Soluções para proteger operações financeiras e dados são imprescindíveis no cenário atual. Por isso, a cibersegurança para assets é uma prática em ascendência no segmento financeiro para:
- garantir monitoramento frequente de ativos digitais;
- mitigar riscos de ataques;
- permitir escalabilidade segura de produtos e serviços.
Cada vez mais, gestores de investimentos têm direcionado esforços para recursos que reforcem a segurança no ambiente financeiro digital. Alguns dados comprovam a urgência deste tema, como:
- 22,4% dos ataques cibernéticos mundiais em 2021 tiveram como foco instituições financeiras, segundo um relatório anual da IBM;
- De acordo com um levantamento da Febraban, os valores destinados a treinamentos de segurança cibernética a profissionais que atuam no setor tiveram aumento de 138%;
- No Brasil, os clientes acreditam que a maior responsabilidade sobre a prevenção contra fraudes se divide entre as regulações da autarquia (76%) e os bancos (80%), conforme indica uma pesquisa da IBM com a Morning Consulting.
Levando tudo isso em conta, neste artigo falaremos sobre quais mecanismos as assets devem adquirir, as recomendações a serem seguidas e quais soluções são indicadas para estruturar bons planos de segurança contra cibercrimes.
Cibersegurança para assets: como proteger as instituições?
Para ser eficiente, uma infraestrutura de cibersegurança para assets precisa contemplar alguns aspectos básicos que constituem uma camada protetora para os dados, seguindo processos como:
- identificação de riscos, vulnerabilidades e ativos críticos para as operações;
- conhecimento sobre o valor da informação;
- análise e implementação de controles;
- estudos sobre impactos e possíveis cenários;
- documentação das avaliações de riscos.
Portanto, as gestoras de investimentos devem se basear em políticas construídas sobre pilares de segurança da informação.
A seguir, vamos entender quais são as maneiras de promover um bom gerenciamento de riscos entre players de investimento.
Melhores práticas de segurança cibernética para uma gestora de investimento
Há duas frentes necessárias para estabelecer princípios de cibersegurança para assets e que precisam caminhar em conjunto: cultura (ou governança) e aparato técnico.
Na parte técnica, as empresas devem reunir em checklists o uso de tecnologias robustas como firewalls, segurança na nuvem e anti-malwares. Esse conjunto é capaz de oferecer resistência com campanhas de vishing, phishing e smishing, combatendo incidentes muito comuns, como:
- ransomware;
- pharming;
- DDoS.
Aliada a tudo isso, a governança tem um papel determinante para definição de papéis, designação de fluxos de comunicação, treinamentos e conscientização, etc. Esse é um reforço sobre o qual entidades em todo o mundo têm alertado como um dos pontos mais importantes para o sucesso na adoção de medidas protetivas.
Mas, então, como é possível elaborar um plano consistente, que atenda jurisdições e resguarde empresas e clientes no enfrentamento de crimes digitais? Veja um passo a passo sugerido no tópico seguinte!
Como realizar um planejamento de cibersegurança para assets?
É preciso ter um framework determinado, com um padrão maduro de gerenciamento de riscos seguindo diretrizes internacionais, como é o caso das orientações regulatórias do National Institute of Standards and Technology (NIST), ou Instituto Nacional de Padrões e Tecnologia, em português.
Para tanto, um plano de cibersegurança para assets — especialmente de pequeno e médio porte —, segundo sugere a Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais (Anbima), precisa ser implementado a partir das seguintes etapas e funções:
- Risk Assessment (ou identificação e avaliação de riscos, em português), com olhar interno e externo para listagem de proteção de ativos de hardware e software;
- Conjunto de ações de prevenção e proteção, com medidas para impedir e reduzir interferências do item anterior;
- Monitoramento e testes, a fim de detectar ameaças em tempo hábil;
- Criação do plano de resposta, com instruções sobre o que deve ser feito e como buscar a recuperação de incidentes;
- Reciclagem e revisão, prevendo um cronograma de atualização constante e contínuo para manter o programa sempre atualizado.
Uma vez que esse mapeamento de processos esteja assegurado, recursos de tecnologia podem ser melhor aplicados nas rotinas da operação.
A documentação das informações obtidas durante as rotinas e o compartilhamento de conhecimento com redes ou comunidades é aconselhável para fortalecer o mercado e vencer a guerra cibernética.
Soluções de segurança para proteger as gestoras de investimento
O modelo “as a service” é uma opção de cibersegurança para assets que viabiliza investimentos alinhados à realidade e às necessidades do seu negócio. As soluções de segurança da RTM seguem esse propósito e podem ser adquiridas de forma modular. Entre elas, estão:
- Análise e gestão de vulnerabilidades — Varreduras automáticas para analisar brechas de segurança;
- HSM (Hardware Security Module) — Criptografia de dados críticos, além de checagens de autenticidade e guarda segura de chaves;
- Pentest (teste de intrusão) — Verificação da estrutura tecnológica para eliminar pontos vulneráveis na segurança.
Por falar em Pentest, vale a pena entendermos um pouquinho mais sobre essa tecnologia e sua relevância para instituições financeiras em todo o mundo.
Como o Pentest pode ajudar na segurança cibernética
O Pentest é um exame detalhado de aplicações, redes e equipamentos conectados que desvenda possibilidades de ação criminosa. Também é chamado de “teste de penetração”, e faz simulações de ataques maliciosos para comprovar a eficiência de todas as partes de uma infraestrutura.
Manual ou automatizado, o uso dessa solução ao menos uma vez por ano é uma recomendação de cibersegurança para assets. Tal medida ajuda a medir a resiliência de empresas contra vetores, auxilia ajustes de compliance e fornece subsídios para uma gestão de vulnerabilidades adequada.
