©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
Gestão de vulnerabilidades

Gestão de Vulnerabilidades na área financeira: por que se preocupar?

Equipe EcoTrust

9 min read
Gestão de Vulnerabilidades na área financeira: por que se preocupar?

As medidas de segurança da informação colocadas em prática em uma empresa precisam ser extremamente dinâmicas para que se conte com uma boa gestão de vulnerabilidades.

Isso acontece porque as ameaças digitais são aprimoradas constantemente e tornam-se mais numerosas a cada dia, podendo causar grandes transtornos para as empresas, fornecedores e clientes.

Nesse sentido, tratar a gestão de vulnerabilidades como um processo contínuo e em constante evolução pode ser um poderoso diferencial, especialmente na área financeira.

Em primeiro lugar, a empresa torna-se mais preparada para lidar com possíveis incidentes e mitigá-los sem grandes consequências negativas.

Além disso, ela se consolida no que diz respeito à credibilidade e à confiabilidade, fatores essenciais para a conquista e fidelização de clientes no setor financeiro.

Grande parte dos profissionais de segurança já conhecem muito bem o tema análise de vulnerabilidades, mas a boa gestão de vulnerabilidades ainda é um desafio muito comum na maioria das organizações da área financeira

Uma boa gestão de vulnerabilidades deve incluir a análise periódica feita por profissionais da área de cibersegurança e também a utilização das ferramentas adequadas.

Ferramentas SAST (Static Application Security Testing) e DAST (Dynamic Application Security Testing) têm sido incorporadas como ferramentas de scan de vulnerabilidades. Esses softwares são utilizados para procurar e listar as vulnerabilidades presentes em determinada aplicação, assim como já são utilizadas outras ferramentas de scan de vulnerabilidades em infraestruturas.

Já a análise de vulnerabilidades ocorre quando profissionais de engenharia de segurança promovem o reconhecimento e a classificação dessas vulnerabilidades.

A análise também inclui a busca por possíveis maneiras de remediar ou mitigar os riscos, além da consideração da possibilidade de aceitá-lo, quando suas possíveis consequências não são alarmantes.

Todo este processo deve ser priorizado na área financeira, que vem passando por grandes mudanças envolvendo a tecnologia.

A ascensão das fintechs, o surgimento de novos meios de pagamento, o sucesso do PIX e as possibilidades oferecidas pelo open banking tornam a área financeira, que sempre foi muito visada, ainda mais atraente para os cibercriminosos.

Basta fazer uma pesquisa rápida nos mecanismos de busca online para verificar diversos casos de fraudes e vazamentos de dados financeiros, que têm prejudicado muito as organizações da área.

Novos desafios de segurança cibernética surgem a cada dia, e a necessidade de uma boa gestão de vulnerabilidades é inquestionável e cada vez mais essencial.

Os próprios dispositivos legais e normativos têm seguido a tendência de priorização da segurança digital.

A resolução nº 4.658 do Banco Central, por exemplo, entrou em vigor em 2018 e estabelece que as organizações financeiras autorizadas precisam implementar uma política de segurança cibernética e procedimentos ao contratarem provedores de computação em nuvem.

Ainda sobre as contribuições do Bacen, é importante lembrar a circular 3.909, que define outras normas ligadas à segurança da informação a serem aplicadas especificamente às instituições de pagamento.

Essas diretrizes demonstram a necessidade de uma política de segurança cibernética em bancos, fintechs, cooperativas de crédito e instituições de pagamento para que, além de evitar os problemas regulatórios, essas organizações consigam trabalhar sem transtornos quanto à execução de suas atividades e não tenham sua imagem e confiabilidade prejudicadas.

Também é importante lembrar dispositivos como a LGPD (Lei Geral de Proteção de Dados) e o GDPR (Regulamento Geral sobre a Proteção de Dados europeu).

Essas leis definem medidas detalhadas de segurança cibernética a serem colocadas em prática nas empresas contra ataques e vazamentos de dados.

No Brasil, as regras da LGPD valem para todos os segmentos de negócios, mas são especialmente importantes no caso das organizações financeiras.

Isso por conta do grande volume de dados pessoais e sensíveis dos clientes presentes no cotidiano das atividades dessas empresas e por elas serem muito visadas pelos cibercriminosos.

Caso as regras não sejam cumpridas, a organização estará sujeita a punições significativas, o que pode até impossibilitar a continuidade dos negócios.

Para fintechs, o processo de gestão de vulnerabilidades tende a ser mais complexo, tanto em função de sua essência ser ligada à tecnologia quanto por conta da imaturidade dos processos.

Os grandes bancos tradicionais, até mesmo por conta de seu tempo de atuação, contam com tecnologias e processos mais maduros.

Já as fintechs geralmente contam com um grande foco no desenvolvimento do produto para ganhar mercado e nesse contexto nem sempre a segurança cibernética recebe a devida atenção.

É claro que a generalização não deve ser feita. Em ambos os casos a gestão de vulnerabilidades oferece desafios de acordo com as especificidades da instituição financeira.

O objetivo deve ser sempre o de evitar fraudes, vazamentos de dados e outros incidentes cibernéticos para que a empresa não passe por perdas financeiras, reputacionais ou de clientes.

Nos próximos tópicos, vamos retomar o conceito de gestão de vulnerabilidades e explicar como uma organização da área financeira pode se adequar às regulamentações de cibersegurança vigentes atualmente.

Continue a leitura!

O que é gestão de vulnerabilidades?

A gestão de vulnerabilidades é o processo de identificar, notificar, analisar e corrigir as vulnerabilidades de segurança cibernética existentes em uma empresa.

Esse processo é um ciclo contínuo e não uma tarefa a ser cumprida e finalizada pois, em razão do avanço dos crimes digitais, uma vulnerabilidade inexistente hoje pode ser evidenciada amanhã.

No contexto da identificação e análise das vulnerabilidades de segurança, uma das principais tarefas a serem desempenhadas é a classificação dessas fraquezas do negócio em termos de grau de criticidade.

Isso significa que cada vulnerabilidade deve ser classificada em uma lista de acordo com a prioridade a ser dada à sua correção ou mitigação.

A Gartner, por exemplo, estabelece uma visão objetiva da gestão de vulnerabilidades, baseada nas etapas de avaliação, priorização, ação, reavaliação e melhoramento dos processos.

A respeito dos graus de criticidade das vulnerabilidades, você pode utilizar a escala a seguir:

  • Crítica: são as vulnerabilidades de simples reprodução, que não necessitam de um acesso específico. Uma pessoa sem conhecimentos avançados em tecnologia pode afetar a aplicação ou a reputação da empresa a partir desse tipo de vulnerabilidade;
  • Alta: são vulnerabilidades que também podem ter um grande impacto sobre a aplicação e a reputação da empresa, mas normalmente dependem de um acesso mínimo para isso;
  • Média: as vulnerabilidades médias são semelhantes às de criticidade alta, porém com menores probabilidades de um ataque, já que os cibercriminosos dependem de alguns privilégios na aplicação ou a utilização da mesma rede local. Também são consideradas médias as vulnerabilidades decorrentes da manipulação de vítimas por meio da engenharia social;
  • Baixa: vulnerabilidades de baixo grau de criticidade são as que exercem pouco impacto nas atividades da organização. Sua exploração requer um acesso local ou físico ao sistema, com elevados privilégios ou conhecimentos muito específicos e de difícil reprodução por parte dos cibercriminosos.

Para cumprir a etapa de classificação dentro da gestão de vulnerabilidades, é importante que os gestores de cibersegurança contem com ferramentas de identificação das mesmas.

Essas ferramentas devem ser escolhidas de acordo com o cenário atual de segurança da informação existente na empresa.

Alguns critérios relevantes nessa escolha são o acesso controlado, as métricas, a capacidade de suportar integrações com outras ferramentas e a escalabilidade.

Ainda que seja comum a ocorrência dos chamados “falsos positivos” na utilização do scan de vulnerabilidades, a utilização dessa ferramenta não pode ser dispensada.

É importante lembrar que uma falsa vulnerabilidade só pode ser assim classificada quando há de fato uma verificação que comprove o falso positivo.

De todo modo, o falso positivo não é um inimigo da gestão de vulnerabilidades e sim um importante aliado.

Quando há uma “debugagem” do código para a comprovação de um falso positivo, a empresa adquire mais conhecimento sobre o funcionamento da aplicação em questão.

Nesse processo, é possível verificar outras possíveis vulnerabilidades não reportadas pelo scan, ou seja, ainda que o falso positivo seja comprovado, há um avanço na gestão de vulnerabilidades como um todo.

Além do falso positivo, existem também os casos em que a vulnerabilidade se comprova, mas é aceita e não mitigada pela equipe de cibersegurança.

Muitas vezes, a mitigação da vulnerabilidade não é considerada uma ação vantajosa, pois pode gerar custos adicionais ou contar um prazo curto para a conclusão.

Porém, aceitar e conviver com o risco não é a atitude mais indicada. Uma vulnerabilidade comprovada não pode ser deixada em aberto indefinidamente, sobretudo na área financeira.

É claro que dentro da gestão de vulnerabilidades serão identificadas aquelas cuja mitigação é mais urgente, de acordo com a classificação de criticidade.

Porém, até mesmo as vulnerabilidades de baixa criticidade precisam ser acompanhadas e mitigadas assim que houver uma oportunidade.

Para isso existe o VPT, sigla que significa Vulnerability Prioritization Technology, ou Tecnologia de Priorização de Vulnerabilidades, que busca fazer a gestão de vulnerabilidades de maneira inteligente, com estratégias de cibersegurança baseadas em risco.

Como se adequar às regulamentações de cibersegurança na área financeira?

No setor financeiro é mais comum que haja uma preocupação com os riscos cibernéticos existentes nos meios digitais, pois essas empresas lidam diretamente com dinheiro e precisam estar em conformidade com várias regulamentações.

No caso específico das fintechs, elas são conhecidas pela desburocratização dos processos financeiros, pelo uso da tecnologia e pela transparência em seus produtos.

Portanto, os processos são mais ágeis e contam com total apoio na tecnologia, o que pode ser visto como uma facilidade ou como um empecilho para uma boa gestão de vulnerabilidades.

Por um lado, as regulamentações funcionam como diretrizes para a gestão de vulnerabilidades, facilitando esse processo e colocando como inquestionável a priorização da cibersegurança.

Por outro, os processos exigidos pelos regulamentos podem prejudicar as instituições financeiras no quesito agilidade.

Isso pode atrasar a entrega dos produtos e também o atendimento ao cliente, indo de encontro aos princípios fundamentais relacionados à desburocratização dos serviços financeiros.

Veja a seguir algumas diretrizes que podem ajudar empresas da área financeira a estabelecer a conformidade com as regulamentações concernentes ao segmento a partir de uma boa gestão de vulnerabilidades.

Faça uma avaliação dos riscos cibernéticos

Fazer uma boa avaliação de riscos cibernéticos como parte da gestão de vulnerabilidades é uma ação fundamental em instituições financeiras.

Para isso, é preciso compreender a organização dos dados valiosos em sua infraestrutura, determinando o valor da informação, identificando e priorizando os ativos críticos para a operação, bem como as ameaças e vulnerabilidades.

Além disso, é importante analisar os controles existentes e implementar novos controles necessários, além de calcular o impacto de situações que apresentam riscos.

Por fim, é preciso priorizar os riscos considerando o valor da informação e o custo da prevenção e documentar os resultados em um relatório de avaliação de riscos.

Conte com uma política de cibersegurança

A política de segurança cibernética pode ser vista como um planejamento para que a organização do setor financeiro lide adequadamente com os dados enquanto ativos.

Ela deve se basear nos pilares da segurança da informação e considerar pontos como a manipulação dos dados, uso de senhas, treinamentos sobre cibersegurança, backups e atualizações e o uso seguro das redes sociais.

É preciso lembrar também que a política de segurança cibernética é obrigatória no setor financeiro, conforme a resolução nº 4.658 do Banco Central.

Tenha um plano de respostas a incidentes

Em casos de ataques cibernéticos ou violações de segurança da informação, o plano de respostas a incidentes serve para tornar a reação da empresa gerenciável e planejável.

Com um bom plano de ação, você consegue minimizar os danos e reduzir o tempo necessário para a recuperação de desastres e mitigação de despesas.

Esse plano, além de muito útil para a própria continuidade do negócio, é indispensável também em função de sua obrigatoriedade determinada pelo PCI-DSS.

Seja cuidadoso com as terceirizações

De acordo com o Bacen, as instituições financeiras devem garantir as políticas de gerenciamento de riscos previstas nas regulamentações em vigor, sobretudo em relação à terceirização de serviços.

Isso é especialmente relevante quando os critérios estão relacionados aos serviços em nuvem.

No caso das fintechs, cujos produtos utilizam aplicações SaaS e ambientes IaaS ou PaaS, é fundamental o estabelecimento de requisitos para a avaliação de cibersegurança dos provedores a serem contratados.

Monitore os possíveis incidentes

Um incidente pode se transformar em uma emergência grave, gerando tempo de inatividade e consequências para os clientes quando não há conhecimento adequado sobre a integridade dos sistemas de uma empresa da área financeira ou quando a mesma está sujeita a inúmeras notificações dentro da gestão de vulnerabilidades.

Nesse contexto, é possível estabelecer uma estratégia de monitoramento para combater os alertas com falsos positivos e alcançar eficiência na resposta aos incidentes.

Gerencie os riscos de fornecedores

Estão sujeitas à resolução nº 4.658 do Banco Central, além das próprias organizações da área financeira, todas as empresas prestadoras de serviços que lidam com dados ou informações sensíveis ou com alguma relevância para a condução das atividades operacionais das organizações financeiras.

No caso desses fornecedores, eles precisam apresentar os recursos e as competências necessários para a adequada gestão dos serviços.

Mas, além do cumprimento da regulamentação, o gerenciamento de riscos de fornecedores é fundamental devido ao impacto que eles podem gerar nas finanças, operações e imagem da empresa.

Faça a gestão de vulnerabilidades com o apoio da EcoTrust

Ao longo deste artigo abordamos requisitos essenciais para realizar uma boa gestão de vulnerabilidades em conformidade com as regulamentações vigentes.

Para concluir este conteúdo, recomendamos a utilização de tecnologias adequadas e maduras para facilitar este processo e melhorar a sua cibersegurança.

A plataforma EcoTrust é capaz de identificar, analisar e entregar informações vivas sobre as vulnerabilidades de segurança digital de uma empresa, sendo especialmente adequada para a gestão contínua de vulnerabilidades digitais em instituições financeiras.

A plataforma SaaS utiliza uma abordagem de Inteligência em Riscos Cibernéticos (Cyber Risk Intelligence) para dar visibilidade aos riscos e possibilitar uma tomada de decisão rápida e assertiva na prevenção de ameaças internas e externas às empresas.

O seu objetivo está em corrigir falhas o mais rápido possível e tornar a organização menos vulnerável a ameaças e ataques.Para solicitar um teste gratuito, conhecer melhor a plataforma e favorecer a sua gestão de vulnerabilidades, acesse o site. Até o próximo artigo.

Inscreva-se para mais como este.

Enter your email
Subscribe