Por que os bancos devem considerar a visibilidade de TI na sua estratégia de segurança cibernética? 

Por que os bancos devem considerar a visibilidade de TI na sua estratégia de segurança cibernética? O setor bancário está mais atrsado que os outros.

Ao analisar o estado da segurança cibernética nas organizações desde o início da pandemia, há um setor que está mais atrasado do que qualquer outro: o bancário. Uma pesquisa realizada no início deste ano descobriu que 86% das empresas bancárias e financeiras sofreram um ataque cibernético ou violação de dados nos últimos 12 meses – maior do que qualquer outra área pesquisada. 

Uma questão-chave que retém os grandes bancos gira em torno da antiga infraestrutura de TI. Embora as organizações de outros segmentos tenham adotado a migração para a nuvem, os bancos têm demorado a fazê-lo. Mas qual é a razão, uma vez que muitos estão usando infraestrutura e sistemas de TI desatualizados e que torna a adoção da tecnologia de nuvem significativamente mais complicada? Muito possivelmente é a combinação entre os custos proibitivos e a relutância em enfrentar os desafios de segurança de dados relacionados. 

Como resolver a falta de visibilidade de dados? 

O uso de serviços em nuvem adiciona benefícios para as grandes organizações: oportunidades para aumentar o ritmo das operações e para melhorar a escalabilidade. 

No entanto, uma mudança para a nuvem pode tornar a segurança de dados mais desafiadora para as equipes de TI – com informações confidenciais sendo compartilhadas em um território online mais amplo e não mais confinados a servidores físicos on-premisse. No ambiente de nuvem, alcançar a verdadeira visibilidade dos dados apoia a verificação de quais são os que a sua empresa detém e onde eles estão na rede.  

Mas as organizações também devem entender que a responsabilidade final pelo gerenciamento das informações armazenadas na nuvem é delas, não do provedor de nuvem – por isso as equipes de TI precisam assumir a responsabilidade e garantir que tenham as ferramentas de gerenciamento de endpoints certas para que os dados sejam acessíveis e seguros.  

Neste cenário, contar com uma ferramenta de gerenciamento de endpoints fornece total visibilidade sobre o status de dispositivos, aplicativos e pontos de dados localizados na rede em nuvem – além de sinalizar as vulnerabilidades à medida que surgirem. 

Siga a fintech a a nuvem 

Com a segurança primordial em todo o setor financeiro, a visibilidade dos dados precisa estar na frente e no centro de qualquer mudança na infraestrutura de TI.  

Todas as empresas financeiras – desde fintechs até bancos legados – compartilham os mesmos desafios em relação à visibilidade na infraestrutura de TI em nuvem. 

No entanto, há uma diferença fundamental: as fintechs nascem na nuvem e não têm arquitetura de TI antiga e sistemas legados para migrar, o que significa que podem construir a estrutura de rede que desejam – e precisam – com foco na visibilidade de dados de day one. 

Isso não significa que os bancos tradicionais não possam colher os benefícios também. Eles devem olhar para as fintechs, por exemplo, e notar o valor que a mudança para a nuvem proporciona: a partir da oportunidade de desenvolver novos modelos de negócios, simplificar procedimentos e custos operacionais ou adicionar maior foco ao cliente. 

Para manter as informações seguras enquanto mudam para a nuvem, os bancos devem adotar ferramentas de segurança que forneçam visibilidade entre ambientes, usuários e conjuntos de dados. Isso pode ser facilitado por soluções de descoberta de ativos independentes da nuvem e monitoramento de dados que ajudam a simplificar a segurança. 

Considere a visibilidade dos dados em software de terceiros 

As organizações também devem considerar o impacto que o software de terceiros, trabalhando em seu ambiente de nuvem, exercem em sua postura de segurança. Muitos ataques cibernéticos de alto impacto nos últimos anos, incluindo a recente paralisação do NHS 111, foram originadas de violações de fornecedores de software – abrindo caminho para que os invasores comprometam a rede. 

Os bancos, portanto, precisam garantir que estão considerando a visibilidade dos dados em suas cadeias de suprimentos como parte de seu esforço para gerenciar toda a sua propriedade de TI. A dependência de parceiros e fornecedores – e a falta de visibilidade sobre os dados que estão segurando em nome da organização – representa uma ameaça real para os bancos, em parte porque há mais fornecedores terceirizados em seus ecossistemas nos dias atuais. 

Para enfrentar esse desafio, as equipes de TI precisam começar respondendo às seguintes perguntas fundamentais: Quem são os fornecedores? Como é a segurança deles? E como eles estão usando os dados da organização? Os fornecedores terceirizados devem ser capazes de fornecer um inventário abrangente e preciso de seus ativos de TI para entender onde estão os dados e as vulnerabilidades do software para aplicar patches em tempo hábil de mitigar os riscos. 

Sempre que possível, os bancos devem considerar listar publicamente o software de terceiros que usam e seus componentes, fornecendo transparência aos clientes em relação à forma como seus dados são armazenados e gerenciados. 

No entanto, alguns fornecedores estariam relutantes em concordar com isso. Como resultado, existe um caso para a indústria implementar um marco regulatório. Assim como os bancos forçam os clientes a compartilhar informações para se protegerem de serem usados para lavagem de dinheiro ou financiamento de organizações criminosas, fornecedores terceirizados podem ser obrigados a relatar os componentes de seu software. Isso seria semelhante a como as empresas de alimentos são obrigadas pela legislação da UE e local a listar os ingredientes em seus produtos, por exemplo.  

Bancos e instituições de crédito devem agir da mesma forma com seus softwares para evitar comprometer a segurança dos clientes. Nos EUA, muitas empresas já começaram a marcar código-fonte aberto com informações de componentes, conhecidas como “Software Bill of Materials“, e essa abordagem deve se tornar obrigatória para bancos em todo o mundo. 

As instituições financeiras também precisam ser responsabilizados por garantir que seus fornecedores atendam a um conjunto de padrões mínimos de segurança. Medidas regulatórias adicionais podem exigir que fornecedores terceirizados relatem a proteção de segurança cibernética que possuem (como a abordagem KYC ) para ajudar a garantir que as defesas permaneçam fortes em todo o setor. Somente provedores terceirizados que atendem a um determinado padrão de segurança teriam permissão para acessar aos sistemas do banco. 

Por fim, as equipes bancárias e financeiras precisam priorizar a visibilidade dos dados para garantir que o dinheiro de seus clientes e as informações confidenciais armazenadas na nuvem permaneçam seguros. Isso deve envolver a implementação de tecnologia para garantir que os problemas possam ser detectados em tempo real e que as ameaças possam ser respondidas o mais rápido possível, independentemente de onde estejam na infraestrutura de nuvem da organização. 

Por: Felipe Nascimento, diretor de engenharia de soluções da Tanium para América Latina 

Veja também:

Sobre mindsecblog 1947 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Por que os bancos devem considerar a visibilidade de TI na sua estratégia de segurança cibernética? – Neotel Segurança Digital

Deixe sua opinião!