O CAT Não Vai Voltar: O que vem a seguir quando a Ferramenta de Avaliação de Cibersegurança for descontinuada e como a Cyera pode ajudar

No ano passado, o Conselho Federal de Exame de Instituições Financeiras (FFIEC) anunciou a aposentadoria de sua Ferramenta de Avaliação de Cibersegurança (CAT) em 31 de agosto de 2025. Ao contrário do gato da amada canção infantil, este CAT não voltará, e as instituições financeiras que dependeram dele na última década devem planejar sua substituição.

Histórico‍

O FFIEC introduziu o CAT em 2015 como uma ferramenta para ajudar as instituições financeiras a avaliar seu perfil de risco de segurança cibernética e maturidade.

Embora não prescreva uma estrutura específica para substituir o CAT, o FFIEC sugeriu outras estruturas, particularmente o NIST CSF 2.0. Isso faz sentido, já que os níveis de maturidade do CAT eram amplamente avaliados comparando a postura de cibersegurança das organizações com os controles do NIST CSF 1.1. Com o lançamento da versão 2.0, ficou claro que o CAT desatualizado seria atualizado ou abandonado.

No entanto, embora o NIST CSF seja frequentemente usado para autoavaliação e medição de maturidade, não é uma ferramenta de avaliação de risco per se. Consequentemente, alguns analistas do setor preveem maior adoção de estruturas como os Perfis do Cyber Risk Institute (CRI). Os Perfis CRI atribuem instituições financeiras a um de quatro Níveis com base em aspectos como seu tamanho e interconexão com o sistema financeiro global. As instituições de Nível 1 representam o maior risco sistêmico, enquanto as entidades de Nível 4 representam o menor.

Os Perfis são baseados no NIST CSF 2.0, com controles adicionais adaptados especificamente para o setor financeiro, incluindo controles de governança para cadeias de suprimentos, gestão de riscos independente e auditorias independentes. Dependendo de seu Nível de risco, as organizações estarão sujeitas a todas as categorias e subcategorias de controle ou a um subconjunto correspondente ao seu tamanho, complexidade e importância crítica para o setor financeiro.

A complexidade dos Perfis pode desencorajar organizações menores para as quais a estrutura básica do NIST CSF provavelmente será suficiente. No entanto, sua abordagem sistêmica baseada em risco reflete a da Lei de Resiliência Operacional Digital (DORA) da UE, o que pode impulsionar ainda mais sua adoção mais ampla por entidades maiores à medida que instituições financeiras multinacionais convergem para um conjunto comum de padrões e práticas de cibersegurança.

Como a Cyera Ajuda‍

A Cyera oferece cobertura abrangente para a maior parte da estrutura de controle NIST CSF 2.0, destacando-se em controles técnicos críticos que abrangem segurança de dados, gerenciamento de riscos, controle de acesso e monitoramento contínuo. De fato, a Plataforma de Segurança de Dados nativa de IA da Cyera atende efetivamente todas as seis funções principais do NIST CSF.

• GOVERNAR: O serviço de Avaliação de Risco de Dados da Cyera apoia o desenvolvimento de uma estratégia de gerenciamento de risco de segurança cibernética ao mapear a superfície de ataque de uma organização e identificar e priorizar riscos significativos de segurança de dados. Por meio da descoberta e classificação de ativos, a Cyera também ajuda a identificar os proprietários de dados e suas responsabilidades.

• IDENTIFICAR: A Cyera automatiza a descoberta e classificação de dados em ambientes de nuvem e locais, criando um inventário preciso e em tempo real de ativos de dados sensíveis, incluindo os usuários, aplicativos, plataformas e bancos de dados que manipulam ou armazenam dados sensíveis. A Cyera também identifica vulnerabilidades relacionadas a dados, como permissões excessivas e dados sensíveis não criptografados.

• PROTEGER: A Cyera monitora e revisa controles de acesso, descobre contas obsoletas ou fantasmas e pode mascarar automaticamente dados sensíveis não criptografados, como números de cartão de crédito, números de Seguro Social ou outras informações pessoais sensíveis.

• DETECTAR: A Cyera monitora continuamente a postura de segurança de dados e os padrões de acesso das organizações, estabelecendo linhas de base para operações normais de dados e monitorando desvios. Ela também monitora a atividade de provedores de serviços terceirizados relacionada a dados sensíveis.

• RESPONDER: A Cyera se integra com ferramentas de fluxo de trabalho para oferecer suporte à correção automatizada de vulnerabilidades relacionadas a dados. Ela também gera logs de auditoria e relatórios sobre dados afetados e padrões de acesso, e facilita a comunicação com as partes interessadas ao fornecer relatórios detalhados de conformidade e segurança. Além disso, o serviço de Preparação para Violações da Cyera ajuda as organizações a desenvolver planos de resposta a incidentes e comunicação de crises mais eficazes.

• RECUPERAR: A Cyera oferece suporte à recuperação rápida ao identificar e priorizar ativos de dados críticos e fornecer insights de dados para informar a análise pós-incidente. Por meio de sua parceria com o provedor de backup Cohesity, a Cyera ajuda as organizações a aprimorar a resiliência operacional ao otimizar a frequência de backup com base na sensibilidade e criticidade dos dados.

Além dos controles padrão do NIST CSF, os Perfis CRI contêm várias novas famílias de controles especificamente projetadas para o setor financeiro. Estas incluem:

• Função Independente de Gestão de Riscos (GV.IR): A Cyera pode ajudar a sugerir melhorias para a estratégia de gestão de riscos da sua organização. Seu serviço de Avaliação de Risco de Dados pode ajudá-lo a identificar lacunas na sua postura atual de segurança de dados e fornecer marcos e cronogramas para aprimorar a maturidade da segurança de dados.

• Função de Auditoria Independente (GV.AU): A Cyera gera registros e relatórios de auditoria que podem auxiliar sua organização na avaliação da conformidade com controles internos e externos. Além disso, o Dataport e o MCP Server da Cyera permitem que você consulte seus dados da Cyera usando prompts em linguagem natural, obtendo respostas rápidas e concisas para perguntas como "quais dos meus armazenamentos de dados contêm informações de cartão de crédito em texto simples?"

Os Perfis CRI também prescrevem várias expansões de famílias de controle, relacionadas principalmente ao gerenciamento de riscos de terceiros:

• Contratos e Acordos com Terceiros (EX.CN), Planejamento de Aquisições e Due Diligence (EX.DD), Monitoramento e Gerenciamento de Fornecedores (EX.MM), e Término de Relacionamento (EX.TR): A Cyera pode identificar usuários e serviços de terceiros com acesso aos seus dados, monitorar seus padrões de acesso e acompanhar o uso de controles de segurança exigidos contratualmente, como autenticação multifator. Ela também detecta contas obsoletas ou fantasmas que podem persistir após o término do relacionamento com terceiros.

O CAT pode não estar voltando, mas a Cyera pode ajudá-lo a estabelecer uma postura madura de segurança de dados, independentemente do seu Nível de Perfil CRI. Saiba mais solicitando uma demonstração em Cyera.com.