5 Requisitos Regulatórios de Segurança de Dados para Serviços Financeiros
Quase todos no setor de serviços financeiros sabem o quão importante é para seus negócios estar em conformidade com as regulamentações de segurança de dados. Mas quantas equipes estão confiantes de que suas empresas podem manter a conformidade no futuro?
Com 91% das empresas usando serviços de nuvem, cuja natureza permissiva e fluida os torna notoriamente difíceis de proteger, apostaríamos que a resposta é menos do que você imagina. A inovação já está tornando os requisitos de conformidade existentes mais difíceis de cumprir. E à medida que as empresas de serviços financeiros surfam uma onda de adoção da nuvem, os reguladores não estão perdendo tempo para responder.
Seja por meio de regulamentações como a Lei Sarbanes-Oxley (SOX) ou o Regulamento de Cibersegurança do Departamento de Serviços Financeiros do Estado de Nova York (NYDFS), os legisladores estão correndo para antecipar os riscos de segurança de dados do consumidor. O resultado serão requisitos de conformidade mais rigorosos ao mesmo tempo em que o uso de dados se expande exponencialmente.
As empresas de serviços financeiros podem e devem se antecipar a esse desafio. Esta postagem do blog detalha cinco principais desafios de conformidade de segurança de dados enfrentados pelas equipes de segurança em empresas de serviços financeiros e explica como a Cyera ajuda a resolver cada um deles.
1. Proteção de Informações Pessoais Não Públicas
Dados pessoais estão impulsionando uma revolução em tudo, desde marketing até avaliação de risco. Mas isso também traz um lado negativo. Quanto mais dados pessoais uma empresa de serviços financeiros utiliza, mais difícil será para as equipes de segurança mostrar aos reguladores onde os dados estão e como são monitorados.
Por exemplo, compare como a Lei Gramm-Leach-Bliley (GLBA) exige que as instituições financeiras protejam informações pessoais não públicas (NPI) com a forma como as empresas de serviços financeiros o fazem.
A Comissão Federal de Comércio (FTC) define NPI como "informações financeiras de identificação pessoal" coletadas por uma instituição financeira em conexão com o fornecimento de um produto ou serviço financeiro, a menos que essas informações sejam "publicamente disponíveis". Exemplos de NPI incluem nomes, endereços, números de telefone, extratos bancários, números de seguro social e histórico de crédito.
A GLBA exige salvaguardas de segurança específicas em torno de controles de acesso, inventário de ativos e criptografia. Os processos que as empresas de serviços financeiros usam para atender aos requisitos relacionados aos controles devem acompanhar o ritmo. Mas, mesmo com as empresas de serviços financeiros adotando ambientes de nuvem e DevOps, muitas ainda dependem de ferramentas desconectadas e processos manuais.
Solução: Descoberta contínua
Mesmo em ambientes de nuvem extensos, a Cyera pode descobrir continuamente NPI em seus armazenamentos de dados para criar um inventário de todos os NPI e alertar as equipes de SecOps sobre violações de conformidade. Por exemplo, a Cyera pode ajudar sua empresa a detectar quando acesso excessivamente permissivo é concedido a usuários em um armazenamento de dados que contém NPI.
2. Monitoramento Contínuo
O monitoramento pontual não consegue acompanhar a forma como as empresas de serviços financeiros usam os dados. Os reguladores sabem disso e estão insistindo que as empresas realizem monitoramento contínuo por meio de estruturas como o National Institute of Standards and Technology e o Cyber Security Framework (NIST CSF).
O NIST CSF compreende cinco funções principais: identificar, proteger, detectar, responder e recuperar. Como os controles do NIST são fundamentais para outros requisitos regulatórios, estar em conformidade com eles faz sentido para muitas empresas de serviços financeiros.
Muitas empresas de serviços financeiros enfrentam dificuldades com o NIST CSF porque suas avaliações de segurança de dados são apenas pontuais.
Solução: Monitoramento sem interrupção
A Cyera pode fornecer à sua empresa monitoramento contínuo das exposições de dados confidenciais e alertá-lo sobre problemas à medida que ocorrem com detecção e resposta de dados (DDR) multinuvem. A Cyera pode ajudar a identificar as classes de dados que uma empresa de serviços financeiros possui, se são ou não confidenciais e qual nível de risco representam.
3. Realizando Avaliações de Risco e Criptografando Dados
Para combater ameaças cibernéticas que exploram lacunas na segurança de dados e na aplicação de criptografia, os reguladores exigem cada vez mais que as empresas de serviços financeiros realizem avaliações de risco. Por exemplo, o Departamento de Serviços Financeiros do Estado de Nova York (NYDFS) está atualmente em processo de tornar obrigatórias "avaliações periódicas de risco" e testes de resiliência.
Embora avaliar o risco aos dados e construir resiliência seja uma vitória clara para as empresas de serviços financeiros, tomar medidas para isso quando a maioria das empresas está correndo em direção à transformação digital é um desafio significativo. Em uma pesquisa da Deloitte sobre o nível de maturidade de cibersegurança do setor financeiro, apenas metade dos entrevistados estava confiante de que eram resilientes quando se trata de lidar com dados de clientes.
Solução: Avaliação de risco de dados
Para ajudar a impulsionar os esforços de resiliência, a Cyera pode ajudá-lo a obter visibilidade completa de seus dados, determinar se algum deles está exposto e resolver problemas de segurança relevantes rapidamente. Além disso, a Cyera pode oferecer orientação de remediação para que você possa resolver os problemas identificados com agilidade.
4. Auditorias
Quando se trata de auditorias, as equipes de segurança enfrentam um desafio circular. Quanto mais dados elas usam, mais regulamentações e restrições de governança estão sujeitas e, portanto, mais precisam realizar auditorias. Há também um desafio ao tentar encontrar e entender quais dados confidenciais elas possuem em ambientes isolados. O resultado é um atraso na entrega das informações corretas necessárias para concluir uma auditoria.
Armadas apenas com informações fragmentadas de inventários (tipicamente) desatualizados e varreduras reativas, pesquisas e atestações de toda a empresa, as equipes não têm confiança de que suas respostas de auditoria sejam abrangentes. Quando tentam remediar isso e as informações são agregadas, elas já estão desatualizadas. E se a resposta da auditoria deve ser entregue dentro de um prazo determinado, esse esforço manual adicional frequentemente resulta em multas por atraso na resposta.
Solução: Inventário dinâmico de datastore
A Cyera reduz o tempo para realizar auditorias mantendo um inventário dinâmico de armazenamento de dados e classificando automaticamente e adicionando contexto profundo aos seus dados. A Cyera mostra exatamente quais dados você possui, onde eles residem e corrige exposições que podem resultar em falhas de segurança, privacidade ou conformidade regulatória. Assim, quando surgirem auditorias, você pode ter a confiança de que está garantindo ativamente a conformidade e atendendo rapidamente à solicitação de auditoria.
5. Manutenção da Segregação de Funções
Central às regulamentações como a Lei Sarbanes-Oxley (SOX), a segregação de funções ou separação de funções (SOD) reduz o controle centralizado sobre processos e dados. Do ponto de vista da segurança de dados, SOD significa que nenhuma pessoa deve ser capaz de exfiltrar dados sensíveis.
Embora o conceito seja relativamente simples, pode ser bastante complexo para empresas de serviços financeiros proteger dados com SOD em escala. Por isso, é uma violação comum da SOX. Na prática, a SOD é frequentemente realizada por meio de revisões manuais extensivas de quem tem acesso a quê.
Solução: Um sistema corporativo para conformidade de SoD
A Cyera ajuda você a alcançar a conformidade com SOD, informando quem são os usuários com acesso a datastores ou classes de dados específicos. Por exemplo, a Cyera pode informar se o acesso é limitado a determinados funcionários ou a qualquer pessoa com conexão à internet. Indo além dos silos de dados, a Cyera descobre onde os dados confidenciais estão localizados e quem são os proprietários dos dados em SaaS, IaaS e PaaS, tanto para dados estruturados quanto não estruturados.
A Cyera pode mostrar quais permissões estão habilitadas e se os usuários podem ler, gravar, copiar ou excluir os dados. E se algum dos usuários representar riscos indevidos devido a contas obsoletas, senhas fracas ou uma combinação disso mais acesso a informações confidenciais, a Cyera destacará esses problemas.
Preparando a Conformidade para o Futuro com a Cyera
A orientação regulatória tem sido um benefício líquido para as empresas de serviços financeiros ao aumentar as salvaguardas para dados sensíveis e impulsionar a confiança do consumidor. Os reguladores continuam a exigir que as empresas de FSI demonstrem que compreendem sua crescente pegada de dados na nuvem e apliquem controles mais rigorosos. Consequentemente, os sistemas legados de manutenção da conformidade de segurança de dados precisam se atualizar.
A plataforma de segurança de dados da Cyera fornece contexto profundo sobre seus dados, aplicando controles corretos e contínuos para garantir resiliência cibernética e conformidade.
A Cyera adota uma abordagem centrada em dados para segurança, avaliando a exposição de seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto profundo de dados de forma holística em toda a sua paisagem de dados, somos a única solução que pode capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e tomar medidas imediatas para remediar exposições e garantir a conformidade sem interromper os negócios.
Comece a obter visibilidade e controle sobre seus dados confidenciais agendando uma demonstração hoje.
Obtenha visibilidade completa
com nossa Avaliação de Risco de Dados.
