Conselho Regional de Administração de São Paulo Fraudes e Governança em TI Frank Meylan Sócio KPMG São Paulo, SP 20 de maio de 2008 © 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.

Currículo do Painelista Frank Meylan Sócio – KPMG Risk Advisory Services Qualificações Frank é formado em Ciências da Computação pelo Instituto de Matemática e Estatística da Universidade de São Paulo - IME – USP Possui Mestrado e Doutorado pela Escola Politécnica da Universidade de São Paulo em redes de computadores e segurança da informação. Obteve a certificação GIAC Certified Firewall Analyst pelo SANS Institute. Ministrou as disciplinas de Estruturação da Área de Segurança e Redes TCP/IP nos programas de mestrado do IPEN (Instituto de Pesquisas Energéticas e Nucleares) e IPT (Instituto de Pesquisas Tecnológicas), respectivamente. Além disso, é responsável pela orientação de dissertações de mestrados de diversos alunos. Nome XXX

Governança e Fraudes em TI

Conteúdo As ameaças de incidentes e fraudes em TI Ameaças externas – fraudes em aplicações Web Ameaças internas – principais causas de fraudes em sistemas corporativos As fraudes em TI podem ser evitadas ? Aprimorando a Governança de TI

As ameaças de Incidentes e Fraudes em TI As fraudes em TI podem ocorrer de diferentes formas, dependendo da atuação da empresa e de sua dependência tecnológica: Fraudes Internas: fraudes cometidas por funcionários ou colaboradores que possuem acesso às instalações da companhia. Fraudes Externas: fraudes executadas por pessoas externas à companhia, porém utilizando recursos computacionais dela.

Ameaças Externas – Fraudes em Aplicações Web Atualmente podemos dividir as aplicações Web em duas categorias: Internos ERP, aplicações específicas, etc. Autenticação de usuários baseada em usuário e senha Abrangência limitada aos funcionários internos Servidores e estações protegidos pela política de segurança corporativa Externos Aplicações voltadas a clientes, fornecedores e parceiros externos Grande abrangência de utilização Ambiente de comunicação inseguro (Internet)

Fraudes em Aplicações Web As aplicações Web voltadas a Internet despertam maior interesse sob a perspectiva de segurança A maioria dos sistemas de comércio eletrônico operados por meio da Internet ainda são baseados em: SSL (Secure Socket Layer) com autenticação apenas do servidor Autenticação do cliente com login/senha Entre estes sistemas destacam-se: Internet Banking Lojas Virtuais Aplicações Governamentais (e-Gov) Aplicações Médicas (resultados de exames laboratoriais)

Fraudes em Aplicações Web Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos Utilização do Teclado Virtual Incentivar o uso de: Anti-vírus Personal Firewall Anti-trojan Utilização de criptografia e certificação digital (HTTPS) Ataques de capturadores de teclado Surgimento das Aplicações Web Ataques de “DLL Hook”

Fraudes em Aplicações Web Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.) Digital Brand Management Ataques de sites clonados Confirmação do Titular da conta Envio de e-mails falsificados, requisitando dados pessoais “Phishing” Rápida atuação com os provedores de Backbone brasileiros Incorporação de novas tecnologias nos portais Verificação de servidores DNS dos provedores de acesso a Internet

Fraudes em Aplicações Web Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.) Ataques de capturadores de imagens (snapshots) Teclados Virtuais com efeitos imã e desaparecimento Ataques de memory dump Utilização de teclados virtuais dinâmicos Ataques de intermediação (Man in the middle)

Fraudes em Aplicações Web Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.) “Autenticação” da localização do acesso e estação utilizada Criptografia na Aplicação Web FFIEC exige autenticação Multi-factor

Fraudes em Aplicações Web Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.) Autenticação da origem do acesso do cliente Desafio: certificação digital dos clientes “Pessoa Física” Implementação de Certificação Digital para: Aplicações B2B Internet Banking Empresas Desafio: autenticação dos clientes a partir de dispositivos móveis (celular, palm, etc)

Manipular pagamentos ou bônus Ameaças Internas Motivadores das Fraudes Internas Assegurar emprego Encobrir erros Pressões financeiras Atingir metas Estilo de vida Fraude por quê? Manipular pagamentos ou bônus Desafio Oportunidade

Perfil do risco de fraude Ameaças Internas Estilo autocrático Desproporção de status e personalidade Comportamento incomum Atos ilegais Estilos de vida caros Férias não gozadas Staff de baixa educação/formação Riscos de negócio Estratégia de negócio deficiente Lucros acima da média do setor industrial Desproporção entre o crescimento e o desenvolvimento de sistemas Reputação deficiente Problemas de liquidez Riscos pessoais Moral baixa Alto “turnover” de staff Remuneração ligada à performance Perfil do risco de fraude Resultados a qualquer custo Compromisso insatisfatório para controle Inexistência de um código de ética Obediência não questionável do staff - Estruturas complexas Filiais/subsidiárias distantes com baixa supervisão Riscos estruturais Riscos culturais

Principais causas de fraudes nos Sistemas Corporativos Do ponto de vista de segurança, destacam-se como principais vulnerabilidades que afetam os sistemas: Gerenciamento falho de usuários Gestão inadequada de perfis de acesso Interfaces entre sistemas inseguras

Principais causas de fraudes nos Sistemas Corporativos Gerenciamento falho de usuários (descentralizado) Security Server Valicert Verisign IIS RSA Identity Oblix Netegrity Securant Directory iPlanet eDirectory Active Directory eCommerce Ariba Commerce One Sales / Mktg Siebel Epiphany eFinance Hyperion Extensity Portals Plumtree Epicentric Corechange Others Bowstreet . . . Web Resources ERP SAP, Peoplesoft, Baan Financials Oracle, M&D Sales / Marketing Mainframe RACF, ACF2, Topsecret Procurement Marcam Distribution i2 HR Peoplesoft Email Exchange, Notes Telephony Octel Network Netware, NT Facilities typically custom Asset Management J.D.Edwards Business Corporate Traditional Applications Employees Contractors Customers Partners Suppliers * * * Company Names For Illustrative Purposes Only * * * Web Server Microsoft Apache Web Browser Netscape IE Web Infrastructure Enterprise Application Integration WebMethods TIBCO

Principais causas de fraudes nos Sistemas Corporativos Gerenciamento falho de usuários (descentralizado) Provisioning System administrators Privacy legislation Business managers Security administrators 1,000+ usuários 100+ aplicações 100,000+ funções possíveis Data protection acts Employees Sarbanes-Oxley Short user life cycles Basel II Suppliers Clients Segregation of duties Third parties SSO Immediate access requirements Outstanding audit issues Windows Employee self service SAP PeopleSoft Mainframe Mergers and acquisitions Consolidation

Principais causas de fraudes nos Sistemas Corporativos Gerenciamento falho de usuários (cont.) Como consequências, temos: Usuários demitidos com acesso a sistemas Usuários ativos acumulando acessos ao longo da carreira na empresa Falta de padronização nas políticas de segurança de acesso aos sistemas 1. User Services LDAP 2. Application Services 3. Infrastructure Services DB OOD Roles Personnel Phonebook Security Intranet PKI E-Mail Extranet

Principais causas de fraudes nos Sistemas Corporativos Recomendação: gerenciamento centralizado de usuários Appls Online Filiais Parceiros NT 4.0 / W2K Base de Usuários Principal Security Office E-mail ERP Web

Principais causas de fraudes nos Sistemas Corporativos Gestão inadequada dos perfis de acesso Os perfis de acesso definem nos sistemas “quem pode fazer o que”. Ao longo da carreira do funcionário nas empresas, ele sofre modificações no seu perfil de acesso de acordo com a sua função. Estas modificações podem ser: Horizontais; ou Verticais. Gerente Coordenador Consultor

Principais causas de fraudes nos Sistemas Corporativos Gestão inadequada dos perfis de acesso Para tornar a gestão ainda mais complexa, existem diferentes tipos de colaboradores: Funcionários Terceiros de longa duração (processos) Terceiros de curta duração (projetos) Fornecedores Clientes O grande desafio para a área de segurança de informação é: Agrupar cada tipo de colaborador Definir e aplicar a política de segurança Definir os perfis em conjunto com as áreas de negócio, respeitando a política Implantar um processo de manutenção e monitoração dos perfis

Principais causas de fraudes nos Sistemas Corporativos Gestão inadequada dos perfis de acesso Do ponto de vista de processos, muitas falhas ocorrem devido à falta de padronização nas requisições de cadastramento e alteração de perfil de acesso Nem sempre o processo está centralizado em áreas específicas, por exemplo o RH e Security Office RH Gestor da área Área de Segurança Suporte TI Funcionário Contratação Demissão Promoção Perfil de Acesso Criação Remoção Alteração

Principais causas de fraudes nos Sistemas Corporativos Provisionamento Criação da conta e de serviços personalizados Workflow de aprovação Autenticação Validar a identidade do usuário Determinar o papel do usuário Single Sign-on Autorização Estabelecer e monitorar os acessos dos usuários, incluindo segregação de funções Procedimentos para tratamento, processamento e acesso a informações privadas Controles para identificação de brechas Início do relacionamento Novos projetos New project Self-Service Usuários podem resolver algumas rotinas administrativas Atualização das informações dos usuários são sincronizadas nos sistemas Mudanças de localidade, papéis, etc Change locations, roles, etc Identity Lifecycle Gerenciamento de senhas Regras de senha estabelecidas e obrigatórias Procedimentos para criação, gerenciamento e alteração das senhas dos usuários Reset de senha utilizando Self-service Forget password Esquecimento de senha Fim do relacionamento Compliance Habilidade de registrar em tempo real os logs de segurança Monitorar os acessos Relatórios de auditoria Remoção Controles automatizados para identificar e remover o acesso de aplicativos e sistemas

Principais causas de fraudes nos Sistemas Corporativos Interfaces entre sistemas inseguras Estudo de Caso: Fraude na folha de pagamento Atualmente é muito comum a integração de sistemas distribuídos por meio da troca de arquivos no “formato texto” (ASCII); Sistema 1 Sistema 2 Exporta arquivo texto Importa arquivo texto Arquivo é armazenado em um sistema de arquivos Ou transportado em uma mídia

Principais causas de fraudes nos Sistemas Corporativos Estudo de Caso: Interfaces entre sistemas dependente de intervenção manual Estação de acesso ao Internet Banking Sistema de RH Gera arquivo TXT Folha de Pagamento Banco

Principais causas de fraudes nos Sistemas Corporativos Estudo de Caso: Interfaces entre sistemas dependente de intervenção manual Estação de acesso ao Internet Banking Sistema de RH Gera arquivo TXT Folha de Pagamento Inclusão de novas contas com valores associados Remoção de Benefícios de funcionários afastados Banco

Principais causas de fraudes nos Sistemas Corporativos Estudo de Caso: Interfaces entre sistemas permitindo intervenção manual Como os valores totais eram mantidos, a empresa não detectava A fraude Estação de acesso ao Internet Banking Sistema de RH Gera arquivo TXT Folha de Pagamento Inclusão de novas contas com valores associados Remoção de Benefícios de funcionários afastados Banco

Principais causas de fraudes nos Sistemas Corporativos Interface entre Sistemas Interfaces Vulneráveis Interfaces manuais Arquivos texto de fácil edição Arquivos armazenados em servidores sem controle de acesso Sem campos de controle Interfaces Seguras Interfaces automatizadas Transferências on-line Controle de integridade na importação Processo de conciliação Controle de erros

Dispositivos Portáteis Redefinição do Perímetro da Rede Corporativa

Redefinição do Perímetro da Rede Situação tradicional Situação emergente Tecnologia única para cada segmento Mapeada e estática Padronizadas Inventariados e controlados Rede Corporativa Estações Softwares Instalados Diversas tecnologias atuando simultaneamente Dinâmica Notebooks, Tablets, Palms, Celulares Específicos de cada equipamento e SO

Redefinição do Perímetro da Rede Visão Tradicional Security Office Mail Server WWW Server Anti-Vírus Server Internet DMZ - Internet Rede Corporativa Firewall Controle IDS Firewall Firewall SQL Server WWW Server Server Farm Rede de Terceiros DMZ - Terceiros Firewall OS 390 Oracle HP-UX Win2K Solaris Manutenção remota

Redefinição do Perímetro da Rede Desafios da segurança da rede corporativa: Disseminação do uso de Notebooks; Implantação de redes wireless; Utilização de Palms, celulares; Gravadores de CD-ROM e DVD; Dispositivos externos via porta USB: Tokens de memória (Pen drive); Tokens wireless;

Redefinição do Perímetro da Rede Como lidar com os novos equipamentos portáteis disponíveis no mercado ? Proibir o seu uso ? Normatizar e controlar ? Como garantir a segurança da informação transportada ou armazenada ? Serial/USB CDMA/GSM/GPRS MemoryCards Bluetooth 802.11 Infrared Câmera Gravador E-mail Web

Redefinição do Perímetro da Rede Server Farm Access Point não autorizado Firewall Rede Corporativa Internet Gateway

Redefinição do Perímetro da Rede Quais áreas detém informações sensíveis e não devem permitir a utilização de nenhum equipamento eletrônico ? Engenharia Marketing Novos Produtos Call Center Administração Operação Diretoria

As fraudes em TI podem ser evitadas? O combate às fraudes em TI depende de um esforço integrado de investimento tanto em mecanismos de segurança tecnológica quanto em processos operacionais. Motivação + Oportunidade = Fraude Ações de combate à fraude Política de Segurança Termos de concordância Treinamentos periódicos Auditorias periódicas Avaliação de vulnerabilidades periódicas de redes e sistemas Implementação de sistemas inteligentes contra fraude (cartão de crédito, InternetBanking, ATM) Auditorias não programadas sobre ações realizadas em sistemas Segregação de funções Sistema de denúncia anônima

Definindo Governança de TI Governança de TI é a organização e gerenciamento de: Sistemas de informação Pessoas Tecnologias e Controles Compliance Risk Strategic Spending Cost Control Controls Financial Management Technology People Process Performance Management Risk Management Investment Management Business Alignment Communication Initiatives Management Framework Transformation para suportar de forma eficiente e eficaz o atingimento dos objetivos da Organização.

Governança de TI tem significados diferentes para pessoas diferentes... TI é orientada para o cliente Tomar decisões de investimento em infra-estrutura de TI Decidir onde TI pode agregar mais valor Conhecer os riscos Equilibrar custos e riscos Decisão de investimento local ou centralizada Gestão de riscos e conformidade Capaz de comparar projetos capacitados por TI com outros projetos Pode influenciar a estratégia de negócios Nos permite determinar a prioridade das exigências Capaz de proteger ativos de TI "É um facilitador" “Tem valor pelo dinheiro" "É essencial para a estratégia de negócios"

Por outro lado... Assegurar que funcione Não estourar o orçamento de projetos de TI Não atrasar a organização Sem surpresas Controle dos custos de TI Sarbanes-Oxley Comitês diretivos Gestão de riscos e conformidade Forma de introduzir tecnologias novas e estimulantes Assegurar que tenhamos o orçamento necessário Por que não nos informam da estratégia? "É um produto básico" "É uma mercadoria cara" É uma ferramenta complicada

A Evolução do Papel do CIO Papel do CIO Tradicional Papel Desejável do CIO O CIO tradicional possui um perfil mais de executor de projetos do que um executivo pró-ativo nas decisões dos rumos da companhia. Reage às pressões das áreas de negócio e direcionadores de mercado ao invés de antecipá-los Reduz custos eliminando funções ou serviços Considera novas tecnologias como fundamentais para a companhia, sem avaliar a fundo os reais benefícios para o negócio Procura organizar a TI de forma a entregar níveis de serviços confiáveis e adequados. O CIO atualizado está preocupado em gerenciar todo o portfolio de serviços e responsabilidades para produzir um desempenho aprimorado. Trabalha em conjunto com os pares de negócios para entender seus objetivos e desafios de mercado Procura sempre antecipar as necessidades de negócios Identifica indivíduos que possam gerar relacionamento entre as unidades de negócios e entender os processos operacionais de cada área.

Aprimoramento da Governança de TI Processos Gerenc. da disponibilidade Modelo Organizacional Planej. Estratégico Gestão de comitês Políticas e Padrões Desenv. de soluções Gerenc. da Segurança Gerenc. de Projetos Gerenc. de serviços Gerenc. da operação Gerenc. de mudanças Gerenc. financeiro Gerenc. de suporte Auditoria de TI Otimizado Gerenciado Nível de Maturidade Definido Repetitivo ATUAL DESEJADO Inicial

Obrigado Frank Meylan Risk Advisory Services Tel (0xx11) 2183-3187 rbacellar@kpmg.com.br www.kpmg.com.br Tel (0xx11) 2183-3187 fmeylan@kpmg.com.br www.kpmg.com.br