Fraudes Eletrônicas no Sistema Financeiro MEYLAN .pdf · combate a fraudes de TI Principais...
Transcript of Fraudes Eletrônicas no Sistema Financeiro MEYLAN .pdf · combate a fraudes de TI Principais...
Fraudes Eletrônicas no Sistema Financeiro
7º. Congresso Febraban de Auditoria e Compliance
Outubro de 2006
2
Conteúdo
Panorama atual da segurança da informação e combate a fraudes de TIPrincipais vulnerabilidades dos sistemas corporativosDispositivos móveis redefinição do perímetro da rede corporativaOs desafios do combate a fraudes em aplicações WebConsiderações Finais
3
Panorama Atual da Segurança da Informação
A segurança da informação tem se tornado foco nas empresas principalmente devido aos seguintes motivadores:
Pressão ExternaPressão RegulamentarPressão Interna
4
Pressão Externa
Clientes / Fornecedores
Mídia
Órgãosreguladores
Funcionários
Controlador
Investidores potenciais
Avalistas financeiros
Acionistas minoritários
Analistas de mercado
Empresas/ Administração DF’s
5
Pressão Regulamentar
Empresas brasileiras cada vez mais afetadas pelas regulamentações locais e internacionais
Banco Central do BrasilCVMSECSarbanes-Oxley ActTurnbull (Inglaterra)KonTrag (Alemanha)Estudos em outros países
Empresas afetadas pela S-Ox:Empresas americanas com registro na SECSubsidiárias de empresas com registro na SECEmpresas de outras nacionalidades com cotação em bolsa de valores norte-americana
6
Pressão Interna
Os desafios do dia-a-dia que geram pressão interna sobre a área de TI e segurança:
Alta dependência de terceiros (disponibilidade)Recursos humanosInfra-estruturaAumento da carga gerencial
Aumento das vulnerabilidades (integridade e confidencialidade)Necessidade de aumento dos investimentos em controles de TIProvar a relação entre os investimentos em segurança e o benefício para o sucesso do negócioAumento das fraudes internas por meio de sistemas
7
Pressão Interna – Novos Canais
Responder em tempo às demandas de negócio sem comprometer a segurança
Demandas do negócio
Respostas às mudanças nos
negócios
Informação, conhecimento e inteligência do
negócio
Responsabilidades do negócio
Suporte de tecnologia
Desenvolvimento de soluções
Manutenção e gerenciamento de
mudanças
Fábrica de software
Serviços e suporte
Gerenciamento de fornecedores e terceiros
Responsabilidades de TI
Security Office
Definição das tecnologias de segurança
Uso de criptografia
Mecanismos de autenticação
Trilhas de auditoria
teste/homologação/produção
8
Pressão Interna – Combater Fraudes Internas
Motivadores das Fraudes Internas
Pressõesfinanceiras
Desafio
Atingirmetas
Oportunidade
Manipularpagamentos
ou bônus
Estilo de vida
Fraude por quê?
Encobrirerros
Asseguraremprego
9
Pressão Interna – Combater Fraudes Internas
-
Riscos de negócio
Riscos estruturais Riscos c
ulturai
s
Riscos pessoais
Perfil do Perfil do risco derisco defraudefraude
• Estilo autocrático• Desproporção de status
e personalidade• Comportamento incomum• Atos ilegais• Estilos de vida caros• Férias não gozadas• Staff de baixa educação/formação
• Estratégia de negócio deficiente
• Lucros acima da média do setor industrial
• Desproporção entre o crescimento e o desenvolvimento de sistemas
• Reputação deficiente• Problemas de liquidez
• Moral baixa• Alto “turnover” de staff• Remuneração ligada à perf.
• Estruturas complexas
• Filiais/subsidiárias distantes com baixa supervisão
• Resultados a qualquer custo
• Compromisso insatisfatório para controle
• Inexistência de um código de ética
• Obediência não questionável do staff
10
Pressão Interna – Combater Fraudes Internas
Elementos fundamentais para prevenir, desmotivar e detectar ações de fraude:
1. Criar e manter uma cultura de elevados padrões éticos e honestidade;
2. Avaliar os riscos de fraude e implementar os processos, procedimentos e controles necessários minimizar os riscos e reduzir a oportunidade para a fraude;
3. Desenvolver um processo de monitoramento adequado.
11
1- Criar e manter uma cultura de elevados padrões éticos e honestidade
É responsabilidade da organização criar uma cultura de elevados padrões éticos e comunicar claramente aos funcionários qual o comportamento e expectativas sobre cada um.
“Tone at the top” – Alta administração e gerências devem dar o exemploAmbiente de trabalho positivo e respeitosoProcesso transparente de contratação e promoçãoConfirmação – assinatura de código de condutaDisciplina – reação a incidentes ou suspeitas de fraudes
12
2- Avaliar os riscos de fraude e implementar controles preventivos e reativos
Toda fraude ocorre a partir da percepção da oportunidade de realizar o ato sem a possibilidade de sua identificação.A administração deve implementar e manter processos contínuos de:
Levantamento e classificação de riscos de fraude;Melhoria dos controles de combate a fraudes; eMonitoração das ações sobre os sistemas chaves.
13
3- Desenvolver um processo de monitoramento
Para que as companhias efetivamente prevenirem e combaterem as fraudes, devem implementar funções de acompanhamento:
Comitê de AuditoriaAuditoria InternaAuditores externos independentes
14
Pressão Interna – Combater Fraudes Internas - AçõesTecnologia
daInfor
mação
Acionamentodo Security
Office
ReuniãoEmergencial
do CIRT
Identificaçãoda causa e coleta de rastros
Aplicação do Plano de
Continuidadede Negócios
Avaliação das conseqüênciasfi nanceiras e
de imagem
Elaboração do Plano de Ação
Apresentaçãodo Relatório ao
Comitê de Segurança
Auditoria / Inspetoria
JurídicoRelaçõesPúblicas
RH
Parceiros de Segurança
Documentaçãoe ampliação da
base de conhecimento Security
Office
Colaboradores do CIRT
Suspeita de Incidente
Time de Respostaa Incidentes de TI
15
Pressão Interna – Combater Fraudes Internas - Ações
A investigação de incidentes de fraude eletrônica não se resume a executar ferramentas.Deve-se desenvolver metodologia para coleta e análise de informações com o apoio de softwares especializados.
Seleção e Captura dos
dados
“Limpeza” eorganização
dos dados
Seleção de Ferramentas
de busca
Desenvolvimentode modelos e
hipóteses
Interpretação,validação e
consolidação
Conclusõesparciais
16
Pressão Interna – Combater Fraudes Internas -Ações
A Seleção e Captura dos dados relevantes ao evento suspeito de fraude deve seguir procedimentos rígidos e utilização de ferramentas especializadas
Seleção e Captura dos
dados
Imagem dosdiscosdas
estações
Cópia doBackup dosE-mails noServidor
Cópia de dadosde dispositivos
móveis
Mail Server WWW Server
Base de dadospara busca e análise
de cenários
17
Pressão Interna – Combater Fraudes Internas -Ações
A análise dos dados capturados deve seguir passos pré-definidos e produzir documentação para sua reprodução:
Base de dadospara busca e análise
de cenários
Indexar o conteúdoAbrir arquivos compactadosApontar arquivos criptografadosApontar arquivos desconhecidosIndexar arquivos de email pessoaisIndexar arquivos de email no servidor
Busca por palavrasBusca por cenáriosBusca por pessoasBusca por gruposBusca por empresasBusca por transações
Preparação dos Dados Pesquisas
18
Pressão Interna – Combater Fraudes Internas -Ações
Ao final do processo, deve-se documentar as evidências levantadas, os envolvidos e o processo de obtenção dos dados que formam a evidência:
Mail Server
Base de dados
Imagem da estação
Cópia do backup
Busca por pessoasBusca por transaçõesBusca por pessoasBusca por transações
Indexar arquivos de:email pessoaisemail no servidor
19
Pressão Interna – Combater Fraudes Internas -Ações
Principais dificuldades enfrentadas pelos bancos:
Formação de uma equipe multidisciplinar (Mainframe, Windows, rede corporativa, rede wireless, etc)Compra e manutenção de softwares e equipamentos especializadosTreinamento periódico em processos, sistemas e ferramentas de investigaçãoGestão do conhecimento acumulado ao longo do tempo
Algumas soluções:Time misto: funcionários internos e terceiros especialistasUtilização de ferramentas específicas sob demanda
20
Pressão Interna – Combater Fraudes Internas -Ações
Elaboração de um programa de denúncias anônimas (Hotline de fraudes)
21
Pressão Interna – Combater Fraudes Internas –Ações – Hotline de Fraudes
Diferentes canais de comunicação podem ser utilizados por funcionários, clientes, acionistas para reportar fraudes, corrupção ou conduta inadequada:
Hotline: Número de telefone.
Hotfax: Número de fax. Complementa o serviço de telefone na medida quepermite o envio de documentos escritos, provas ou imagens de incidentes.
Hotmail: Endereço de email.
Hotpost: Endereço de caixa postal para correspondência.
Web reporting system: Sistema de denúncia por meio de página Web, assegurando a confidencialidade das informações e mantendo o denunciante anônimo.
22
Pressão Interna – Combater Fraudes Internas –Ações – Hotline de Fraudes
Meio de Comunicação
Telephone Fax Correio E-Mail
Voz Documento Arquivo
Denunciante reporta o incidente
Grava e registra Registra Registra
Relatório + evidências CLIENTE
Inicia investigação (quando necessário) Avalia a criticidade
23
Pressão Interna – Combater Fraudes Internas –Ações – Hotline de Fraudes
Discussões frequentes:
Implementar internamente ou contratar o serviço ?IndependênciaGarantir que os denunciantes não possam ser identificadosIntegridade das denúncias
Quem deve receber as denúncias na empresa ?
Como comunicar a existência do serviço para funcionários, clientes e terceiros ?
Como acompanhar a eficiência e eficácia do serviço ?
24
Conteúdo
Panorama atual da segurança da informação e combate a fraudes de TIPrincipais vulnerabilidades dos sistemas corporativosDispositivos móveis redefinição do perímetro da rede corporativaOs desafios do combate a fraudes em aplicações WebConsiderações Finais
25
Principais Vulnerabilidades nos SistemasCorporativos
Do ponto de vista de segurança, destacam-se como principais vulnerabilidades que afetam os sistemas:
Gerenciamento falho de usuáriosGestão inadequada de perfis de acessoInterfaces entre sistemas inseguras
26
Principais Vulnerabilidades nos SistemasCorporativos
Interfaces entre sistemas inseguras
Estudo de Caso: Fraude na folha de pagamento
Atualmente é muito comum a integração de sistemas distribuídospor meio da troca de arquivos no “formato texto” (ASCII);
Exporta arquivotexto
Importa arquivotexto
Sistema 1 Sistema 2
Arquivo é armazenado em um sistema de arquivosOu transportado em uma mídia
27
Principais Vulnerabilidades nos SistemasCorporativos
Estudo de Caso: Interfaces entre sistemas dependente de intervenção manual
Sistema de RH
Gera arquivo TXTFolha de Pagamento
Estação de acesso aoInternet Banking
Banco
28
Principais Vulnerabilidades nos SistemasCorporativos
Estudo de Caso: Interfaces entre sistemas dependente de intervenção manual
Sistema de RH
Gera arquivo TXTFolha de Pagamento
Estação de acesso aoInternet Banking
Banco
Inclusão de novas contascom valores associados
Remoção deBenefícios de funcionários
afastados
29
Principais Vulnerabilidades nos SistemasCorporativos
Estudo de Caso: Interfaces entre sistemas permitindointervenção manual
Sistema de RH
Gera arquivo TXTFolha de Pagamento
Estação de acesso aoInternet Banking
Banco
Inclusão de novas contascom valores associados
Remoção deBenefícios de funcionários
afastados
Como os valores totais eram mantidos, a empresa não detectavaA fraude
30
Principais Vulnerabilidades nos SistemasCorporativos
Interface entre Sistemas
Interfaces Vulneráveis
Interfaces manuaisArquivos texto de fácil ediçãoArquivos armazenados em servidores sem controle de acessoSem campos de controle
Interfaces Seguras
Interfaces automatizadasTransferências on-lineControle de integridade na importaçãoProcesso de conciliaçãoControle de erros
31
Conteúdo
Panorama atual da segurança da informação e combate a fraudes de TIPrincipais vulnerabilidades dos sistemas corporativosDispositivos móveis redefinição do perímetro da rede corporativaOs desafios do combate a fraudes em aplicações WebConsiderações Finais
32
Dispositivos Portáteis
Redefinição do Perímetro da Rede Corporativa
33
Redefinição do Perímetro da Rede
Situação tradicional
Situação emergente
Diversas tecnologias atuando
simultaneamenteDinâmica
Notebooks, Tablets, Palms, Celulares
Específicos de cada equipamento e SO
Rede Corporativa
Estações
SoftwaresInstalados
Tecnologia única para cada segmento
Mapeada e estática
Padronizadas
Inventariados e controlados
34
Redefinição do Perímetro da Rede
Internet
Firewall
Rede Corporativa
Mail Server WWW ServerDMZ - Internet
Firewall
WWW Server
DMZ - Terceiros
Firewall
Controle IDS
SQL ServerRede deTerceiros
Security Office
Anti-VírusServer
Server Farm
OS 390 Oracle HP-UX Win2K Solaris
Firewall
Visão Tradicional
Manutenção remota
35
Redefinição do Perímetro da Rede
Desafios da segurança da rede corporativa:Disseminação do uso de Notebooks;Implantação de redes wireless;Utilização de Palms, celulares;Gravadores de CD-ROM e DVD;Dispositivos externos via porta USB:
Tokens de memória (Pen drive);Tokens wireless;
36
Redefinição do Perímetro da Rede
Como lidar com os novos equipamentos portáteis disponíveis no mercado ?
Proibir o seu uso ?
Normatizar e controlar ?
Como garantir a segurança dainformação transportada ouarmazenada ?
CDMA/GSM/GPRS
Infrared
Serial/USB
MemoryCards
802.11
Bluetooth
Câmera
Gravador
Web
37
Redefinição do Perímetro da Rede
Rede Corporativa
Server Farm
Firewall
Internet
Gateway
Access Pointnão autorizado
38
Redefinição do Perímetro da Rede
Quais áreas detém informações sensíveis e não devem permitir a utilização de nenhum equipamento eletrônico ?
EngenhariaMarketing
Novos ProdutosCall Center
Diretoria AdministraçãoOperação
39
Conteúdo
Panorama atual da segurança da informação e combate a fraudes de TIPrincipais vulnerabilidades dos sistemas corporativosDispositivos móveis redefinição do perímetro da rede corporativaOs desafios do combate a fraudes em aplicações WebConsiderações Finais
40
Controles e Fraudes em Aplicações Web
Atualmente podemos dividir as aplicações Web em duas categorias:
InternosERP, aplicações específicas, etc.Autenticação de usuários baseada em usuário e senhaAbrangência limitada aos funcionários internosServidores e estações protegidos pela política de segurança corporativa
ExternosAplicações voltadas a clientes, fornecedores e parceiros externosGrande abrangência de utilizaçãoAmbiente de comunicação inseguro (Internet)
41
Controles e Fraudes em Aplicações Web
As aplicações Web voltadas a Internet despertam maior interesse sob a perspectiva de segurança
A maioria dos sistemas de comércio eletrônico operados por meio da Internet ainda são baseados em:
SSL (Secure Socket Layer) com autenticação apenas do servidorAutenticação do cliente com login/senha
Entre estes sistemas destacam-se:Internet BankingLojas VirtuaisAplicações Governamentais (e-Gov)Aplicações Médicas (resultados de exames laboratoriais)
42
Controles e Fraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos
Surgimento dasAplicações Web
Utilização de criptografiae certificação digital
(HTTPS)
Ataques de capturadores
de teclado
Utilização doTeclado Virtual
Incentivar o uso de:Anti-vírus
Personal FirewallAnti-trojan
Ataques de “DLL Hook”
43
Controles e Fraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.)
Ataques de sites
clonados
Confirmação doTitular da conta
Incorporação de novas
tecnologias nos portais
Digital BrandManagement
Verificação de servidores DNS dos provedores
de acesso a Internet
Rápida atuação com os
provedores de Backbonebrasileiros
Envio de e-mails falsificados,
requisitando dados pessoais
“Phishing”
44
Controles e Fraudes em Aplicações Web
O aprimoramento dos ataques de Phishing
45
Controles e Fraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.)
Personalização da páginapelo próprio cliente
Utilização de assistentesvirtuais
46
Controles e Fraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.)
Utilização de teclados virtuais
dinâmicos
Ataques de capturadores de
imagens (snapshots)
Ataques de intermediação
(Man in themiddle)
Teclados Virtuais com efeitos imã e desaparecimento
Ataques de memory dump
47
Controles e Fraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.)
Criptografia naAplicação Web
“Autenticação” da localizaçãodo acesso e estação utilizada
FFIEC exige autenticaçãoMulti-factor
48
Controles e Fraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.)
Implementação deCertificação Digital para:
Aplicações B2BInternet Banking Empresas
Desafio: certificação digitaldos clientes “Pessoa Física”
Autenticação da origemdo acesso do cliente
Desafio: autenticaçãodos clientes a partir de dispositivos
móveis (celular, palm, etc)
49
Controles e Fraudes em Aplicações Web
Em paralelo aos controles no nível das aplicações, os bancos estão mudando a forma de comunicação com os clientes:
Comunicação transparente e aberta sobre vulnerabilidadesUtilização de canais de comunicação de massa (TV, jornais, revistas)Distribuição de cartilhas de segurança e treinamentos on-line
A continuidade do desenvolvimento de aplicações Webfinanceiras na Internet depende da confiança dos usuários no canal.
O maior desafio atualmente é balancear o emprego dos recursos de segurança com a facilidade de utilização do sistema.
50
Considerações Finais
A prevenção às fraudes eletrônicas exige atualmente:O mapeamento detalhado dos processos de negócios e a respectiva infra-estrutura de TIA implementação de controles rígidos de:
Acesso e perfil de usuáriosInterfaces seguras entre sistemasRegistros de operações detalhadosSistemas de monitoramento de ações indevidas inteligentes e adaptáveis
O desenvolvimento de uma cultura corporativa de ética e honestidade, partindo da alta administraçãoO treinamento e conscientização e acompanhamento da postura dos funcionários
51
Considerações Finais (cont.)
A investigação de fraudes eletrônicas exige:A formação e capacitação de time multidisciplinar de auditoria de sistemasA aquisição e manutenção de ferramentas e equipamentos especializadosA elaboração de metodologias e normas para conduzir as investigações
Atualmente os bancos discutem quais competências devem estar internalizadas por motivos estratégicos e quais podem ser terceirizadas com empresas especializadas.
Um bom começo pode ser inserir terceiros à equipe de investigação existente com o objetivo de complementar com conhecimentos e ferramentas específicas.
52
Obrigado
Tel (0xx21) 3231-9415 / [email protected]
Risk Advisory Services
Frank Meylan
Tel (0xx11) [email protected]