1

Percepo de riscos cibernticos nas

atividades de administradores fiducirios e

intermedirios

Assessoria de Anlise Econmica

e Gesto de Riscos (ASA)

Trabalhos para Discusso

Julho de 2017

2

Elaborao: Equipe ASA

Contato: asa@cvm.gov.br

O presente estudo se beneficiou de relevantes contribuies em seu processo de elaborao feitas pela

Superintendncia de Tecnologia da Informao (STI), Superintendncia de Relaes com o Mercado e

Intermedirios (SMI), Superintendncia de Relaes com Investidores Institucionais (SIN) e a

Superintendncia de Proteo e Orientao aos Investidores (SOI), a quem agradecemos especialmente pelo

auxlio nas diversas etapas de elaborao do trabalho. As opinies e concluses apresentadas no trabalho

so de responsabilidade inteira de seus autores e no necessariamente expressam as da Comisso de

Valores Mobilirios ou de outras reas da Autarquia.

3

ndice

1. Introduo ................................................................................................................................................... 5

2. Objetivos do trabalho .................................................................................................................................. 6

3. Elaborao do questionrio ......................................................................................................................... 9

3.1. Parte A Percepo acerca das ameaas ........................................................................................... 9

3.2. Parte B Governana e gerenciamento de riscos cibernticos ........................................................ 10

3.3. Parte C Atuao do rgo regulador .............................................................................................. 12

4. Amostra e metodologia de anlise de risco .............................................................................................. 14

4.1. Metodologia de anlise de percepo de risco acerca das ameaas cibernticas ........................... 15

5. Resultados ................................................................................................................................................. 18

5.1. Panorama de prticas de gerenciamento de risco ciberntico ......................................................... 18

5.2. Percepo acerca das ameaas ......................................................................................................... 24

5.2.1. Sesso 1 Tipos de agressores .................................................................................................. 24

5.2.2. Sesso 2 Motivaes para ataque .......................................................................................... 26

5.2.3. Sesso 3 Processos operacionais e partes afetadas ............................................................... 27

5.2.4. Sesso 4 Formas de ataque .................................................................................................... 29

5.3. Governana e gerenciamento de riscos cibernticos ....................................................................... 31

5.3.1. Componentes da estrutura de gerenciamento de riscos cibernticos ..................................... 31

5.3.2. Identificao de vulnerabilidades .............................................................................................. 33

5.3.3. Proteo contra ameaas .......................................................................................................... 34

5.3.4. Deteco de ameaas ................................................................................................................ 36

5.3.5. Resposta a ameaas e recuperao de ativos ........................................................................... 37

5.3.6. Plataformas de negociao e ps-negociao .......................................................................... 40

5.4. Parte C - Mapeamento de percepo quanto atuao do rgo regulador .................................. 40

6. Concluso .................................................................................................................................................. 45

4

7. Bibliografia ................................................................................................................................................. 47

8. Anexos ....................................................................................................................................................... 49

Anexo I - Questionrios enviados .................................................................................................................. 49

Anexo II Mapas de calor ............................................................................................................................. 64

5

1. Introduo

1 O risco ciberntico consiste num tpico cada vez mais presente na academia e nos fruns de

reguladores internacionais de mercado de capitais, alm de mais recentemente aparecer nas pautas

regulatrias dos diversos pases. Destaca-se dentre os motivos para essa crescente preocupao a

maior relevncia dos processos automatizados no mercado de capitais e sua potencial faceta de

risco sistmico, principalmente quando considerada a interconexo com os diferentes

participantes da indstria financeira.

2 Alm da consulta da literatura acadmica e produzida por organismos internacionais, foi utilizado

questionrio conduzido com alguns participantes do mercado de capitais brasileiro no intuito de

se obter, de forma exploratria, a percepo dos jurisdicionados da CVM em relao a riscos

cibernticos em suas atividades, bem como alguns contornos das prticas vigentes de

gerenciamento de riscos cibernticos.

3 Dessa forma, o presente estudo busca evidenciar a percepo quanto a riscos cibernticos e

principais prticas de gerenciamento de riscos atravs da anlise das respostas do questionrio

luz da bibliografia consultada.

4 Para tanto, alm deste captulo introdutrio, o trabalho dividido em cinco captulos. O captulo 2

apresenta os objetivos perseguidos neste estudo e apresenta parte da bibliografia utilizada.

5 O captulo 3 trata das referncias utilizadas para elaborao do questionrio, exibindo as

motivaes e divises adotadas para o contedo abordado nele.

6 O prximo captulo expe como se constituiu a amostra de participantes do mercado consultada,

isto , intermedirios1 e administradores fiducirios, e a metodologia empregada para a anlise de

percepo de risco.

7 O captulo 5, o principal desse estudo, voltado para anlise dos resultados obtidos no

questionrio. Ele subdividido em 4 sees que versam sobre todo o contedo coberto pelo

survey, isto , i) um panorama de prticas de gerenciamento de riscos cibernticos adotadas pelos

participantes, ii) percepo acerca das ameaas, iii) percepo acerca da priorizao de

componentes de governana e gerenciamento de riscos cibernticos, e iv) percepo quanto

atuao do regulador.

8 O ultimo captulo voltado s concluses discorre sobre os principais resultados obtidos nas

anlises efetuadas, buscando ressaltar fragilidades reveladas e aes que poderiam ser

estimuladas.

9 Alm dos captulos citados acima ainda integram o trabalho Box explicativos com resumo dos

principais assuntos abordados no captulo, captulos de anexos contendo as verses do

questionrio enviado e todos os mapas de calor gerados para anlise da percepo de riscos.

1 Especificamente, refere-se s corretoras, distribuidoras de valores mobilirios e custodiantes.

6

2. Objetivos do trabalho

10 Nos ltimos anos, o tema risco ciberntico vem ganhando importncia nos fruns internacionais

de reguladores de mercados financeiros e de capitais no esteio da tendncia de crescente

automatizao de processos operacionais de seus jurisdicionados. Com o aumento da

automatizao e dependncia dos sistemas de informao, admite-se a maior probabilidade, maior

ocorrncia e sofisticao de ataques que explorem as vulnerabilidades associadas (Bank of

International Settlements, 2014, p.1)2.

11 Discute-se tambm nos fruns internacionais a faceta de risco sistmico possuda pelo risco

ciberntico. Essa caracterstica ocorre devido a diversas razes, tais como o tamanho dos

participantes, sua complexidade, o alto grau de interconexo da indstria, a alta dependncia dos

servios de infraestruturas financeiras para a continuidade operacional do mercado e desafios

oriundos da fragmentao jurisdicional dos mercados (Tendulkar, 2013, p.11 e p.21)3.

12 Outro fator que colabora para essa faceta a possibilidade de ataques por motivos distintos de

ganho financeiro puro, no qual a disposio ideolgica para desestabilizar o sistema financeiro

poderia incentivar ataques s infraestruturas (idem, p.4). Ou seja, a estrutura de incentivos mais

complexa, envolvendo fatores de cunho subjetivo aos agressores (idem, p.14-15).

13 Como ilustrao dessa preocupao, o survey de 2013 conduzido pela IOSCO em conjunto com a

WFE (idem, 2013, p.3) aponta que 89% das infraestruturas de mercado abordadas consideram que

o crime ciberntico no mercado de capitais pode ser considerado um risco sistmico.

14 Algumas jurisdies j adotaram aes no sentido de reforar a cibersegurana no mbito de seu

mercado de capitais. Por exemplo, nos EUA, a SEC j possui