A pandemia gerou uma série de problemas para as equipes de compliance à medida que muitos funcionários passaram a trabalhar remotamente e utilizar novos canais de comunicação que podem não ter sido projetados com compliance em mente – criando um ambiente propício para incidentes de segurança cibernética.
Violações ou vazamentos de dados podem causar danos reputacionais graves e duradouros. Além dos custos potenciais e das multas regulatórias, o risco da perda de dados também pode ser uma grande dor de cabeça para as empresas.
As empresas financeiras devem estar vigilantes na defesa contra incidentes de segurança cibernética e perda de dados. Vazamento de dados, erro humano e erros de fornecedores terceirizados podem ser evitados com a estrutura adequada de risco e compliance.
1. Não negligencie o comportamento humano
As violações de segurança cibernética nem sempre são obra de indivíduos nefastos orquestrando um ataque sofisticado. Violações de dados prejudiciais podem resultar de erro humano não intencional.
Até mesmo comportamentos aparentemente inofensivos — usar Wi-Fi público, negligenciar a definição de senhas para computadores e dispositivos móveis e clicar em links perigosos — podem ser suficientes para propiciar aos cibercriminosos o acesso de que precisam. Em nada ajuda construir uma fortaleza digital se não houver controles adequados sobre quem tem acesso aos dados e sob que circunstâncias.
Portanto, a conscientização e educação de funcionários e a utilização de ferramentas de segurança que sinalizem comportamentos de risco em tempo real constituem um valioso pilar de segurança. As empresas proativas também realizam, rotineiramente, verificações de phishing, testes de engenharia social e outras iniciativas para avaliar o risco e ajudar os funcionários a reconhecer possíveis fraudes.
2. Priorize a segregação de funções
Assim como funções e responsabilidades bem definidas são a base de organizações bem administradas, a segregação de funções (SoD, na sigla em inglês) é um componente importante da proteção contra a perda de dados e do gerenciamento de riscos de segurança cibernética.
Em primeiro lugar, estabelecer uma SoD clara ajuda a evitar conflitos que podem levar a fraudes ou outros abusos. Para organizações maiores e com várias linhas de negócios, isso é particularmente importante. Profissionais de investimento do buy-side de uma empresa, por exemplo, não devem ter acesso aos mesmos dados que aqueles do sell-side.
A SoD também pode ajudar a prevenir falhas de controle que podem ocorrer quando muitas pessoas têm acesso a dados pelos quais não são necessariamente responsáveis. Ao segregar funções (e o acesso aos dados), as equipes de compliance têm melhores condições de identificar pontos fracos e, ao mesmo tempo, garantir que as demais equipes e indivíduos entendam exatamente quais dados devem estar no seu raio de ação e alcance, e quais devem ficar fora dele.
3. Utilize autorização e autenticação
A educação e as avaliações contínuas podem ajudar muito na conscientização e no reforço de bons hábitos de segurança, mas também é importante definir parâmetros para o acesso. A SoD busca prevenir fraudes e abusos, ao mesmo tempo em que promove a eficiência em uma organização. Clientes do Bloomberg Vault, a solução de compliance e vigilância da Bloomberg, devem passar por um processo de autorização rigoroso que torna os delineamentos da SoD um pré-requisito.
A autenticação também é de grande importância. Embora a autenticação de dois fatores tenha se tornado padrão, ela não elimina os riscos de segurança; por exemplo, os hackers podem interceptar códigos enviados para dispositivos móveis. Para levar a segurança um passo adiante, o sistema de autenticação multifator da Bloomberg permite que administradores e usuários autorizados do cliente acessem com segurança o Bloomberg Vault.
4. Conheça seus dados
A computação em nuvem revolucionou a forma como as empresas coletam, analisam e armazenam dados, mas implica em considerações de risco adicionais. Praticamente todos os fornecedores têm algum tipo de presença na nuvem, cada um com seus próprios pontos fracos e riscos potenciais.
Há muitos componentes de gerenciamento de risco de fornecedor (veja abaixo as principais perguntas a serem feitas a seus fornecedores), mas no topo da lista está o entendimento de como os dados são hospedados e protegidos. No caso do Bloomberg Vault, por exemplo, os dados são hospedados em vários data centers dedicados exclusivamente aos produtos, serviços e operações da Bloomberg e são dotados com sistemas failover, ou tolerantes a falhas (configuração hot-hot).
Outro componente do acesso à segurança de dados é a separação; para clientes Bloomberg que utilizam o Bloomberg Vault para arquivar comunicações e informações de negociação, os dados são organizados logicamente com base em permissões no nível da empresa, conta ou outras. Muitos clientes Bloomberg também se beneficiam do serviço premium do Vault para arquivar mensagens e gravações no armazenamento WORM (Write Once — Read Many) em nossos data centers seguros, garantindo que os dados não possam ser adulterados ou modificados.
5. Aplique uma abordagem minimalista à retenção de dados
Tão importante quanto proteger os dados de sua empresa é saber quando é a hora de eliminá-los. Uma estrutura de dados e segurança cibernética deve abranger uma política de retenção de dados que defina claramente quais dados devem ser armazenados e por quanto tempo.
Diferentes órgãos reguladores impõem diferentes requisitos de retenção — e cada empresa pode ter seu próprio cronograma — mas a boa governança de dados inclui uma política para eliminação e arquivamento de dados, quando apropriado. Os dados são a força vital das empresas de serviços financeiros, mas também podem ser um risco.
Certamente, os riscos que os responsáveis por compliance precisam enfrentar mudaram consideravelmente nas últimas décadas, e certamente continuarão a evoluir. Com foco vigilante em governança, tecnologia e orientação, é possível manter-se na dianteira em termos de segurança cibernética.
Perguntas para fazer seus fornecedores
- Onde estão localizados seus data centers e a quais normas estão sujeitos? Muitos data centers estão localizados no exterior, onde diferentes estruturas e padrões legais podem apresentar riscos de segurança.
- É possível inspecionar seus data centers? A resposta a esta pergunta deve ser “não”, e por um bom motivo. O fornecimento de um vídeo do data center, mostrando a infraestrutura e a operação das instalações, é uma alternativa.
- Quais são os critérios para que alguém acesse meus dados? Ninguém deve ter acesso aos seus dados sem permissão por escrito de alguém com tal autoridade em sua empresa.