percepção de riscos cibernéticos nas atividades de ... · pdf file6 2....
TRANSCRIPT
1
Percepo de riscos cibernticos nas
atividades de administradores fiducirios e
intermedirios
Assessoria de Anlise Econmica
e Gesto de Riscos (ASA)
Trabalhos para Discusso
Julho de 2017
2
Elaborao: Equipe ASA
Contato: [email protected]
O presente estudo se beneficiou de relevantes contribuies em seu processo de elaborao feitas pela
Superintendncia de Tecnologia da Informao (STI), Superintendncia de Relaes com o Mercado e
Intermedirios (SMI), Superintendncia de Relaes com Investidores Institucionais (SIN) e a
Superintendncia de Proteo e Orientao aos Investidores (SOI), a quem agradecemos especialmente pelo
auxlio nas diversas etapas de elaborao do trabalho. As opinies e concluses apresentadas no trabalho
so de responsabilidade inteira de seus autores e no necessariamente expressam as da Comisso de
Valores Mobilirios ou de outras reas da Autarquia.
3
ndice
1. Introduo ................................................................................................................................................... 5
2. Objetivos do trabalho .................................................................................................................................. 6
3. Elaborao do questionrio ......................................................................................................................... 9
3.1. Parte A Percepo acerca das ameaas ........................................................................................... 9
3.2. Parte B Governana e gerenciamento de riscos cibernticos ........................................................ 10
3.3. Parte C Atuao do rgo regulador .............................................................................................. 12
4. Amostra e metodologia de anlise de risco .............................................................................................. 14
4.1. Metodologia de anlise de percepo de risco acerca das ameaas cibernticas ........................... 15
5. Resultados ................................................................................................................................................. 18
5.1. Panorama de prticas de gerenciamento de risco ciberntico ......................................................... 18
5.2. Percepo acerca das ameaas ......................................................................................................... 24
5.2.1. Sesso 1 Tipos de agressores .................................................................................................. 24
5.2.2. Sesso 2 Motivaes para ataque .......................................................................................... 26
5.2.3. Sesso 3 Processos operacionais e partes afetadas ............................................................... 27
5.2.4. Sesso 4 Formas de ataque .................................................................................................... 29
5.3. Governana e gerenciamento de riscos cibernticos ....................................................................... 31
5.3.1. Componentes da estrutura de gerenciamento de riscos cibernticos ..................................... 31
5.3.2. Identificao de vulnerabilidades .............................................................................................. 33
5.3.3. Proteo contra ameaas .......................................................................................................... 34
5.3.4. Deteco de ameaas ................................................................................................................ 36
5.3.5. Resposta a ameaas e recuperao de ativos ........................................................................... 37
5.3.6. Plataformas de negociao e ps-negociao .......................................................................... 40
5.4. Parte C - Mapeamento de percepo quanto atuao do rgo regulador .................................. 40
6. Concluso .................................................................................................................................................. 45
4
7. Bibliografia ................................................................................................................................................. 47
8. Anexos ....................................................................................................................................................... 49
Anexo I - Questionrios enviados .................................................................................................................. 49
Anexo II Mapas de calor ............................................................................................................................. 64
5
1. Introduo
1 O risco ciberntico consiste num tpico cada vez mais presente na academia e nos fruns de
reguladores internacionais de mercado de capitais, alm de mais recentemente aparecer nas pautas
regulatrias dos diversos pases. Destaca-se dentre os motivos para essa crescente preocupao a
maior relevncia dos processos automatizados no mercado de capitais e sua potencial faceta de
risco sistmico, principalmente quando considerada a interconexo com os diferentes
participantes da indstria financeira.
2 Alm da consulta da literatura acadmica e produzida por organismos internacionais, foi utilizado
questionrio conduzido com alguns participantes do mercado de capitais brasileiro no intuito de
se obter, de forma exploratria, a percepo dos jurisdicionados da CVM em relao a riscos
cibernticos em suas atividades, bem como alguns contornos das prticas vigentes de
gerenciamento de riscos cibernticos.
3 Dessa forma, o presente estudo busca evidenciar a percepo quanto a riscos cibernticos e
principais prticas de gerenciamento de riscos atravs da anlise das respostas do questionrio
luz da bibliografia consultada.
4 Para tanto, alm deste captulo introdutrio, o trabalho dividido em cinco captulos. O captulo 2
apresenta os objetivos perseguidos neste estudo e apresenta parte da bibliografia utilizada.
5 O captulo 3 trata das referncias utilizadas para elaborao do questionrio, exibindo as
motivaes e divises adotadas para o contedo abordado nele.
6 O prximo captulo expe como se constituiu a amostra de participantes do mercado consultada,
isto , intermedirios1 e administradores fiducirios, e a metodologia empregada para a anlise de
percepo de risco.
7 O captulo 5, o principal desse estudo, voltado para anlise dos resultados obtidos no
questionrio. Ele subdividido em 4 sees que versam sobre todo o contedo coberto pelo
survey, isto , i) um panorama de prticas de gerenciamento de riscos cibernticos adotadas pelos
participantes, ii) percepo acerca das ameaas, iii) percepo acerca da priorizao de
componentes de governana e gerenciamento de riscos cibernticos, e iv) percepo quanto
atuao do regulador.
8 O ultimo captulo voltado s concluses discorre sobre os principais resultados obtidos nas
anlises efetuadas, buscando ressaltar fragilidades reveladas e aes que poderiam ser
estimuladas.
9 Alm dos captulos citados acima ainda integram o trabalho Box explicativos com resumo dos
principais assuntos abordados no captulo, captulos de anexos contendo as verses do
questionrio enviado e todos os mapas de calor gerados para anlise da percepo de riscos.
1 Especificamente, refere-se s corretoras, distribuidoras de valores mobilirios e custodiantes.
6
2. Objetivos do trabalho
10 Nos ltimos anos, o tema risco ciberntico vem ganhando importncia nos fruns internacionais
de reguladores de mercados financeiros e de capitais no esteio da tendncia de crescente
automatizao de processos operacionais de seus jurisdicionados. Com o aumento da
automatizao e dependncia dos sistemas de informao, admite-se a maior probabilidade, maior
ocorrncia e sofisticao de ataques que explorem as vulnerabilidades associadas (Bank of
International Settlements, 2014, p.1)2.
11 Discute-se tambm nos fruns internacionais a faceta de risco sistmico possuda pelo risco
ciberntico. Essa caracterstica ocorre devido a diversas razes, tais como o tamanho dos
participantes, sua complexidade, o alto grau de interconexo da indstria, a alta dependncia dos
servios de infraestruturas financeiras para a continuidade operacional do mercado e desafios
oriundos da fragmentao jurisdicional dos mercados (Tendulkar, 2013, p.11 e p.21)3.
12 Outro fator que colabora para essa faceta a possibilidade de ataques por motivos distintos de
ganho financeiro puro, no qual a disposio ideolgica para desestabilizar o sistema financeiro
poderia incentivar ataques s infraestruturas (idem, p.4). Ou seja, a estrutura de incentivos mais
complexa, envolvendo fatores de cunho subjetivo aos agressores (idem, p.14-15).
13 Como ilustrao dessa preocupao, o survey de 2013 conduzido pela IOSCO em conjunto com a
WFE (idem, 2013, p.3) aponta que 89% das infraestruturas de mercado abordadas consideram que
o crime ciberntico no mercado de capitais pode ser considerado um risco sistmico.
14 Algumas jurisdies j adotaram aes no sentido de reforar a cibersegurana no mbito de seu
mercado de capitais. Por exemplo, nos EUA, a SEC j possui