Fortaleza Digital

A Pedra Angular da Segurança Bancária no Mundo Conectado                      

Certamente o questionamento e consequentemente o grande desafio previsto é saber se é possível conseguir estabelecer esta “Fortaleza Digital” para um ambiente tão melindroso e cheio de processos complexos, como é o setor bancário.  Numa vertente ainda de constantes transformações tecnológicas, às quais oferece-se cada vez mais uma autonomia ao usuário-cliente, onde nos faz pensar até que ponto vale ou valeu a pena dar tantos poderes sabendo-se que vai encontrar grandes irresponsabilidades ?

Claro que a resposta ou solução para isso não é trivial. O setor bancário, assim como o setor da saúde e governamental são bastante críticos quando se fala em tratamento da informação. São dados cadastrais, privados, pessoais, sensíveis que exigem forte proteção pois não se quer nenhum tipo de vazamento. E para não dizer que a situação não poderia piorar, quando tivemos a fase de pandemia mundial , tudo ficou ainda mais desafiador com aumento vertiginoso de novos riscos, pois exigiu intervenções rápidas, mudança de hábitos, alteração de condutas e ambientes.  E tudo que geralmente se faz sem muito planejamento não se decorre bem.

Já não basta toda uma preocupação de se manter em conformidade para com a necessidade de ter que cumprir vários padrões, leis e regulamentos de segurança cibernética, ainda temos uma sopa de letrinhas que parece nao acabar que vem como desafio a ser cumprido para dizer que esta literalmente compliance: LGPD, GDPR, PCI DSS, FFIEC, BCBS, FSB, SOX, SWIFT CSP, GLBA, FINRA, PSD 2, BSA, ISOs e por ai vai....

Contudo, buscar estar compliance não será de tudo o suficiente para chegar num nivel razoável de cibersegurança eficiente para o setor bancário e financeiro. Será necessário empreender esforços em capacitações pontuais e sazonais, adotando sempre as melhores práticas que as possam ajudar a prevenir, analisar, classificar, tratar as ameaças cibernéticas, assim como responder e recuperar de incidentes cibernéticos em tempo hábil.

Apesar de ser um documento de 2020, este Relatório de Regulamentos Financeiros Globais da OneSpan ainda vale a pena ser lido por considerar alguns índices interessantes para algumas reflexões. Por exemplo, pegando o caso do continente Africano em que estão em processo de atualização dos seus sistemas de pagamento e definição de regulamentos para esses sistemas com foco em medidas de segurança para suas transações como utilização de códigos QR para pagamentos móveis, além da implementação duas leis de regulamentação de dados pessoais. Fica claro que o esforço da região para melhorar os sistemas regulatórios e o estabelecimento de quadros regulamentares mais eficazes tem estado em aumentou nas últimas duas décadas.

No caso mais específico de Angola, o Banco Nacional continua a elaborar e implementar regulamentos relacionadas com a proteção de dados e a privacidade pessoal, onde vem se esforçando ao aplicar Regulamentos, Normas e Leis  promulgadas nestes últimos anos, como: a Lei de Combate à Lavagem de Dinheiro e ao Financiamento do Terrorismo e Proliferação de Armas de Destruição Massiva, o AVISO N.º 08/2020 + INSTRUTIVO Nº 10 + DIRECTIVA Nº 5 – DSB/DRO, são alguns exemplos.

Entende-se assim que atender aos requisitos de conformidade de segurança cibernética financeira pode ajudar consideravelmente a instituição financeira a:

• Possuir uma visão clara dos dados e sistemas mais críticos.
• Ter uma melhor compreensão das ferramentas e práticas de segurança cibernética implantadas.
• Melhorar a proteção de informações valiosas.
• Responder a incidentes de segurança cibernética em tempo hábil.

Por outro lado, o não cumprimento dos requisitos obrigatórios,  pode levar a:

• Interrupções operacionais
• Danos reputacionais
• Ações judiciais e responsabilidade penal
• Multas por não conformidade
• Perdas financeiras causadas por incidentes de cibersegurança

ALICERCES PARA A FORTALEZA

Conseguir uma boa estrutura de segurança empresarial exige alguns esforços. Alguns deles precisam ser imediatos , mais pontuais, outros constantes de acompanhamento temporário ou vitalício, outros de planejamento futuro. Sendo todos eles necessários a sinergia de todos setores da instituição. É típico as vezes ouvirmos que segurança da informação e gestão de riscos são de responsabilidade somente dos setores em especifico. Mas não, isso é um grande engano,  pois gerir segurança das informações e riscos são de todos. Por isso a importância de conseguir entender e praticar todo o conjunto de políticas, procedimentos, padrões e diretrizes que definem a abordagem da organização à segurança cibernética, devendo assim estar alinhada com seus objetivos de negócios, apetite ao risco e requisitos regulatórios.

Uma estrutura de segurança pode ajudar a organização a estabelecer uma visão, estratégia e governança mais transparente para a segurança cibernética, bem como  identificar, avaliar e gerir riscos cibernéticos em toda a empresa.

Existem várias estruturas de segurança que podem ser usadas por bancos e organizações financeiras, como a Estrutura de Segurança Cibernética do Instituto Nacional de Padrões e Tecnologia (NIST), a série 27000 da Organização Internacional de Padronização (ISO), o Centro de Controles de Segurança da Internet (CIS), o MITR e a estrutura COBIT. Estas estruturas fornecem uma linguagem comum e uma metodologia estruturada para a segurança cibernética, abrangendo domínios chave como identificação, proteção, detecção, resposta e recuperação.

Ao implementar uma estrutura de segurança, a organização pode beneficiar das seguintes vantagens:

• Melhor postura de segurança e resiliência
• Maior visibilidade e responsabilidade
• Complexidade e custos reduzidos
• Aumento da confiança e confiança
• Melhor conformidade e auditabilidade

Podemos ainda citar aqui alguns exemplos notáveis de incidentes de segurança que resultaram em multas significativas:

1.     Equifax (EUA, 2017) - A Equifax, uma agência de crédito, foi multada em $700 milhões de dólares nos Estados Unidos após um grande vazamento de dados que expôs informações pessoais de milhões de consumidores.

2.     British Airways (Reino Unido, 2018) - A British Airways foi multada em £20 milhões de libras pelo Information Commissioner's Office (ICO) no Reino Unido após uma violação de dados que expôs detalhes de cartões de pagamento de mais de 400.000 clientes.

3.     Yahoo (EUA, 2014) - Embora não seja uma instituição bancária, o Yahoo foi multado em $35 milhões de dólares pela Securities and Exchange Commission (SEC) dos EUA por não divulgar um dos maiores vazamentos de dados da história, que afetou bilhões de usuários.

4.     Marriott International (EUA, 2018) - A Marriott foi multada em £18,4 milhões de libras pelo ICO no Reino Unido devido a uma violação de dados que afetou aproximadamente 339 milhões de clientes globalmente.

5.     Capital One (EUA, 2019) - A Capital One foi multada em $80 milhões de dólares pela Office of the Comptroller of the Currency (OCC) dos EUA após um incidente de segurança que expôs dados pessoais de mais de 100 milhões de clientes.

Esses exemplos destacam como violações significativas de segurança da informação podem resultar em multas substanciais, mesmo que não sejam especificamente direcionadas a instituições bancárias em todos os casos. É importante observar que as multas podem variar amplamente dependendo da gravidade da violação, do impacto nos indivíduos afetados e das leis e regulamentos locais em vigor.

REQUISITOS DE CIBERSEGURANÇA PARA SERVIÇOS FINANCEIROS

Para um bom planejamento de cibersegurança em empresas de serviços financeiros, é essencial considerar uma série de requisitos e práticas fundamentais para proteger os dados sensíveis dos clientes, garantir conformidade regulatória e manter a integridade das operações. Aqui estão alguns dos principais requisitos de cibersegurança a serem considerados:

1. Políticas e Procedimentos de Segurança: Desenvolver e implementar políticas claras de segurança da informação que abordem todos os aspectos relevantes da cibersegurança, incluindo gestão de acesso, gestão de vulnerabilidades, resposta a incidentes, entre outros.
2. Gestão de Acesso e Identidade: Implementar controles rigorosos de autenticação e autorização para garantir que apenas usuários autorizados tenham acesso aos sistemas e dados sensíveis. Isso pode incluir autenticação multifatorial (MFA) e monitoramento de atividades de acesso.
3. Proteção de Dados Sensíveis: Utilizar técnicas robustas de criptografia para proteger dados sensíveis em repouso e em trânsito. Além disso, é fundamental estabelecer políticas claras para o manuseio e o armazenamento seguro de dados pessoais e financeiros.
4. Gestão de Vulnerabilidades: Realizar regularmente avaliações de vulnerabilidades e testes de penetração para identificar e corrigir potenciais brechas de segurança nos sistemas e na infraestrutura de TI.
5. Monitoramento e Detecção de Ameaças: Implementar soluções avançadas de monitoramento de segurança para detectar atividades suspeitas ou incidentes de segurança em tempo real. Isso inclui o uso de sistemas de detecção de intrusões (IDS) e sistemas de gerenciamento de eventos e informações de segurança (SIEM).
6. Resposta a Incidentes: Desenvolver e testar planos de resposta a incidentes que definam claramente os papéis e responsabilidades das equipes de segurança em caso de violação de dados ou incidentes cibernéticos. Isso deve incluir procedimentos para contenção, investigação, mitigação e notificação de incidentes.
7. Conformidade Regulatória: Garantir que todos os requisitos regulatórios e normativos pertinentes sejam cumpridos. Isso inclui regulamentações específicas do setor financeiro, como PCI-DSS (para pagamento com cartões) e GDPR (para proteção de dados pessoais).
8. Educação e Conscientização dos Funcionários: Realizar treinamentos regulares de conscientização em segurança cibernética para todos os funcionários, para garantir que eles estejam cientes das melhores práticas de segurança e dos riscos associados às ameaças cibernéticas.

Esses requisitos são essenciais para ajudar as empresas de serviços financeiros a protegerem seus ativos digitais, mitigarem riscos e manterem a confiança dos clientes e parceiros. Um planejamento eficaz de cibersegurança deve ser contínuo e adaptável, para enfrentar as ameaças em constante evolução no cenário cibernético atual. Desta forma, podemos trazer aqui 3 grandes exemplos de padrões globais de segurança cibernética:

VIGIAR AS  AMEAÇAS

O monitoramento de ameaças é um processo crucial que envolve a coleta, análise e correlação de dados provenientes de diversas fontes, tais como dispositivos de rede, endpoints, aplicativos, logs e inteligência externa. Esse procedimento tem como objetivo detectar e identificar possíveis ataques cibernéticos em curso ou potenciais, permitindo uma resposta proativa e eficaz para mitigar riscos à segurança da informação. Neste contexto, o monitoramento de ameaças pode ajudar os bancos a:

• Obter visibilidade e insights sobre seu ambiente e atividades cibernéticas
• Detectar anomalias e indicadores de comprometimento (IoCs) em tempo hábil
• Responder a incidentes cibernéticos e mitigar seu impacto
• Melhorar sua postura de segurança e resiliência
• Cumprir as obrigações regulamentares e contratuais

Contudo, para implementar um monitoramento eficaz de ameaças, os bancos devem focar em várias iniciativas primordiais:

1.     Definição de Objetivos Claros: Estabelecer metas e objetivos claros para o monitoramento de ameaças, alinhados com os riscos específicos enfrentados pelo banco e as regulamentações do setor financeiro.

2.     Coleta Abrangente de Dados: Garantir a coleta abrangente de dados de diversas fontes, como dispositivos de rede, endpoints, aplicativos, logs de eventos, feeds de inteligência de ameaças e informações externas relevantes.

3.     Análise Avançada de Dados: Implementar técnicas avançadas de análise de dados, incluindo análise comportamental, correlação de eventos e detecção de anomalias, para identificar padrões suspeitos que possam indicar atividades maliciosas.

4.     Utilização de Tecnologias de Segurança Avançadas: Investir em tecnologias robustas de segurança cibernética, como sistemas de detecção de intrusões (IDS), sistemas de prevenção de intrusões (IPS), sistemas de gerenciamento de informações e eventos de segurança (SIEM) e soluções de análise de segurança em tempo real.

5.     Monitoramento Contínuo e Tempo Real: Implementar um monitoramento contínuo e em tempo real das atividades de rede e sistemas para identificar ameaças o mais cedo possível, permitindo respostas rápidas e mitigação proativa.

6.     Capacitação e Treinamento de Equipes: Capacitar regularmente as equipes de segurança cibernética com treinamentos específicos sobre identificação de ameaças, análise forense digital e resposta a incidentes para garantir uma equipe preparada e eficaz.

7.     Implementação de Políticas e Procedimentos: Estabelecer políticas claras de segurança da informação e procedimentos operacionais padrão (POPs) para guiar as ações de monitoramento, resposta a incidentes e comunicação de eventos de segurança.

8.     Auditorias e Revisões Regulares: Realizar auditorias periódicas e revisões de segurança para garantir que os controles de monitoramento de ameaças estejam atualizados e alinhados com as melhores práticas de segurança cibernética.

9.     Conformidade com Regulamentações: Cumprir rigorosamente com as regulamentações e normas de segurança cibernética aplicáveis ao setor bancário, como PCI-DSS, GDPR e regulamentos locais específicos.

10. Gestão de Incidentes Eficiente: Ter planos de resposta a incidentes claros e testados regularmente para garantir que a equipe possa agir rapidamente em caso de detecção de uma ameaça ou violação de segurança.

Essas iniciativas ajudam os bancos a estabelecer um ambiente de monitoramento de ameaças robusto e eficaz, fundamental para proteger informações sensíveis, manter a confiança dos clientes e cumprir com os requisitos regulatórios exigentes do setor financeiro.

MELHORES PRÁTICAS DE CIBER SEGURANÇA PARA BANCOS

É obvio que cada instituição bancária possui seus processos, demandas, desafios e demais peculariedades onde aplicar determinado tipo de framework que gerou sucesso em uma não será garantia em outra, mesmo sendo de setor equivalentes ou iguais. Não existe “receita de bolo” padrão que irá resolver como solução unica e mágica os desafios e demais problemas internos que envolvem a cyber segurança. São diferentes os tipos de frameworks e melhores praticas que estabelecem padroes, onde para cada tipo de negocio e empresa deverá avaliar sua essencia , seu core business, seus objetivos, metas, prioridades e estratégia executiva para pode adotar e adaptar o que for mais coerente ao negocio e seus processos.  Realizar uma assessement pode ajudar, uma analise de riscos, provas de conceito, testes, simulações, tudo isso é valido e deve sim passar pela etapa de planejamento.

Porém com vários cases de suceso já presenciados mundo afora, assim como as várias decepções , perdas e prejuizos à reputação e imagem financeira deflagrada em inumeros episodios diuvulgados pela imprensa , pode-se concluir que muita coisa foi feito de forma errada ou equivocada , insistivamente batendo cabeça em querer ser reativo e pouco preventivo, onde algumas coisas sim, também deram certo, podemos desta forma alavancar aqui algumas melhores práticas:

--> Avaliar regularmente os riscos e não desconsiderar as auditorias para sua cibersegurança.

--> Fomentar ou contratar uma Segurança Cibernética Avançada.

--> Preconizar por uma boa ,forte e atualizada Politica de Segurança.

--> Não subestimara Gestão de Identidade e Acesso.

--> Considerar Criptografia de Dados, sobretudo em missão critica.

--> Treinamento e Conscientização é obrigação constante e periódica.

E procure claro, estabelecer Parcerias e Colaboração que vão agregar ao seus processos de negocio e objetivos, ou seja,  estabelecer parcerias com fornecedores de tecnologia confiáveis, compartilhar informações sobre ameaças cibernéticas com outras instituições financeiras e colaborar com autoridades regulatórias para fortalecer a defesa cibernética coletiva, fará diferença par agregar mais utilidade e propósito na adoção destas melhores praticas para uma cibersegurança mais ativa, confiável e dinâmica.  A ideia não apenas aplicar por aplicar melhores práticas, mas sim poder saber que vão ajudar a proteger informações críticas e a manter a confiança dos clientes, mas também fortalecer a resiliência cibernética das instituições financeiras diante de ameaças cada vez mais sofisticadas e frequentes.

CONCLUSÕES

Portanto, o setor financeiro é altamente regulamentado devido à sensibilidade dos dados que manuseia, como informações privadas dos clientes, dados previdenciários e registros financeiros. Para mitigar os riscos de segurança cibernética e garantir a proteção adequada dessas informações valiosas, é essencial cumprir rigorosamente com as leis, regulamentos e padrões de segurança cibernética mencionados neste artigo. Adotar as práticas recomendadas para conformidade em segurança cibernética no setor bancário e financeiro proporciona uma visão abrangente dos dados e sistemas críticos da organização, fortalecendo sua proteção com os controles adequados. Ferramentas como gerenciamento de acesso, monitoramento de atividades de usuários, alertas e relatórios são recursos essenciais para auxiliar instituições financeiras na conformidade de segurança cibernética, proteção de dados e na detecção e resposta eficaz a incidentes de segurança cibernética.

Enfim, num mundo cada vez mais interconectado, a segurança bancária não é apenas uma necessidade, mas sim a fortaleza digital que protege não apenas o capital financeiro, mas a confiança e a privacidade de milhões de clientes em todo o mundo. Com tecnologias avançadas e práticas robustas de cibersegurança, os bancos não apenas defendem seus sistemas contra ameaças, mas também sustentam os alicerces da confiança pública em um ambiente digital em constante evolução. A fortaleza digital é, portanto, a pedra angular que não só protege, mas também capacita instituições financeiras a prosperar em um mundo conectado, assegurando que a segurança seja um pilar inseparável da inovação e do progresso tecnológico.