Multado por deixar passar comportamento suspeito de funcionário que roubou US$ 750 mil de clientes, instituição mostra que a TI deve ter apoio de controles de supervisão 
Mesmo que instituições financeiras aperfeiçoem os portfólios de tecnologia de segurança, com avançadas implantações de monitoramento de atividade de banco de dados (DAM), melhores softwares de detecção de fraudes e outras ferramentas para farejar mau comportamento interno, criminosos infiltrados ainda conseguem burlar os sistemas quando toda essa tecnologia não tem o suporte dos processos de negócio certos. E, quando isso acontece, nenhum tipo de implantação de complicance poderá evitar que reguladores apliquem multas e causem constrangimento público.
O caso em pauta é a recente campanha da FINRA (Financial Industry Regulatory Authority) contra o Citigroup. A FINRA anunciou, recentemente, que multou o Citigroup em US$ 500 mil por não conseguir rastrear um funcionário que conseguiu roubar quase US$ 750 mil de 22 clientes, durante um período de oito anos.
Uma assistente de vendas em uma das filiais do Citigroup, Tamara Moon, roubou de idosos, pacientes com Parkinson e até de seu próprio pai. E ela conseguiu manter seus esquemas apesar dos relatórios de exceções que eram enviados aos seus superiores, detalhando conflitos em informações de novas contas. Da mesma forma, os superiores não notaram transferências suspeitas entre contas sem qualquer relação. “O Citigroup tinha formas de saber o que ela fazia e de impedi-la”, avalia Brad Bennett, VP executivo da FINRA.
O caso do Citigroup indica a necessidade de melhores práticas de monitoramento contínuo dentro da indústria, de acordo com John Rostern, diretor de gestão da filial de Nova York da empresa de segurança e consultoria de compliance, Coalfire Systems.
“O tipo de monitoramento geralmente utilizado é, na melhor das hipóteses, inconsistente e, em muitos casos, gerenciado manualmente”, constata Rostern. “A introdução de controles de monitoramento contínuo, em que não se está apenas coletando amostras estatísticas, mas realmente monitorando a população geral e analisando exceções conforme elas ocorrem, é importante devido à quantidade de dados correndo por sistemas e o número de pessoas nessas áreas externas, como filiais.”
Rostern acredita, também, que empresas precisam pensar de forma mais crítica sobre como implantações existentes de ferramentas DMA podem rastrear melhor comportamentos suspeitos de fraude.
“Monitoramento de atividade de banco de dados tem sido implantado em serviços financeiros com mais abrangência do que em outras áreas, mas como é realmente usado? Essa é a verdadeira questão”, lembra. “É ótimo ter essas ferramentas implantadas para monitorar o acesso a bancos de dados, mas o que fazer com os dados? Como são monitorados? É importante pensar no contexto de procedimento em que as ferramentas são implantadas.”
De forma parecida, alguns especialistas acreditam que as empresas precisam aprimorar, também, as formas como as ferramentas de DAM se conectam para identificar soluções de gerenciamento que podem rastrear melhor comportamento de usuários pelos sistemas.
“A realidade é que muitas áreas de segurança por aí são centradas em sistemas: bancos de dados, espaço de aplicativos ou rede”, disse Frank Villavicencio, vice-presidente executivo da Identropy, fornecedora de serviços de gerenciamento de acesso e identificação. “Mas precisam crescer para um modelo centrado em identidade para aumentar a visibilidade e conectar atividade à pessoa. É onde entra a ideia do monitoramento de atividade de identidade. É possível relacionar dados de comportamento com dados de identidade para saber se determinado usuário acessa o banco de dados, e também se aquele usuário acessou o sistema remotamente num sábado à tarde ou do escritório, tarde da noite.”
Enquanto a tecnologia é importante, Richard Mackey, vice-presidente de consultoria da SystemExpert, disse que o incidente do Citigroup mostra como os problemas com controles humanos são mais importantes para resolver do que a luta contra fraudes.
“São controles internos, e não controles técnicos, que devem estar atentos a isso”, alerta Mackey. “No final das contas, foram vários incidentes suspeitos associados com essas contas, mas eles permitiram que o funcionário de vendas os explicasse. Por exemplo, quantias foram movidas entre contas que não tinham qualquer relação umas com as outras. Ou seja, ações que deveriam ter chamado a atenção de superiores, que deveriam ter analisado, com mais atenção, funcionários e clientes envolvidos nessas transações, mas eles nunca se deram ao trabalho.”
0 comentários:
Postar um comentário