrncias de trojans por dia
enviados aos clientes. So ocorrncias diversas, mas com o mesmo intuito de obter os dados
dos usurios. Em suma, uma diversidade muito grande de armadilhas, que distribudas em
um universo de aproximadamente 26 milhes de contas correntes (figura 1.3) elevam as
probabilidades sucesso desse tipo de ataque.
113
4.2.3.1. O COMPORTAMENTO DAS FRAUDES
Paralelamente pesquisa sobre os ataques sofridos pelas instituies financeiras,
procedemos com uma pesquisa sobre o comportamento dos atacantes, quanto ao modus
operandi empregado nos ataques.
A concluso a que chegamos de que o atacante busca sempre o caminho mais fcil
para seu ataque. No encontramos materialidade suficiente relacionada com ataques a
criptogramas, por exemplo. Esse tipo de ataque demanda um investimento muito alto tanto
financeiramente, quanto de tempo e de conhecimento. O atacante busca sempre a forma mais
simples para consecuo de seus objetivos. Percebe-se que em todos os momentos em que h
implementao de aes de segurana por parte das instituies financeiras, os ataques
decrescem imediatamente, sinalizando uma fuga para outros bancos que ainda no
implementaram medida adequada.
Pesquisa divulgada pelo Gartner Group [27], em 02 de junho de 2006, retrata o acima
exposto. De acordo com a pesquisa, o mercado bancrio brasileiro sempre esteve frente na
luta contra o cybercrime. Os bancos brasileiros tm presenciado todo tipo de ataque em seus
servios de internet banking, conforme figura 4.10. Por essa representao, percebemos a
evoluo dos ataques nos ltimos quatro anos, desde os keyloggers at o mais recente tipo de
ataque man in the middle. Contudo, todas as formas apresentadas atuam no ambiente do
cliente, ou seja, no elo mais fraco da cadeia de segurana. A ausncia de legislao especfica
para o combate dos crimes virtuais contribui como motivador para o nmero de ocorrncias
registradas.
114
Sofistificao
Man in the
Middle
Trojan/Virus/
Spyware
Phishing/Fake
Web Site
Mouse/Screen
Logging
Keylogging
115
se percebeu, logo em seguida, foi a migrao dos ataques para o ambiente de internet
banking, que no exigia cadastramento prvio para realizao de transaes financeiras.
Este fato, tambm vem a ser um problema a mais para os bancos. Embora disponveis
para uso pelos clientes, alguns optam por no as utilizarem, por motivos diversos. Assim, os
ataques ainda continuam a surtir efeito, embora em menores grandezas.
Ao juntarmos as figuras 4.10, 4.11 e 4.12, conforme mostrado na tabela 4.5, podemos
observar as ameaas e as medidas de segurana adotadas pelos bancos. Percebemos o atraso
que existe entre a deteco de um novo tipo de ameaa e a adoo da soluo de segurana.
Esse atraso pode ser explicado por alguma falha no processo de gerenciamento de riscos
algumas etapas podem no estar sendo conduzidas apropriadamente.
116
Evoluo dos ataques
Clique oculto e
Reduo de limites e Melhoria no
randomizao de
melhoria no monitoramento monitoramento e
teclado
novos limites
Cadastramento de
computadores
Teclado virtual
obrigatrio
out/03
nov/04
abr/05
set/05
out/05
jan/03
jun/03
jan/04
jun/04
jun/05
jan/06
mar/03
mar/05
mai/06
Figura 4.12: Evoluo dos Ataques versus implantao de soluo de
segurana
Legenda:
Keylogger ataque de captura das teclas digitadas
Screen Capture ataque de captura das telas, buscando identificar a posio do
teclado virtual.
Fake web site pginas falsas de bancos
Man in the middle ataque de envenenamento da transao
Virtual keyboard teclado virtual
Browser defense programa que blinda o browser do cliente quanto ataques de
captura de teclado e tela.
Monitoring monitoramento exercido pelos bancos sobre as transaes dos clientes.
Cryptography uso de criptografia como soluo de autenticao e confidencialidade
117
Figura 4.13: Teclado Virtual
118
perpetrar fraudes. A gesto desse risco vem sendo tratada de diversas formas pelas
instituies, na busca de elevar o nvel de segurana do processo de autenticao.
Embora no determine qual tecnologia deva ser adotada, promove a discusso sobre
diversas formas de autenticao, como por exemplo, a biometria e os smart cards. O guia d
nfase ao fato de que a adoo de senhas reutilizveis no mais suficiente para proteger os
usurios das ameaas do mundo virtual, bem como das fraudes eletrnicas. A publicao
desse documento visto como um fator de motivao para que as instituies promovam
melhorias quanto segurana dos acessos de seus clientes aos servios on-line.
119
No utiliza teclado virtual. O acesso no se d pela conta, mas por combinao
de nome e cdigo de oito dgitos. A senha tem tamanho de 04 dgitos.
3. Citibank www.citi.com
No utiliza teclado virtual. O cdigo do usurio e a senha so informados via
digitao dos caracteres. O cdigo do usurio cadastrado online informando
o nmero do carto de crdito ou dbito e da conta. Nos acessos subseqentes
s usa o cdigo do usurio, no precisa mais do nmero da conta ou carto.
4. Bank of America www.bofa.com
Sem utilizao de teclado virtual. So usados cdigo do usurio, figura e
senha. No primeiro acesso, o usurio escolhe, alm do cdigo e da senha
internet, uma figura, supostamente para garantir a origem do site. Ao fazer o
sign-on informado o cdigo do usurio e, antes de informar a senha,
apresentada a figura para que o usurio confirme se a previamente escolhida.
120
5. Banco da Malsia Maybank2u.com
No utiliza teclado virtual. O acesso se d pela conta e senha.
121
atacantes no obrigatoriamente esto localizados em territrio ingls e sujeitos legislao
local. Sob essa anlise, os resultados apresentados pela uSwitch se justificam.
O Brasil, talvez por falta de uma legislao mais eficiente, est frente desses pases
em termos de adoo de solues de autenticao. Teclados virtuais, browser defense, senhas
dinmicas, cadastramento de computadores, biometria e mais recentemente a certificao
digital so medidas j adotadas por vrios bancos.
122
Sobre o uso de autenticao por certificao digital (tokens, smart-card) ou mesmo
biometria, os bancos estariam mais propensos pelos dispositivos de tokens ao invs de
biometria, pelos custos associados. Os clientes, entretanto, preferem o uso da biometria, como
demonstrado pela pesquisa realizada pelo Gartner [29], em maio de 2005 figura 4.16.
30
25
20
15
10
0
Phone Call Smart USB Key Fob OTP Biometrics
from Provider CardReader dedicated bulit into PC
Attached to Token
PC
O artigo State of the Art for Online Consumer Authentication [29], publicado pelo
Gartner Group, em 05/05/2006, trata do problema enfrentado pelas instituies financeiras, no
mundo todo, quanto identificao e autenticao de seus clientes, usurios dos servios de
internet banking. De acordo com esse artigo, autenticao forte necessria, mas nunca ser
suficiente, por si s, mas apenas uma camada em uma arquitetura que demanda outros nveis
de proteo.
123
brasileiros destacam-se, perante o resto do mundo, na adoo de medidas complementares de
segurana.
Esse tipo de autenticao ainda bastante utilizado pelos bancos nos Estados Unidos e
outros pases fora do Brasil. Vide exemplos indicados na seo anterior.
124
Embora proteja o usurio contra ataques de keyloggers, vulnervel aos mouseloggers
e screenloggers, ou seja, trojans que capturam as telas acessadas e conseqentemente o
movimento e clique dos mouses.
As senhas cognitivas, embora sejam de fcil utilizao pelos clientes, esto sujeitas
aos ataques de engenharia social e trojans que capturam teclados ou telas. Aps um certo
nmero de observaes possvel ao atacante constituir banco de dados com as informaes
dos clientes.
Como a instituio usa uma lista pr-definida, o atacante pode utilizar-se dos ataques
de spoofing e phishing. Apresenta ao cliente um site forjado do internet banking da instituio
125
e solicita os dados dos clientes, inclusive um nmero da lista. Em resposta aos dados
digitados, o atacante pode alegar que o nmero j foi utilizado, induzindo o cliente a digitar
outro nmero. Assim, o atacante obtm um nmero vlido de senha dinmica.
Baixo custo e fcil utilizao so os pontos fortes dessa soluo. Contudo, est sujeita
a ataques de engenharia social, conforme j detalhado em Ataques de Engenharia Social.
Tambm possui os mesmos inconvenientes quanto guarda e transporte seguros do carto.
Como o carto no possui proteo para encobrir os nmeros, a cpia do seu contedo
facilitada, por meio de scanner ou fotocopiadoras.
126
Alguns bancos brasileiros, dentre os quais o Banco do Brasil, j disponibilizam aos
seus clientes a soluo de certificao digital para autenticao forte [20].
127
para enganar os usurios e cadastrarem seus prprios computadores. A mobilidade tambm se
apresenta como fator de desvantagem, pois para efetuar as transaes financeiras, os clientes
devem, a priori, cadastrar os computadores.
128
A ISO 17799 [36] dispe no captulo 9, item 9.7 que: Convm que os sistemas sejam
monitorados para detectar divergncias entre a poltica de controle de acesso e os registros de
eventos monitorados, fornecendo evidncias no caso de incidentes de segurana.
Foi justamente como base no trabalho desenvolvido pelos CSIRT das instituies
financeiras, que desenvolvemos nossas pesquisas. Esse grupo mantm uma ao conjunta na
identificao de eventos maliciosos e troca de informaes, contribuindo para uma maior
agilidade na adoo das aes corretivas.
129
como forma de medir a eficcia dos controles estabelecidos. Lembremo-nos, que para aqueles
riscos classificados dentro da estratgia de convivncia, o acompanhamento da evoluo do
nvel de criticidade fundamental e pode influenciar na reavaliao da estratgia adotada
pelos administradores.
Por fim, a deciso pela continuidade dos planos atuais se justifica quando os relatos da
monitorao indicam que todos os fatores esto se comportando dentro do planejado.
130
Quanto ao processo de comunicao, este se destina a prover informaes sobre os
riscos identificados, bem como sobre o aparecimento de novas situaes.
O processo deve ser exercido em via de mo dupla, ou seja, tanto pelos responsveis
por garantir a segurana dos servios de internet banking, como pelos funcionrios e clientes
de um modo geral. Sem a participao ativa dos funcionrios, e dos clientes, atravs de relatos
sobre incidentes de segurana, a eficcia da gesto de riscos pode diminuir significativamente.
Assim, torna-se imprescindvel que usurios saibam da importncia de relatar incidentes de
segurana, assim como a forma e o local de envio dos relatos.
131
5. APLICAO DA PROPOSTA
M o n i t o r a me n t o
Eventos Eventos
Medidas
Negcio Bancrio
Internet Banking
132
Pela figuras 5.2 percebemos, de forma clara, que at incio de 2004 o gap de tempo
entre a deteco de eventos maliciosos e a adoo de medidas adicionais de segurana
possibilitava um nmero elevado de fraudes bancrias.
T T T T T T T
133
A figura 5.3 apresenta a curva 2 como representao da variao de tempo desejvel,
quando aplicados os conceitos de gerenciamento de riscos. O uso disciplinado e maduro
possibilita a reduo do tempo de resposta aos ataques detectados. A diminuio representa
uma atuao mais rpida pelas instituies, implicando na reduo das fraudes e
conseqentemente no nmero de ataques com sucesso.
t t t
Legenda: Curva 1
Curva 2
134
6. CONCLUSO
Nesse contexto, as fases de monitorao, pela atuao conjunta das equipes de CSIRT
Computer Security Incident Response Team e a anlise dos eventos detectados exercem
papis fundamentais para o amadurecimento do modelo apresentado.
De acordo com Liliana Rojas-Surez [58], uma das caractersticas do futuro do setor
bancrio pelo mundo a de melhorar as tcnicas de avaliaes de risco e o Brasil no
exceo.
135
No Brasil, a deficincia nas leis quanto tipificao de crimes virtuais e das
respectivas penas considerada como um dos fatores que favorecem o crescente nmero de
ataques.
Quanto ao risco de imagem, essencial que os clientes tenham uma clara percepo de
segurana, quando transacionando com seus bancos. A adoo de solues seguras favorece
esse objetivo e contribui para a fidelizao dos usurios.
Quanto aos ataques desferidos contra o ambiente das instituies, conclumos que so
todos conhecidos e suas correes disponveis nos web sites dos fornecedores dos aplicativos.
Aqui, a vulnerabilidade consiste na demora, ou despreparo por parte dos administradores de
rede em atualizar os ambientes.
Sobre o comportamento dos atacantes, ficou evidenciado que esses buscam sempre o
caminho mais fcil. Em todos os momentos em que os bancos implementam medidas
adicionais de segurana, percebe-se uma diminuio do nmero de ataques. Essa diminuio
136
pode significar a migrao dos ataques para outros bancos que ainda no implementaram
medidas semelhantes.
137
Essa estratgia fruto da utilizao efetiva do modelo de gerenciamento de riscos,
onde percebemos a utilizao direta das fases de identificao, anlise, planejamento e
monitorao.
138
BIBLIOGRAFIA
139
acessado em 10/08/2006
[17] Dorofee, Andrey J., Walker, Julie A., Alberts, J.Christopher, Higuera, Ronald P.,
Murphy, Rochard L., Williams, Ray C. Continuous Risk Management Guidebook,
SEI Software Engineering Institute da Carnegie Mellon University.
[18] FDIC FEDERAL DEPOSIT INSURANCE CORPORATION Authentication in
an Electronic Banking Environment.pdf
[19] FDIC FEDERAL DEPOSIT INSURANCE CORPORATION, Tips for Safe
Banking Over the Internet. Disponvel em:
http://www.newyorkfed.org/education/addpub/safeinternet.pdf. Acessado em
03/08/2007
[20] FEBRABAN Federao Brasileira de Bancos, CIAB 2006 Apresentao
sobre Uso da Certificao Digital no Banco do Brasil S.A., proferida pela Sra.
Francimara Viotti em junho/2006.
[21] FEBRABAN Federao Brasileira de Bancos, http://www.febraban.org.br/.
Artigo Bancarizao. Artigo restrito aos bancos associados federao.
Disponvel com o autor desta dissertao.
[22] FFIEC Federal Financial Institutions Examination Councils, FFIEC-
authentication_guidance.pdf.
[23] FFIEC Federal Financial Institutions Examination Councils,
http://www.ffiec.gov/ffiecinfobase/booklets/e_banking/ebanking_01_risks.html
[24] FFIEC Federal Financial Institutions Examination Councils,
http://www.ffiec.gov/ffiecinfobase/booklets/e_banking/ebanking_00_intro_def.ht
ml. Acessado em 03/08/2007.
[25] FFIEC Federal Financial Institutions Examination Councils,
http://www.ffiec.gov/ffiecinfobase/booklets/e_banking/e_banking.pdf IT
Examination Handbook E-Banking agosto 2003.
[26] Gartner Group Conduct a SWOT Analysis to Shape Your Sourcing Practice,
September 2004.
[27] Gartner Group Artigo: HSBC Bank Brasil Turns to Back-End Fraud Detection
to Curb Cybercrime.
[28] Gartner Group Regulators Tell U.S. Banks to Adopt Stronger Risk-Based
Authentication.pdf, Publication date: 27 Octuber 2005.
[29] GARTNER GROUP Publicao: State of the Art for Online Consumer
Authentication.pdf
[30] GLOBAL MARKET INSITE, Online Banking Gaining Worldwide Momentum,
Disponvel em: http://www.gmi-mr.com/gmipoll/release.php?p=20051019.
Acessado em: 01.03.2007
[31] GRIFFITHS DAVID, Risk Based Internal Auditing. Disponvel em:
http://www.internalaudit.biz/files/introduction/Internalauditv2_0_3.pdf.Acessado
em 07/09/2006.
[32] GTAG GLOBAL TECHNOLOGY AUDIT GUIDE, Publicao: Management
of IT Auditing.pdf
[33] HOLTON, GLYN. Defining Risks Financial Analysts Journal Volume 60
Number 6, page 22 (2004, November)
[34] IBGC INSTITUTO BRASILEIRO DE GOVERNANA CORPORATIVA,
Governana Princpios IBGC , http://www.ibgc.org.br/ibConteudo.asp?IDArea=2.
acessado em 03/08/2007.
140
[35] INSTITUTE Of CHARTERED ACCOUNTANTS In ENGLAND & WALES,
Policy Risk Management and Reporting, Risk Management in Small and
Medium Sized Enterprises.pdf. Disponvel em
http://www.icaew.com/index.cfm?route=120062. Acessado em 03/08/2007.
[36] INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, Publicao
ISO 17799.pdf
[37] INTENET SECURITY SYSTEMS, Disponvel em
https://gtoc.iss.net/issEn/delivery/gtoc/index.jsp. Acessado em 03/08/2007.
[38] ISO International Organization For Standardization / IEC Guide 73 Risk
Management Standards page 03, Ferma Federation of European Risk
Management Associations, 2003
[39] IT Control Objectives for Sarbanes-Oxley, 2nd Edition
[40] Kawano, Carmen. http://revistagalileu.globo.com/Galileu/0,6993,ECT705269-
2680,00.html. Acessado em 03/08/2007.
[41] KEYNES, JOHN MAYNARD. A Treatise on Probability. Londres, 1921.
[42] KNIGHT, FRANK. Risk, Uncertainty and Profit. New York, 1921.
[43] KNIGHT, KEVIN, Revista Security Review, maro/abril de 2006 pginas 8,9,
10 e 12
[44] LIVRO-TEXTO PARA O EXAME CISA, Estrutura de Controles Internos
COSO Commitee of Sponsoring Organizations of the Treadway Commission
Comit das Organizaes Patrocinadoras da Treadway Commission.
[45] LOPES & ASSOCIADOS. O Novo Acordo de Capital da Basilia, boletim Risk
Bank, de 21/08/2002.
[46] LORENZONNI, PABLO. http://www.propus.com.br/articles/alt/1/1.html.
Acessado em 03/12/2006.
[47] Mdulo Security
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=4954&pagenumbe
r=0&idiom=0, acessado em 03/12/2006.
[48] MDULO SECURITY, www.modulo.com.br documento: Ataques com
phishing a computadores domsticos no Reino Unido crescem 800% em um ano.
acessado em 29/10/2006.
[49] OCONNOR J. J. e ROBERTSON E. F. http://www-history.mcs.st-
andrews.ac.uk/Biographies/Bernoulli_Jacob.html. Acessado em 03/08/2007.
[50] PAMPLONA, EDSON DE OLIVEIRA. Avaliao Quantitativa de Cost Drivers
pelo mtodo AHP, http://www.iepg.unifei.edu.br/edson/download/Artavalahp.pdf.
Acessado em 03.08.2007.
[51] Pareceres da Comisso de Constituio, Justia e Cidadania e da Comisso de
Educao sobre o Substitutivo de Projeto de Lei de autoria do senador Eduardo
Azeredo, 2006.
[52] PEIXOTO, RODNEY De CASTRO, Mdulo Security Magazine, 12 de abril de
2004.
[53] SAATY ,THOMAS. Apostila do Banco do Brasil sobre Analytic Hierarchy
Process.
[54] SILVEIRA, ALEXANDRE DI MICELI Da, Governana Corporativa
Desempenho e Valor da Empresa no Brasil, Tese de Mestrado em Administrao
apresentada Faculdade de Economia, Administrao e Contabilidade, USP -
Universidade de So Paulo, 2002
141
[55] SIMONIS, ADILSON. Em://www.ime.usp.br/~asimonis/probmagna.html.
Acessado em 03.08.2007.
[56] SOPHOS, Security Information, http://www.sophos.com/security/. Acessado em
01/05/2007
[57] SOUZA, SILAS ROBERTO. Macroavaliao de Riscos em Auditoria Interna.
Apostila do seminrio de Formao de Auditores Internos da gerncia de auditoria
de sistemas do Banco do Brasil, junho 2006.
[58] SUREZ LILIANA ROJAS, Center for Global Development. Apresentao O
Futuro das Operaes Bancrias: Perspectivas Globais e o Brasil, Braslia 28 de
julho de 2007.
[59] THE INSTITUTE OF INTERNAL AUDITORS. Global Techonology Audit
Guide BROCHURE_Mar10__1.pdf
[60] THE INSTITUTE OF INTERNAL AUDITORS.
http://www.theiia.org/download.cfm?file=42122 Putting COSO Theory into
Practice, Tone at the Top, The Institute of Internal Auditors, November 2005
(PDF). Disponvel em 03/08/2007.
[61] THE INSTITUTE OF INTERNAL AUDITORS. The Role of Internal Audit in
Risk Management, Disponvel em http://www.iia.org.uk/cms/IIA/uploads/-
38c9a362-ed71ce5fa5--7770/PositionStatementRiskManagement.pdf. Acessado
em 03/08/2007.
[62] Transaes Bancrias e Automao. Disponvel em:
http://www.febraban.org.br/Arquivo/Servicos/Dadosdosetor/2006/item05.asp.
Accessado em 01.03.2007. rea restrita necessrio senha de acesso. Disponvel
com o autor desta dissertao.
[63] U.S. GOVERNMENT PRINTING OFFICE, The text of the law
http://www.access.gpo.gov/index.html. Acessao em 03/08/2007.
[64] Weihrich, H. (1982) The TOWS matrix: a tool for situational analysis, Journal of
Long Range Planning, Vol. 15 Issue 2, pp.12-14.
[65] WIKIPEDIA. http://en.wikipedia.org/wiki/Law_of_large_numbers, acessado em
01/05/2007
[66] Gua para la realizacin del anlisis del Riesgo medioambiental.pdf, editado pelo
Ministrio do Interior da Espanha; Norma de Gesto de Riscos, editada pela
Federacion of European Risk Management Associantions; Auditoria Interna: Um
Negcio Arriscado.pdf, David M Griffiths; Macroavaliao de Risco em
Auditoria Interna, Silas Roberto de Souza; Specchio Silvia Reina Astorino Matriz
de Riscos IBCB Instituto Brasileiro de Cincia Bancria; Kaplan Robert S.;
Norton David P. A Estratgia em Ao, Editora Campus, 1997; Continuous
Risk Management Guidebook, SEI Software Engineering Institute
[67] The Internal Control System.pdf. Working Group set up by the AMF Financial
Markets Authority.
142
ANEXO I
A
AHP Analytic Hierarchy Process
Ameaa (Threat)
Evento ou circunstncia que possa causar dano aos ativos de uma organizao, como
captura, destruio, alterao ou exposio de informaes. Tipos de ameaas: erros
operacionais, ataques maliciosos, fraude, roubo e falhas de aplicativos e
equipamentos, dentre outros.
Amostragem (Sampling)
143
Anlise S.W.O.T. (S.W.O.T. Analysis)
C
COBIT (Control Objectives for Information and related Technology)
Modelo (framework) que descreve uma estrutura de controle para a rea de tecnologia
da informao. Identifica uma lista de objetivos de controle e um conjunto de
diretrizes de auditoria. Descreve 04 domnios de atuao: Planejamento e
Organizao, Aquisio e Implementao, Entrega e Suporte e Monitorao.
Composto pelos representantes dos bancos centrais e das autoridades supervisoras dos
principais pases industrializados foi constitudo em 1974. Os acordos firmados pelo
Comit so balizadores para a superviso bancria mundial.
144
Controle interno (Internal Control)
E
Exposio (Exposure)
145
F
Fragilidade (weakness)
G
Gerenciamento de risco (Risk Management)
Processo de identificao dos riscos aos quais a empresa est exposta, sua
probabilidade de ocorrncia, bem como as medidas e os planos adotados para sua
preveno ou minimizao.
I
Impacto (Impact)
M
Materialidade (Materiality)
146
quantidade de operaes, pode no ter materialidade suficiente para representar uma
vulnerabilidade.
P
Ponto de Controle (Point of control)
Probabilidade (Probability)
R
Risco (Risk)
Risco de que uma falha possa ocorrer e que no seja prevenida ou detectada a tempo,
pelo sistema de controles internos.
Risco prprio do processo ou negcio. Risco de um erro ocorrer, supondo que no haja
controles institudos.
147
Risco Legal (Legal Risk)
Nvel de conforto aceitvel quanto exposio ao risco, face relao custos versus
benefcios da implementao de controles adicionais. Est diretamente relacionado
com o apetite de risco da organizao.
S
Segurana dos dados (Data security)
148
SOX Sarbanes Oxley
Lei aprovada pelo governo norte americano para coibir as fraudes contbeis, elevando
a credibilidade das informaes constantes nas demonstraes financeiras de empresas
que operam no mercado financeiro americano. Assim, todas as empresas que
transacionam suas aes na Bolsa de Valores de Nova Iorque (EUA) esto obrigadas a
atenderem o disposto nessa Lei. A SOX descreve 11 ttulos, ou sees, e foca
principalmente a Responsabilidade Penal da Diretoria. As sees 302 e 404 so as
mais discutidas. A 302 trata da responsabilidade pessoal dos Diretores Executivos e
Diretores Financeiros, enquanto a 404 determina avaliao anual dos controles e
procedimentos internos para fins de emisso do relatrio financeiro.
U
Utilidade (Utility)
V
Vulnerabilidade (Vulnerability)
149
ANEXO II
Categoria:
Risco Operacional, Legal, Imagem
Probabilidade: (1) Baixa; 2 (Mdia); 3 (Alta); (4) Muito Alta
Impacto: (1) Baixo; (2) Mdio; (3) Alto; (4) Muito Alto
Severidade: Impacto x Probabilidade
Ao Preventiva: detectar problemas, mesmo potenciais, antes que esses ocorram
Ao Detectiva: revela e reporta a ocorrncia de um erro, de uma omisso ou de aes maliciosas.
Ao Corretiva: minimizam o impacto de um fato consumado ou disparam a adoo de medidas corretivas para os problemas reportados pelas medidas detectivas
Indicadores de Risco: fatores capazes de identificar situaes de risco alm da desejada.
Providncia: medidas alternativas de correo ou de contingncia, para os casos oriundos dos indicadores de risco.
Status: situao em que se encontra o risco, podendo assumir valores como mitigado, controlado ou contingenciado.
Controle: Campo auxiliar para acompanhamento do planejamento. Exemplo: Mantido o Controle; Retirado o Controle
150