Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Resiliência cibernética

Série Entendendo os Mandatos de Conformidade da UE: Serviços financeiros

Editorial Illumio
,
September 14, 2020
23 leitura mínima

Em parte um Nesta série de blogs, discuti o cenário de conformidade e como cada setor tem seus próprios mandatos ou orientações sobre segurança cibernética. Isso foi seguido por uma postagem sobre regulamentação e controles de segurança no setor de Sistemas Críticos e Tecnologia Operacional, uma área na qual tenho experiência direta e que me fascina à medida que a cibersegurança se desenvolve lá.

Passando para (de certa forma) o tipo de indústria polar oposto, aqui, vou expandir alguns dos mandatos específicos da UE e da Europa que se aplicam a instituições financeiras e bancos. Embora tenhamos mandatos globais sobre CAPUZ RÁPIDA e PCI-DSS abordado em profundidade em outro lugar — seguindo o tema desta série, vou me concentrar nos controles e orientações que se aplicam especificamente à UE. Para muitos, a influência desses mandatos molda alguns dos maiores projetos de segurança de TI na Europa.

Como antes, vamos primeiro definir algumas siglas:

  • FMIs — Infraestruturas do mercado financeiro. Esses são os sistemas que sustentam o próprio processo bancário.
  • CPMI — O Comitê de Pagamentos e Infraestruturas de Mercado. A CPMI é um órgão internacional que faz recomendações promovendo a segurança dos sistemas de pagamento, compensação e liquidação e fornecendo supervisão.
  • IOSCO — Organização Internacional de Comissões de Valores Mobiliários. Este é o órgão que regula os mercados globais de valores mobiliários e futuros.
  • BCE — O Banco Central Europeu. O banco central dos 19 países da UE que adotaram o euro como moeda comum.
  • GOLES — Sistemas de pagamento sistemicamente importantes. Vou entrar em detalhes específicos sobre isso abaixo, mas basta dizer que isso inclui uma lista restrita dos sistemas internacionais de pagamento de backbone usados pela maioria dos bancos.

Antes de prosseguir, vamos nos aprofundar no SIPS por um momento. Os SIPS são os principais sistemas de pagamento que normalmente têm implicações em todo o país caso falhem. No caso daqueles definidos aqui, eles têm pelo menos um escopo europeu, em oposição a países individuais, e em muitos casos são globais em seu alcance e uso.

Os principais sistemas que estão sob a orientação relevante são TARGET2, EURO1 e STEP2-T. De acordo com o Regulamento SIPS, o BCE é responsável por supervisionar esses três sistemas. Além disso, o BCE e o Nationale Bank van België/Banque Nationale de Belgique são responsáveis por supervisionar o Sistema de gerenciamento de compensação Mastercard A SIPS e o Banque de France são responsáveis pela supervisão NÚCLEO (FR).

Como exemplo global, o Sistema da Reserva Federal dos EUA aceitou a responsabilidade primária pela supervisão do sistema CLS, liderando uma estrutura de supervisão cooperativa na qual o BCE participa, juntamente com os bancos centrais nacionais do G10. No Eurosistema, o BCE é o principal responsável pela liquidação de pagamentos denominados em euros pelo CLS, em estreita cooperação com outros bancos centrais do Eurosistema.

Princípios fundamentais para sistemas de pagamento sistemicamente importantes

Para ser classificado como SIPS, um sistema deve seguir as diretrizes abaixo. Às vezes, esses são chamados de “10 mandamentos” nos círculos bancários:

  1. Uma base jurídica bem fundamentada.
  2. Regras e procedimentos que permitem aos participantes ter uma compreensão clara do impacto do sistema em cada um dos riscos financeiros em que incorrem por meio da participação nele.
  3. Procedimentos claramente definidos para a gestão de riscos de crédito e riscos de liquidez, que especificam as responsabilidades respectivas do operador do sistema e dos participantes e que fornecem incentivos adequados para gerenciar e conter esses riscos.
  4. Liquidação final imediata no dia do valor, de preferência durante o dia e, no mínimo, no final do dia.
  5. Quando a compensação multilateral ocorre, ela deve, no mínimo, ser capaz de garantir a conclusão atempada das liquidações diárias no caso de incapacidade de liquidar pelo participante com a maior obrigação de liquidação única.
  6. Os ativos usados para liquidação devem preferencialmente ser uma reivindicação do banco central; quando outros ativos são usados, eles devem ter pouco ou nenhum risco de crédito e pouco ou nenhum risco de liquidez.
  7. Um alto grau de segurança e confiabilidade operacional e arranjos de contingência para a conclusão oportuna do processamento diário.
  8. Prático para seus usuários e eficiente para a economia.
  9. Critérios de participação objetivos e divulgados publicamente, que permitem acesso justo e aberto.
  10. Arranjos de governança que sejam eficazes, responsáveis e transparentes.

Destaquei a sétima entrada da lista, pois essa é a parte que faz parte da orientação envolvente sobre segurança cibernética, na qual nos concentraremos.

Para ajudar a fornecer instruções sobre como proteger esses SIPS, em 2016, a CPMI, juntamente com a IOSCO, elaborou o Orientação sobre resiliência cibernética para infraestruturas do mercado financeiro (Orientação). Ele contém orientações detalhadas sobre como proteger sistemas dessa magnitude e impacto e define várias áreas principais de foco, juntamente com estratégias de medição.

Por exemplo, algumas das seções de segurança de alto nível incluem:

Cyber Resilience

Identificação: Isso diz respeito à capacidade de uma organização determinar quais sistemas precisam ser protegidos em primeiro lugar. Isso inclui funções de negócios, processos, ativos e informações. A identificação correta permite a priorização dos próximos esforços.

A chave para melhorias nessa área é a identificação rápida dos sistemas de alto valor e das dependências que eles estabeleceram. Na grande maioria dos casos, esses sistemas já existem como ambientes complexos e abandonados, nos quais é necessário um trabalho significativo para identificar todas as dependências e caminhos críticos.

Proteção: Uma vez identificado, como implementar controles eficazes com o objetivo de proteger sistemas críticos contra ataques cibernéticos e comprometimento.

Para mim, Confiança zero desempenha um papel fundamental aqui. Ao adotar uma arquitetura de negação padrão o mais próxima possível, a proteção é inerente e o escopo do ataque é reduzido. Além disso, o raio de explosão de qualquer comprometimento bem-sucedido é inerentemente menor.

Detecção: Sendo pragmático, isso descreve os métodos de detecção, as táticas de contenção e mitigação que devem ser usados no caso de um ataque bem-sucedido contra um sistema dentro do escopo.

Conectado diretamente às peças de identificação e proteção, detectar um ataque é muito mais simples se já tivermos estabelecido um comportamento normal e implementado uma configuração padrão de negação por meio da rede, dos aplicativos e do acesso do usuário.

Testando: Como adendo, a seção de testes inclui a melhor forma de preparar e testar os sistemas envolvidos nas três seções anteriores e configurá-los de forma resiliente por meio de atestados repetidos para resistir a ataques.

Eu tenho escrito anteriormente no mapeamento de todas essas seções usando Illumio para ajudar a identificar aplicativos e fluxos críticos, proteger contra ataques em virtude de uma arquitetura de política Zero Trust, detectar mudanças no comportamento dos aplicativos e, por fim, ajudar as organizações no escopo da orientação a atestar uma configuração segura.

Como um desenvolvimento extremamente útil, além do trabalho original, em 2018, o próprio BCE publicou uma adição intitulada Expectativas de supervisão da resiliência cibernética para infraestruturas do mercado financeiro (NÚCLEO), que fornece orientação adicional sobre as etapas para implementar as recomendações, mapeando os conceitos mais abstratos para exemplos tecnológicos claros e reais e, por fim, fornecendo expectativas definidas em termos de como um FMI pode ser medido para o sucesso.

O CROE incentiva a comunicação inter-FMI para ajudar a melhorar a segurança em todos os institutos e ainda se refere aos três níveis de medição descritos no documento original de 2016, a saber:

Evoluindo: Capacidades essenciais são estabelecidas, evoluem e são mantidas em todo o FMI para identificar, gerenciar e mitigar riscos cibernéticos, em alinhamento com a estratégia e estrutura de resiliência cibernética aprovadas pelo Conselho. O desempenho das práticas é monitorado e gerenciado.

Avançando: Além de atender aos requisitos do nível em evolução, as práticas nesse nível envolvem a implementação de ferramentas mais avançadas (por exemplo, tecnologia avançada e ferramentas de gerenciamento de risco) que são integradas às linhas de negócios do FMI e foram aprimoradas ao longo do tempo para gerenciar proativamente os riscos cibernéticos impostos ao FMI.

Inovando: Além de atender aos requisitos dos níveis de evolução e avanço, os recursos de todo o FMI são aprimorados conforme necessário no cenário de ameaças cibernéticas em rápida evolução, a fim de fortalecer a resiliência cibernética do FMI e seu ecossistema e colaborando proativamente com suas partes interessadas externas. Esse nível envolve impulsionar a inovação em pessoas, processos e tecnologia para que o FMI e o ecossistema mais amplo gerenciem riscos cibernéticos e aprimorem a resiliência cibernética. Isso pode exigir o desenvolvimento de novos controles e ferramentas ou a criação de novos grupos de compartilhamento de informações.

CROEmeasurement

Para resumir

Tanto os documentos quanto minha experiência conversando com as equipes responsáveis mostram que o entendimento sobre o impacto desses sistemas na vida cotidiana (ou seja, o potencial de efeitos catastróficos no país e até mesmo globais se o sistema for comprometido) está aumentando significativamente. Acho revelador que esses desenvolvimentos ainda sejam muito recentes e que a implementação da orientação esteja potencialmente apenas começando. Dito isso, e conforme mencionado na primeira parte deste artigo, vi em primeira mão como essas diretrizes estão moldando projetos de segurança de TI e TI de alto nível que duram uma década: determinando os tipos de sistemas implementados, seu mapeamento até as principais áreas mensuráveis dos documentos e a forma como os próprios sistemas são projetados e arquitetados.

Na Illumio, nos concentramos em três áreas principais que são mapeadas diretamente para ambos os documentos, a saber, a identificação por meio de nosso Mapeamento de dependências de aplicativos. Isso dá às organizações a capacidade de trabalhar com mapas em tempo real de seus sistemas e aplicativos críticos e estabelecer as dependências normais e os fluxos de aplicativos entre eles. Também permite a definição precisa dos limites necessários para a próxima seção — Proteção.

A plataforma Illumio é inerentemente Zero Trust em sua natureza. Pode-se definir uma política que permita apenas os fluxos de aplicação necessários, limitando massivamente os possíveis caminhos de comprometimento e o movimento lateral. A combinação do mapeamento e da configuração da política permite a fácil detecção de ameaças, o terceiro pilar principal, por meio do surgimento de novas tentativas de caminhos de comunicação, uma mudança na carga de trabalho do aplicativo comportamento e a capacidade de colocar em quarentena cargas de trabalho comprometidas de forma rápida e segura.

Para saber mais sobre como a Illumio protege as organizações de serviços financeiros, confira este página de soluções. E, na próxima vez, junte-se a mim para pensar sobre alguns dos outros mandatos em toda a UE, como o GDPR e o TSR!

Tópicos relacionados

Conformidade
Serviços bancários e financeiros

Artigos relacionados

Leve-me ao seu controlador de domínio: proteções e mitigações usando as ferramentas Zero Trust
Resiliência cibernética

Leve-me ao seu controlador de domínio: proteções e mitigações usando as ferramentas Zero Trust

Na parte 1 desta série de blogs, analisamos como os métodos de descoberta podem ser usados em um compromisso inicial.

Leia mais
Como se proteger contra a nova vulnerabilidade de segurança da porta TCP 135
Resiliência cibernética

Como se proteger contra a nova vulnerabilidade de segurança da porta TCP 135

Uma forma de explorar a porta TCP 135 para executar comandos remotos introduziu uma vulnerabilidade na porta 445, tornando necessário proteger a porta 135 para garantir a segurança do TCP.

Leia mais
Devemos nos preocupar com o fato de a cibersegurança se tornar muito dependente da IA?
Resiliência cibernética

Devemos nos preocupar com o fato de a cibersegurança se tornar muito dependente da IA?

Saiba por que a IA é um benefício para a segurança cibernética, apesar de suas fraquezas, e como a combinação do poder da IA com o intelecto humano pode aliviar os temores sobre a dependência excessiva da IA.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais