À medida que a pandemia de Covid-19 acelerou a transição para o trabalho remoto e a digitalização de operações, as organizações de serviços financeiros intensificaram os esforços de defesa de segurança; mas ainda há um caminho a percorrer.
As organizações de serviços financeiros devem garantir que as mudanças em ambientes, aplicações e processos sejam seguras — como CISOs, CIOs e a liderança C-Level podem estruturar seus planos de segurança cibernética no cenário de pós-pandemia?
A partir dos resultados da pesquisa global “Estratégias para um futuro cibernético”, realizada pela Deloitte, preparamos uma análise focada em perspectivas dos setores bancário, imobiliário, mercado de capitais, seguradoras e fundos de investimentos. Quatro conclusões se destacam sobre o estado da segurança cibernética na indústria de serviços financeiros:
Agora que o trabalho híbrido, uma combinação entre remoto e presencial, chegou para ficar, o tempo para fazer testes acabou — e o formato de trabalho começa a determinar quais mudanças devem ser incorporadas a longo prazo e quais desafios ainda precisam ser endereçados. Mecanismos de detecção e resposta de endpoint (EDR na sigla em inglês) e monitoramento de segurança para identificar ameaças cibernéticas são importantes, mas não são suficientes. É essencial acompanhar de forma incessante os controles de acesso e instituir um ciclo contínuo de treinamento de conscientização de profissionais e rastreamento de conformidade — tanto para quem trabalha presencialmente como à distância. Participantes da pesquisa indicaram que seu maior desafio é o gerenciamento de dados e a proteção de perímetro — em contraste à rápida mudança tecnológica nos últimos anos.
Áreas de TI não podem mais operar em silos. É necessário buscar maturidade de infraestrutura na velocidade em que o setor reformula a infraestrutura de cyber segurança legada. De acordo com os respondentes, soluções cibernéticas escaláveis tanto na nuvem quanto para a nuvem estão sendo priorizadas para aprimorar os recursos de defesa cibernética.
Adicionalmente, a segurança cibernética conquistou visibilidade nos conselhos de administração. Portanto, CISOs precisam olhar além de suas atividades cotidianas e se preparar para conversar com integrantes de conselho, liderança executiva e parceiros, e transmitir, na linguagem do board, os riscos de maior preocupação. Além disso, CISOs devem aproveitar essa atenção para integrar a segurança cibernética ao design do produto e à inovação da plataforma desde o início via engajamento e cooperação entre segurança e DevOps — DevSecOps.
Embora a gestão de riscos de terceiros seja um requerimento regulatório há anos, as inovações nos relacionamentos de Open Finance e fintechs estão ampliando esse papel. O constante desenvolvimento de novas interfaces de programação de aplicativos (API na sigla em inglês) para conectar bancos com outras instituições tem gerado discussões sobre quem possui os dados financeiros de um cliente. Ao mesmo tempo que novas soluções surgiram, aumentaram os ataques cibernéticos.
A abordagem zero trust – um conjunto de políticas baseadas no princípio “nunca confie, sempre verifique” — continua a ser recomendada para reduzir os privilégios de acessos ao mínimo possível, desde ambientes de redes e aplicações, até usuários, dispositivos e geolocalização.
As organizações podem se antecipar às ameaças incorporando esses princípios de segurança por design no desenvolvimento de serviços de TI (security-by-design) e incluindo requisitos de segurança cibernética nos estágios de arquitetura e design do desenvolvimento de softwares por meio da cultura de DevSecOps.
Embora a proporção de investimento anual em cyber segurança em relação à receita tenha crescido nos últimos três anos, a vulnerabilidade humana continua sendo a principal ameaça cibernética.
Alguns respondentes informaram terem implementado ferramentas de automatização de análise de comportamento para detectar potenciais indicadores de riscos entre os usuários. Outros continuam a monitorar o comportamento de usuários e indicadores de riscos manualmente, ou não utilizam nenhuma forma de detectar ou mitigar esses riscos.
Para fornecer um retorno mensurável dos investimentos em segurança cibernética, CISOs podem precisar de ferramentas adicionais de gerenciamento de risco, incluindo a adoção de técnicas de quantificação de risco.
É preciso perseguir uma visão cibernética ousada, que traga segurança, confiança e crescimento sustentável para as operações, mas que também construa valor para todas as dimensões da organização.