0
0
As instituições financeiras sempre foram um alvo valioso para ataques cibernéticos. Em parte, é por isso que as instituições bancárias e financeiras são fortemente regulamentadas e têm mais requisitos de conformidade do que na maioria dos outros setores.
Uma série de novas regras foram implementadas nos últimos anos, concebidas para dar mais ênfase à medição e gestão contínua deste risco. Para as instituições financeiras, a forma de o fazer não é necessariamente investir em novas ferramentas de segurança; é obter mais valor da tecnologia existente por meio de monitoramento e otimização automatizados.
Na mira
Tal como os seus pares em quase todos os setores verticais da indústria, as empresas de serviços financeiros estão a migrar em grande número para a nuvem para impulsionar a eficiência de custos, a agilidade empresarial e a inovação. A nuvem é a base sobre a qual novos serviços atraentes baseados em IA podem ser construídos, como bots de atendimento ao cliente baseados em ChatGPT , algoritmos de detecção de fraude e ferramentas projetadas para agilizar e atualizar fluxos de trabalho de conformidade.
Mas, ao mesmo tempo, estes investimentos convidam a novos riscos. Eles aumentam a chamada “superfície de ataque cibernético”, criando novos ativos para atingir no caminho para armazenamentos de dados confidenciais e sistemas operacionais críticos. Pode ser qualquer coisa, desde um servidor em nuvem até o smartphone de um trabalhador doméstico. Muitos destes sistemas contêm vulnerabilidades que podem ser exploradas rotineiramente. Ou eles são protegidos apenas por senhas simples que podem ser facilmente roubadas. Outros podem ser configurados incorretamente pela equipe, deixando-os vulneráveis a atividades maliciosas.
O custo financeiro e de reputação para os bancos violados pode ser significativo. A IBM calcula que seja de US$ 5,9 milhões por violação de dados, perdendo apenas para o setor de saúde globalmente em termos de impacto financeiro, e muito superior à média dos setores verticais de US$ 4,45 milhões. Mas, para além do impacto directo sobre as empresas afectadas, existe um risco mais agudo que deixa os governos e os reguladores nervosos: um ataque grave ao sistema bancário pode ter um impacto debilitante na segurança nacional e econômica.
Regulamentos adicionam complexidade
Parte deste nervosismo traduziu-se em mais ações regulatórias. A Comissão de Valores Mobiliários (SEC) anunciou recentemente a adoção de novas regras sobre divulgação de riscos cibernéticos destinadas a melhorar a transparência para os investidores em empresas públicas. As empresas cotadas terão de divulgar incidentes graves de cibersegurança no prazo de quatro dias e informar o mercado dos membros do conselho com experiência em cibersegurança.
Noutros lugares, o Departamento de Serviços Financeiros de Nova Iorque anunciou em junho alterações atualizadas aos seus regulamentos de segurança cibernética. Isso inclui requisitos mais rigorosos e abrangentes em torno da autenticação multifator ( MFA ), monitoramento e filtragem de tráfego de e-mail e Internet, educação do usuário, planos de resposta a incidentes, testes de penetração, segurança de aplicativos e avaliação anual de riscos.
As organizações que operam na UE terão de prestar atenção à nova Lei de Resiliência Operacional Digital ( DORA ). Isto atribui firmemente ao conselho a responsabilidade pelo risco de TI e obriga todas as organizações financeiras abrangidas a definir, evoluir e fornecer provas de políticas baseadas no risco para garantir a resiliência cibernética contínua.
Entretanto, a Lei Sarbanes-Oxley obriga todas as empresas cotadas em bolsa nos EUA e as suas subsidiárias integrais a aderir às melhores práticas em áreas como a autenticação e a segurança de dados.
Também há mais por vir. A Estratégia Nacional de Cibersegurança dos EUA promete novos requisitos e regulamentos nos próximos meses, o que ajudará a melhorar a segurança das organizações que operam em sectores críticos de infra-estruturas nacionais.
A automação agiliza a conformidade
Embora as pessoas e os processos sejam extremamente importantes para cumprir esses requisitos de conformidade, o terceiro pilar – a tecnologia – é talvez o mais crítico. São os controles de segurança, como detecção e resposta de endpoint (EDR) ou prevenção contra perda de dados (DLP), que garantem que as organizações possam aplicar suas políticas de segurança cuidadosamente elaboradas, para melhor gerenciar e minimizar o risco cibernético.
Dados os seus orçamentos de cibersegurança relativamente saudáveis, pode ser tentador para as instituições financeiras reagir aos crescentes mandatos de conformidade investindo em ainda mais controlos. No entanto, fazer isso pode ser imprudente. Uma pesquisa recente da Panaseer mostra que as grandes empresas utilizam agora uma média de 76 ferramentas de segurança distintas – um aumento de 19% desde 2019. Isto pode levar à duplicação de funcionalidades em algumas áreas e a lacunas de cobertura perigosas noutras.
Pior ainda, quanto mais ferramentas existirem para gerir, mais difícil será provar a conformidade com uma manta de retalhos em evolução de regras e regulamentos globais de cibersegurança. Isto é especialmente verdadeiro no caso de legislação como a DORA, que se concentra menos em controlos tecnológicos prescritivos e mais em fornecer provas da razão pela qual as políticas foram implementadas, como estão a evoluir e como as organizações podem provar que estão a produzir os resultados pretendidos.
Na verdade, afirma explicitamente que a segurança e as ferramentas de TI devem ser continuamente monitorizadas e controladas para minimizar os riscos. Este é um desafio quando as organizações dependem da recolha manual de evidências. A pesquisa da Panaseer revela que, embora 82% estejam confiantes de que são capazes de cumprir os prazos de conformidade, 49% dependem principalmente ou exclusivamente de auditorias manuais pontuais.
Isto simplesmente não é sustentável para as equipes de TI, dado o número de controles de segurança que devem gerenciar, o volume de dados que geram e os requisitos de conformidade contínuos e baseados em riscos. Eles precisam de uma forma mais automatizada de medir e evidenciar continuamente KPIs e métricas em todos os controles de segurança. Dessa forma, podem identificar melhor as lacunas de controlo, melhorar ativamente a postura de segurança e fornecer provas aos reguladores da adesão às políticas.
FONTE: HELP NET SECURITY