A resiliência cibernética como fator chave para a estabilidade financeira

Escrito por: Marcela Guzmán

15 de Setembro de 2024

As instituições financeiras têm uma enorme responsabilidade em proteger dados financeiros confidenciais, preservar valores de pessoas, empresas e até os países, facilitar transações financeiras críticas, entre outras funções, convertendo-as também em infraestruturas e operações críticas. Nos tempos atuais, onde é uma necessidade oferecer serviços digitais, as ameaças cibernéticas que podem impactar a prestação contínua, segura e confiável dos serviços financeiros, representam um risco significativo e permanente para esta indústria, tanto que sua gestão deve ser incluída e você foi contratado a ser correlacionada com a estabilidade financeira na análise realizada pelo pesquisador do Banco da República no Relatório de Estabilidade Financeira do primeiro semestre de 2023 – Recuadro 2: Indicador de Riesgo cibernético1.  

Nesse sentido, a resiliência cibernética, definida como a capacidade de uma organização para resistir, adaptar-se e recuperar-se antes dos ciberataques possivelmente eficazes, tornou-se um aspecto essencial na análise e na redução do risco nas operações do setor financeiro de nível global para garantir sua missão, preservar sua reputação, cumprir as regulamentações e até mesmo prevenir possíveis crises no setor e até mesmo em nível de país. Dito isso, a responsabilidade será mais simples de prevenir as ameaças, além de abrasar a realidade de um ataque e desenvolver uma estratégia integral que garanta a continuidade do negócio e que permita minimizar as interrupções no caso de uma violação da segurança que afete o integridade, disponibilidade e confidencialidade dos ativos de informação cruciais para a operação do negócio.  

Para desenvolver uma estratégia de resiliência cibernética corporativa existem vários guias2 que concuerdan e recomendar o desenvolvimento de capacidades que ele permite às organizações antecipar ao desastre cibernético, continuar com as operações missionários resistindo às condições adversárias, restaurar as operações mínimas no menor tempo possível, minimizar o impacto durante o desastre e retornar a um estado normal tão rápido que supere o incidente, e, finalmente, evoluir para adaptar os novos níveis e fatores de risco da organização de acordo com as novas condições de amenaza que mudam constantemente.  

Então, como criar um setor financeiro ciber-resiliente? Ante o panorama atual, é imperativo para que todos os membros do setor empenhem em desenvolver essas capacidades onde cada um poderá dar passos em seu ritmo, sobre tudo porque muito do que se exige é baseado na formalização de processos mais do que na aquisição de tecnologias. Nesse sentido, alguns pontos chaves para empezar são: 

  1. Contar com o apoio e avaliação da direção e alta gerência durante todo o processo, pode o sucesso da estratégia empenhar-se no entendimento do risco associado e na convenção dos líderes de que a gestão deste risco já não é algo que pode ser feito pospositor. A ideia da resiliência cibernética deve ser apresentada nas diretivas com argumentos apoiados em riscos financeiros, reputacionais, de cumprimento e hasta legales. 
  1. Caracterização dos processos críticos de negociação suportados por uma BIA (Análise de Impacto nos Negócios), incluindo os ativos de informação relevantes para sustentar os processos missionais, bem como as cargas críticas para os líderes.  
  1. Implementação de arquiteturas e modelos de segurança que são atualizados, analisados, testados e ajustados de maneira periódica, antes que os atacantes queiram testar. Isso pode ser feito com análise de vulnerabilidades, testes de penetração, exercícios de time vermelho/time azul, tecnologias tipo BAS (Simulação de Violação e Ataque, Etc.) 
  1. Contar com processos de monitoramento contínuo de eventos de segurança na modalidade 7×24 com recursos locais ou com apoio de serviços externos. O foco deve ser as operações missionárias, mas qualquer outro sinal de ameaça deve ser revisado, pois pode ser o precursor de maiores problemas. Se não houver superfície de ataque e, em geral, o nível de exposição da organização às ameaças cibernéticas, será como andar a cigas em um caminho cheio de trampas. 
  1. Consumir e compartilhar inteligência de ameaças que sejam operacionalizadas de acordo com os processos e controles de segurança e que também podem ser usadas como subsídio para executar exercícios de segurança de ameaças no interior da organização.  
  1. Educar periodicamente e com o mesmo rigor tanto na primeira linha de defesa (os usuários), como nas diretrizes da organização, para identificar as ameaças e traduzir tudo isso em uma análise de rigor para a operação. Abra canais de comunicação diretos para que todos os usuários da organização possam relatar anomalias ou intenções de ataque cibernético. Também é importante manter os equipamentos técnicos atualizados em suas capacidades de ciberdefesa, assim como as tecnologias inovadoras na organização. 
  1. Desenvolver um plano integral de atenção a incidentes que contemplam os papéis e responsabilidades dos equipamentos técnicos, operacionais e diretrizes, assim como um plano de comunicação onde são considerados os fluxos e mensagens com todos os interessados ​​antes de um potencial desastre cibernético.  
  1. Ajustar os procedimentos de continuidade da negociação em cenários de desastre cibernético, mesmo aqueles que sejam mais críticos para a operação. Isso é relevante porque tradicionalmente foram considerados os desastres naturais, o terrorismo, ou as pandemias, por exemplo, como os elementos detonantes dos planos de continuidade e, muito seguramente antes de uma situação iminente de ciberdesastre, é altamente provável que esses aviões não sejam os adequados. Neste ponto, os respaldos dos sistemas e a informação são usados ​​como pedra angular para a recuperação das operações e, por isso, devem ser considerados ativos críticos e devem ser protegidos como tal.  
  1. Experimente os planos que são construídos por meio de exercícios de simulação de escritorio tipo ““de mesa” que envolve os equipamentos técnicos, operacionais e executivos. Esses espaços são cruciais na melhoria contínua e na construção coletiva de capacidades para entender os diferentes pontos de vista diante da situação apresentada pelo exercício. 
  1. Não esqueça a gestão do risco de terceiros que tenha contato com os dados ou a infraestrutura missional, começando com a categorização de itens que podem promover a integridade, confidencialidade e/ou disponibilidade das operações. Uma vez identificado, você pode fazer um monitoramento de sua higiene digital, mas com o apoio de ferramentas ou por meio de consultas periódicas. Este processo deve fazer parte da gestão do risco integral das organizações e deve abarcar todo o ciclo de vida dos provedores, incluindo a etapa de contratação onde se deve negociar cláusulas que respaldem o cumprimento das responsabilidades cibernéticas na relação contratual. 

Concluindo, o risco cibernético pode se converter potencialmente em um risco sistêmico no setor financeiro, não apenas local, mas também global.3. Considerando que as entidades financeiras colombianas vêm fortalecendo a maturidade da gestão do risco de cibersegurança de acordo com a Circular Externa 007 da Superfinanciadora, o próximo nível fortalecerá suas capacidades de resiliência cibernética para mitigar o impacto da materialização de ameaças nas infraestruturas.  

[1] (https://repositorio.banrep.gov.co/bitstream/handle/20.500.12134/10638/reporte-estabilidad-financiera-primer-semestre-2023.pdf?sequence=1&isAllowed=y )

[2] NIST – Desenvolvimento de sistemas ciber-resilientes https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v2r1.pdf

MITRE - Auxílio de Engenharia de Resiliência Cibernética https://www.mitre.org/sites/default/files/2021-11/prs-15-1334-cyber-resiliency-engineering-aid-framework-update.pdf

https://www.dtcc.com/-/media/downloads/Systemic-Risk/Systemic-Risk-2023

Marcela Guzmán é minha amiga voluntária de Latam Women in Cybersecurity (WOMCY) na região da MCA, com mais de 28 anos de experiência no setor tecnológico. Reconhecida pela sua liderança e visão estratégica, é especializada em gestão tecnológica, inteligência de ameaças e resiliência cibernética, destacando-se como uma promotora ativa da segurança digital e da inclusão no mundo da cibersegurança. Seu compromisso com a inovação e a proteção digital o converte em um referente admirado na indústria.
Se você está gostando de nosso conteúdo, por favor, compartilhe esta postagem com sua comunidade nas redes sociais.
Compartilhe Este