Escolar Documentos
Profissional Documentos
Cultura Documentos
decorrentes da prestação de serviços de mobile banking por instituições financeiras aos clientes,
bem como o desenvolvimento de propostas para a aplicação de medidas e meios que visem a
redução desses riscos.
Método: métodos científicos gerais de cognição são aplicados: análise e síntese, indução e
dedução, método de analogia.
Foi realizada uma análise sistemática da produção científica no campo da pesquisa teórica e
aplicada. Um método gráfico para interpretar os fenômenos em estudo foi implementado.
Palavras-chave: banco remoto, instituição financeira, risco operacional, aplicativo móvel, ameaças
à segurança, vulnerabilidade de aplicativo, segurança da informação.
1. Introdução
Também reduz o tempo para os órgãos reguladores analisarem a situação atual e emitirem
documentos regulatórios em termos de garantir o nível adequado de segurança da informação.
perigo [3].
Nessas condições, as instituições financeiras devem introduzir novos métodos de análise de risco,
com base nos quais possam utilizar seus recursos de forma mais eficiente, inclusive na formação
do orçamento dos serviços de segurança da informação.
O artigo discute abordagens gerais para avaliar os riscos associados ao usar sistemas de banco
móvel (SMB), visto que esse tipo de banco eletrônico está se tornando o mais difundido na Rússia
e no exterior.
1. Banco móvel;
2. Pagamentos móveis;
O mobile banking permite acesso 24 horas por dia, 7 dias por semana aos serviços bancários
usando um smartphone ou tablet4.
Em geral, o mobile banking está se tornando um dos principais canais de interação entre o banco e
seus clientes e dá uma contribuição significativa para a formação da experiência do cliente. Além
disso, o mobile banking está se tornando um canal importante para a promoção de novos
produtos e serviços, aumentando a lucratividade do negócio.
Junto com as vantagens óbvias da tecnologia de banco móvel, eles levam a riscos adicionais no
setor bancário. Mais precisamente, a lista de riscos bancários tradicionais7 não muda, mas seu
componente técnico aumenta significativamente.
O crescente componente técnico das fontes de riscos bancários tradicionais leva à necessidade de
melhorar alguns aspectos da regulamentação no setor bancário, inclusive no campo do banco
móvel. As mais relevantes, segundo os autores, são duas áreas relacionadas a:
O motivo da maior atenção do setor bancário ao risco operacional foi a publicação do Comitê de
Supervisão Bancária da Basiléia “Convergência Internacional das Mudanças no Capital e Padrões
de Capital: Novas Abordagens” (Basiléia II).
Basiléia II define risco operacional como o risco de perda decorrente de processos internos
inadequados ou errôneos, ações de funcionários e sistemas, ou como resultado de eventos
externos.
Os seguintes tipos de eventos podem ser identificados como manifestações de risco operacional:
- fraude interna (ameaças de insiders) e externa (ameaças, tanto de hackers individuais como de
grupos criminosos);
- erros de equipe;
De referir que o risco operacional é um dos principais riscos da banca tradicional, sobre o qual as
tecnologias de pagamento móvel têm maior impacto. O risco operacional pode ser definido como
a probabilidade de perdas e / ou não recebimento de lucros devido a falhas na execução das
operações bancárias rotineiras do dia-a-dia. Em relação às tecnologias de banco móvel, existem
três áreas principais de risco operacional:
No caso do funcionamento dos sistemas de segurança, estamos a falar dos riscos de violação no
processamento, transferência e armazenamento de informação em forma electrónica de
informação (violação da integridade, destruição, intercepção de informação ou seu abuso em
consequência de violações técnicas, ações de intrusos, erros ou ações fraudulentas de nossos
próprios funcionários e clientes) e falhas na operação de sistemas automatizados bancários
(sobrecargas devido à capacidade insuficiente de recursos e ataques DDoS8 direcionados nos
servidores web de organizações financeiras) [10, 11 , 12].
A importância da segunda área em termos de risco operacional tem sido muito grande nos últimos
tempos. As instituições financeiras tornam-se dependentes de seus contratantes e o nível dos
serviços bancários é geralmente determinado pela qualidade do trabalho das empresas, cujos
funcionários podem não ter o conhecimento necessário sobre serviços bancários móveis.
Os riscos relacionados com a terceira área estão associados aos requisitos constantemente
crescentes de capacidade adaptativa do pessoal das organizações financeiras devido à aceleração
dos processos de melhoria dos processos de negócio e à aceleração da modernização dos sistemas
bancários automatizados. Este problema aumenta os riscos de dificuldades surgidas na
implementação de tecnologias e soluções mais complexas.
Para verificar a qualidade da gestão do risco operacional nas instituições de crédito, é necessário
adaptar os métodos adequados às condições de implementação ativa das tecnologias de banca
eletrónica no negócio bancário. Esses métodos devem ser complementados com perguntas
específicas que o especialista deve responder para, em última análise, gerar informações sobre a
eficácia da gestão do risco operacional em uma organização financeira, por exemplo:
- Existe uma unidade ou funcionário que desempenha funções de avaliação de risco operacional?
- Existe informação analítica sobre os prejuízos operacionais incorridos no âmbito dos ramos de
atividade com descrição das situações que levaram à concretização do risco, que permite
determinar as áreas mais críticas do ponto de vista do PR?
- A instituição de crédito possui processos de previsão do valor potencial das perdas operacionais?
O resultado da saída pode ser um indicador agregado, que é formado por componentes
separados. A resposta a cada questão corresponde a um determinado ponto em uma escala de 5
pontos, enquanto a resposta "sim" corresponde a 1 ponto e a resposta "não" corresponde a 5
pontos.
Além disso, a cada questão é atribuído um coeficiente de peso, que o perito determina de forma
independente por meio de consultoria especializada, tendo previamente coordenado suas ações
com a administração do banco. O indicador agregado da qualidade do sistema de gestão de risco
operacional em uma instituição de crédito é calculado usando a fórmula:
As orientações propostas não cobrem toda a lista necessária de medidas no âmbito da gestão do
risco operacional no contexto da utilização de SMB.
4. Segurança da informação no contexto do uso de SMB
Tendo em conta que o setor financeiro tem sido talvez recentemente a área de interesse mais
atraente para os cibercriminosos (isto é evidenciado pelo aumento constante do número de
cibercrimes contra instituições financeiras nos últimos anos), bem como tendo em conta os
processos Para otimizar as decisões financeiras no domínio da aplicação das PMEs, é necessário
tomar medidas destinadas a alcançar um elevado nível de segurança da informação [13].
Analisando as ameaças listadas na Tabela 2, podemos concluir que algumas delas (por exemplo,
M1, M7) são típicas apenas para aplicativos móveis (mobile banking).
A lista de ameaças listadas na Tabela 2 difere significativamente dos dez riscos de segurança de
aplicativos da Web mais críticos identificados no projeto OWASP "Os Dez Riscos de Segurança de
Aplicativos da Web Mais Críticos".
Dada a natureza única das ameaças à segurança da informação inerentes às PMEs, é necessário
desenvolver medidas e ferramentas de segurança da informação para mitigar essas ameaças.
Métodos quantitativos para avaliar os riscos de segurança da informação estão contidos no GOST
R 52448-2005, bem como em uma série de padrões estrangeiros, os mais famosos dos quais são
NISP SP 800-3013, CRAMM (Análise de Risco CCTA e Método de Gestão) e OCTAVE ( Avaliação de
ameaças, ativos e vulnerabilidade operacionalmente críticos).
Os métodos qualitativos de avaliação de risco incluem, por exemplo, ISRAM (método de análise de
risco de segurança da informação).
Na forma mais geral, a avaliação de risco pode ser expressa na forma da fórmula:
Vamos considerar uma abordagem geral para a avaliação qualitativa dos riscos à segurança da
informação.
Além disso, os fatores que formam a base de conceitos como “probabilidade” e “impacto” (dano)
são considerados e é mostrado como combinar esses fatores a fim de determinar o nível de risco
[14, 15, 16].
Em primeiro lugar, é necessário identificar o risco, ou seja, identificar uma ameaça à segurança
que leva ao surgimento de um risco potencial.
Freqüentemente, é quase impossível usar valores quantitativos precisos para avaliação, portanto,
avaliações qualitativas são usadas, por exemplo, atribuindo a probabilidade de um risco a uma das
várias categorias. Aqui podemos distinguir fatores relacionados ao agressor, e fatores relacionados
à vulnerabilidade, cuja possível exploração leva ao surgimento de um risco potencial [17, 18, 19].
Após os fatores que influenciam a probabilidade de ocorrência do risco terem sido considerados e
avaliados, é necessário proceder à consideração e avaliação dos fatores que influenciam o
impacto. Em primeiro lugar, deve-se notar que existem dois tipos de impacto: impacto técnico e
impacto comercial.
- perdas financeiras;
Em seguida, os fatores acima também são classificados e os resultados obtidos são calculados.
Propõe-se fazer a média separadamente dos fatores relacionados aos fatores de impacto técnico e
aos fatores de impacto do negócio.
Duas maneiras podem ser propostas: escolher entre duas avaliações de fatores de influência
técnica e fatores de influência de negócios de um valor mais alto (mais crítico), ou deixar para
consideração posterior apenas a avaliação de impacto de negócios (desde que haja informações
iniciais suficientes durante essa avaliação )
Como resultado, obtemos duas estimativas: probabilidade e impacto. Para avaliar o risco, você
pode usar uma tabela na qual, para cada nível de probabilidade e impacto, um determinado nível
de risco é determinado (por exemplo, menor, baixo, médio, alto e crítico).
Uma vez que todos os principais riscos foram identificados e avaliados, uma lista priorizada de
riscos que precisam ser tratados precisa ser identificada.
As principais ferramentas e medidas, cujo uso pode reduzir os riscos de segurança da informação,
são:
e vários outros.
5. Conclusões
Como resultado de considerar as direções do banco móvel, o impacto do banco móvel no risco
operacional de instituições financeiras e de crédito, bem como as questões de garantir a
segurança da informação dos sistemas de banco móvel, as seguintes conclusões podem ser
formuladas:
- a introdução de tecnologias de banco eletrônico (incluindo SMB) leva a uma redução significativa
dos custos operacionais (devido à ausência de despesas com a manutenção de escritórios e
pessoal operacional), mas ao mesmo tempo está associada a um aumento na componente técnica
típica riscos bancários, entre os quais se destaca o risco operacional;
- dado que o risco operacional se está a tornar um dos riscos mais significativos para os bancos no
contexto das PME, é necessário tomar medidas atempadas para melhorar as abordagens de
gestão deste risco. É óbvio que o procedimento e os mecanismos de gestão do risco operacional
devem ser melhorados com base nas recomendações do regulador, garantindo a atribuição eficaz
de áreas de responsabilidade por cada componente deste risco;