5 Requisitos Regulatórios de Segurança de Dados para Serviços Financeiros

May 16, 2023
Share

Quase todos no setor de serviços financeiros sabem o quão importante é para seus negócios o cumprimento das normas de segurança de dados. Mas quantas equipes estão confiantes de que suas empresas conseguirão manter essa conformidade no futuro?

Com 91% das empresas Considerando a natureza permissiva e fluida dos serviços em nuvem, que os tornam notoriamente difíceis de proteger, apostaríamos que a resposta é menos do que você imagina. A inovação já está tornando os requisitos de conformidade existentes mais difíceis de atender. E, à medida que as empresas de serviços financeiros surfam na onda da adoção da nuvem, os órgãos reguladores não estão perdendo tempo em reagir.

Seja por meio de regulamentações como a Lei Sarbanes-Oxley (SOX) ou o Regulamento de Segurança Cibernética do Departamento de Serviços Financeiros do Estado de Nova York (NYDFS)Os legisladores estão correndo para se antecipar aos riscos de segurança de dados do consumidor. O resultado será a imposição de requisitos de conformidade mais rigorosos, ao mesmo tempo em que o uso de dados se expande exponencialmente.

As empresas de serviços financeiros podem e devem se antecipar a esse desafio. Este artigo detalha cinco desafios principais de conformidade com a segurança de dados enfrentados pelas equipes de segurança em empresas de serviços financeiros e explica como a Cyera ajuda a solucionar cada um deles.

1. Proteção de informações pessoais não públicas

Os dados pessoais estão impulsionando uma revolução em tudo, desde o marketing até a avaliação de riscos. Mas isso também traz uma desvantagem. Quanto mais dados pessoais uma empresa de serviços financeiros utiliza, mais difícil será para as equipes de segurança demonstrarem aos órgãos reguladores onde os dados estão armazenados e como são monitorados.

Por exemplo, compare como a Lei Gramm-Leach-Bliley (GLBA) exige que as instituições financeiras protejam seus clientes. Informações pessoais não públicas (NPI) a como as empresas de serviços financeiros fazem isso.

O Comissão Federal de Comércio A Comissão Federal de Comércio (FTC) define NPI como "informações financeiras de identificação pessoal" coletadas por uma instituição financeira em conexão com o fornecimento de um produto ou serviço financeiro, a menos que essas informações sejam de domínio público. Exemplos de NPI incluem nomes, endereços, números de telefone, extratos bancários, números de seguro social e histórico de crédito.

A GLBA exige salvaguardas de segurança específicas em torno de controles de acesso, inventário de ativos, e criptografiaOs processos que as empresas de serviços financeiros utilizam para atender aos requisitos de controle precisam acompanhar o ritmo das mudanças. No entanto, mesmo com a adoção de ambientes em nuvem e DevOps por essas empresas, muitas ainda dependem de ferramentas desconectadas e processos manuais.

Solução: Descoberta contínua

Mesmo em ambientes de nuvem extensos, a Cyera consegue descobrir continuamente informações não pessoais (NPI) em seus armazenamentos de dados para criar um inventário de todas as NPI e alertar as equipes de SecOps sobre violações de conformidade. Por exemplo, a Cyera pode ajudar sua empresa a detectar quando acessos excessivamente permissivos são concedidos a usuários em um armazenamento de dados que contém NPI.

2. Monitoramento Contínuo

O monitoramento pontual não consegue acompanhar a forma como as empresas de serviços financeiros utilizam os dados. Os reguladores sabem disso e insistem que as empresas realizem monitoramento contínuo por meio de estruturas como a Instituto Nacional de Padrões e Tecnologia e o Cyber ​​Security Framework (NIST CSF).

O NIST CSF compreende cinco funções principais: identificar, proteger, detectar, responder e recuperar. Como os controles do NIST são fundamentais para outros requisitos regulatórios, cumpri-los faz sentido para muitas empresas de serviços financeiros.

Muitas empresas de serviços financeiros têm dificuldades com o NIST CSF porque suas avaliações de segurança de dados são pontuais.

Solução: Monitoramento sem interrupções

A Cyera pode fornecer à sua empresa monitoramento contínuo da exposição de seus dados sensíveis e alertá-lo sobre problemas assim que eles ocorrerem em ambientes com múltiplas nuvens. Detecção e resposta de dados (DDR)A Cyera pode ajudar a identificar as classes de dados que uma empresa de serviços financeiros possui, se são sensíveis ou não e qual o nível de risco que representam.

3. Realização de avaliações de risco e criptografia de dados

Para combater as ameaças cibernéticas que exploram as lacunas na segurança de dados e na aplicação da criptografia, os reguladores exigem cada vez mais que as empresas de serviços financeiros realizem avaliações de risco. Por exemplo, o Departamento de Serviços Financeiros do Estado de Nova York (NYDFS) está atualmente em o processo de obrigatoriedade "Avaliações periódicas de risco" e testes de resiliência.

Embora avaliar os riscos aos dados e construir resiliência seja uma clara vantagem para as empresas de serviços financeiros, agir nesse sentido quando a maioria das empresas está correndo para a transformação digital representa um desafio significativo. Em uma pesquisa da Deloitte sobre o nível de maturidade em cibersegurança do setor financeiro, apenas metade dos respondentes Estavam confiantes de que eram resilientes no que diz respeito ao tratamento de dados de clientes.

Solução: Avaliação de risco de dados

Para ajudar a impulsionar os esforços de resiliência, a Cyera pode ajudam você a obter visibilidade completa dos seus dados.A Cyera permite determinar se alguma parte dos seus dados está exposta e solucionar problemas de segurança de materiais rapidamente. Além disso, ela oferece orientações de remediação para que você possa resolver os problemas identificados com agilidade.

4. Auditorias

Quando se trata de auditoriasAs equipes de segurança enfrentam um desafio circular. Quanto mais dados utilizam, mais regulamentações e restrições de governança estão sujeitas e, portanto, mais auditorias precisam realizar. Há também o desafio de encontrar e compreender quais dados sensíveis estão armazenados em ambientes isolados. O resultado é um atraso na entrega das informações necessárias para concluir uma auditoria.

Munidas apenas de informações fragmentadas provenientes de inventários (normalmente) desatualizados e de análises, pesquisas e atestados reativos de diversas áreas da empresa, as equipes não têm confiança de que suas respostas às auditorias sejam abrangentes. Quando tentam remediar essa situação e as informações são agregadas, elas já estão desatualizadas. E se a resposta à auditoria tiver um prazo determinado, esse esforço manual adicional geralmente resulta em multas por atraso.

Solução: Inventário dinâmico de armazenamento de dados

A Cyera reduz o tempo necessário para realizar auditorias, mantendo um inventário dinâmico do seu banco de dados e classificando-o automaticamente, além de adicionar contexto detalhado aos seus dados. A Cyera mostra exatamente quais dados você possui, onde eles estão armazenados e corrige vulnerabilidades que poderiam resultar em falhas de segurança, privacidade ou conformidade regulatória. Assim, quando surgirem auditorias, você terá a segurança de estar garantindo ativamente a conformidade e poderá atender prontamente às solicitações de auditoria.

5. Manter a segregação de funções

Fundamental para regulamentações como a Lei Sarbanes-Oxley (SOX), a segregação de funções ou separação de funções (SOD, na sigla em inglês) reduz o controle centralizado sobre processos e dados. Do ponto de vista da segurança de dados, a SOD significa que nenhuma pessoa deve ser capaz de extrair dados sensíveis.

Embora o conceito seja relativamente simples, pode ser bastante complexo para as empresas de serviços financeiros protegerem dados com segregação de funções (SoD) em larga escala. Consequentemente, trata-se de uma violação comum da Lei Sarbanes-Oxley (SOX). Na prática, a segregação de funções geralmente é implementada por meio de extensas revisões manuais de quem tem acesso a quê.

Solução: Um sistema empresarial para conformidade com a segregação de funções (SOD).

A Cyera ajuda você a alcançar a conformidade com a Segregação de Funções (SoD) ao informar quem são os usuários com acesso a armazenamentos de dados ou classes de dados específicos. Por exemplo, a Cyera pode indicar se o acesso é limitado a determinados funcionários ou a qualquer pessoa com conexão à internet. Indo além dos silos de dados, a Cyera revela onde os dados sensíveis estão localizados e quem são os proprietários dos dados em SaaS, IaaS e PaaS, tanto para dados estruturados quanto não estruturados.

A Cyera pode mostrar quais permissões estão habilitadas e se os usuários podem ler, gravar, copiar ou excluir os dados. Além disso, se algum usuário representar riscos indevidos devido a contas desatualizadas, senhas fracas ou uma combinação desses fatores com acesso a informações confidenciais, a Cyera destacará esses problemas.

Garantindo a conformidade com as políticas da Cyera para o futuro.

As diretrizes regulatórias têm sido um fator positivo para as empresas de serviços financeiros, aumentando as salvaguardas para dados sensíveis e impulsionando a confiança do consumidor. Os reguladores continuam exigindo que as empresas do setor financeiro demonstrem que compreendem a crescente presença de dados na nuvem e apliquem controles mais rigorosos. Consequentemente, os sistemas legados de manutenção da conformidade com a segurança de dados precisam ser atualizados.

Plataforma de segurança de dados da Cyera Fornece um contexto profundo sobre seus dados, aplicando controles corretos e contínuos para garantir a resiliência cibernética e a conformidade.

A Cyera adota uma abordagem de segurança centrada em dados, avaliando a exposição dos seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto de dados profundo e holístico em todo o seu ambiente de dados, somos a única solução capaz de capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e a tomar medidas imediatas para remediar as exposições e garantir a conformidade sem interromper os negócios.

Comece a obter visibilidade e controle sobre seus dados confidenciais. agendar uma demonstração hoje.

Share