No entanto, para as pessoas e equipes responsáveis pela gestão de riscos e pela garantia da conformidade, esta mudança de paradigma traz consigo novas preocupações, uma vez que é necessário cumprir requisitos rigorosos de segurança e conformidade. Embora as avaliações de risco e estratégias de auditoria no local possam ter sido simples em um mundo pré-nuvem, quando os dados são transferidos para um fornecedor de nuvem terceirizado que opera um ambiente compartilhado em hiperescala, a situação muda. Os controles de segurança e acesso são automatizados, o DevSecOps se torna mais comum, surgem lacunas de conhecimento e o contexto regulatório muda drasticamente. Para aumentar a pressão, se as avaliações de conformidade e as auditorias forem interrompidas, a inovação poderá parar bruscamente. 

Felizmente, existem alguns recursos excelentes para guiar você de forma produtiva nesta jornada. A Microsoft faz um investimento considerável para ajudar os clientes a obter a assistência necessária para otimizar avaliações de risco na nuvem em escala. Nesta postagem, eu gostaria de compartilhar um pouco do aprendizado que obtivemos por meio de nosso profundo envolvimento com os clientes, apontar algumas minas de ouro online da Microsoft e convidar você para conferir nosso Programa de conformidade para Microsoft Cloud, que acho que você vai adorar. 

Três estratégias testadas na prática para governar os riscos da nuvem 

Graças à nossa comunidade de conformidade, obtemos um fluxo incrível de insights, comentários e histórias sobre o que funciona e o que não funciona. Estas são as três estratégias que vemos no cerne de toda organização que governa com sucesso os riscos da nuvem: 

1. Estabelecer um órgão de governança de risco na nuvem. As organizações de risco são complexas, e as abordagens isoladas provavelmente atingirão seus limites quando diferentes partes interessadas de controle de risco em todas as três linhas de defesa fizerem sua própria avaliação de um provedor de serviços de nuvem. Muitas vezes, vemos problemas com uma má compreensão das tecnologias de nuvem e dos controles de risco. As ineficiências tendem a surgir à medida que questões são levantadas repetidamente por diferentes partes interessadas (“Onde estão armazenados os meus dados?” ou “Quem pode acessá-los?”). Muitos problemas podem ser resolvidos ou evitados por meio de uma abordagem unificada de avaliação de riscos na nuvem. Aconselhamos a criação de um conselho ou órgão de governança de risco na nuvem que envolva todas as principais funções em um processo único e integrado que leve a implantações mais rápidas e resolva restrições de recursos e lacunas de habilidades. 

2. Aderir a padrões comuns e aplicar abordagens baseadas em riscos. Nem todos os casos de uso são iguais, mas muitas vezes vemos clientes aplicarem um conjunto extremamente grande de controles obrigatórios a todo e qualquer caso de uso de nuvem, independentemente de sua importância. Além disso, os fornecedores de nuvem aplicam diferentes medidas de controle de risco em comparação com o que seria esperado no local, e isso pode levar a discussões intermináveis sobre controle. Uma boa maneira de evitar esses desafios é alinhar as estruturas de controle interno aos padrões do setor, como o SOC 2 e Cloud Controls Matrix (CCM) da Cloud Security Alliance. Essa abordagem fornece estrutura e orientação para a implementação de controles apropriados que podem ser aplicados com base em risco a casos de uso individuais, sempre alinhados aos requisitos de risco, segurança e conformidade da sua organização. 

3. Aproveitar ao máximo a garantia de terceiros. Outra armadilha é que algumas instituições financeiras tentarão avaliar ou auditar cada controle da nuvem de forma independente. Isso é uma perda de tempo porque já existem certificações e relatórios de auditoria disponíveis onde vários terceiros respeitáveis atestam a solidez e segurança desses mesmos controles e das áreas de risco relacionadas. Eles não devem ser ignorados. A Microsoft é líder em conformidade e oferece uma ampla oferta de conformidade para Azure, Dynamics 365 e Microsoft 365 com mais de 100 certificações e atestados. 

Nossa estrutura para avaliação na nuvem 

Depois que essas bases forem estabelecidas, você poderá realizar avaliações de risco na nuvem nessas seis dimensões básicas: 

Agora você pode obter um processo de avaliação de risco otimizado para nuvem que gera eficiência máxima à medida que você percorre diferentes casos de uso. De forma crítica, este processo permanecerá resiliente à medida que a empresa implanta gradualmente mais funções de negócios no Microsoft Cloud onde cada uma exigirá uma avaliação contextual dos riscos. 

Como aproveitar os riscos e os recursos de auditoria do Microsoft Cloud 

A Microsoft entende a necessidade crítica de que as equipes de risco, conformidade e auditoria de serviços financeiros tenham uma boa base com ferramentas e recursos que as capacitem a compreender e avaliar totalmente os riscos relacionados à nuvem. 

Para explicar como operamos nossa nuvem e ajudar os clientes em suas avaliações de risco e auditorias, criamos um local centralizado que descreve a conformidade da Microsoft e aponta para nossas ofertas de conformidade. Isso inclui uma seção de garantia de serviço que descreve detalhadamente a forma como operamos nossos serviços do Microsoft Cloud, o que é um excelente ponto de partida para as funções de risco e auditoria iniciarem suas avaliações. A seção de garantia de serviço é organizada por 14 domínios de risco e descreve detalhadamente a forma como a Microsoft trabalha para proteger os dados de nossos clientes. Isso inclui caminhos de aprendizagem sob demanda disponíveis para os clientes aprenderem em seu próprio ritmo. 

Outro excelente recurso é o nosso Portal de confiança de serviço, onde você pode baixar relatórios de auditoria externa, documentos úteis e itens como relatórios de vulnerabilidade de terceiros, continuidade de negócios e relatórios de validação de plano de recuperação de desastres. Você também encontrará listas de verificação detalhadas de conformidade regulatória para serviços financeiros regionais que podem ser usadas para atender aos requisitos regulatórios de cada país. 

Em seguida, o Gerente de Conformidade do Microsoft Purview é uma ferramenta exclusiva que permite avançar ainda mais e gerenciar riscos e conformidade não apenas do lado da Microsoft, mas também para suas implantações multinuvem, garantindo que suas configurações atendam a todos os requisitos regulatórios, bem como às práticas recomendadas de segurança cibernética e privacidade. Você encontrará mais de 320 avaliações de conformidade alinhadas a vários setores e regiões em todo o mundo. Você pode clicar duas vezes em cada controle e revisar informações detalhadas, incluindo implementações de controle da Microsoft, e como cada controle foi testado por auditores externos e os resultados. 

Não se esqueça que a nuvem envolve uma responsabilidade compartilhada e que, depois de avaliar a Microsoft como seu provedor, você também deve garantir que suas implantações sejam compatíveis por padrão e seguras de maneira ideal. A boa notícia é que isso tudo está integrado na garantia de serviço como ponto de partida seguindo a mesma estrutura baseada em risco. 

Precisa do que há de melhor? Verifique o Programa de conformidade para Microsoft Cloud 

O Programa de conformidade para Microsoft Cloud é um serviço premium criado especificamente para dar suporte a profissionais de controle de risco e conformidade em suas avaliações. Esse programa teve origem há 10 anos, quando as primeiras organizações de serviços financeiros começaram a adotar a nuvem, e facilita o envolvimento trilateral entre clientes, reguladores e especialistas da Microsoft. O programa continua evoluindo e oferece aos clientes acesso direto a especialistas jurídicos, de segurança cibernética, de privacidade, de risco e de conformidade regulatória, tanto da Microsoft quanto do setor como um todo. 

Os clientes receberão as melhores respostas para perguntas e preocupações muito específicas e poderão enviar questionários completos para acelerar a avaliação de riscos e as atividades de auditoria. O programa traz um valor educativo tremendo com webinars e palestras sobre conformidade global e regional; oferece oportunidades de envolvimento em uma comunidade com outros clientes e especialistas do setor; e fornece atualizações proativas relacionadas a desenvolvimentos regulatórios e de conformidade em todo o mundo. 

Participe do programa hoje mesmo 

Os insights e dicas deste artigo foram em grande parte baseados na experiência desta comunidade nos últimos anos. Se isso soa interessante para você e sua organização, convido você a participar do Programa de conformidade para Microsoft Cloud e conectar-se com seus colegas hoje mesmo. 

Saiba mais sobre o Microsoft Cloud para serviços financeiros. 

Programa de conformidade para Microsoft Cloud 

Acelere a adesão à nuvem com garantia de conformidade proativa. 

Comece a se conectar hoje mesmo  

Tom Deprins 

Diretor de Conformidade Global de Serviços Financeiros 

Ver mais artigos deste autor 

The post 3 estratégias para governar o risco da Microsoft Cloud em serviços financeiros appeared first on Blogs de indústria da Microsoft.

É por isso que, apenas nos últimos meses, a indústria assistiu a uma onda de novas propostas e regulamentos no setor dos serviços financeiros, que visam coletivamente melhorar a resiliência operacional e mitigar o risco para que as instituições possam modernizar-se com confiança. Em junho de 2023, o Conselho de Estabilidade Financeira (FSB) – uma organização internacional que monitoriza e faz recomendações sobre o sistema financeiro global – emitiu um documento consultivo intitulado Melhoria da Gestão e Supervisão de Riscos de Terceiros que fornece um kit de ferramentas para reduzir a fragmentação, mitigar os custos de conformidade e facilitar a coordenação entre as partes interessadas. Outros acontecimentos incluem nova legislação relativa à designação e supervisão de fornecedores terceiros críticos na Europa;¹ uma proposta de supervisão regulatória de fornecedores terceirizados críticos no Reino Unido;² e novas orientações para fornecedores terceirizados nos Estados Unidos³ e Canadá.⁴ 

A Microsoft dedica-se a trabalhar em todo o setor, inclusive com instituições, parceiros tecnológicos e reguladores, para garantir a adoção responsável de serviços em nuvem, IA e outras tecnologias emergentes. Também oferecemos um amplo conjunto de recursos de suporte para clientes, incluindo o Programa de conformidade para Microsoft Cloud, um serviço premium de “luvas brancas” criado especificamente para apoiar profissionais de risco e conformidade. 

Melhorar a resiliência operacional em todo o ecossistema de serviços financeiros 

Os recentes acontecimentos regulamentares atravessam continentes e jurisdições e têm amplas implicações na forma como as empresas financeiras adquirem, implementam e gerem uma vasta gama de serviços e tecnologias. Tomadas em conjunto, essas propostas estão centradas nestes cinco pilares: 

1. Implementar fortes controles e práticas de gerenciamento de risco. 

2. Garantir transparência e monitoramento suficientes dos serviços em nuvem. 

3. Gerenciar o risco de concentração. 

4. Desenvolver e testar planos de continuidade de negócios. 

5. Implementar estratégias e planos de saída. 

O conjunto de ferramentas do FSB foi concebido para “reduzir a fragmentação nas abordagens regulamentares e de supervisão entre jurisdições” e “promover a interoperabilidade das abordagens regulamentares e de supervisão”. Acreditamos que isso não é apenas sensato, mas deve ser uma consideração primordial para os reguladores na implementação de seus regimes regulatórios relativos ao risco de terceiros no futuro. 

Um modelo de seis etapas para a resiliência dos serviços financeiros 

À medida que os serviços em nuvem se tornam mais proeminentes, a importância de manter e melhorar a resiliência operacional é fundamental para garantir a segurança e a solidez do ecossistema financeiro. 

Abaixo está o processo de seis etapas que aconselhamos as empresas a seguir para atender aos requisitos regulatórios no gerenciamento de risco de terceiros e na resiliência operacional. 

1. Atualizar a governança de risco na nuvem 

As empresas precisam se concentrar em “serviços críticos” e adotar “uma abordagem holística e baseada em riscos para o gerenciamento de riscos de terceiros”.⁵ O processo consultivo da Lei de Resiliência Operacional Digital (DORA) da União Europeia também segue esta abordagem em seu projeto Norma Técnica Regulamentadora sobre gestão de riscos de TIC. 
 
Para ajudar as empresas nesse sentido, a Microsoft fornece uma variedade de recursos de serviço para fornecer supervisão e monitoramento contínuos dos serviços em nuvem usados, incluindo Integridade do serviço Microsoft Azure, que fornece uma visão global da saúde de todos os serviços do Azure em todas as regiões; Microsoft Defender para Nuvem, que fornece uma pontuação segura que avalia a postura e as configurações de segurança de uma empresa; e Gerente de Conformidade do Microsoft Purview, que avalia e gerencia a conformidade em ambientes multinuvem. 

2. Identificar concentração 

As empresas devem identificar onde os serviços críticos estão sendo prestados por um único prestador de serviços de forma a criar um nível de dependência tão elevado que problemas como indisponibilidade, falhas ou outras deficiências possam ameaçar a capacidade da empresa de prestar suas próprias funções importantes. Isto deve ser feito antes da celebração de acordos contratuais, e as avaliações devem incluir se o serviço de um fornecedor pode ser substituído e quais poderão ser os benefícios e custos de soluções alternativas.⁶ 

3. Avalie alternativas 

Pode nem sempre ser apropriado ou viável trazer de volta um serviço crítico internamente ou estabelecer uma abordagem de vários fornecedores. As alternativas devem ser ponderadas em relação a potenciais inconvenientes, consequências não intencionais e riscos.⁷ Observe que, em cenários que dependem da Microsoft como fornecedor terceirizado, a concentração de serviços pode ser abordada usando regiões e zonas de disponibilidade do Azure. As empresas devem documentar quais alternativas são viáveis ​​e se enquadram na tolerância ao risco da sua organização. 

4. Design para resiliência 

Ao delinear alternativas, é importante reconhecer que nem sempre é viável ou desejável incorporar uma ampla gama de soluções potenciais. Uma abordagem de nuvem única, ao considerar todos os fatores, pode acabar oferecendo uma solução geral mais resiliente. Além disso, pode evitar as armadilhas da complexidade inerente e adicional ao implementar ambientes multinuvem. 

5 e 6. Testar o plano de continuidade de negócios e preparar planos de saída 

Alguns dos cenários de ameaças mais extremos devem ser totalmente considerados, incluindo desafios como a perda de um datacenter ou o término de todo um relacionamento com o fornecedor. A melhor maneira de conseguir isso é focar no gerenciamento de continuidade de negócios (BCM), nos testes e no planejamento de saída. 

Promover a interoperabilidade com regulamentação tecnologicamente neutra e baseada em princípios 

Como o próprio mercado está interligado e tem um âmbito global, um dos desafios tanto para as empresas como para os fornecedores de tecnologia é como abordar uma miríade de requisitos regulamentares em todas as jurisdições. A aplicação de uma abordagem baseada em princípios permitirá que os reguladores e a indústria se adaptem às tecnologias inovadoras no futuro. Na verdade, o FSB observa que “a interoperabilidade das abordagens regulamentares e de supervisão no setor de serviços financeiros é particularmente importante para as instituições financeiras sujeitas a múltiplos quadros regulamentares e de supervisão nacionais ou regionais”.⁸ 

Num mundo globalmente conectado, essas abordagens abrangentes podem não só gerar sinergias, mas também melhorar a supervisão regulamentar e abordar os riscos de forma coerente e eficaz. Apoiamos a recomendação do FSB de que “os exercícios multissetoriais e que englobam todo o setor financeiro podem ser uma forma valiosa de explorar e melhorar a capacidade coletiva do ecossistema de serviços financeiros para responder e se recuperar de perturbações”.⁹ Isso pode acelerar a convergência de normas globais sólidas que melhorarão a resiliência global, ao mesmo tempo em que minimiza a necessidade de sobreposição de regulamentações regionais. 

O futuro da supervisão regulatória 

Dada a natureza padronizada da nuvem, acreditamos que a cooperação regulatória beneficiará tanto as instituições financeiras, os reguladores e os fornecedores de nuvem. Esperamos apoiar esse diálogo, a fim de facilitar abordagens comuns e alinhamento no lado regulatório, e acolhemos com satisfação novas ideias sobre como alcançar o objetivo de gerir riscos e apoiar a inovação responsável para o setor. 

Para saber mais sobre como a Microsoft está contribuindo para os esforços de melhoria da resiliência, leia nosso whitepaper, “Reforçar a resiliência operacional nos serviços financeiros” e visite nosso Portal de confiança de serviço. Conforme observado, para obter ajuda personalizada na avaliação de riscos e no cumprimento dos requisitos de conformidade regulatória, oferecemos o Programa de conformidade para Microsoft Cloud, que inclui conexões com especialistas no assunto e recursos detalhados. E fique ligado neste blog para obter mais atualizações sobre risco, conformidade e serviços em nuvem nos próximos meses. 

Programa de conformidade para Microsoft Cloud 

Acelere sua adoção da nuvem. 

Saiba mais  

¹ A Lei de Resiliência Operacional Digital (DORA). 

² Banco de Inglaterra, DP3/22 – Resiliência operacional: terceiros críticos para o setor financeiro do Reino Unido, julho de 2022. 

³ Tesouro dos Estados Unidos, Relatório sobre Computação em Nuvem – Orientação Interagências sobre Relacionamentos com Terceiros, junho de 2023. 

⁴ Governo do Canadá, Diretrizes de Gestão de Riscos de Terceiros, abril de 2023. 

⁵ Conselho de Estabilidade Financeira, Melhoria da Gestão e Supervisão de Riscos de Terceiros, Seções 2.1, 2.2, junho de 2023. 

⁶ A Lei de Resiliência Operacional Digital (DORA), artigos 28, 29. 

⁷ Conselho de Estabilidade Financeira, Melhoria da Gestão e Supervisão de Riscos de Terceiros, Seção 3.8.2, junho de 2023. 

⁸ Conselho de Estabilidade Financeira, Melhoria da Gestão e Supervisão de Riscos de Terceiros, Seção 4.3.4, junho de 2023. 

The post Seis etapas para melhorar a resiliência operacional em serviços financeiros com a Microsoft Cloud  appeared first on Blogs de indústria da Microsoft.

A indústria de serviços financeiros transformou-se em um negócio altamente dinâmico e voltado para a tecnologia, com muitas instituições olhando para a nuvem pública como uma resposta para a entrega de novas soluções. A adoção e o uso da nuvem pública se intensificaram em 2020 como resultado da pandemia global que, em alguns casos, criou necessidades altamente urgentes de inovação e soluções digitais em serviços financeiros. 

Os reguladores de serviços financeiros também estão se adaptando e atualizando os regulamentos e as orientações do setor em um ritmo crescente à medida que o setor continua se transformando. Essa modernização da regulamentação está levando o setor a usar tecnologias de nuvem pública devido a suas capacidades gerais superiores quando se trata de enfrentar desafios relacionados à segurança, conformidade, privacidade, resiliência operacional e portabilidade de dados. 

Os reguladores também estão lidando com o surgimento do aparente risco de concentração sistêmica e institucional, porque as tecnologias de nuvem pública estão sendo fornecidas por um conjunto relativamente pequeno de provedores de nuvem pública em hiperescala. Para combater vários riscos, incluindo os aparentes riscos de concentração, os reguladores estão orientando as instituições financeiras a desenvolverem planos de saída abrangentes e detalhados, em particular ao implantar cargas de trabalho críticas ou importantes na nuvem pública. 

A posição geral da Microsoft sobre o risco de concentração foi recentemente publicada em um blog, 4 medidas para neutralizar o risco em serviços financeiros (clique aqui para ler) e no whitepaper correspondente, Risco de concentração: Perspectivas da Microsoft (baixe aqui). 

A orientação de planejamento de saída da Microsoft está alinhada com as melhores práticas do setor e surgiu após longas conversas, ao longo dos anos, com reguladores financeiros globais, partes interessadas em instituições de serviços financeiros e representantes do setor, como a Federação Bancária Europeia (EBF). 

Os planos de saída são um mecanismo eficaz de mitigação de riscos para falhas extremas do Provedor de Serviços em Nuvem (CSP) – não apenas falhas técnicas, mas também razões estratégicas ou comerciais – ou outras situações em que a organização não é capaz ou não está disposta a continuar usando o seu CSP existente. O plano ajudará a preparar a continuidade dos negócios, identificando e, em alguns casos, testando também cenários de saída. A Microsoft tem se empenhado em garantir que nossos clientes de serviços financeiros possam atender a esses requisitos necessários e forneceu as ferramentas e recursos para que nossos clientes desenvolvam planos de continuidade e saída de negócios em conformidade. 

Desenvolver um plano de saída e estratégias de migração não são tarefas fáceis e são o ideal é que sejam desenvolvidas no início da implantação. Não é incomum que as instituições financeiras implementem várias soluções de negócios usando um único CSP, como a Microsoft. Em outros casos, alguns clientes implantam soluções híbridas ou multinuvem para melhor enfrentar os riscos acima mencionados. Para aqueles que estão interessados em tais soluções, a Microsoft publicou recentemente um texto em um blog sobre estratégias híbridas e multinuvem para organizações de serviços financeiros (clique aqui para acessar). 

Independentemente da escolha do modelo de implantação, os planos de saída que proporcionam uma segurança 100% completa e totalmente testada são extremamente difíceis (e caros) de realizar, fazendo com que seja mais apropriada uma abordagem pragmática e baseada em risco que se concentra nas funções corporativas mais importantes. Felizmente, os regulamentos permitem isso. 

Esta necessidade de planejamento das saídas está agora presente em vários regulamentos financeiros. As orientações finais de 2019 sobre os acordos de terceirização da Autoridade Bancária Europeia (EBA)inicialmente elevaram os padrões, introduzindo alguns requisitos muito específicos para as instituições financeiras que, entre outros, abordam explicitamente a necessidade de desenvolver uma estratégia de saída documentada ao terceirizar “funções críticas ou importantes” para um CSP que esteja em consonância com as políticas de terceirização e as medidas de continuidade dos negócios. Orientações semelhantes podem ser encontradas no documento de consulta sobre a terceirização e a gestão de riscos por terceiros (clique aqui)  emitido pelo Banco de Inglaterra e no documento de consulta sobre os projetos de orientações sobre a terceirização para prestadores de serviços em nuvem pela Autoridade Europeia dos Valores Mobiliários e dos Mercados (ESMA) (clique aqui para acessar). Todos recomendam uma abordagem baseada no risco. 

A partir de 2018, publicamos orientações de planejamento de saída usando um ciclo de vida de planejamento de saída de sete etapas em torno de um exemplo real de uma instituição financeira que migrou para o Microsoft 365. Em 2019, atualizamos as nossas orientações para incluir o planeamento de saída para o Microsoft Azure e, hoje, temos orgulho de incluir também o Microsoft Dynamics 365 nesta última atualização de 2020. 

No white paper planejamento de saída para o Microsoft Cloud Services (clique aqui para baixar), também estamos abordando três mitos, bem como três verdades sobre o planejamento de saída, pois ainda há vários equívocos sobre o que um plano de saída fornecerá e não fornecerá. Esperamos estimular o debate em torno do tema, compartilhando nossos insights sobre eles e incentivando todos a ler tudo sobre os temas de maneira mais detalhada no white paper. 

Recursos adicionais da Microsoft 

Para saber mais, baixe aqui o nosso whitepaper, Exit planning for Microsoft Cloud Services e leia nosso blog sobre estratégias híbridas e multi-nuvem para organizações de serviços financeiros (clique aqui para acessar). Para acessar recursos adicionais e saber como os bancos estão se transformando digitalmente usando tecnologias da Microsoft e soluções de nossos parceiros, visite nossas home pages bancárias (clique aqui), de mercados de capitais (clique aqui) e de seguros (clique aqui). 

The post Diretrizes de planejamento de saída da nuvem para instituições de serviços financeiros appeared first on Blogs de indústria da Microsoft.