18 de julho de 2023
Por Rodman Ramezanian - Líder Global de Ameaças na Nuvem Skyhigh Security
Com o trabalho híbrido a chegar para ficar, a indústria dos serviços financeiros está a adaptar-se aos riscos acrescidos associados à capacitação de uma força de trabalho remota. Foram feitos muitos progressos, mas tal como evidenciado no nosso último relatório "Skyhigh Security Cloud Adoption and Risk Report: Financial Services Edition", o setor ainda tem um longo caminho a percorrer para melhorar a segurança na nuvem.
As organizações de serviços financeiros são particularmente vulneráveis a violações, ameaças e roubo de dados, em comparação com outros sectores, devido à natureza dos dados que gerem - e a percentagem destas organizações que estão a ter problemas de segurança está a aumentar. Neste relatório, podemos ver que o sector está ciente de que é um alvo privilegiado para ataques e, por isso, demonstra geralmente uma maturidade de segurança mais elevada do que outros sectores - mas continuam a existir problemas, especialmente na área da segurança de dados valiosos em serviços e aplicações na nuvem. O que está a causar estes problemas e o que pode ser feito para os resolver? Vamos aprofundar e explorar a investigação.
As empresas de serviços financeiros detêm activos de elevado valor, o que as torna um alvo mais frequente
Como as empresas de serviços financeiros, tais como bancos, companhias de seguros, corretoras e empresas de cartões de crédito, armazenam grandes quantidades de informações sobre cartões de pagamento e outros dados sensíveis, são particularmente vulneráveis a ataques. Isto torna-as susceptíveis a activistas de estados-nação que levam a cabo ataques para impulsionar agendas políticas e a cibercriminosos ávidos de ganhos monetários. Em comparação com outros sectores, os serviços financeiros têm maior probabilidade de ter sofrido a combinação tripla de uma violação de cibersegurança, ameaça e roubo de dados: 78% em comparação com 75% em todos os sectores.
A mudança para o trabalho híbrido aumentou a superfície de ataque e o risco de segurança
Tal como a maioria dos outros sectores, o sector dos serviços financeiros adoptou o trabalho híbrido por todas as suas vantagens, apesar dos seus inconvenientes em termos de segurança. Uma maior superfície de ataque, problemas com aplicações SaaS e Shadow IT são algumas das formas específicas em que a mudança para o trabalho híbrido aumentou o risco de segurança, como evidenciado pelas seguintes estatísticas do relatório:
- Em 2019, o número médio de serviços de nuvem pública em uso era de 20, em comparação com 31 em 2022. Trata-se de um aumento de mais de 50% em três anos.
- Para as empresas que utilizam aplicações e serviços SaaS, a percentagem que teve problemas de segurança aumentou 13% - de 82% das empresas em 2019 para 95% das empresas em 2022. O risco de ameaças decorrentes de problemas de segurança com SaaS afecta mais os serviços financeiros do que outros sectores.
- 82% das empresas de serviços financeiros admitem que as TI sombra prejudicam a sua capacidade de proteger os dados.
Por estas razões, recomendamos que as empresas de serviços financeiros adoptem uma plataforma de segurança na nuvem centrada nos dados security service edge (SSE) baseada nos princípios Zero Trust para proteger os dados na Web, na nuvem e nas aplicações privadas. Os problemas com SaaS neste sector indicam uma maior necessidade de visibilidade e controlo sobre os dados. Uma plataforma SSE fornece essa capacidade com controlos e políticas consistentes.
Os serviços financeiros são um sector altamente regulamentado
Para além dos elevados riscos de segurança enfrentados por este sector, a conformidade acrescenta outra camada de complexidade. Os executivos de segurança têm de ter em mente que qualquer nova tecnologia ou ferramenta de segurança que adoptem afectará a capacidade da sua organização para gerir uma conformidade regulamentar cada vez maior. Para simplificar a conformidade, recomendamos que as empresas de serviços financeiros procurem soluções com tecnologias consolidadas que possam ser rapidamente escaladas com a sua força de trabalho e simplificar os relatórios de conformidade.
A contratação de pessoal para a cibersegurança é um desafio permanente
Embora todos os sectores estejam a ter dificuldade em encontrar profissionais de segurança qualificados, o sector dos serviços financeiros sente ainda mais a dor. Noventa e seis por cento dos inquiridos do sector afirmam que a insuficiência de pessoal de segurança qualificado está a afetar a sua capacidade de proteger a utilização da computação em nuvem. Isto compara-se com 92% dos seus pares em todos os sectores que enfrentam o mesmo desafio.
Para contrariar este problema, recomendamos que as empresas de serviços financeiros encontrem uma solução de plataforma de segurança na nuvem que utilize ferramentas e processos automatizados. Isto ajudará o pessoal existente a trabalhar de forma mais eficiente, reduzindo os falsos positivos e eliminando tarefas redundantes, como a necessidade de recriar classificações de dados. Uma plataforma unificada e gerida centralmente também proporciona uma escalabilidade muito maior e simplifica o processo de criação e extensão de políticas na Web e na nuvem.
À semelhança de outras indústrias, o relatório indica que, nas empresas de serviços financeiros, pode haver alguma incerteza quanto a quem monitoriza e controla onde os dados sensíveis são armazenados ou utilizados na nuvem. Em média, existem duas funções (CIO e CTO) envolvidas neste processo. No entanto, 35% a 42% dos inquiridos dos serviços financeiros dizem que a segurança da nuvem também é da responsabilidade dos gestores de TI e dos gestores de segurança de TI. A falta de definições claras das funções e de quem é responsável pelo quê pode levar a lacunas e vulnerabilidades na segurança. Esta é mais uma razão pela qual uma abordagem unificada e integrada da segurança na nuvem é valiosa, especialmente para os serviços financeiros.
Para crédito daqueles que gerem a segurança da nuvem para empresas de serviços financeiros, também parece que estão a procurar proactivamente formas de se manterem à frente da curva. Por exemplo, as empresas de serviços financeiros são mais propensas do que outros sectores a utilizar soluções cloud access security broker (CASB) para monitorizar a utilização da nuvem não aprovada pela TI.
Ao tomar a iniciativa de implementar uma plataforma de segurança em nuvem SSE que integre várias tecnologias de segurança, como CASB, data loss prevention (DLP), firewalls e gateways da Web em um sistema robusto e holístico, as empresas de serviços financeiros podem proteger melhor seus dados confidenciais e de alto valor e, ao mesmo tempo, aproveitar os benefícios da nuvem.
Saiba mais lendo o relatórioSkyhigh Security sobre a adoção da nuvem e os riscos
Edição de Serviços Financeiros.
Descarregue o relatório
Voltar aos blogues