RELATÓRIO GARTNER QUALIFICA SOLUÇÃO BOTTOMLINE CFRM

Alinhando a Estratégia de Detecção de Fraudes Financeiras ao Gartner's Capability Model  

Publicado: 26 julho 2017 ID: G00325850 /

Analistas: Jonathan Care, Tricia Phillips

 

NOTA: O objetivo deste texto é localizar os conceitos da análise divulgada pelo Gartner. O conteúdo integral e original pode ser acessado em https://www.gartner.com/doc/reprints?id=1-4FN537S&ct=170928&st=sg

Boa leitura!

Sumário

Como as fraudes digitais ficam mais sofisticadas e os roubos de identidade mais complexos, é tempo de repensar a arquitetura funcional de detecção e prevenção de fraudes. Os Responsáveis de Segurança e Gestão de Riscos devem perseguir uma abordagem contextual e baseada em riscos para endereçar múltiplos casos de uso.

Visão Geral

Desafios chave

  • Os negócios se esforçam em oferecer aos seus Clientes e Parceiros diversos canais de acesso. Poucos, entretanto, investem em soluções de detecção e prevenção de fraudes que protejam os seus Usuários nessa visão abrangente de comportamento.
  • As Organizações tratam a autenticação de identidade separadamente dos processos de proteção, focados em transações; isso deteriora suas iniciativas na prevenção de fraudes.
  • Os métodos de ataque, cada vez mais sofisticados, podem contornar as tradicionais soluções antifraude; entretanto, muitas Organizações não suportam o custo de adotar sempre as melhores soluções para cada novo tipo de ataque.

Recomendações

Os Gestores de Segurança e de Risco, encarregados da prevenção de fraudes, devem:

  • Trabalhar integrados com seus pares responsáveis pelos riscos técnicos e financeiros, entendendo melhor os negócios e os riscos que impactam sua Organização.
  • Criar, juntos, uma plataforma – flexível, real-time e contextualizada – que suporte a análise das ações e comportamentos através de todos os canais de interação e em todas as situações.
  • Adotar técnicas, como análise em tempo real, inteligência para os ataques de fraudes e gestão dinâmica de risco, para suportar os objetivos de confiabilidade transacional, proteção da marca e do Cliente.

Premissa do Gartner para Planejamento Estratégico

Por volta de 2022, 60% das Organizações estarão no Nível 5 ou superior no Gartner Fraud Detection Capability Model, bem acima do nível atual, que é menor que 30%.

Introdução

O Gartner define fraude financeira como uma atividade maliciosa, executada por um indivíduo ou grupo via uma trapaça, com a intenção de ganhos financeiros às custas de outros indivíduos ou Organizações.

Se antes era considerado apenas um risco nas transações, a fraude financeira hoje se espalha por todos os canais de interação e em todo o ciclo de vida da conta do Cliente. Um ataque de fraude pode quebrar tanto processos internos como os pontos de interação do Cliente: fraude em conta nova, invasão de conta, compras falsas, fraude em cheques e depósitos, fraudes de despesas e faturas, etc.

Os Gestores de Segurança e Riscos, encarregados da prevenção de fraudes, reportam que interfaces móveis, Call Center, sistemas de pagamentos e locais físicos de varejo são vulneráveis. Hoje, a expansão e o alcance das fraudes geram grandes perdas financeiras, e os analistas têm dificuldade em medir seus custos reais. 1

Embora esta análise foque as técnicas de prevenção de fraude digital, deve-se considerar que a fraude financeira é multicanal. Fraudadores não têm nenhum escrúpulo em movimentar-se entre canais digitais, telefônicos, ou mesmo canais tradicionais baseados em papel, para atingir suas metas.

É preciso uma abordagem arquitetural que enderece as necessidades de prevenção aos vários stakeholders e às diversas situações. Processos de autenticação de identidade devem ser uma salvaguarda contra o roubo de identidade, identidade falsa e invasão de conta, mas não deve degradar a experiência dos 98% de Usuários não comprometidos em ações maliciosas (ver Nota 1). Esta análise, então, vai além da simples visão unidimensional, apenas da fraude online, apresentando uma abordagem flexível e modular, com diversas tecnologias e funções correlatas, de forma que os Gestores possam combinar as soluções apropriadas às ameaças complexas.

Análise

A Fraude é parte de um ciclo vicioso de crime tecnológico com diversas categorias de atores, incluindo crime organizado, grupos terroristas e oportunistas solitários ou com organização eventual, todos ávidos por dinheiro. Ciberataques integram a atividade do crime organizado, que rouba dados para criar de inteligência ou vender para lucrar. No mercado negro, as vulnerabilidades tecnológicas são comoditizadas, comercializadas e, então, transformadas em armas. Como parte dessa progressão, as ações da fraude fazem uso de dados roubados em intrusões hackers para criar contas falsas ou assumir o controle de contas legítimas de pessoas ou empresas. Esses esquemas geram os fundos que financiam novas atividades criminosas.

Esse ciclo baseia-se em métodos comprovados, inovações táticas e novas tecnologias para ampliar o crime, com comprometimento da identidade, que é um forte componente no combate global à fraude. Estatísticas mostram que hacking, malware e invasão de contas aliaram-se em uma cadeia destrutiva em 2016: 3 bilhões de identidades foram reportadas como comprometidas por algumas Organizações; 60% dos usuários reutilizam suas senhas em múltiplos sites; 90% dos logs em websites sofreram “bot attack” (por robôs). 2

A fraude financeira é uma atividade multicanal. Quanto mais pontos de interação uma Organização tem para suportar as transações com Clientes, mais pontos cegos existem, onde os potenciais incidentes de fraude podem ocorrer. Negócios móveis, call centers e serviços online são todos vulneráveis às trapaças que os fraudadores espalham usando cada vez mais sofisticadas técnicas e ferramentas de ataque. Um fraudador apresenta uma identidade falsa ou roubada em uma chamada a um Suporte ao Cliente e altera as credenciais da conta, permitindo que ele faça transferências de fundos usando um telefone frio não rastreável. Ou seja, essa violação penetra fundo em outras áreas da empresa – desde as iniciativas de negócios digitais, até os locais físicos e até à cadeia de suprimentos.

A prevenção de fraude deve ser multicanal também. Soluções focando canais individuais, sem a análise de comportamento e detecção de anomalias multicanal, formam um cenário incompleto dos desafios da fraude e perdas financeiras da Organização.

Diversas realidades são agora evidentes:

  • Fraudadores se moverão por entre canais para ter êxito nos seus ataques.
  • Transações on-line e off-line são ambas vulneráveis à fraude.
  • Silos/feudos organizacionais (processos, departamentos e sistemas isolados) são os amigos dos fraudadores.

Por ex., suponha um ataque de negação de serviço distribuída (DDoS) contra um portal web. Como o Gartner já observou, ataques DDoS à página de login irão gerar grande aumento nas chamadas para o Contact Center a partir de usuários legítimos, criando uma crise no Serviço ao Cliente. Os fraudadores podem, então, explorar o Contact Center usando técnicas de engenharia social, aproveitando que os atendentes procurarão reduzir a irritação da fila e ajudar aos Clientes: farão exceções durante essas chamadas para apaziguar a fila; informações serão inadvertidamente validadas ou alteradas. Ao terminar o ataque DDoS, os atores maliciosos terão mais informações e acessos para assumir o controle de contas de Clientes online.

Diversas boas práticas dão aos Gestores de Segurança e Risco defesas a esses ataques amplos e intrincados.

Alinhe a Estratégia ao Gartner's Capability Model para Detecção de Fraude

O Gartner Fraud Detection Capability Model, figura 1, destaca 7 capacitações chave que o Gartner recomenda como melhores práticas antifraudes financeiras. O desenvolvimento dessas capacidades provê uma abordagem estruturada à detecção de fraude, e cada camada cria capacidades de detecção e dados para a camada seguinte.

Figura 1. Gartner Fraud Detection Capability Model para Prevenção de Fraude Multicanal

 

Fonte: Gartner (Julho 2017)

Algumas fases são de menor sofisticação e são mais úteis ao fornecer histórico aos Gestores de Segurança e Risco:

  1. Identificação baseada em dados estáticos é composta por duas funções primárias – identificação de novos Clientes na ativação e a validação do Clientes quando de sua reativação. A identificação estática pode ser usada se for necessária uma identificação acelerada para aumentar a garantia de confiança. Isso é geralmente usado para satisfazer os requisitos de conhecer seu cliente (KYC), e os Clientes estão acostumados a fornecer muitos desses dados. Infelizmente, com a imensidade de brechas nas informações de identificação pessoal, a agilidade em averiguar um documento torna muito difícil provar a sua veracidade. Mais: por ser intrusiva, a verificação baseada em conhecimento (KBV) frequentemente irritam usuários legítimos, que abandonam a transação, enquanto que fraudadores sofisticados são capazes de fornecer os dados corretos. O caminho para evoluir no modelo e reduzir a dependência destas ferramentas é facilitar para os Clientes legítimos a prática de confirmação de identidade, reduzindo a área de ataque onde os fraudadores podem facilmente operar.

Fornecedores como IDology, LexisNexis Risk Solutions and TrustID operam neste nível.

  1. Avaliação de Risco baseada em Regras é uma capacidade básica para compliance, aplicação das políticas do negócio e detecção de ações suspeitas. É o método básico de prevenção para muitas Organizações, especialmente em regiões em desenvolvimento. O nível de sofisticação para plataformas baseadas em regras varia muito, algumas suportando regras bem complexas e suas nuances, testes automáticos de relevância e gerenciamento agressivo de regras, que retira regras obsoletas. Quase todos esses sistemas tratam casos negativos e atividade histórica (mau comportamento conhecido), o que frequentemente resulta em altas taxas de falso-positivo e a inabilidade em detectar ameaças emergentes e desconhecidas. Além disso, fraudadores sempre analisam os ataques bloqueados pelas regras (combinações de atributos de dados e dos métodos) e são hábeis em modificar comportamento para contorna-las. Poucos fornecedores oferecem um sistema de escore dos riscos baseados apenas em regras, em função da rápida mudança na natureza dos ataques. Essa capacidade, por isso, é feita por desenvolvimento interno ou sistemas legados de análise de transações, mesmo que fornecedores como ThreatMetrix ofereçam "smart rules", que também podem usar funcionalidades analíticas.
  2. Registro de Perfis de Pontos de Acesso (Endpoint profiling - EP): estas tecnologias avaliam uma variedade de aparelhos, incluindo telefones e tablets móveis, computadores laptop e desktop, telefones fixos e aparelhos emergentes capazes de interações – tais como veículos inteligentes e assistentes pessoais virtuais. O EP pode marcar aparelhos que estejam em um estado inseguro ou hackeados (jailbreak), demonstrando inconsistências ou anomalias que indicam clonagem (spoofing), ou que são inconsistentes com as características esperadas (como perfis anteriores do aparelho); explorar semelhanças com aparelhos fraudulentos conhecidos e, às vezes, pode pontuar (escore) o risco do dispositivo. No entanto, essas soluções muitas vezes não enxergam dispositivos comprometidos por malware ou ataques avançados, como ataques man-in-the-midldle (MITM), man-in-the-browser (MITB) ou Trojan de acesso remoto (RAT). Ainda que esta tecnologia seja proteção suficiente para várias Organizações e situações, como a maioria das ferramentas de prevenção e detecção de fraude e segurança, continua a disputa entre fraudadores e fornecedores de soluções. Cada lado está continuamente ultrapassando o outro, com uma nova forma para violar um dispositivo ou para detectar a violação. Grandes empresas são alvo dos ataques mais sofisticados de fraude e esta evolução contínua da capacidade de fraudar é um driver para subir um degrau no modelo de maturidade, capacitando a detecção de ataques avançados de fraude que comprometem o ponto de acesso e subvertem interações de Usuários legítimos.

Fornecedores nesta área incluem Experian, IBM Trusteer, iovation, Kaspersky Lab, Kount e ThreatMetrix.

  1. Relacionamento Gráfico de Entidades: usa análise gráfica das características de uma conta ou transação, assim como o relacionamento entre pontos de dados, criando uma avaliação de risco dos atributos. As análises dessa vinculação e reputação incluem endereços de e-mail, números de telefone, endereços e informações da conta do destinatário, etc. Isso pode determinar indicadores de risco por associações ou links para listas negativas, ações rápidas ou morphing (tentativas de disfarce). É também eficaz em determinar se o beneficiário final de uma transação é o mesmo que a originou ou, ainda, se é alguém sujeito a alguma precaução ou sanção regulatória, requerendo autorizações adicionais antes de a operação ser completada. As típicas análises de destinatários fazem uso de gráficos para identificar força, frequência e qualidade de relacionamentos e, assim, descobrir todos os beneficiários finais escondidos ou outros esquemas desonestos. Isso é um valor significativo quando a transação cruza fronteiras jurisdicionais e tem outros elementos indicando que é de alto risco.

Fornecedores neste espaço incluem ID Analytics, LexisNexis Risk Solutions, TransUnion e Whitepages.

Acima deste nível estão as Organizações com um grande número de transações financeiras ou que têm um perfil que indica alto risco de perda por ataques orquestrados de fraude. A Pontuação de Risco Multicanal, a Análise do Comportamento e a Proteção da Sessão na Web podem fornecer indicadores-chave de risco sobre o início de uma transação por um fraudador e não por um Cliente genuíno.

  1. Análise de Comportamento usando diversas técnicas — inclusive machine learning, gerenciado ou não — dá aos Gestores de Segurança e Riscos uma força maior para detectar ameaças emergentes, mais do que apenas os sistemas baseados em regras. A análise de comportamento multicanal compara a baseline de comportamento contra o histórico das atividades individuais ou de grupos, e deve incluir todos os canais de interação. Este método pode detectar anomalias sutis que são indicativas de ataques avançados de fraude, como mudanças ou anomalias na navegação na página e sequência de ações, análise biométrica do comportamento passivo, indicando interações automatizadas, mudanças nos padrões de teclas, movimento do mouse, pressão do deslize, etc. Adicionalmente, usando análise comportamental multicanal, pode detectar mudanças sutis entre os canais que não excedam o limite de risco de um único canal, mas que excederiam se combinados com outros canais. Por ex.: uma tentativa de login por um novo dispositivo que falhar na autenticação pode, por si só, não parecer de alto risco, mas quando seguido por tentativas erradas de fornecer conta ou data de nascimento via uma resposta de voz interativa (IVR), logo seguido por pedido de nova senha via um novo dispositivo móvel, indica que a conta está em risco muito maior de invasão.

Fornecedores que oferecem soluções com esta capacidade incluem BehavioSec, BioCatch, Featurespace, Guardian Analytics, IBM Trusteer and Pindrop (no campo de call center).

  1. Proteção da Interface do Usuário (UIP): Enquanto o firewall protege contra ações de exploração específicas, a camada UIP protege contra os ataques peculiares de lógica de negócio usados pelos fraudadores, incluindo preenchimento de credenciais, personificação usando RAT (trojan), injeção (introdução de código inválido no Document Object Model (DOM), interceptação e redirecionamento de tráfego e sequestro de sessões (session hijacking). UIP é comumente instalada do lado servidor como scripts adicionados ao website e, tipicamente, defende contra vetores de ataques sofisticados tais como Dridex, Kins, Zeus, Dyre e similares. A evolução para além desta camada é normalmente requerida por uma necessidade de se defender de ataques de fraude direcionados por fraudadores avançados, em função do perfil de alto risco da Organização – notoriedade da marca ou ativos valiosos para um invasor.

Fornecedores que oferecem esta categoria de soluções incluem Akamai, Cleafy, CodeSealer, Distil Networks, F5 (Websafe), RSA and Shape Security.

  1. Avaliação Contínua de Riscos integra resultados de todos os canais de interação dos Clientes, incluindo web, acesso móvel, Cal Center, mensagens instantâneas e outros canais menos tratados, como mídia social, e-mail e mesmo contatos presenciais. Isso também influencia o contexto de risco para cada ação disponível em um evento de conta ou uma transação. Neste estágio do modelo, sistema antifraude torna-se fundamental para a Governança de toda a experiência do Cliente. Atua como um hub de Governança, definindo se uma autenticação adicional é necessária, se um ciclo de autenticação de identidade deve ser executado ou mesmo se certos serviços devem ser suspensos para manter as transações dentro da margem de tolerância ao risco. Indicadores de risco para a maioria dos canais digitais são bem compreendidos; porém, ao analisar novos canais inovadores (e para bancos, novos meios de pagamento e portadores), é preciso cautela para garantir que a reputação organizacional não seja desfigurada por uma falha no hub de fraude, que negue o serviço, ou que um hub de fraude excessivamente permissivo não exponha a Organização a risco fora o limite. Esta pontuação deve superar dados e silos/feudos organizacionais.

Fornecedores de soluções nesta área incluem BAE Systems, Bottomline Technologies (Bottomline CFRM), Brighterion, Featurespace, Feedzai, FICO, IBM Trusteer e SAS.

Os Responsáveis pela Prevenção devem analisar os eventos de fraude para entender seu papel no ciclo mais amplo e mais complexo de atividades criminosas, como mostrado na Figura 2.

Figura 2. O Ciclo dos Ataques de Fraudes Financeiras

Fonte: Gartner (Julho 2017)

Ou seja: Ciberataques visam o roubo de dados valiosos ð usados em aquisições fraudulentas de bens e serviços ð o produto destes é usado para financiar outras atividades criminosas e insurgentes, incluindo atos de violência, compra e venda de itens e conteúdos ilícitos, e assim por diante ð os ganhos dessas atividades, por sua vez, passam por processos de lavagem de dinheiro, legitimando os fundos e liberando-os para uso geral. Tal atividade pode ser detectada por sistemas anti-lavagem de dinheiro (AML) e por confirmações regulatórias.3

Alguns desses fundos legitimados são utilizados para financiar a pesquisa, o desenvolvimento e a transformação em armamento (weaponization) de ferramentas que podem ser usadas em novos futuros ataques cibernéticos.

Desenvolva uma Estratégia Holística de Fraude Que Inclua Modalidades On-line e Off-line

Os ataques de fraude exploram, cada vez mais, pontos cegos e silos de detecção de fraudes e estratégias de prevenção baseados em canais. Enquanto tecnologias emergentes representam novas oportunidades para os Gestores e os esforços antifraude poderem se fortalecer com a compreensão de como essas soluções são complementares nos casos reais (como avaliação integrada de risco de uma nova conta, avaliação de risco em transação de alto valor e checagem na alteração de conta), os investimentos darão resultados aquém das expectativas se uma Organização não estiver empregando uma visão multicanal de seus processos. Como mostra a Figura 2, os recursos disponíveis oferecem níveis variados de sofisticação, mas o uso de soluções avançadas deve corresponder ao nível de maturidade dos métodos de ataque empregados contra a Organização.

Os fraudadores são atraídos pelo ponto de mais fácil ataque e se utilizam da fragmentação no gerenciamento antifraude baseado em silos (por ex., o Portal e o Call Center) para explorar fraquezas na detecção.


 

Estabeleça Diálogo entre Responsáveis de Prevenção de Fraudes e Outros

O Gartner observa que há uma frequente desunião entre os Gestores de Prevenção de Fraude e outros Gestores de Segurança e de Risco. Os ataques avançados afetam as áreas de Segurança da Informação, Segurança de Aplicativos, Garantia e Risco de Crédito, Gerenciamento de Identidade / Acesso, Contabilidade e Tesouraria. Os Gestores estão enfrentando ataques cada vez mais sofisticados em uma ampla variedade de canais e métodos de ataque, que incluem robos (bots) que visam o login em páginas de aplicativos, ataques baseados no browser, ataques DDoS em combinação com outros métodos, engenharia social, ataques de phishing e malware e comprometimento de identidade. Pela união dos conhecimentos, competências e orçamentos tecnológicos de todos os Gestores, uma abordagem multicanal de ponta na prevenção de fraudes pode ser desenvolvida e implementada. Os cibercriminosos circulam livremente entre os cenários do ciclo de ataque do crime financeiro e todos os Gestores, se pretenderem competir, deverão se tornar tão fluídos quanto.

Construa um Pilar de Ferramentas que seja Extensível e Flexível (que possa incluir mudanças), pois Nenhuma Solução Única Oferecida por um Fornecedor Atenderá a Todas as Necessidades de Prevenção

Ao projetar a abordagem da Organização para a detecção e prevenção de fraude, os Gestores Responsáveis devem criar um foco em capacidades e estratégias adaptativas. A estratégia global deve focar a proteção da receita.

A proteção da receita é o principal objetivo de qualquer Equipe de Proteção à Fraude. A proteção de receita é sustentada pela criação de confiança, via uma experiência do Cliente que seja fácil e agradável e pela sua percepção de confiabilidade e da prevenção de atividades fraudulentas. Para facilitar esses objetivos, capacidades e tecnologias comuns em vários níveis do modelo de maturidade devem ser aplicadas para os casos que incluam atividades de criação e garantia de contas, acesso a contas e atividade de gerenciamento de identidade e acesso (IAM), manutenção de conta, atividade de atendimento ao Cliente e eventos transacionais. O uso de competências semelhantes em todo o ciclo de vida do Cliente aumenta a compreensão do comportamento legítimo e a destreza em detectar anomalias sutis indicando ações maliciosas.

Os Gestores de Prevenção de Fraude e seus pares em Segurança de Aplicativos e da Informação, Garantias e Acesso (IAM) devem concatenar os benefícios de uma plataforma de prevenção de fraude robusta e adaptativa. Tal solução deve ter capacidades e funcionalidades de orquestração que possam ir além da prevenção de perdas e cheguem mesmo na geração de receita. Ao implantar essas soluções, as Empresas devem buscar o menor atrito na experiência do Cliente.

Uma das maiores ajudas que uma Organização pode fornecer, de forma involuntária, a uma quadrilha de fraudadores é deixar de alinhar e envolver todos os seus canais - por ex., tratar o Call Center (ou a área de tratamento de correspondência escrita) como um silo isolado e não o conectar a outros sistemas de fraude. Um desafio que pode aparecer é onde a dinâmica organizacional não é tão flexível ao permitir a implementação de uma estratégia única de fraude. Permitir brechas na estratégia de fraude dá aos adversários pontos de apoio a explorar.

Estudo de Caso

Um fundo de aposentadoria usou consultores financeiros terceirizados para atuar como agentes de vendas. Sendo pequenos operadores independentes, alguns desses consultores financeiros tinham práticas frouxas de segurança de dados e dados sensíveis de Clientes, ficavam expostos em seus laptops.

Essa informação foi o suficiente para permitir duas trajetórias de ataques:

  • Os dados coletados, como os Números de Segurança Social (equivalentes ao CPF ou o nº do INSS), permitiram que fraudadores invadissem contas pouco usadas no portal. O fundo de aposentadoria usou processos fracos de criação / recuperação de contas, que dependiam de autenticação estática baseada no conhecimento.
  • Usando os dados coletados, fraudadores fizeram chamadas disfarçadas ao Call Center para conhecer o valor nas contas de aposentadoria.

Isso resultou em um documento bem elaborado, instruindo a transferência de fundos para conta no exterior.

Uma plataforma holística e multicanal de prevenção de fraude poderia ter identificado a combinação de ações de alto risco e interrompido o saque indevido de fundos.

Referências

1 "The Staggering Cost of Fraud," 2016 Global Fraud Study, Association of Certified Fraud Examiners (ACFE).

2 Veja:

3 "Sanctions and AML Compared and Contrasted: 15 Things You Should Know," ICAEW (The Institute of Chartered Accountants in England and Wales)

Nota 1
Renomeando "Prova de Identidade” (Identity Proofing) para "Autenticação de Identidade” (Identity Corroboration)

No Mercado, há uma definição dúbia de "Prova de Identidade". Cobre a validação e comprovação da identidade através de análise de documentos físicos, a procura em bases de dados e até ações criadas para que as transações com partes desconhecidas fiquem dentro da tolerância de risco. Como um dos objetivos do Gartner é trazer clareza e definição ao setor de TI, sentimos que a "Autenticação da Identidade" é um termo mais apropriado; "prova" indicaria um absoluto; essa mudança efetivamente coloca o risco de uma confirmação da identidade na margem de tolerância ao risco da Organização.

 

 

© 2017 Gartner, Inc. and/or its affiliates. All rights reserved. Gartner is a registered trademark of Gartner, Inc. or its affiliates. This publication may not be reproduced or distributed in any form without Gartner's prior written permission. If you are authorized to access this publication, your use of it is subject to the Usage Guidelines for Gartner Services posted on gartner.com. The information contained in this publication has been obtained from sources believed to be reliable. Gartner disclaims all warranties as to the accuracy, completeness or adequacy of such information and shall have no liability for errors, omissions or inadequacies in such information. This publication consists of the opinions of Gartner's research organization and should not be construed as statements of fact. The opinions expressed herein are subject to change without notice. Gartner provides information technology research and advisory services to a wide range of technology consumers, manufacturers and sellers, and may have client relationships with, and derive revenues from, companies discussed herein. Although Gartner research may include a discussion of related legal issues, Gartner does not provide legal advice or services and its research should not be construed or used as such. Gartner is a public company, and its shareholders may include firms and funds that have financial interests in entities covered in Gartner research. Gartner's Board of Directors may include senior managers of these firms or funds. Gartner research is produced independently by its research organization without input or influence from these firms, funds or their managers. For further information on the independence and integrity of Gartner research, see "Guiding Principles on Independence and Objectivity."