Autor: Mauro Reyes

mareyes@uol.com.br

M ETODOLOGI A DE A PLICAÇ ÃO DE
F RAUD R ISK A SSESS MENT

INTRODUÇÃO .............................................................................................. ERRO! INDICADOR NÃO DEFINIDO.

FATORES DA FRAUDE INTERNA ................................................................................................................................... 4

CRIAÇÃO DE PRODUTOS, SERVIÇOS E FUNCIONALIDADES ........................................................................ 5

MUDANÇA DE PROCESSOS EXISTENTES ........................................................................................................... 6

DIFICULDADES ........................................................................................................................................................... 7
PRIMEIROS PASSOS..................................................................................................................................................... 7
MAPEANDO RISCOS .................................................................................................................................................... 8
ETAPAS DE PRODUÇÃO DA AVALIAÇÃO ...................................................................................................................... 9

TIPOS DE MEDIDAS DEFENSIVAS ...................................................................................................................... 10

DESCARTE ............................................................................................................................................................... 10
REDUÇÃO DE VULNERABILIDADES ............................................................................................................................ 10
DETECÇÃO ............................................................................................................................................................... 10
RECUPERAÇÃO ......................................................................................................................................................... 10
REDUÇÃO DE AMEAÇAS ........................................................................................................................................... 10
TRANSFERÊNCIA DE ALVO ........................................................................................................................................ 11
REDUÇÃO DE CRITICIDADE ....................................................................................................................................... 11

RELATÓRIO DE AVALIAÇÃO.............................................................................................................................. 11

ESTRUTURA DO RELATÓRIO ...................................................................................................................................... 12

IMPLANTAÇÃO DAS RECOMENDAÇÕES ......................................................................................................... 16

CONCLUSÕES ......................................................................................................................................................... 17

FORMULÁRIO DE CONFORMIDADE ................................................................................................................. 18

FORMULÁRIO DE NÃO CONFORMIDADE ........................................................................................................ 18

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 1/20
 Autor: Mauro Reyes
mareyes@uol.com.br

PREÂMBULO
A fraude, em suas várias formas e modos, é um fenômeno tão antigo quanto à própria economia. Se
observarmos a evolução das características das moedas, poderemos perceber que todas as mudanças no
objeto que representava valor – o meio corrente – foram motivadas pelas fraudes.

Pulando as etapas anteriores, ao resgatar a fase de moedas de metais menos nobres e sua evolução para o
ouro, mudanças foram produzidas porque:
 Sendo de ferro ou outros materiais abundantes, o meio corrente passou a ser facilmente copiado.
 As moedas passaram a ser cunhadas como uma tentativa de dificultar a fabricação paralela;
 As cunhagens passaram a ser falsificadas. Como o material era abundante, toneladas de dinheiro eram
facilmente reproduzidas fora do controle governamental.
 Ao optar pelo padrão ouro, que já era um metal raro, tornou-se menos vantajosa a falsificação pois a
matéria prima tornara-se cara. Mesmo assim incorporou as medidas de segurança anteriores como a
cunhagem. Então o modo de ataque mudou.
 As moedas eram raspadas em suas bordas para retirada de ouro. As moedas diminuíam de tamanho e
perdiam a referência de valor real.
 Os governos então adotaram a borda serrilhada. Assim, qualquer moeda de borda lisa não tinha mais
valor de dinheiro e seu valor passava a ser a representação do seu peso em ouro, dificultando a
circulação e conseqüente liquidez.
 Vários tipos de golpes se seguiram até a o modelo econômico atual, no qual o valor da moeda de um
país está atrelado às suas reservas de ouro e créditos internacionais e os materiais empregados na
confecção da moeda passaram a não mais representar o valor real.

Com o aumento da complexidade das economias, produção em economia de escala, crescimento de

serviços, acessibilidade ao crédito, as fraudes foram se expandindo para outros segmentos econômicos,
atendo-se ao seu princípio fundamental:

Lucros através do emprego de réplica não autorizada de um bem de valor pertencente a outrem.

Com a diversidade da economia, quase tudo que existe tem valor para alguém. Isto torna quase tudo alvo de
fraudes, desde artigos de vestuário, de telecomunicação, obras de arte, meios de pagamento, créditos, até
mesmo informações pessoais.

Os agentes geradores das fraudes se valem de fraquezas dos indivíduos que compõem os grupos sociais: a
ignorância (no sentido de desconhecimento/imperícia de detalhes sobre produtos/serviços) e deficiência de
valores pessoais como falta de escrúpulo ou má fé desses indivíduos.

A fraude se combina e se confunde com outros comportamentos sociais e se expande exponencialmente

quando pessoas inescrupulosas se organizam e dedicam tempo e dinheiro à exploração de falhas nos
processos de relacionamento organizacionais e sociais.

É valido notar que dos fatores que mantém as sociedades são atitudes de cooperação e parcerias
simbióticas, nas quais um indivíduo é útil para outro e ambos juntos têm suas vidas melhoradas pela sinergia
(a força do conjunto é maior que a soma das forças individuais).

Entretanto, este relacionamento traz consigo o risco ou oportunidade de abuso de confiança mesmo que, no
todo, proveja a evolução da humanidade.

INTRODUÇÃO
De modo geral, nas relações de comércio a fraude é caracterizada pela aquisição e/ou utilização de produtos
ou serviços por terceiros desconhecidos e externos à relação com o consumidor efetivamente habilitado para

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 2/20
 Autor: Mauro Reyes
mareyes@uol.com.br

tal. Por isso, perdas por fraude são incobráveis dos consumidores e ainda prejudica a imagem da empresa
perante a sociedade e entidades reguladoras além de ser um prejuízo de difícil recuperação.

Cada vez mais os governos e empresas privadas têm adotado medidas para controlar as fraudes que
causam prejuízos à todas as economias.

Exemplos dessas medidas são a Lei Sabane & Oxley para empresas de capital aberto nos Estados Unidos e
acordos de Basiléia para bancos.

Tais regulamentações, embora estrangeiras, afetam todas as sociedades e economias por causa da
globalização dos mercados e desencadeiam medidas locais.

Assim, por exemplo, qualquer empresa brasileira com papéis em bolsa nos Estados Unidos necessita
atender os preceitos americanos, do mesmo modo que empresas americanas com papéis em bolsa
brasileira necessitam atender nossos preceitos.

Além do efeito econômico direto dessas medidas, sua discussão pública revela para toda a sociedade a
seriedade e efeitos das fraudes, aumenta o conhecimento público e torna as sociedades mais críticas e
severas e expande ações por demais mercados.

Deste modo, a preocupação com riscos de fraudes tem estado cada vez mais presente nas mentes dos
dirigentes de empresas e vem ganhando espaço no orçamento das empresas.

É certo que as fraudes formam uma substancial geradora de perdas financeiras para a economia. Mas não é
a única. As fraudes ocorrem porque existem falhas. Falhas existem porque os processos e sistemas são
desenvolvidos por seres humanos. Então tudo o que o ser humano é capaz de fazer, outro ser humano é
capaz de superar.

Como evitar, então? Produzindo processos e sistemas mais seguros, cada vez mais a prova de falhas.

Generalizando grosseiramente, isto hoje tem sido feito por meio do clássico método de tentativa e erro,
representado pelo ciclo de produção de conhecimento mais antigo da natureza:

Desenho Aplicação Teste Reiteração

Após o teste, avaliamos o êxito. Quando algo dá errado, voltamos à prancheta e desenhamos outra solução.

A questão é que se perdermos muito tempo em inúmeras e infrutíferas reiterações, desperdiçamos um ativo
intangível e cada vez mais precioso (o TEMPO), e sucumbiremos tentando impedir o vazamento de receitas.

A avaliação de riscos de fraudes aqui apresentada é baseada numa metodologia de proteção de informações
e de infraestrutura de tecnologia conhecida como “Defense-in-Depth” (DiD), aplicada inicialmente em
ambientes militares e estatais norte americanas.

Esta metodologia visa proteger os ativos da empresa no que tange ao processamento e disponibilização de
informações e conectividade para impedir rupturas no fornecimento da infraestrutura utilizada. Para tanto,
usa uma arquitetura em camadas de proteção que distribui esforços entre prevenção, detecção e reação,
sem detrimento de uma ou outra.

A importância da antevisão de riscos está na preparação do negócio para lidar com as ameaças naturais do
mercado. Assim, este processo de avaliação de riscos foi adaptado ao controle de riscos de fraudes uma vez
que ambas têm objetivos muito semelhantes:

- Manter a atividade comercial rentável e resistente a ataques às vezes inevitáveis;

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 3/20
 Autor: Mauro Reyes
mareyes@uol.com.br

- Garantir que ataques sejam percebidos e combatidos rapidamente;

- Garantir meios de recuperar ativos após ataques bem sucedidos.

Impermeabilizar contra ataque s

sem restringir a geração de receita
Perc eber e reagir rapidamente a
ataq ues
Recuperar P rejuízos

Um processo de avaliação de riscos de fraudes é uma das partes importantes de um programa de prevenção
de perdas, pois está representada pelo planejamento meticuloso de negócios com consciência corporativa.

O principal objetivo de um programa de prevenção de perdas é a criação de ambientes de trabalho internos e

externos mais eficientes, honestos e conseqüentemente mais lucrativos com aumento do lucro através da:

- Redução das perdas

- Redução do custo de prevenção de perdas

- Infra-estrutura para manutenção dos índices de perdas atingidos

- Desenvolvimento de uma cultura de prevenção de perdas na organização

- Aumento de controle gerencial

A compressão de margens pela crescente competição de preços, e dificuldade de administrar custos tornam
a redução de riscos e prevenção de perdas uma importante Vantagem Competitiva por meio do binômio
Preço-Lucratividade como ilustrado abaixo:
Faturamento Sem Faturamento Com
Gerenciamento de Riscos Gerenciamento de Riscos
Pressão do
Mercado

Margem
Margem
< Lucratividade >
>
Perdas Perdas
> <

Custos Custos
= =

Fatores da Fraude Interna

As perdas, além daquelas provenientes de ataques de fraudes externas à empresa, ocorrem em função de
uma combinação complexa de variáveis, algumas que não conseguimos gerenciar.

Por exemplo, por mais que nos esforcemos, jamais será possível, por meios legais e éticos, identificar as
intenções de um colaborador cujo erro desencadeou um grave prejuízo à companhia.

No entanto, uma antevisão adequada de riscos poderia prever a possibilidade de mau uso do sistema e
inserir consistências tais que impedissem o erro e a conseqüente perda.

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 4/20
 Autor: Mauro Reyes
mareyes@uol.com.br

A propensão de fraude interna numa empresa se dá pela combinação de três fatores básicos:

Atratividade

Má
Má Falha de

Intenç
Intenção
Intenção Processos

Motivaç
Motivação Oportunidade
Pessoal

Atratividade
Está ligada diretamente às características do produto alvo. Assim, produtos e serviços que agregam ou
representam valor, que têm alta procura pelo mercado legal ou ilegal têm maior propensão a sofrer ataques,
que podem ocorrer através de aliciamento de colaboradores ou de modo direto.

Motivação Pessoal
A motivação se dá pela combinação da deficiência de valores individuais como caráter, honra, ética,
educação, necessidade, etc. Tais valores são incorporados na infância e dificilmente são modificados após a
fase adulta do ser humano.

Oportunidade
A oportunidade é o fator mais administrável, pois representa os processos existentes, seus controles e
políticas de segurança. A falta ou deficiência dos controles ou políticas fomentam o anonimato e ocultação
de autoria de atos ilícitos e indesejados.

A avaliação de riscos é um processo perene na organização, aplicado tanto na criação de novos produtos,
serviços e funcionalidades, quanto em processos e sistemas instalados.

A seguir serão apresentadas as duas abordagens: um novo projeto e mudança de processos existentes.

CRIAÇÃO DE PRODUTOS, SERVIÇOS E FUNCIONALIDADES

Ao longo do processo de criação, até após a implantação, a área de Segurança de Produtos atua com visão
crítica identificando vulnerabilidades na mecânica do produto (oferta, comunicação, aquisição e operação),
recomendando respectivas medidas defensivas e oferecendo informações relevantes sobre potenciais
ameaças e perdas, melhorando o desempenho do futuro lançamento.

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 5/20
 Autor: Mauro Reyes
mareyes@uol.com.br

Fase de Fase de
Descrição
Desenvolvimento Segurança
Pesquisa Conceituação Avaliação de Avaliação inicial dos riscos
Riscos baseada no conceito do
Avaliação de Riscos produto/serviço
Conceituação
Definição do Especificação de Uma especificação dos
Plano de Negócios Produto segurança do requerimentos de segurança
produto para o produto/serviço

Definição de Produto
Sel. Fornec / Desenv
Instalação
Testes e Correções
Especif. Segur. do Produto
Suportar/Orientar/Monitorar
Rever / Testes de Seg.
Seleção de Suportar / Orientar / Suporte contínuo ao
Fornecedor / Monitorar desenvolvimento para garantir
Desenvolvimento que os requerimentos de
segurança estão
adequadamente desenhados e
executados no produto
Testes e Correções Rever / Testes de Revisão e teste do produto
Segurança antes da implementação para
reduzir possíveis fragilidades
desconhecidas de segurança

Lançamento Aderência / Signoff Declarar o produto ou serviço

Lançamento Aderência / Signoff aderente aos requerimentos de
segurança e pronto para
implantação
Revisão Rever/Testar/Ger. Mudança
Revisão Rever/Testar/Geren Rever após a implantação para
ciar Mudanças garantir que o produto/serviço
foi implementado como
pretendido e identificar qualquer
nova vulnerabilidade que tenha
sido introduzida pelo processo
de implantação.

O modo de atuação é mais participativo e colaborativo do que restritivo e impositivo. O nível de formalização
da comunicação com a área proprietária do lançamento é médio, pois muitas das orientações são verbais,
discutidas em reuniões.

As recomendações nesta etapa variam de baixa relevância até quesitos críticos e normalmente as
argumentações são bem aceitas, desde que o impacto em prazo e custo do projeto seja mínimo.

O analista de Segurança de Produtos incorporado ao projeto deve sempre manter registro de suas
recomendações verbais e controlar as revisões da documentação do projeto para saber o que foi mantido ou
retirado do projeto.

Recomendações retiradas deliberadamente devem ser então reavaliadas e formalizadas para que a
justificativa da retirada também seja formalizada.

Devemos aceitar que o responsável pelo projeto é o responsável pelos seus resultados e que ele pode optar
por aceitar algum nível de perdas. No entanto, pessoas são susceptíveis a sentimentos às vezes não muito
nobres e podem deixar de contemplar algo importante por orgulho, medo, vergonha, etc.

Neste caso, saber que as recomendações serão reportadas a seus superiores pode conter os efeitos de
sentimentos contrários ao desempenho corporativo, ao mesmo tempo em que fomenta a depuração da
situação e exposição do raciocínio, resultando em aprendizado recíproco.

MUDANÇA DE PROCESSOS EXISTENTES

Aplicando a metodologia de avaliação de riscos para provocar mudanças corretivas em processos e/ou
sistemas instalados.

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 6/20
 Autor: Mauro Reyes
mareyes@uol.com.br

Dificuldades
Como em qualquer mudança, o grau de resistência é elevado porque pessoas têm natural resistência a
reconhecer falhas, modificar suas rotinas, refazer trabalhos e investir para “mudar o que está funcionando”.

Nestas situações a demonstração de respeito é fator preponderante para provocar mudanças. O menor grau
de crítica ao modelo e o maior grau de colaboração devem ser observados.

Em culturas corporativas mais hierárquicas, onde a autoridade prevalece sobre o respeito, a comunicação e
o relacionamento interpessoal são restritos ao essencial, o que gera tensões entre forças e não ajuda na
solução de problemas. Em contrapartida, em culturas corporativas em que laços humanos prevalecem
demasiadamente, o informalismo e questões políticas impedem o avanço da mudança necessária.

Desta forma, ao atuar devemos tomar cuidado para nos mostrarmos sensíveis aos pontos positivos,
preocupados com os pontos negativos e colaborativos no sentido de corrigir falhas relevantes ao negócio,
sem quebrar o chão sob os pés das pessoas e assim obtendo acordos quanto à necessidade de mudanças.

Os problemas são melhor resolvidos de dentro para fora, o que sugere que o especialista de prevenção de
perdas deve conseguir entrar no processo para provocar a necessidade de mudança nas pessoas
envolvidas.

Primeiros Passos
Em primeiro lugar é preciso identificar se o processo ou sistema precisa ser alterado simplesmente porque
pode melhorar ou deve realmente ser corrigido por agregar riscos ao negócio. Utilizamos a palavra “Ativos”
para representar elementos de propriedade da empresa na forma de informações, sistemas, programas,
pessoas, equipamentos, instalações e processos.

Para ajudar a ilustrar critérios e qualificar as prioridades de mudança utilizamos o quadro a seguir:

6 Risco
Vulnerabilidade

2 3
1
5 7
Criticidade 4 Ameaça

Onde:
1) É a área mais sensível, pois ativos críticos estão vulneráveis e há ameaças conhecidas.
2) Ativos críticos para os quais há alguma vulnerabilidade, mas sem qualquer ameaça conhecida.
3) Uma ou várias ameaças têm potencial conhecimento ou capacidade de explorar alguma
vulnerabilidade, embora contra ativo não crítico.
4) Ativos críticos para os quais não há vulnerabilidade conhecida, mas está exposta a alguma ameaça
específica.
5) Ativos críticos (informações, sistemas, programas, pessoas, equipamentos, instalações, processos) para
o qual não são conhecidas vulnerabilidades nem ameaças.
6) Vulnerabilidade em sistemas, programas, pessoas, equipamento ou instalações, não associadas a ativos
críticos, para os quais não há ameaça conhecida.
7) Ameaça a ambientes que não têm função crítica nem vulnerabilidades conhecidas.

Criticidade
Para fins de segurança e estabilidade de negócios, são considerados ativos altamente críticos: O Cliente,
seu Cadastro, sua Configuração e Dinheiro (da empresa e do cliente). Todas as operações que afetam

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 7/20
 Autor: Mauro Reyes
mareyes@uol.com.br

estes ativos devem ser consideradas altamente críticas e devem ser cercadas de barreiras e medidas
defensivas. Para os demais ativos, o grau de criticidade pode variar entre médio a mínimo.

A criticidade de um processo ou etapa tem baixa elasticidade, ou seja, pouco pode ser modificada pois é o
que o processo trata que o torna crítico.

Vulnerabilidade
Cada etapa de um processo ou sistema de informação deve ser avaliada quanto à susceptibilidade de
deterioração ou evasão de ativos críticos. Devemos lembrar sempre que, além destes fatores, devemos
buscar garantir a continuidade do processo.

Vulnerabilidades formam a parte mais elástica do ciclo, pois sua gestão depende quase que exclusivamente
de recursos internos da empresa, podendo ser dimensionadas de modo a atender a relação Custo X
Benefício.
Níveis de Vulnerabilidade
O eixo de vulnerabilidade é uma graduação qualitativa do potencial de concretização de um ataque por
alguma ameaça conhecida ou não. Os critérios a seguir se aplicam a todas as etapas do processo em
análise.
V1 – Alta: A vulnerabilidade existe, com exploração potencial ou real, detecção difícil e correção custosa.
V2 – Média: A vulnerabilidade existe, com exploração possível, detecção possível e correção custosa.
V3 – Baixa: A vulnerabilidade existe, com exploração possível, detecção possível e custo de correção é
mínimo.
V4 – Mínima: A vulnerabilidade existe, exploração improvável, detecção existe e custos de correção são
mínimos.

Ameaça
Diferente do grau de vulnerabilidade que pode ser objeto de debates, o grau de ameaça ao ativo deve ser
identificado e qualificado com maior peso pelo especialista de prevenção de perdas, pois por questão de
ofício e experiência, deve saber reconhecer quais são as possíveis ameaças.

Ameaças são agentes internos e externos que podem atacar o negócio trazendo alguma espécie de prejuízo.
Sua elasticidade é maior para fatores internos e menor para externos pois, neste caso, medidas defensivas
podem ser vistas como anticomerciais.

Considerando este raciocínio, devemos procurar reduzir ao mínimo as ameaças internas com validações
esporádicas e extraordinárias para administrar com maior flexibilidade as externas.
Níveis de Ameaça
O eixo de ameaças é uma graduação qualitativa do interesse alheio em promover um ataque através da
exploração de alguma vulnerabilidade conhecida ou não. Esta graduação se dá pelo conhecimento empírico
das pessoas da organização que já experimentaram ou conhecem empresas que sofreram diversos tipos de
ataques. Os critérios a seguir se aplicam a todas as etapas do processo em análise.
A1 – Alta: A Ameaça existe em larga escala, detecção é difícil.
A2 – Média: A Ameaça existe em larga escala, detecção possível mediante esforço considerável.
A3 – Baixa: A Ameaça existe em escala considerável, detecção é difícil.
A4 – Mínima: A Ameaça existe em escala considerável, detecção é possível mediante esforço considerável.

Mapeando Riscos
Evidentemente é necessário ter mapeada a mecânica do que se pretende avaliar para poder inferir quais são
os elementos enquadrados em cada uma das categorias de risco.

É no processo de mapeamento em que é aplicado o conhecimento do especialista de prevenção de perdas.

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 8/20
 Autor: Mauro Reyes
mareyes@uol.com.br

É certo que ter um fluxograma de um processo ou de um sistema em mãos pode encurtar o trabalho. Mas o
desenho está atualizado em relação à realidade? O primeiro passo é duvidar disso.

Devemos ter sempre em mente que a realidade nem sempre é lógica e que as coisas podem funcionar de
um jeito diferente do que é observado e compreendido.

A maior parte das informações obtidas sobre a mecânica provém de entrevistas com as pessoas envolvidas
e do cruzamento de diferentes respostas para a mesma pergunta. Sempre que relevante, é conveniente
confrontar as respostas junto a um técnico mais habilitado.

*** As perguntas sobre as etapas do processo devem ser focadas em críticas feitas por sistema; conferências
manuais; pessoas envolvidas em cada passo (perfil, integridade, antecedentes, etc); perfis de acesso à área
(físico) ou à funcionalidade do sistema (lógico); fluxo e controle sobre material crítico; meios para desfazer
cada operação; trilhas de auditoria; o objetivo de cada etapa; definições de autoridade; alçadas; custódia de
material/informação; assessórios úteis; material pessoal; invólucros; controle de lacres; aspectos legais e
contratuais que permitam recuperar perdas; etc.

Dicas Úteis
1. “Faça várias perguntas, de várias formas”.
2. “Preste muita atenção – mais ainda às entrelinhas”.
3. “Não presuma que se você entender algo, todos entenderão”.
4. “Seja ativo, engajado e interessado”.
5. “Entenda as características e papel daqueles envolvidos em controles internos da empresa“.
6. “Quando considerando riscos de fraude não ignore coisas básicas – como a admissão/demissão de
pessoal”.
7. “Quando a resposta for rápida, superficial ou dada com demasiada proficiência, peça detalhes”.
8. “Seja incrédulo!”.

Etapas de Produção da Avaliação

1. Preparação
Juntar documentações, fluxos, procedimentos, definir o escopo, qualificar e nomear a avaliação.

2. Identificação de Fragilidades
Através da análise da documentação disponível e de entrevistas, qualificar as fragilidades e definir os riscos
de cada uma.

3. Graduação das Fragilidades

Atribuir graus de Vulnerabilidade, Criticidade e Ameaça segundo conceitos deste documento considerando a
situação atual do escopo avaliado.

4. Elaboração das Recomendações

Elaborar as recomendações, de modo completo a fim de dar solução ideal à necessidade do escopo.

5. Regraduação das Fragilidades

Como o objetivo das recomendações é de reduzir o impacto das fragilidades no negócio (risco), deve-se
atribuir nova graduação de Vulnerabilidade, Criticidade e Ameaça para afeito de comparação entre a
situação original e a situação proposta.

Na aplicação do FRA CONTROL, a qualquer tempo o usuário pode utilizar a opção “Gerar Mapa de Riscos”
que monta o quadro de comparação entre a situação original e a revista.

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 9/20
 Autor: Mauro Reyes
mareyes@uol.com.br

6. Discussão com Área Cliente

Apresentar a primeira versão do relatório à área cliente a fim de buscar o melhor entendimento e as
melhores alternativas de solução.

Caso os graus de fragilidades sofram qualquer alteração, o Mapa de Riscos deve ser refeito na aplicação
FRA CONTROL.

7. Emissão do Relatório Final

Contém o texto final da qualificação da avaliação, das fragilidades, das recomendações, o Mapa de Riscos
da situação atual e revisada.

8. Acompanhamento das Implementações

Até o final das implementações recomendadas, nesta etapa são vistos e registrados os status das mudanças
junto à Área Cliente.

TIPOS DE MEDIDAS DEFENSIVAS

A visão mais comum de contramedidas é incompleta, pois as divide apenas em Preventiva e Repressiva. Ao
fazer isto estamos omitindo detalhes importantes do conhecimento.

Para melhor segmentar esta visão devemos definir as sete classes de medidas defensivas, que são
aplicadas em conjunto ou isoladamente, para modificar o grau de risco de cada etapa do processo dentro de
diretrizes de custo e benefício.

Descarte
É o ponto a que ninguém deseja chegar, pois todos os riscos são anulados pela decisão de não prosseguir
com o projeto. Isto é, o risco de fraudes em um produto ou serviço é grande a ponto de torná-lo
comercialmente inviável.

O objetivo do processo de avaliação de riscos de fraudes não é recusar um projeto, mas agregar elementos
que reduzam a possibilidade deste se tornar financeiramente inviável.

Redução de Vulnerabilidades
Mecanismos instalados para reduzir a vulnerabilidade. Isto é, a adoção de críticas que corrigem falhas no
processo tornando-o mais seguro. Ex.: Crítica mais complexa nos dados de uma proposta na entrada.

Detecção
Monitoramento de eventos suspeitos para identificar abusos ou mau uso de serviços. Isto é, criar meios de
perceber e reagir rapidamente após uma tentativa de ataque ou mesmo um ataque bem sucedido.

Recuperação
Sempre devem ser previstos e definidos meios que permitam recuperar perdas, total ou parcialmente, para
uso após um ataque bem sucedido.

Redução de Ameaças
Adoção de medidas ostensivas de proteção que desestimulem ataques. Por exemplo, o uso do aparelho
“Testa Nota” no caixa desestimula golpes com moeda falsa; assim como para um mau colaborador é
desestimulante saber que suas ações ficam gravadas no sistema com sua identidade.

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 10/20
 Autor: Mauro Reyes
mareyes@uol.com.br

Transferência de Alvo
Alvos em risco são movidos para fora da situação de risco. Exemplo: ao analisar a terceirização de um
serviço crítico ou extremamente vulnerável pode-se optar por movê-lo para dentro de um ambiente interno
mais controlado.

Redução de Criticidade
Processos críticos são assim definidos porque são importantes e não devem ser corrompidos. Portanto,
devem ser previstos meios alternativos de mantê-lo funcionando em regimes diferenciados em casos
excepcionais. Assim, devem ser revistos para estabelecer rotas e fluxos alternativos a fim de não sofrerem
rupturas. Por exemplo, a comunicação de dados e voz com o Call Center deve ter canais redundantes para o
caso de ruptura do canal preferencial.

RELATÓRIO DE AVALIAÇÃO
O relatório de avaliação é o meio de formalização das fragilidades e recomendações perante a diretoria da
empresa. Deve ser redigido de maneira clara, concisa e imparcial, mantendo visão estratégica do negócio.

O relatório deve estar estruturado e redigido de modo tal que permita ampla compreensão da situação, das
soluções recomendadas e a respectivas razões e benefícios. Como nem sempre as razões podem ser
justificadas com dados ou valores, devem ser justificadas com fatos e/ou pela ponderação entre Criticidade X
Vulnerabilidade X Ameaça.

A credibilidade do relatório depende diretamente da proporção entre o risco e a solução empregada e, para
mitigar os riscos, devemos adotar medidas de diferentes portes porque assim são também os riscos.

A maioria das pessoas tende a simplificar o raciocínio sobre algo que lhes é pouco familiar. Em outros
termos, quando não conhecemos o suficiente sobre um tema, tendemos a estabelecer paralelos e “decidir
pela média”, anulando detalhes desconhecidos, porém muitas vezes importantes.

O quadro a seguir ilustra formas de mensuração e cobertura de riscos de três formas equivocadas e a forma
correta.

Visão equivocada dos Cobertura equivocada para

riscos reais minimizar riscos

Esforços
Riscos
Riscos

aplicados
para evitar
perdas

Cobertura ineficaz Cobertura eficaz dos

dos riscos reais riscos reais
Alocação de
Alto

Alto

esforços
Esforços
objetivando a
Riscos
Riscos

aplicados
Médio
Médio

maximização de
para evitar proteção contra
perdas
Baixo
Baixo

as perdas

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 11/20
 Autor: Mauro Reyes
mareyes@uol.com.br

Estrutura do Relatório
Cabeçalho
Deve conter um quadro com o nome do responsável pelo relatório, o nome do gestor do processo analisado,
o nome do processo analisado, período inicial e final da análise, número da versão e data de cada versão.
As versões devem ser controladas e as alterações devem ser comentadas na última seção.

Introdução
Escopo
Delimita as fronteiras da avaliação. Como um processo pode ser avaliado em todo ou em partes, é
fundamental identificar o perímetro do que está sendo avaliado. Também há vezes em que processos
diferentes têm algum ponto de intersecção e o segundo processo pode não ser avaliado detalhadamente.
Fora do Escopo
Devemos indicar o que tem alguma relação ou intersecção ou semelhança com o processo avaliado e que
não foi contemplado na análise.

Estrutura do Relatório
Cada análise é diferente assim como cada processo é diferente. Como este material se destina a vários
níveis da organização, alguns eventualmente sem profundo conhecimento da matéria, devemos explicar
como o relatório foi elaborado, quais os conceitos aplicados e como ler de modo mais objetivo.

Processo Avaliado
Visão Geral
Nesta seção devemos explicar de modo didático o que é o processo macro avaliado, para que serve e qual
seu objetivo perante a empresa e/ou clientes, parceiros, etc.
Tópicos / Etapas avaliadas
A cada etapa devemos descrever de modo objetivo o que é e para que serve, destacando os pontos
deficientes. Aqui devemos aplicar o conceito de relatar fatos disponíveis que comprovem riscos e/ou avaliar
as fragilidades pelo polinômio Criticidade X Vulnerabilidade X Ameaça.
Recomendações Numeradas
Ao especificar as recomendações devemos fazê-las de modo direto, objetivo, conciso e ressaltando os
benefícios trazidos ao ponto em questão, lembrando que, se não há benefício a ser citado, não há
necessidade de alterar o ponto.

As recomendações devem ser numeradas e colocadas em num quadro destacado do texto.

Comentários Adicionais
Visões relevantes fora do escopo
Durante uma avaliação, riscos graves observados ao acaso fora do escopo devem ser reportados e
recomendações de correção devem ser produzidas seguindo as mesmas orientações das recomendações
dentro do escopo.

Conclusão
Resumo de Recomendações
É conveniente construir um quadro para leitura executiva que aponte a distribuição das recomendações
quanto a Criticidade X Vulnerabilidade X Ameaça, também por área de responsabilidade e, se possível, por
prioridade de ação.

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 12/20
 Autor: Mauro Reyes
mareyes@uol.com.br

A seguir é apresentado um método de documentação executiva que pode ser apresentado à alta gerência,
amparado pelo relatório de avaliação.

Quadro 1: V x C Quadro 2: V x A

C1 A1
Alta Alta
C2 A B A2 A B
Criticidade

Ameaça
Média Média
C3 A3
Baixa Baixa
C4
C D A4
C D
Mínima Mínima
Vulnerabilidade Vulnerabilidade
V4 V3 V2 V1 V4 V3 V2 V1
Mínima Baixa Média Alta Mínima Baixa Média Alta

Quadro 1
A criticidade de um item, etapa ou seção de um processo nem sempre pode sofrer alterações substanciais.
No entanto, as vulnerabilidades podem ser prevenidas com maior elasticidade.

Portanto, apesar do objetivo maior da avaliação ser movimentar os riscos do quadrante “B” para o “C”,
fatores como investimentos para a mudança ou características elementares podem fazer com que o risco
seja movimentado para “A”.

Quadro 2
Ao avaliar o grau de ameaça em relação à vulnerabilidade, podemos considerar que a ameaça é menos
elástica do que a vulnerabilidade, pois depende de fatores externos, às vezes ingerenciáveis.

Portanto, apesar da meta da avaliação ser de movimentar os riscos do quadrante “B” ao “C”, fatores como
investimentos para a mudança ou impacto comercial podem fazer com que o risco seja movimentado mais
para “A” do que para “D”.

Distribuição de Fragilidades
Durante a análise de fragilidades das etapas do objeto do escopo, cada uma deve ser identificada segundo a
seguinte nomenclatura:

[Etapa-<numordem>](V,C,A)
Onde:
 Etapa alvo do comentário;
 <numordem> é o número relacionado à fragilidade identificada naquela etapa;
 V é o grau de Vulnerabilidade;
 C é o grau de Criticidade;
 A é o grau de Ameaça.

Em seguida, cada etapa deve ser inserida no quadro em suas condições originais e nas novas condições
com implantação das recomendações. Este recurso demonstra visualmente a evolução de riscos do
processo avaliado.

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 13/20

Exemplo de Processo (hipotético)
Processo: Embossing de 2ª Via de Cartões C&A Visa
Escopo: desde a inclusão de uma via no V+ até o envelopamento do plástico na embossadora
Fora de escopo: a partir da remessa aos Correios/Courier, aspectos legais e contratuais, controle de acesso
e gestão de logs de controle.
Etapa
a) INC - Inclusão de Via no V+
b) ARQ - Produção de arquivo para envio à fornecedora
c) EMB - Embossing de cartões
d) ENV - Envelopamento de cartões
Recomendações
Fragilidade
Etapa<NumOrdem>(V,C,A)
INC01(1,1,1)-Perfil de operador
disponível a muitas funções
INC02(2,1,1)-Ação não gera log
quando feita diretamente no V+
ARQ01(1,1,1)-Arquivo gerado
manualmente por usuário externo à
Produção.
ARQ02(1,1,1)-Transmissão do
arquivo por e-mail sem criptografia
EMB01(1,1,1)-Manuseio de arquivo
aberto
EMB02(1,1,1)-Arquivo aberto é
c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc
Autor: Mauro Reyes
mareyes@uol.com.br
Responsável Fragilidades
INC01(1,1,1)-Perfil de operador
disponível a muitas funções
INC02(2,1,1)-Ação não gera log
quando feita diretamente no V+
Ibi
ARQ01(1,1,1)-Arquivo gerado
manualmente por usuário externo à
Produção
ARQ02(1,1,1)-Transmissão do arquivo
por email sem criptografia
EMB01(1,1,1)-Manuseio de arquivo
aberto
EMB02(1,1,1)-Arquivo aberto é
manuseado para ordenação por CEP
EMB03(1,1,1)-Usuário que manipula
Embossadora arquivos tem acesso à correio
eletrônico e internet.
ENV01(1,1,1)-Envelopamento é
manual
ENV02(1,1,1)-Funcionários tem livre
trânsito na área
Fragilidade
Recomendações
Revista
[1] Rever lista de usuários com perfil de acesso que permite INC01(3,2,3)
inclusão de via e remover permissões indevidas.
[2] Desassociar o perfil de acesso à funcionalidade de outros
perfis.
[3] Criar processo de aprovação pela Auditoria para inclusão
desta funcionalidade a outros perfis extraordinários.
[4] Tentativas de inclusão de via por usuário sem a
funcionalidade devem gerar log de violação de acesso.
[5] Ação deve gerar log com indicação do sistema utilizado INC02(3,1,2)
para inclusão da via, identificação do usuário, seção, data e
hora, motivo da emissão.
[6] A geração do arquivo não deve ter intervenção manual ARQ01(3,2,2)
para evitar vazamento e corrupção de informações
altamente críticas.
[7] As validações e críticas devem ser automatizadas por
sistemas sem manipulação e devem ficar sob controle da
área de Produção.
[8] O envio deve ser processado em ato contínuo à validação ARQ02(3,2,2)
crítica do arquivo, de modo automatizado.
[9] O meio empregado para entrega deve ser provido de
redundância equivalente, chave de criptografia privada de
128 bits, em canal privado para evitar a ação de hackers.
[10] A embossadora deve ter meios automatizados sem EMB01(3,2,2)
intervenção humana para colocar o arquivo em linha de
produção.
[11] A organização por CEP agiliza o trabalho dos EMB02(3,2,3)
Salvo: 10/5/2007 19:08 Pg.: 14/20

Fragilidade
Etapa<NumOrdem>(V,C,A)
manuseado para ordenação por CEP
EMB03(1,1,1)-Usuário que manipula
arquivos tem acesso à correio
eletrônico e internet.
ENV01(1,1,2)-Envelopamento é
manual
ENV02(1,1,1)-Funcionários tem livre
trânsito na área
c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc
Autor: Mauro Reyes
mareyes@uol.com.br
Fragilidade
Recomendações
Revista
Correios/Couriers e o arquivo deve ser produzido pelo IBI
organizado da melhor maneira que aperfeiçoe os
processos de seus fornecedores e elimine a necessidade
de manipulação de ativos críticos por terceiros.
[12] A embossadora deve ter meios de garantir que apenas EMB03(3,2,3)
funcionários específicos, em quantidade que impeça
ruptura do nível de serviços, tenham acesso aos arquivos.
Funcionários com acesso ao arquivo, mesmo que
criptografado, não devem ter acesso à internet nem a
correio eletrônico para evitar o vazamento de ativos
altamente críticos.
[13] Computadores utilizados no tratamento do arquivo não
devem ter periféricos de mídia removível para impedir a
cópia dos arquivos.
[14] Uma vez inserido o arquivo para início do embossing, não ENV01(3,2,3)
deve haver contato manual com os plásticos e a máquina
de embossing deve envelopar os cartões automaticamente.
[15] A sala de embossing deve ter rígido controle de acesso ENV02(3,2,3)
que impeça a entrada de pessoas desautorizadas e,
independente do nível de permissão, de qualquer pessoa
portando bolsos e bolsas, equipamentos fotográficos,
scanners, ou qualquer outro que permita replicar cartões de
crédito.
Salvo: 10/5/2007 19:08 Pg.: 15/20
 Autor: Mauro Reyes
mareyes@uol.com.br

Demonstração Visual dos Riscos do Processo

Processo Original

Quadro 1: V x C Quadro 2: V x A

INC01(1,1,1)
INC01(1,1,1)
ARQ01(1,1,1)
ARQ01(1,1,1)
C1 ARQ02(1,1,1);EMB01(1,1 A1
INC02(2,1,1)- INC02(2,1,1)- ARQ02(1,1,1);EMB01(1,1
Alta ,1);EMB03(1,1,1);ENV01 Alta ,1);EMB03(1,1,1);ENV02
(1,1,2);ENV02(1,1,1)
(1,1,1)

C2 A2
ENV01(1,1,2)
Média Média
Criticidade

Ameaça
C3 A3
Baixa Baixa

C4 A4
Mínima Mínima

Vulnerabilidade Vulnerabilidade
V4 V3 V2 V1 V4 V3 V2 V1
Mínima Baixa Média Alta Mínima Baixa Média Alta

Processo Revisto

Quadro 1: V x C Quadro 2: V x A
REVISTO REVISTO

C1 A1
INC02(3,1,2)
Alta Alta

INC01(3,2,3)
ARQ01(3,2,2)
ARQ02(3,2,2) INC02(3,1,2)
C2 EMB01(3,2,2) A2 ARQ01(3,2,2)
Média EMB02(3,2,3) Média ARQ02(3,2,2)
Criticidade

EMB03(3,2,3) EMB01(3,2,2)
Ameaça

ENV01(3,2,3)
ENV02(3,2,3)

INC01(3,2,3)
EMB02(3,2,3)
C3 A3
EMB03(3,2,3)
Baixa Baixa ENV01(3,2,3)
ENV02(3,2,3)

C4 A4
Mínima Mínima

Vulnerabilidade Vulnerabilidade
V4 V3 V2 V1 V4 V3 V2 V1
Mínima Baixa Média Alta Mínima Baixa Média Alta

IMPLANTAÇÃO DAS R ECOMENDAÇÕES

Uma vez concluído o diagnóstico e estabelecidas as recomendações, é fundamental negociar os prazos para
implantação das recomendações com os gestores das áreas/negócios envolvidos.

Neste momento, é fundamental a formação de um grupo de trabalho com os envolvidos e seus respectivos
fornecedores de solução para discutir prazos e formalizar as discordâncias que por ventura tenham
permanecido.

É necessário um conjunto de documentos que servirão de comunicação formal entre a área de Segurança de
Produtos e as demais áreas.

O mais correto é que esta documentação trafegue em papel com assinaturas devidas, mas esta formalidade
pode ser abolida se houver outros meios institucionalmente aceitos.

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 16/20
 Autor: Mauro Reyes
mareyes@uol.com.br

O gestor do processo alvo das recomendações, ao assumir a liderança do grupo de trabalho, deve reportar o
andamento das implementações à Segurança de Produtos através do “Relatório de Conformidade” para as
recomendações com solução implementada e do “Relatório de Não Conformidade” para as recomendações
não implementadas. Modelos desses relatórios são exibidos no Anexo I deste material.

Vale lembrar que é fundamental que todos os envolvidos entendam e aceitem que as recomendações são de
interesse dos responsáveis pelas áreas afetadas e que eles devem perseguir prazos e qualidade das
mudanças, independente de quem de fato vá prover a solução.

CONCLUSÕES
O processo de avaliação de riscos de fraudes feito após a implantação de um projeto é mais difícil, mais
dispendioso, mais lento e caracteriza sempre um retrabalho, pois modifica o que já está feito. É também mais
exaustivo porque envolve descortinar o trabalho de outros profissionais, levantando falhas e gerando
desgastes naturais.

Em contrapartida, atuar antecipadamente nos projetos comerciais e tecnológicos facilita e fortalece o

relacionamento e tem boa receptividade pelos envolvidos.

O processo de geração de negócios fica fortalecido e a responsabilidade pelo resultado é compartilhada.

Contudo, mesmo o projeto mais primorosamente definido mais tarde passará por revisões e mudanças que
novamente serão beneficiadas pelo trabalho preventivo de Segurança de Produtos.

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 17/20
 Autor: Mauro Reyes
mareyes@uol.com.br

A NEXO I

FORMULÁRIO DE CONFORMIDADE

FORMULÁRIO DE N ÃO CONFORMIDADE

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 18/20
 Autor: Mauro Reyes
VERDE
mareyes@uol.com.br

R ELATÓRIO DE C ONFOR MIDADE

F RAUD R ISK A SSESS MENT

Nº _<0000> Processo:

Recomendação
Identificar o número e transcrever a recomendação.
ID Texto
000

Solução Empregada
Detalhar a solução empregada, registrando datas de realizações passadas e prazos para solução de
pendências.

Evidências de Controle
Informar quais os pontos cujos controles garantem o atendimento da recomendação e as respectivas
ferramentas de controle.

Anexos
Indicar os anexos que complementam este Relatório de Conformidade

Relator da Recomendação
Informar os dados do responsável perante o Grupo de Trabalho.
Nome Área Assinatura Data

Aprovações
N.º Revisão Áreas Envolvidas Assinaturas
00

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 19/20
 Autor: Mauro Reyes
VERMELHO
mareyes@uol.com.br

R ELATÓRIO DE N ÃO C O NFOR MI DADE

F RAUD R ISK A SSESS MENT

Nº _<0000> Processo:

Recomendação
Identificar o número e transcrever a recomendação.
ID Texto
000

Solução Empregada
Detalhar a solução empregada, registrando datas de realizações passadas e prazos para solução de
pendências.

Evidências de Controle
Informar quais os pontos cujos controles garantem o atendimento da recomendação e as respectivas
ferramentas de controle.

Anexos
Indicar os anexos que complementam este Relatório de Conformidade

Relator da Recomendação
Informar os dados do responsável perante o Grupo de Trabalho.
Nome Área Assinatura Data

Aprovações
N.º Revisão Áreas Envolvidas Assinaturas
00

c:\documents and settings\mauro\meus documentos\did\did\fraud risk assessment.doc Salvo: 10/5/2007 19:08 Pg.: 20/20