Manter o setor financeiro resiliente quando o mundo inteiro enfrenta mudanças em ritmo acelerado é um desafio compartilhado por grandes empresas, órgãos reguladores e provedores de tecnologia, como a Microsoft. Na verdade, este é um dos pilares do Microsoft Cloud for Financial Services e está intimamente alinhado com o compromisso da Microsoft de tornar a segurança nossa principal prioridade em todos os nossos produtos e serviços.  

Conheça soluções com o Microsoft Cloud for Financial Services 

Desde 2020, as autoridades da União Europeia (UE) têm trabalhado em um novo conjunto de normas abrangentes para lidar com a crescente dependência do setor em relação à tecnologia e mitigar os riscos associados. O DORA (Digital Operational Resilience Act) tornou-se operacional em vigor em 16 de janeiro de 2023 e entrará em vigor em 17 de janeiro de 2025, impactando praticamente todas as instituições financeiras que operam na UE e todos os provedores de serviços que atendem essas instituições. A Microsoft está ativamente envolvida com o trabalho de órgãos reguladores e entidades financeiras no desenvolvimento do DORA e agora está focada em ajudar os clientes a se manterem em conformidade com ele.  

O que é DORA?  

DORA é um novo regulamento da União Europeia que visa fortalecer a resiliência operacional dos serviços financeiros, garantindo que as empresas mantenham fortes práticas de gestão de riscos e possam resistir e se adaptar a uma ampla gama de ameaças e mudanças drásticas. O regulamento faz parte de uma estratégia mais ampla da UE para aumentar a estabilidade e a segurança da indústria e equiparar os requisitos entre os Estados-Membros. O DORA aplica-se a entidades de serviços financeiros que operam na UE, bem como às empresas de tecnologia que prestam serviços essenciais a essas entidades.  

Sob o DORA, as entidades de serviços financeiros serão obrigadas a implementar planos robustos de resposta a incidentes de segurança cibernética e comunicar prontamente às autoridades quaisquer violações e outros incidentes cibernéticos e interrupções. As empresas terão que criar planos de continuidade de negócios para que possam continuar operando caso ocorra uma grande interrupção, incluindo planos de emergência para cenários de maior gravidade. E elas estarão sujeitas a maior escrutínio das autoridades de fiscalização do setor, que monitorarão e avaliarão sua resiliência operacional e tomarão medidas para garantir a conformidade, se necessário.  

O DORA também impõe requisitos para provedores de serviços terceirizados de Tecnologia da Informação e Comunicação (TIC), com foco principal (embora não exclusivo) em empresas de TIC que fornecem produtos e serviços de computação em nuvem para funções-chave. O regulamento também cria uma nova designação de provedores “críticos” (que provavelmente incluiria a Microsoft) que estarão sujeitos a um novo framework de fiscalização pelas Autoridades Europeias de Supervisão (ESAs).  

Impacto do DORA para clientes de serviços financeiros  

O DORA exigirá que as instituições cumpram muitos requisitos novos ou aprimorados para a prestação de serviços financeiros. Entre eles:  

• Gestão de riscos de provedores de serviços de Tecnologia da Informação e Comunicação (TIC) As instituições financeiras deverão estabelecer um framework de gestão de riscos de TIC, que deverá estar integrado aos seus sistemas globais de gestão de risco. O framework abrangerá considerações relevantes envolvendo tecnologia e segurança, incluindo identificação, proteção, detecção, resposta e recuperação. Também englobará estratégias, políticas, procedimentos e ferramentas para garantir a segurança e a resiliência de sistemas, ativos de informação e dados. 

• Gestão e relatórios de incidentes 
  As instituições serão obrigadas a implementar processos para detectar, gerenciar e comunicar às autoridades incidentes relacionados à TIC em curtíssimo prazo. Incidentes como violações de segurança cibernética, interrupções de serviço e perda de dados serão avaliados com base em critérios como número de clientes afetados, duração e impacto econômico. 

• Testes de resiliência operacional 
  O DORA exigirá que testes operacionais digitais, como testes de penetração de ameaças (TLPT, threat-led penetration testing) e verificações de vulnerabilidade, sejam realizados em sistemas e aplicativos críticos de TIC. Esses testes visam garantir a rápida recuperação e a continuidade dos negócios em caso de interrupções. 

• Compromissos contratuais 
  O DORA exige requisitos contratuais específicos entre os prestadores de serviços de TIC e as entidades financeiras. Isso inclui requisitos de auditoria, continuidade de negócios, planejamento para emergências e subcontratação de empresas. Além disso, antes de firmar contratos com provedores de TIC, as instituições financeiras devem conduzir avaliações de risco pré-contratuais para avaliar, entre outras coisas, as medidas de segurança do provedor, o status de conformidade e a estabilidade financeira.   

Como a Microsoft está ajudando os clientes a estarem em conformidade com o DORA   

Como um dos principais provedores de serviços de TIC, a Microsoft estabeleceu processos robustos de governança interna para se preparar para cumprir todas as disposições aplicáveis a um fornecedor crítico de tecnologia terceirizado e, da mesma forma, estamos comprometidos em ajudar as instituições financeiras regulamentadas a cumprir os requisitos do DORA. Isso inclui alinhar as disposições contratuais com as exigências do DORA e fornecer recursos integrados de gerenciamento de riscos de TIC em uma ampla gama de ofertas para empresas e produtos de nuvem da Microsoft.  

Aqui estão três maneiras importantes de ajudar nossos clientes a enfrentar os desafios do DORA: 

1. Para ajudar os clientes a cumprir com sucesso seus compromissos contratuais sob o DORA, estamos trabalhando em estreita colaboração para atualizar os termos dos contratos, conforme exigido pelo novo regulamento. Isso inclui garantir avaliações pré-contratuais dos riscos de produtos e serviços da Microsoft e definir todos os aspectos específicos de suas obrigações que são aplicáveis às nossas ofertas. Também estamos trabalhando com os clientes para obter informações para atualizar nossos contratos, conforme necessário, para que eles permaneçam adequados à sua finalidade sob o framework do DORA. 

2. Para ajudar os clientes a gerenciar os riscos de TIC e estabelecer um framework interno de governança e controle, fornecemos em nossos produtos e serviços um amplo conjunto de recursos integrados de gerenciamento de riscos de TIC, de acordo com as exigências do DORA. Por exemplo, em aspectos relacionados à proteção de informações, o Microsoft Defender for Cloud realiza a avaliação, detecção e resposta a ameaças de forma contínua, e o Microsoft Secure Score ajuda a avaliar e aprimorar a postura de segurança em todas as cargas de trabalho. Em outros aspectos, como gerenciamento de incidentes, testes de resiliência e compartilhamento de informações de incidentes, a funcionalidade crítica também é fornecida por ofertas correspondentes da Microsoft, incluindo o Microsoft Purview, o painel de controle do Microsoft 365 Service Health e o Azure Service Health. 

3. Para ajudar os clientes a gerenciar, classificar e comunicar incidentes, nossas ofertas de segurança e conformidade fornecem recursos sofisticados para ajudá-los a cumprir os requisitos de gerenciamento de incidentes, incluindo ferramentas e serviços para detectar e investigar incidentes com eficiência, bem como garantir comunicação e resposta rápidas a incidentes, conforme necessário. A Central de Segurança do Azure, por exemplo, garante a detecção e resposta em tempo hábil, e o painel do Microsoft 365 Health funciona em conjunto com o Microsoft Defender para fornecer uma abordagem abrangente para gerenciamento, classificação e relatórios de incidentes.   

Por que o DORA é relevante para os serviços financeiros globais  

O DORA representa um passo significativo no fortalecimento da resiliência operacional no setor de serviços financeiros. Ao padronizar a forma como as entidades financeiras gerenciam, comunicam e trabalham juntas para minimizar os riscos de TIC, o DORA visa proteger o sistema financeiro contra uma ampla gama de ameaças e mudanças drásticas.   

O DORA não é apenas um novo framework regulatório da União Europeia. Trata-se de um marco importante no setor, que visa aumentar a resiliência dos serviços financeiros em todo o mundo, promovendo uma ênfase no compartilhamento de informações, na transparência e responsabilidade coletiva,  com o intuito de desbloquear todo o potencial da nuvem e da IA, e manter as empresas e seus clientes mais seguros.   

O compromisso da Microsoft em garantir a conformidade com o DORA  

A Microsoft está trabalhando intensamente com nossos clientes do setor financeiro para que garantir que eles trilhem um caminho de transição suave e produtivo para estarem em conformidade com o DORA. Também estamos nos preparando para atender aos requisitos do DORA que se aplicariam à Microsoft, com base em nossa designação como provedor de serviços críticos de TIC.  

Esta é apenas uma continuação dos investimentos que estamos fazendo há mais de uma década no trabalho com agências reguladoras para atender às necessidades e superar desafios comuns, bem como para desenvolver produtos para ajudar todas as empresas do setor financeiro a fortalecerem sua resiliência cibernética em um ambiente regulatório em constante evolução.   

Enxergamos o DORA como um passo natural no sentido de aumentar a resiliência operacional nos serviços financeiros, e continuaremos trabalhando com órgãos reguladores em outras jurisdições, como o Reino Unido, que estão implementando medidas para cooperação com o DORA.  

Microsoft Cloud for Financial Services 

Desbloqueie o valor comercial e aprofunde os relacionamentos com o cliente na era da IA 

Saiba mais  

Para saber mais sobre o DORA e sobre como a Microsoft ajuda a fortalecer a resiliência cibernética em serviços financeiros, consulte estes recursos: 

• Para saber como os produtos e serviços da Microsoft vão ao encontro dos requisitos do DORA, consulte o Guia para Clientes sobre Regulamentação de Produtos da Microsoft para o DORA. 

• Acesse o nosso site para saber mais sobre como a Microsoft capacita as empresas de serviços financeiros a irem mais longe. 

• Para saber mais sobre o compromisso da Microsoft com a IA ética, consulte o Responsible AI Standard da Microsoft. 

• Veja mais informações sobre como a Microsoft lida com o gerenciamento de ameaças e vulnerabilidades.  

Dave Dadoun 

Diretor Administrativo, Conformidade Regulatória Global, Serviços Financeiros WW 

Dave Dadoun é responsável por promover o engajamento da Microsoft com os órgãos reguladores no setor de serviços financeiros, ajudando as instituições a irem ao encontro de suas necessidades de conformidade regulatória. Seu foco é a modernização da regulamentação na intersecção de novas tendências de tecnologia. Na Microsoft, ele já esteve à frente de inúmeras iniciativas pioneiras para atender a requisitos regulatórios complexos em escala global. 

Veja mais artigos deste autor 

The post Três maneiras pelas quais a Microsoft está ajudando o setor financeiro a se preparar para os novos regulamentos do DORA  appeared first on Blogs de indústria da Microsoft.

No entanto, à medida que esse interesse resulta em ação, as instituições financeiras estão legitimamente preocupadas com os riscos da IA, incluindo possíveis questões relacionadas à confiabilidade, justiça e privacidade de dados. As organizações precisam de proteções para gerenciar esses riscos e garantir a segurança e a conformidade nos ambientes regulatórios complexos em que elas operam.   

A maioria das organizações não está esperando que agências regulatórias governamentais tomem medidas antes para que possam usar a IA para inovar. É por isso que a Microsoft – em coordenação com órgãos reguladores do setor e outras partes interessadas – está abordando essas questões-chave para que os clientes de instituições financeiras possam adotar a IA com confiança. Essa é uma das maneiras pelas quais a Microsoft Cloud for Financial Services ajuda as organizações a potencializar o valor comercial e aprofundar o relacionamento com os clientes.   

Valor de negócios com IA generativa para serviços financeiros 

Empresas de serviços financeiros estão fazendo investimentos significativos para alavancar o poder da IA generativa. Para muitos, a recente disponibilidade do Microsoft Copilot para Microsoft 365 melhorou a produtividade dos funcionários, integrando a IA em seus aplicativos cotidianos, como o Microsoft Word e o Microsoft Teams.   

Além disso, muitos clientes estão usando a plataforma de nuvem de nível empresarial da Microsoft e seus controles integrados de privacidade, segurança e conformidade como base para criar soluções personalizadas adequadas ao setor de serviços financeiros. Os primeiros casos de uso em serviços financeiros geralmente lidam com cenários de baixo risco e com foco interno, como otimização de custos, redução do tempo de retorno e aprimoramento da colaboração.   

Em todas as verticais, vemos casos de uso de IA generativa gerando impacto das seguintes maneiras:  

• Os casos de uso no setor bancário incluem atendimento no call center, consultoria financeira, geração de conteúdo, know-your-product (explicações sobre o produto), análise de clientes, contrapartes e fraudes.  
• Os casos de uso de seguros incluem agentes de contact center, subscritores, gerentes de sinistros, agentes virtuais e assistentes, know-your-product, análise de clientes, contrapartes e fraudes.  
• Os casos de uso do mercado de capitais incluem engajamento e atendimento ao cliente, pesquisa de mercado e resumo de relatórios, geração de pitch book, consultoria de investimento e patrimônio, know-your-product, análise de clientes, contrapartes e fraudes, e acessibilidade e tradução de idiomas.  

De que forma a IA responsável da Microsoft se alinha a princípios globais 

A Microsoft é líder no uso responsável de IA desde 2017, quando criamos nosso comitê de IA, Ética e Efeitos em Engenharia e Pesquisa (Aether) para examinar considerações éticas e os efeitos da IA na sociedade. Essa iniciativa ganhou reforços em 2019, quando o Microsoft Office of Responsible AI foi criado para ajudar a desenvolver padrões responsáveis.   

Essa e outras iniciativas resultaram no Microsoft Responsible AI Standard, ou Padrão de IA Responsável, que define os requisitos de desenvolvimento de produtos para tecnologias da Microsoft e estabelece um processo que as empresas podem usar para criar suas próprias estruturas e controles de governança para gerenciar riscos.   

O Padrão de IA Responsável define um conjunto de princípios essenciais que a Microsoft segue diligentemente, e que incentivamos outras organizações a adotar. Esses princípios são ilustrados da seguinte forma:  

Paralelamente aos nossos esforços, muitos países já avançaram o suficiente no ciclo de vida da regulamentação em termos de políticas públicas, estratégias e orientações nacionais para a implementação segura da IA. Não é de hoje que Microsoft vem trabalhando com órgãos reguladores para compartilhar nossas perspectivas e abordagens para delimitar o uso da IA generativa.   

Em 2018, contribuímos com os princípios de equidade, ética, responsabilidade e transparência (FEAT, fairness, ethics, accountability and transparency) estabelecidos pela Autoridade Monetária de Singapura, e tivemos compromissos semelhantes com órgãos reguladores, incluindo o Banco Nacional Holandês, a Autoridade Francesa de Supervisão e Resolução Prudencial, o Comitê de Supervisão de Basileia, o Banco da Inglaterra e a Associação Internacional de Supervisores de Seguros, entre muitos outros.¹   

A partir desse trabalho coletivo, foi estabelecido um consenso entre governos e agências reguladoras, incluindo um conjunto de princípios de orientação para adoção responsável da IA por instituições financeiras, que são virtualmente idênticos aos princípios definidos no Padrão de IA Responsável.   

Seis princípios da Microsoft para garantir a conformidade com a IA 

No contexto da IA responsável, a Microsoft desenvolveu soluções que ajudam as empresas de serviços financeiros a cumprir as leis e regulamentos aplicáveis, facilitar a supervisão, atender às expectativas de fiscalização e proteger os clientes. Conformidade e confiança são essenciais para atender a esses requisitos e, para ajudar a garanti-los, a Microsoft desenvolveu seis princípios essenciais: 

1. Eficácia 

A tecnologia de IA deve ser eficaz, confiável e adequada para o uso pretendido. Com base no Padrão de IA Responsável, fornecemos critérios essenciais para avaliar as tecnologias de IA. Tais critérios incluem fornecer transparência e supervisão eficazes da Microsoft Cloud, inclusive para nossos serviços de IA generativa, por meio de ferramentas e recursos, como o Painel de IA Responsável, as AI Transparency Notes e o Modelo de Avaliação de Impacto de IA Responsável.  

2. Imparcialidade 

A tecnologia de IA não deve resultar em discriminação, preconceito social ou resultados não intencionais para o consumidor. Fornecemos uma série de ferramentas para ajudar a evitar que o sistema de IA exiba comportamentos injustos ou indesejados. Isso inclui uma metodologia para reduzir o viés social na incorporação de palavras para ajudar a evitar estereótipos de gênero, mantendo associações potencialmente úteis. Também conduzimos testes internos com ferramentas para avaliar a qualidade da IA e métricas de IA responsável para modelos grandes de linguagem, como o Copilot for Microsoft 365. Essas mesmas ferramentas são disponibilizadas aos clientes para o Serviço OpenAI do Microsoft Azure.  

3. Privacidade e segurança de dados 

Uma tecnologia de IA deve ser respaldada por fortes controles para proteger a privacidade do consumidor e a segurança dos dados. O Serviço OpenAI do Azure, que armazena e processa dados para fornecer serviços de IA, está sujeito a todos os controles definidos no Adendo de Proteção de Dados (DPA) de Produtos e Serviços Microsoft. Para ajudar as empresas a controlar, proteger e gerenciar seus acervos de dados, a Microsoft oferece o Purview, uma família de soluções de governança de dados, riscos e conformidade. E para otimizar a segurança, as tecnologias de IA da Microsoft são construídas sobre os pilares de segurança do Azure, que incluem controles de segurança da informação que podem ser facilmente integrados à base dos programas de segurança de uma empresa. 

4. Transparência 

Uma tecnologia de IA deve permitir rastreabilidade e inteligibilidade e auditabilidade. A transparência depende de rastreabilidade, comunicação e inteligibilidade. As pessoas devem ser capazes de entender e monitorar o comportamento técnico dos sistemas de IA, e os profissionais que constroem e usam sistemas de IA devem ser transparentes quanto ao design, implantação e limitações desses sistemas.  

A Microsoft fornece ferramentas para proporcionar maior transparência e permitir auditabilidade, incluindo ferramentas para rastrear e reproduzir modelos e seus históricos de versões. O Azure Machine Learning também inclui métodos e ferramentas para garantir que os resultados ou resultados sejam identificáveis e explicáveis para um público importante, como reguladores ou consumidores. O Serviço OpenAI do Azure também permite que designers e avaliadores de modelos expliquem por que um modelo faz as previsões que faz, fornecendo informações relevantes para rastreabilidade e inteligibilidade. Além disso, estamos comprometidos – e temos experiência – com auditorias de clientes e exames de reguladores.  

5. Treinamento e governança 

Um funcionário da instituição financeira deve ter a experiência necessária para implementar e revisar a tecnologia de IA, e a tecnologia de IA deve estar sujeita a controles de governança e supervisão dentro da instituição. A Microsoft fornece conteúdo e programas de treinamento em IA para ajudar na formação técnica e gestão do conhecimento dentro de uma instituição. Isso inclui cursos de aprendizagem, como os fornecidos pelo Microsoft Learn, que abrangem uma variedade de ferramentas e recursos que podem ser usados pelas empresas como parte de um programa de governança. O Portal de Confiança do Serviço da Microsoft fornece níveis adicionais de garantia, documentação e o programa de Conformidade da Microsoft, que ajuda nas avaliações da Microsoft Cloud, incluindo tecnologias de IA.  

6. Ética 

O uso de uma tecnologia de IA deve estar alinhado ao código de conduta da instituição financeira e aos padrões de ética aplicáveis, o que exige responsabilidade contínua da empresa em termos de uso e supervisão da tecnologia de IA. O Padrão de IA Responsável ajuda a garantir o uso ético da IA, e fornecemos informações para ajudar as instituições financeiras a verificar se as tecnologias de IA estão em conformidade com suas políticas e procedimentos. A Microsoft se comprometeu a implementar a estrutura de gerenciamento de riscos de IA do Instituto Nacional de Padrões e Tecnologia (NIST, National Institute of Standards and Technology) e alinhamos nosso Padrão de IA Responsável ao Sistema de Gerenciamento de IA ISO 42001. Continuamos empenhados em implementar normas internacionais relevantes, à medida que elas forem criadas no futuro, incluindo aquelas que entrarão em vigor após a implementação da Lei de IA da União Europeia.  

Saiba mais sobre implementação de IA 

As tecnologias de IA da Microsoft estão prontas para ajudar as instituições financeiras a implementar a IA  de forma que ela esteja conformidade com as leis e os regulamentos aplicáveis, facilite a supervisão eficaz do conselho de administração e alta diretoria, atenda às expectativas de supervisão e proteja os clientes.  

Para saber mais sobre nosso compromisso com a IA responsável, visite o site da IA responsável. Para se conectar com especialistas no assunto para ajudar suas equipes de risco, auditoria e conformidade, bem como acelerar sua adoção da nuvem, visite o Programa de Conformidade para a Nuvem da Microsoft.   

• Saiba mais sobre como impulsionar a transformação em serviços financeiros. 
• Saiba mais sobre a reinvenção de serviços financeiros com dados e IA generativa. 
• Saiba como potencializar a experiência do funcionário do setor bancário com IA generativa. 

Saiba mais sobre os serviços em nuvem da Microsoft 

¹MAS introduz novos Princípios do FEAT para promover o uso responsável de IA e análise de dados, Autoridade Monetária de Singapura. 

The post Como a IA responsável ajuda os serviços financeiros a gerenciar riscos e garantir a conformidade  appeared first on Blogs de indústria da Microsoft.

É por isso que, apenas nos últimos meses, a indústria assistiu a uma onda de novas propostas e regulamentos no setor dos serviços financeiros, que visam coletivamente melhorar a resiliência operacional e mitigar o risco para que as instituições possam modernizar-se com confiança. Em junho de 2023, o Conselho de Estabilidade Financeira (FSB) – uma organização internacional que monitoriza e faz recomendações sobre o sistema financeiro global – emitiu um documento consultivo intitulado Melhoria da Gestão e Supervisão de Riscos de Terceiros que fornece um kit de ferramentas para reduzir a fragmentação, mitigar os custos de conformidade e facilitar a coordenação entre as partes interessadas. Outros acontecimentos incluem nova legislação relativa à designação e supervisão de fornecedores terceiros críticos na Europa;¹ uma proposta de supervisão regulatória de fornecedores terceirizados críticos no Reino Unido;² e novas orientações para fornecedores terceirizados nos Estados Unidos³ e Canadá.⁴ 

A Microsoft dedica-se a trabalhar em todo o setor, inclusive com instituições, parceiros tecnológicos e reguladores, para garantir a adoção responsável de serviços em nuvem, IA e outras tecnologias emergentes. Também oferecemos um amplo conjunto de recursos de suporte para clientes, incluindo o Programa de conformidade para Microsoft Cloud, um serviço premium de “luvas brancas” criado especificamente para apoiar profissionais de risco e conformidade. 

Melhorar a resiliência operacional em todo o ecossistema de serviços financeiros 

Os recentes acontecimentos regulamentares atravessam continentes e jurisdições e têm amplas implicações na forma como as empresas financeiras adquirem, implementam e gerem uma vasta gama de serviços e tecnologias. Tomadas em conjunto, essas propostas estão centradas nestes cinco pilares: 

1. Implementar fortes controles e práticas de gerenciamento de risco. 

2. Garantir transparência e monitoramento suficientes dos serviços em nuvem. 

3. Gerenciar o risco de concentração. 

4. Desenvolver e testar planos de continuidade de negócios. 

5. Implementar estratégias e planos de saída. 

O conjunto de ferramentas do FSB foi concebido para “reduzir a fragmentação nas abordagens regulamentares e de supervisão entre jurisdições” e “promover a interoperabilidade das abordagens regulamentares e de supervisão”. Acreditamos que isso não é apenas sensato, mas deve ser uma consideração primordial para os reguladores na implementação de seus regimes regulatórios relativos ao risco de terceiros no futuro. 

Um modelo de seis etapas para a resiliência dos serviços financeiros 

À medida que os serviços em nuvem se tornam mais proeminentes, a importância de manter e melhorar a resiliência operacional é fundamental para garantir a segurança e a solidez do ecossistema financeiro. 

Abaixo está o processo de seis etapas que aconselhamos as empresas a seguir para atender aos requisitos regulatórios no gerenciamento de risco de terceiros e na resiliência operacional. 

1. Atualizar a governança de risco na nuvem 

As empresas precisam se concentrar em “serviços críticos” e adotar “uma abordagem holística e baseada em riscos para o gerenciamento de riscos de terceiros”.⁵ O processo consultivo da Lei de Resiliência Operacional Digital (DORA) da União Europeia também segue esta abordagem em seu projeto Norma Técnica Regulamentadora sobre gestão de riscos de TIC. 
 
Para ajudar as empresas nesse sentido, a Microsoft fornece uma variedade de recursos de serviço para fornecer supervisão e monitoramento contínuos dos serviços em nuvem usados, incluindo Integridade do serviço Microsoft Azure, que fornece uma visão global da saúde de todos os serviços do Azure em todas as regiões; Microsoft Defender para Nuvem, que fornece uma pontuação segura que avalia a postura e as configurações de segurança de uma empresa; e Gerente de Conformidade do Microsoft Purview, que avalia e gerencia a conformidade em ambientes multinuvem. 

2. Identificar concentração 

As empresas devem identificar onde os serviços críticos estão sendo prestados por um único prestador de serviços de forma a criar um nível de dependência tão elevado que problemas como indisponibilidade, falhas ou outras deficiências possam ameaçar a capacidade da empresa de prestar suas próprias funções importantes. Isto deve ser feito antes da celebração de acordos contratuais, e as avaliações devem incluir se o serviço de um fornecedor pode ser substituído e quais poderão ser os benefícios e custos de soluções alternativas.⁶ 

3. Avalie alternativas 

Pode nem sempre ser apropriado ou viável trazer de volta um serviço crítico internamente ou estabelecer uma abordagem de vários fornecedores. As alternativas devem ser ponderadas em relação a potenciais inconvenientes, consequências não intencionais e riscos.⁷ Observe que, em cenários que dependem da Microsoft como fornecedor terceirizado, a concentração de serviços pode ser abordada usando regiões e zonas de disponibilidade do Azure. As empresas devem documentar quais alternativas são viáveis ​​e se enquadram na tolerância ao risco da sua organização. 

4. Design para resiliência 

Ao delinear alternativas, é importante reconhecer que nem sempre é viável ou desejável incorporar uma ampla gama de soluções potenciais. Uma abordagem de nuvem única, ao considerar todos os fatores, pode acabar oferecendo uma solução geral mais resiliente. Além disso, pode evitar as armadilhas da complexidade inerente e adicional ao implementar ambientes multinuvem. 

5 e 6. Testar o plano de continuidade de negócios e preparar planos de saída 

Alguns dos cenários de ameaças mais extremos devem ser totalmente considerados, incluindo desafios como a perda de um datacenter ou o término de todo um relacionamento com o fornecedor. A melhor maneira de conseguir isso é focar no gerenciamento de continuidade de negócios (BCM), nos testes e no planejamento de saída. 

Promover a interoperabilidade com regulamentação tecnologicamente neutra e baseada em princípios 

Como o próprio mercado está interligado e tem um âmbito global, um dos desafios tanto para as empresas como para os fornecedores de tecnologia é como abordar uma miríade de requisitos regulamentares em todas as jurisdições. A aplicação de uma abordagem baseada em princípios permitirá que os reguladores e a indústria se adaptem às tecnologias inovadoras no futuro. Na verdade, o FSB observa que “a interoperabilidade das abordagens regulamentares e de supervisão no setor de serviços financeiros é particularmente importante para as instituições financeiras sujeitas a múltiplos quadros regulamentares e de supervisão nacionais ou regionais”.⁸ 

Num mundo globalmente conectado, essas abordagens abrangentes podem não só gerar sinergias, mas também melhorar a supervisão regulamentar e abordar os riscos de forma coerente e eficaz. Apoiamos a recomendação do FSB de que “os exercícios multissetoriais e que englobam todo o setor financeiro podem ser uma forma valiosa de explorar e melhorar a capacidade coletiva do ecossistema de serviços financeiros para responder e se recuperar de perturbações”.⁹ Isso pode acelerar a convergência de normas globais sólidas que melhorarão a resiliência global, ao mesmo tempo em que minimiza a necessidade de sobreposição de regulamentações regionais. 

O futuro da supervisão regulatória 

Dada a natureza padronizada da nuvem, acreditamos que a cooperação regulatória beneficiará tanto as instituições financeiras, os reguladores e os fornecedores de nuvem. Esperamos apoiar esse diálogo, a fim de facilitar abordagens comuns e alinhamento no lado regulatório, e acolhemos com satisfação novas ideias sobre como alcançar o objetivo de gerir riscos e apoiar a inovação responsável para o setor. 

Para saber mais sobre como a Microsoft está contribuindo para os esforços de melhoria da resiliência, leia nosso whitepaper, “Reforçar a resiliência operacional nos serviços financeiros” e visite nosso Portal de confiança de serviço. Conforme observado, para obter ajuda personalizada na avaliação de riscos e no cumprimento dos requisitos de conformidade regulatória, oferecemos o Programa de conformidade para Microsoft Cloud, que inclui conexões com especialistas no assunto e recursos detalhados. E fique ligado neste blog para obter mais atualizações sobre risco, conformidade e serviços em nuvem nos próximos meses. 

Programa de conformidade para Microsoft Cloud 

Acelere sua adoção da nuvem. 

Saiba mais  

¹ A Lei de Resiliência Operacional Digital (DORA). 

² Banco de Inglaterra, DP3/22 – Resiliência operacional: terceiros críticos para o setor financeiro do Reino Unido, julho de 2022. 

³ Tesouro dos Estados Unidos, Relatório sobre Computação em Nuvem – Orientação Interagências sobre Relacionamentos com Terceiros, junho de 2023. 

⁴ Governo do Canadá, Diretrizes de Gestão de Riscos de Terceiros, abril de 2023. 

⁵ Conselho de Estabilidade Financeira, Melhoria da Gestão e Supervisão de Riscos de Terceiros, Seções 2.1, 2.2, junho de 2023. 

⁶ A Lei de Resiliência Operacional Digital (DORA), artigos 28, 29. 

⁷ Conselho de Estabilidade Financeira, Melhoria da Gestão e Supervisão de Riscos de Terceiros, Seção 3.8.2, junho de 2023. 

⁸ Conselho de Estabilidade Financeira, Melhoria da Gestão e Supervisão de Riscos de Terceiros, Seção 4.3.4, junho de 2023. 

The post Seis etapas para melhorar a resiliência operacional em serviços financeiros com a Microsoft Cloud  appeared first on Blogs de indústria da Microsoft.

A dinâmica dessa mudança para a nuvem inclui não apenas a necessidade de inovar e acompanhar as pressões competitivas, mas também a necessidade de aprimorar os recursos operacionais e a infraestrutura. Essas melhorias operacionais incluem as ofertas de computação em nuvem de alta resiliência, resolvendo as ameaças cibernéticas externas em evolução e mantendo uma forte governança e controles operacionais. Com essas mudanças dinâmicas, no entanto, uma coisa permanece constante: as instituições financeiras não usarão um provedor em que não confiam ou que não atenda aos requisitos regulamentares específicos onde quer que façam negócios pelo mundo. 

Na Microsoft, investimos e continuaremos investindo no fornecimento de um rico conjunto de recursos em nossos serviços em nuvem para atender à alta exigência de conformidade regulatória nesta vertical complexa e altamente regulamentada. De fato, as mudanças que ocorrem ao migrar cargas de trabalho críticas para a nuvem significam que os clientes e os reguladores estão observando os provedores de nuvem, uma vez que nos tornamos a infraestrutura essencial para o ecossistema de serviços financeiros. Nós estamos preparados e continuaremos fazendo os investimentos necessários para que a infraestrutura essencial que fornecemos em apoio ao setor corresponda às altas expectativas que os reguladores de serviços financeiros e os clientes esperam de nós. 

Isso se torna mais central do ponto de vista regulatório, uma vez que os clientes buscam flexibilidade em seus ambientes, incluindo a implementação e o gerenciamento de sistemas distintos e híbridos, tudo dentro do contexto de um ambiente regulatório que pode incluir um aglomerado de diferentes requisitos em diferentes jurisdições. E embora a regulamentação em si raramente sirva como um ambiente dinâmico que acompanha o ritmo da inovação, vemos uma rápida ascensão da mudança regulatória que continua sendo desafiadora de monitorar, e ainda mais de lidar, à medida que a adoção da nuvem acelera. 

Com isso em mente, trabalhamos a fundo com os reguladores de serviços financeiros para compartilhar perspectivas sobre a nuvem para lidar com as abordagens na modernização da regulamentação. Isso inclui equilibrar a necessidade de supervisão e responsabilidade no uso da nuvem, permitindo uma inovação responsável que promove o crescimento do sistema financeiro e, sim, forneça controles ainda mais fortes em nossos serviços para ajudar os clientes a gerenciar e ter garantia como parte do gerenciamento do ciclo de vida no uso de nossos serviços em nuvem. 

O compromisso da Microsoft com a segurança cibernética 

Como as ameaças cibernéticas permanecem sendo a principal preocupação, inclusive no desafiador contexto geopolítico, o gerenciamento de riscos e o suporte da Microsoft para ajudar os clientes a lidar com esse cenário em evolução se tornam ainda mais urgentes. Em primeiro lugar, a Microsoft está fazendo investimentos significativos em lidar com a segurança cibernética, com mais de 20 bilhões de dólares em investimentos na abordagem da segurança cibernética nos próximos cinco anos. Esse investimento incidirá em cinco áreas importantes: 

1. Proteção da identidade e dos pontos de extremidade para bases sólidas de Confiança Zero. 

2. Modernização da segurança e defesa contra ameaças. 

3. Proteção da infraestrutura de nuvem dentro e além do Microsoft Azure. 

4. Proteção e governança de dados confidenciais. 

5. Gerenciamento e investigação de riscos. 

 Nossas funcionalidades hoje abrangem uma ampla gama de serviços, incluindo: 

• Microsoft Sentinel: O Microsoft Sentinel oferece ferramentas que facilitam a coleta de dados de segurança em toda a sua organização híbrida, de dispositivos, usuários, aplicativos, servidores e qualquer nuvem, e utiliza o poder da IA para identificar rapidamente ameaças reais, eliminando, ao mesmo tempo, a necessidade de configurar, manter e escalonar a infraestrutura. 
• Microsoft Defender for Cloud: O Defender for Cloud é uma solução de gerenciamento de postura de segurança na nuvem (CSPM) e proteção de carga de trabalho na nuvem (CWP) que encontra pontos fracos em sua configuração na nuvem, ajuda a fortalecer a postura de segurança geral de seu ambiente e pode proteger cargas de trabalho em ambientes multicloud e híbridos de ameaças em evolução. Ele inclui o Microsoft Secure Score para resolver os pontos fracos de configuração e atualizar a postura de segurança de uma empresa (recursos semelhantes do Secure Score estão disponíveis para o Microsoft 365). 
• Compliance Manager: Ajuda as organizações a gerenciar os requisitos de conformidade com maior facilidade e conveniência à medida que esses requisitos continuam se expandindo, juntamente com o desafio de níveis mais elevados de escrutínio dos reguladores de serviços financeiros.   
• Programa de Conformidade para a Microsoft Cloud: Uma equipe de especialistas da Microsoft dedicada a dar suporte às equipes de auditoria, governança de terceiros e conformidade de uma organização no tratamento da conformidade regulatória de serviços financeiros.   

Utilize os recursos de conformidade da Microsoft para navegar pelo ambiente regulatório 

Nós sabemos, no entanto, que com o cenário em mudança também vem a mudança regulatória. Por isso, fizemos investimentos significativos na atualização e adição de nossas listas de verificação de conformidade regulatória para 52 países e regiões em todo o mundo, incluindo mercados importantes na América do Norte, América Latina, Europa, no Oriente Médio África e na Ásia. Essas listas de verificação são um guia de navegação que aborda o complexo ambiente regulatório, incluindo: quem são os reguladores, quais são os requisitos regulatórios para notificações e aprovações para uso de terceirização, se a nuvem é permitida, expectativas regulatórias no gerenciamento do uso da nuvem e supervisão contínua com um mapeamento para os serviços da Microsoft Cloud no cumprimento de tais requisitos regulatórios, incluindo disposições contratuais aplicáveis que mapeiam tais requisitos. 

Juntamente com nosso Programa de Conformidade para Microsoft Cloud atualizado, essas listas de verificação são um recurso prático para os profissionais de conformidade e risco usarem ao avaliar nossos serviços em nuvem quanto a esses requisitos regulatórios em jurisdições onde fazem negócios e pretendem implementar os serviços da Microsoft Cloud. Nosso programa de conformidade, além disso, oferece um engajamento prático e personalizado para dar suporte aos clientes na abordagem de questões mais profundas de conformidade regulatória, incluindo suporte para eles ao longo do gerenciamento do ciclo de vida no uso da nuvem de uma perspectiva de conformidade regulatória. Isso inclui lidar com avaliações de risco, notificações e suporte em questões com reguladores e desenvolvimentos regulatórios contínuos que podem impactar o uso da nuvem. 

Nossas listas de verificação e essas atualizações são um recurso importante e um investimento contínuo que fizemos e continuaremos fazendo para dar suporte aos nossos clientes ao lidarem com a complexidade do ambiente regulatório. Nós continuaremos monitorando os desenvolvimentos e nos adaptando para atender tais mudanças e dar apoio a nossos clientes, dado o ritmo dinâmico de inovação e mudanças regulatórias em andamento. Em tudo isso, a parceria da Microsoft com nossos clientes ao longo de sua jornada para a nuvem está no cerne do que fazemos para ajudar o setor a se transformar e inovar nesse ambiente constante de mudanças dinâmicas. 

Saiba mais  

Saiba mais sobre o Programa de Conformidade para Microsoft Cloud e entre em contato com o seu representante de vendas para obter mais detalhes sobre como se inscrever. 

Mais recursos 

• Site das nuvens do setor da Microsoft 
• Site da Microsoft Cloud for Financial Services   
• Blog técnico de segurança e conformidade da Microsoft 
• Segurança da Microsoft no Twitter 

• Comunidade da Microsoft no Twitter 

The post Suporte aos clientes na jornada para a nuvem: Mudanças contínuas demandam parcerias contínuas   appeared first on Blogs de indústria da Microsoft.

Em seu artigo que discute Questões regulatórias e de supervisão relativas à terceirização e relações com terceiros, o Conselho de Estabilidade Financeira reconheceu que a pandemia “pode ter acelerado a tendência para uma maior confiança em certas tecnologias de terceiros” e, em particular, a computação em nuvem. À medida que a adoção da nuvem aumenta no setor de serviços financeiros, as instituições financeiras estão se movimentando para colocar funções de negócios críticas e importantes na nuvem, especialmente para facilitar o trabalho remoto e a participação remota dos clientes por meio de plataformas de produtividade como o Microsoft Teams. Quer se trate de clientes como BlackRock, UBS ou AXA, que usam a Microsoft Cloud para as principais funções de negócios, isso destaca o importante papel que a Microsoft desempenha no setor para manter a expansão das operações de negócios. Isso gerou uma ação por parte dos reguladores de enfatizar a necessidade de tratar esses acordos de terceirização como infraestrutura crítica, aumentando o papel dos reguladores em realizar uma supervisão mais direta dos provedores de infraestrutura crítica. 

Mais recentemente, a Comissão Europeia elaborou um projeto de lei para fornecer um regime regulatório que “promova a convergência das abordagens de supervisão dos riscos de terceiros em TIC”, incluindo a supervisão direta dos provedores de serviços críticos de TIC por um supervisor principal. Embora ainda não tenha sido aprovada, a lei estabelece as bases para facilitar um regime regulatório que prevê a supervisão direta da infraestrutura crítica – incluindo potenciais provedores de serviços em nuvem, como a Microsoft. 

Há medidas em andamento em outros mercados, como na Coreia, para fornecer supervisão semelhante da infraestrutura digital, com estruturas similares. Na Microsoft, acreditamos que essa é uma evolução natural da supervisão regulatória – seja por meio de uma nova legislação ou com base na legislação existente, como o Bank Service Company Act, lei norte-americana que confere autoridade aos reguladores bancários dos EUA para examinar provedores de terceirização. Além da oportunidade de atender o setor em larga escala para as principais funções de negócios, há a responsabilidade de fornecer o nível de garantia e supervisão que clientes e reguladores esperam de acordo com esse novo paradigma. 

Consequentemente, estabelecemos um Escritório de Infraestrutura Crítica para abordar essas questões, não apenas para serviços financeiros, mas a todos os setores que fornecem suporte para infraestrutura crítica (por exemplo, saúde, varejo, energia, manufatura, etc.). Da mesma forma, há quase uma década adicionamos aos nossos contratos direitos de exames regulatórios e direitos de auditoria semelhantes aos clientes, já que entendemos que esses requisitos são invioláveis no que diz respeito ao nível de garantia necessário para as funções críticas e importantes que operam em nosso ambiente de nuvem. Não se trata apenas de um direito contratual – temos experiência em fornecer suporte aos nossos clientes no exercício de direitos claros de auditoria, assim como de exames regulatórios. 

Continuamos fazendo investimentos para oferecer garantia e transparência aos nossos clientes, ajudando-os a: 

• Gerenciar os serviços de nuvem utilizados por meio das ferramentas e painéis que fornecemos, incluindo a Central de Segurança do Azure, o Painel de Integridade do Serviço do Microsoft 365 e o Microsoft Secure Score. 
• Avaliar e gerenciar os controles do ambiente de nuvem e identificar as funções que devem ser gerenciadas pela instituição financeira por meio de ferramentas como o Gerenciador de Conformidade. 
• Acessar evidências e relatórios de auditoria de terceiros pelo nosso Portal de Confiança do Serviço. 
• Gerenciar a classificação de dados e ambientes de várias fontes para que os clientes tenham uma visão de 360 graus dos conjuntos de dados, inclusive por meio do Azure Arc e do Azure Purview. 
• Transparência dos recursos de Conformidade da Microsoft para que os clientes avaliem nossos serviços de nuvem de uma perspectiva de conformidade regulatória. 

Quando olhamos para o futuro, consideramos importante que reguladores e clientes sejam igualmente inovadores ao empregar novos modelos de garantia para se adaptar à natureza de hiperescala da computação em nuvem, que é padronizada e, portanto, emprega um conjunto consistente de controles onde quer que nossos serviços em nuvem operem. Assim, quando clientes ou reguladores procuram examinar nossos serviços em nuvem, inclusive nossos data centers, a replicação de auditorias é duplicada. Os recursos dedicados a uma auditoria podem ser igualmente aplicados para que clientes e reguladores se beneficiem de tais auditorias. Uma abordagem que consideramos útil para escalar inclui o uso de empresas terceirizadas independentes como a TruSight, que podem fornecer o mesmo nível de garantia aos clientes por meio de uma avaliação padronizada de controles. Mas sabemos que mais pode ser feito a esse respeito, e contribuições do setor são bem-vindas para ajudar a gerar igualmente sinergias e garantias. 

Além disso, de acordo com novos regimes regulatórios como o DORA, o projeto de lei prevê que as Autoridades Europeias de Supervisão “sejam incentivadas a firmar acordos de cooperação” com reguladores de outros países. E o Conselho de Estabilidade Financeira também observou que “o diálogo e a cooperação entre países sobre a regulamentação e supervisão nessa área estão se tornando cada vez mais importantes”. Uma vez que o conceito de “auditorias em grupo” está incorporado às orientações regulatórias emitidas pelas Autoridades Europeias de Supervisão e, mais recentemente, pelo Banco da Inglaterra, incentivamos que os órgãos reguladores, por extensão, considerem a cooperação regulatória para reunir recursos e evitar exames desnecessários e duplicados quando tais exames puderem ser realizados de forma mais eficiente em conjunto. De fato, em sua essência, o DORA foi projetado para fazer isso dentro da estrutura europeia de estados-membros. 

À medida que avançamos, reconhecemos o importante papel que os reguladores exercem no setor e o nosso suporte para continuar a promover a inovação de forma responsável, inclusive conforme os novos mecanismos regulatórios com ênfase em infraestrutura crítica. Forneceremos suporte aos nossos clientes como um parceiro essencial para ajudá-los a atender às suas necessidades de conformidade regulatória e continuar a inovar com mais segurança. Isso inclui, por exemplo, nosso inovador Programa de Conformidade para Serviços Financeiros, que prevê um envolvimento mais profundo nas avaliações de risco e assistência nas análises de garantia e conformidade regulatória. A cada novo amanhecer, esperamos uma aceleração contínua na adoção da nuvem. Estamos prontos para atender o setor e os reguladores. 

Saiba mais 

Cumprir as obrigações de conformidade em um ambiente regulatório dinâmico é uma tarefa complexa. Estamos aqui para ajudá-lo a lidar com esse cenário em constante mudança. Saiba como ajudamos os clientes a gerenciar a conformidade na nuvem. Para continuar sua jornada de transformação digital: 

• Leia sobre as 4 medidas para combater o risco nos serviços financeiros e a função do diálogo aberto na conformidade dos serviços financeiros. 
• Saiba mais sobre a Microsoft Cloud for Financial Services, que reúne recursos com segurança multicamadas e cobertura de conformidade abrangente para oferecer experiências diferenciadas aos clientes, melhorar a colaboração e a produtividade dos funcionários, gerenciar riscos e modernizar os principais sistemas. 
• Visite nossas páginas de serviços bancários, mercados de capital e seguros para saber mais sobre nossas soluções e parceiros de serviços financeiros. 

The post Infraestrutura digital crítica para serviços financeiros  appeared first on Blogs de indústria da Microsoft.

Uma coisa é certa, como Satya Nadella disse em nossa videochamada de ganhos do terceiro trimestre: “As curvas de adoção digital não estão desacelerando. Estão acelerando, e isso é apenas o começo.” Isso acontece principalmente no setor de serviços financeiros, que, ao contrário de 2008, não só resistiu ao choque econômico externo da pandemia, mas teve um desempenho muito bom em circunstâncias particularmente desafiadoras ao longo do ano passado. Devido à necessidade dos negócios, estamos vendo as instituições financeiras adotarem rapidamente a tecnologia de nuvem para permitir maior agilidade, resiliência e velocidade de colocação no mercado em inovação – tudo isso de maneira consistente em cumprir às expectativas regulatórias de uma perspectiva de terceirização. 

No seu artigo de discussão sobre Questões Regulatórias e de Supervisão Relativas à Terceirização e Relações com Terceiros (clique aqui), o Conselho de Estabilidade Financeira reconheceu que a pandemia “pode ter acelerado a tendência para uma maior confiança de certas tecnologias de terceiros” e, em particular, a computação em nuvem. À medida que a adoção da nuvem aumenta no setor de serviços financeiros, as instituições financeiras estão se preparando para colocar funções de negócios críticas e importantes na nuvem, especialmente para facilitar o trabalho remoto e a participação remota do cliente por meio de plataformas de produtividade, como o Microsoft Teams (clique aqui). Quer se trate de clientes como a BlackRock, UBS ou AXA  que usam a Microsoft Cloud para as principais funções de negócios, isso coloca em destaque o papel importante que a Microsoft tem no setor para manter as operações de negócios prósperas. Isto tem estimulado a ação pelos reguladores no sentido de colocar mais ênfase na necessidade de tratar tais acordos terceirizados como infraestruturas críticas, com um papel mais importante para os reguladores desempenharem numa supervisão mais direta dos fornecedores de infraestruturas críticas. 

Mais recentemente, a Comissão Europeia elaborou um projeto de legislação para prover um regime regulamentar que iria “promover a convergência das abordagens de supervisão do risco de terceiros no domínio da tarefa de configuração inicial”, inclusive através da atribuição de supervisão direta aos provedores de serviços críticos no domínio da tarefa de configuração inicial por um superintendente principal. Embora a legislação ainda não tenha sido aprovada, ela estabelece as bases para facilitar um regime regulatório que prevê a supervisão direta da infraestrutura crítica – inclusive provedores de serviços em nuvem em potencial, como a Microsoft. 

Estão em curso em outros mercados, como na Coreia, medidas para assegurar uma supervisão semelhante das infraestruturas digitais, com estruturas semelhantes em mente. Na Microsoft, acreditamos que se trate de uma evolução natural da supervisão regulatória – seja por meio de nova legislação ou com base na legislação existente, como a Lei das Sociedades de Serviços Bancários dos EUA, que confere aos reguladores bancários dos EUA autoridade para examinar fornecedores terceirizados. Com a oportunidade de servir a indústria em escala para as principais funções de negócios, vem a responsabilidade de fornecer o nível de garantia e supervisão que os clientes e os reguladores esperam sob este novo paradigma. 

Consequentemente, passamos a estabelecer um Escritório de Infraestrutura Crítica para abordar essas questões, não apenas para serviços financeiros, mas em todos os setores que apoiam a infraestrutura crítica (por exemplo, saúde, varejo, energia, manufatura, etc.). Da mesma forma, há quase uma década, comprometemos em nossos contratos direitos de exame regulatório e direitos de auditoria semelhantes aos clientes, uma vez que entendemos que esses requisitos são sagrados quando se trata de ter o nível de garantia necessário para funções críticas e importantes que operam em nosso ambiente de nuvem. Este não é apenas um direito contratual – temos experiência em dar suporte aos nossos clientes no exercício de direitos diretos de auditoria, assim como exames regulatórios também. 

Continuamos a fazer investimentos para fornecer garantia e transparência aos nossos clientes, ajudando-os a: 

• Gerenciar os serviços em nuvem usados por meio de ferramentas e painéis que fornecemos, inclusive o Azure Security Center (clique aqui), o Microsoft 365 Service Health Dashboard (clique aqui) e o Microsoft Secure Score (clique aqui). 
• Avaliar e gerenciar os controles do ambiente em nuvem e identificar as funções que devem ser gerenciadas pela instituição financeira por meio de ferramentas como o Gerenciador de Conformidade (clique aqui). 
• Acessar evidências e relatórios de auditoria de terceiros através do nosso Portal de Confiança de Serviços (clique aqui). 
• Gerenciar a classificação de dados e ambientes de várias fontes, para que os clientes tenham uma visão de 360 graus dos conjuntos de dados, inclusive por meio do Azure Arc (clique aqui) e do Azure Purview (clique aqui). 
• Transparência dos recursos de Conformidade da Microsoft (clique aqui) para que os clientes avaliem nossos serviços de nuvem de uma perspectiva de conformidade regulatória. 

À medida que olhamos para o futuro, pensamos que é importante que os reguladores e os clientes sejam igualmente inovadores ao empregar novos modelos de garantia para se adaptar à natureza de hiperescala da computação em nuvem, que é padronizada e, portanto, emprega um conjunto consistente de controles onde quer que nossos serviços de nuvem operem. Assim, quando clientes ou reguladores desejam examinar nossos serviços de nuvem, inclusive nossos data centers, a replicação de auditorias é a duplicação. Os recursos dedicados a uma auditoria podem ser aplicados de forma igual e semelhante para que clientes e reguladores se beneficiem de tais auditorias. Uma abordagem que consideramos útil para dimensionar inclui o uso de empresas terceirizadas independentes, como a TruSight, que podem fornecer o mesmo nível de garantia aos clientes por meio de uma avaliação padronizada de controles. Mas sabemos que mais pode ser feito aqui, e aceitamos de bom grado a contribuição da indústria para ajudar a impulsionar sinergias e garantias igualmente. 

Além disso, sob novos regimes regulamentares como o DORA, o projeto de legislação prevê que as Autoridades Europeias de Supervisão “sejam incentivadas a celebrar acordos de cooperação” com outros reguladores de países terceiros. E o Conselho de Estabilidade Financeira também observou que “o diálogo e a cooperação transfronteiriços em matéria de regulamentação e supervisão neste domínio estão tornando-se cada vez mais importantes.” Dado que o conceito de “auditorias agrupadas” está integrado nas orientações regulamentares emitidas pelas Autoridades Europeias de Supervisão e, mais recentemente, pelo Bank of England, encorajamos os órgãos reguladores, por extensão, considerem a cooperação regulatória para mobilizar recursos em conjunto e evitar exames desnecessários e duplicados quando estes puderem ser realizados de forma mais eficiente em conjunto. Na sua essência, é isso que o DORA é projetado para fazer dentro da estrutura europeia entre os estados membros. 

À medida que avançamos, reconhecemos a importante função que os reguladores têm no setor e nosso apoio para continuar a promover a inovação de forma responsável, inclusive sob novos mecanismos regulatórios que colocam ênfase em infraestruturas críticas. Apoiaremos nossos clientes como um parceiro fundamental para ajudá-los a atender às suas necessidades de conformidade regulatória e continuar a inovar com maior segurança. Isso inclui, a título de exemplo, nosso inovador Programa de Conformidade de Serviços Financeiros, que prevê uma participação mais profunda nas avaliações de risco e assistência nas revisões de conformidade regulatória e de garantia. À medida que um novo amanhecer nasce, esperamos uma aceleração contínua na adoção da nuvem. Estamos prontos para servir a indústria e os reguladores. 

Saiba mais 

É complexo cumprir as obrigações de conformidade em um ambiente regulatório dinâmico. Estamos aqui para ajudá-lo a navegar neste cenário em constante mudança. Saiba como ajudamos os clientes a gerenciar a conformidade na nuvem aqui. Para continuar a sua jornada de transformação digital: 

• Leia sobre 4 medidas para combater o risco nos serviços financeiros (clique aqui) e a função do diálogo aberto no cumprimento dos serviços financeiros (clique aqui). 
• Clique aqui e saiba mais sobre a Microsoft Cloud for Financial Services, reunindo recursos com segurança multicamadas e cobertura de conformidade abrangente para oferecer experiências diferenciadas ao cliente, melhorar a colaboração e a produtividade dos funcionários, gerenciar riscos e modernizar os principais sistemas. 
• Visite as nossas páginas de serviços bancários (clique aqui), mercados de capitais (clique aqui) e seguros (clique aqui) para saber mais sobre as nossas soluções de serviços financeiros e parceiros. 

The post Infraestrutura digital crítica para serviços financeiros appeared first on Blogs de indústria da Microsoft.

O impacto da pandemia da COVID-19 mudou a forma como as instituições financeiras, os clientes e os funcionários conduzirão negócios e interagirão uns com os outros. A necessidade de se adaptar para permitir o trabalho remoto, empregar serviços conectados digitalmente aos clientes e até mesmo construir novos modelos de negócios requer velocidade, agilidade e aplicação de medidas adaptativas com essa mudança constante. O que não mudou foi a necessidade de resiliência operacional e continuidade do negócio. Com efeito, os reguladores dos serviços financeiros esperam que as instituições assegurem que as operações comerciais permanecerão resilientes neste contexto, de modo que a liquidez e os serviços bancários e de seguros relacionados permaneçam fortes para operações críticas. Com isso em mente, as instituições financeiras estão se voltando para serviços em nuvem a fim de atender a esses requisitos e manter a resiliência de suas operações principais, inclusive para funções críticas e importantes da instituição. 

Não é surpresa que, apesar do impacto recessivo da COVID-19 em muitos setores, os serviços financeiros não só permaneceram resilientes e funcionando, mas a nuvem está se tornando uma parte cada vez mais importante da equação para fornecer os componentes fundamentais para permitir a agilidade e a resiliência necessárias para manter as operações bancárias e de seguros prósperas. Isso resultou em um aumento na adoção da nuvem, particularmente para serviços como o Microsoft Teams que permitiram que as instituições mudassem rapidamente para o trabalho remoto e o atendimento remoto ao cliente. À medida que a adoção da nuvem aumenta e se torna mais prevalente para as principais operações, discussões e perguntas contínuas foram suscitadas sobre o risco de concentração. Ou seja, o uso de serviços em nuvem, particularmente com um único fornecedor, levanta problemas de risco de concentração sistêmica e, em caso afirmativo, o que isso significa para as instituições ao escolher um fornecedor em nuvem para cargas de trabalho importantes e materiais? 

Os reguladores de serviços financeiros em todas as jurisdições identificaram o risco de concentração como um fator a considerar na avaliação do risco na terceirização. Esse risco tem dois componentes: i) risco micro, em que a dependência de um único prestador para as operações principais pode apresentar um risco indevido de operações se houver um único ponto de falha e ii) risco macro, em que as empresas financeiras dentro do ecossistema são tão dependentes de um vendedor que um único ponto de falha corre o risco de causar um amplo risco sistêmico para as operações do setor de serviços financeiros. Notadamente, esse risco não é exclusivo dos serviços em nuvem e, como o Bank of England comentou em seu Documento de Consulta sobre Terceirização e Gestão de Riscos, “um pequeno número de terceiros tradicionalmente dominou o fornecimento de certas funções, produtos ou serviços para empresas, como caixas eletrônicos ou mainframes de TI”. Por outras palavras, a questão do risco de concentração não é nova, mas sim uma característica do sector dos serviços financeiros há décadas. 

Embora a nuvem continue relativamente incipiente em comparação com os provedores enraizados de sistemas legados, como o mainframe, sua crescente adoção significa que as instituições financeiras devem contabilizar e mitigar as questões de risco micro de concentração no uso de provedores de nuvem. De fato, o Bank of England afirmou que “esperará que as empresas avaliem os requisitos de resiliência do serviço terceirizado e dos dados e determinem qual das opções de resiliência em nuvem disponíveis é mais apropriada. Isso pode incluir várias zonas de disponibilidade, regiões ou prestadores de serviços.“1 

Embora reconheça que o risco de concentração é uma área a ser monitorada, o PRA do Reino Unido identifica igualmente, “se configurados corretamente, os serviços em nuvem podem melhorar significativamente a resiliência operacional de empresas financeiras.”2 As instituições financeiras não devem perder isso de vista ao avaliar tais riscos e estratégias na adoção de serviços em nuvem e outras formas de terceirização. 

Apesar da natureza fragmentada dos sistemas legados dentro das instituições financeiras, existem medidas para mitigar esses riscos de ponto único de falha, e a Microsoft conta com recursos integrados para ajudar os clientes a neutralizar esses riscos, de modo que suas operações não só permaneçam resilientes, mas funcionem de maneira segura e sólida. Além disso, a nível empresarial, as próprias operações da Microsoft estão sujeitas a uma supervisão rigorosa da gestão de riscos, colocando a responsabilidade em todos os serviços que têm, em última análise, supervisão pelo Conselho de Administração da Microsoft. Juntos, esta ampla variedade de recursos e medidas ajuda a mitigar tanto as preocupações de risco micro com uma única instituição, quanto a aliviar questões mais amplas em um nível macro, particularmente dada a natureza distribuída da terceirização dentro do setor e a forte concorrência entre os provedores históricos e os players mais recentes, incluindo fornecedores de nuvem em hiperescala. 

Estabilidade no nível da empresa 

Na escolha de qualquer fornecedor, a estabilidade empresarial e as práticas gerais de gestão de riscos empresariais são fatores importantes a serem considerados e avaliados de uma perspectiva geral de gestão de riscos. Por mais de 20 anos, a Microsoft ocupa uma posição única e consistente nas 10 maiores empresas de market cap do mundo, independentemente de desacelerações econômicas ou outras mudanças dinâmicas na indústria. Além disso, a Microsoft tem uma classificação AAA Standard & Poor’s, uma das duas únicas empresas a ter esse status. Embora a dinâmica do mercado possa mudar, a Microsoft ajustou-se a essas mudanças para atender à demanda do cliente e abordar a dinâmica competitiva, resultando em desempenho e estabilidade insuperáveis no mercado. 

Medidas de nuvem em hiperescala 

Como ponto de partida, a arquitetura distribuída da nuvem de hiperescala fornece resiliência significativa. A título de exemplo, a Microsoft fornece 99,9% de tempo de atividade em seus SLAs como padrão, mas com a configuração para usar zonas de disponibilidade, que aumenta para 99,99% e, para serviços modernos como o Cosmos DB (Platform as a Service), esse valor aumenta para 99,999%. Além disso, os investimentos da Microsoft na construção de uma “diversidade de serviços” dentro de nossa infraestrutura que têm redundâncias integradas para mitigar falhas, assim como os sistemas de projeto de engenharia em aviões. Por exemplo, na camada de plataforma, temos duas infraestruturas DNS configuradas ativas/ativas, uma Windows e uma Linux; temos vários fornecedores de gasolina para nossos geradores; e dois cabos marítimos subterrâneos conectando os EUA à Europa. Juntamente com uma estrutura de data center que se expande para todas as regiões do globo em mais de 60 regiões, os clientes podem aproveitar ao máximo essas diferentes regiões para maximizar as cargas de trabalho em várias regiões e mitigar os riscos de um único ponto de falha. 

Medidas de segurança 

Através de automação, escala e redundância distribuída, a nuvem de hiperescala mitiga ainda mais os riscos de vários ataques, sejam ataques de dia zero, ataques de canal lateral ou ataques de ransomware, a nuvem oferece soluções para mitigar riscos que podem ser mais pronunciados em ambientes locais legados. Por exemplo, durante os ataques Spectre e Meltdown, a Microsoft poderia corrigir seu ambiente por meio de automação e escalar muito mais rapidamente do que os clientes poderiam fazer com seus ambientes legados. Assim, nossos serviços em nuvem não foram afetados como resultado. Para ataques de canal lateral, os hackers devem executar código nas mesmas máquinas físicas em que um sistema bancário é executado, mas com serviços em nuvem. Isso significa que eles devem saber a localização física dos servidores onde os dados do cliente são armazenados e devem permanecer dentro desse ambiente por algum período. Como os serviços em nuvem são distribuídos de forma consistente e não colocados em nenhum ambiente por um período significativo de tempo, o risco de tais ataques serem bem-sucedidos é bastante baixo. Por fim, ao abordar os riscos de ransomware, os serviços de nuvem do Azure fornecem backup de dados com lacunas, o que prevê cenários que mantêm a continuidade para que os dados possam ser preservados em um ambiente separado, que é como os clientes com requisitos de segurança nacional gerenciam esse risco. 

Conformidade 

A Microsoft investiu muito para permitir que os clientes cumpram suas obrigações de conformidade regulatória em serviços financeiros. Não só fornecemos recursos de conformidade integrados para atender aos principais requisitos, como atendemos à mais ampla variedade de certificações e padrões do setor, mais de 90, abrangendo mais de 50 regiões e países. Nossa base de conhecimento no suporte aos clientes inclui amplo envolvimento com reguladores de serviços financeiros, apoiando os clientes em suas avaliações de risco e fornecendo auditorias de nossos serviços de nuvem quando necessário. Além disso, fornecemos suporte e documentação para auxiliar os clientes na continuidade dos negócios e no planejamento de saída, um requisito fundamental para abordar e gerenciar o risco de concentração no uso de nossos serviços em nuvem. Juntos, em parceria com nossos clientes e em constante engajamento com os reguladores de serviços financeiros, acreditamos que o risco de concentração é como qualquer outro risco que possa ser gerenciado com governança, supervisão e parceria adequadas com a Microsoft. 

Recursos da Microsoft 

Para saber mais sobre o risco de concentração, baixe aqui e leia nosso white paper Risco de Concentração: Perspectivas da Microsoft. Para acessar recursos adicionais e saber mais sobre como a Microsoft oferece suporte ao setor de serviços financeiros, visite nosso site aqui. 

Referências: 

1 The PRA Outsourcing Consultation, parágrafo 2.42. 

2 The PRA Outsourcing Consultation, parágrafo 2.5. 

The post 4 medidas para neutralizar os riscos em serviços financeiros appeared first on Blogs de indústria da Microsoft.