Por que os bancos estão adotando uma abordagem moderna para a cibersegurança: o modelo de Confiança Zero
Atualmente, muitos bancos ainda usam uma abordagem semelhante a um “fosso de castelo” (também conhecida como “parâmetro de segurança”) para proteger os dados contra ataques mal-intencionados. Assim como castelos medievais protegidos por paredes de pedra, fossos e portões, os bancos que usam o parâmetro de segurança investem muito no fortalecimento de seus perímetros de rede com firewalls, servidores proxy, honeypots e outras ferramentas de prevenção contra invasões. O parâmetro de segurança protege os pontos de entrada e saída da rede verificando os pacotes de dados e a identidade dos usuários que entram e saem da rede da organização e pressupõe que a atividade dentro do perímetro protegido seja relativamente segura.
As instituições financeiras experientes estão deixando esse paradigma para trás e adotando uma abordagem moderna para a segurança cibernética: o modelo de Confiança Zero. O princípio central de um modelo de Confiança Zero é não confiar em ninguém (interna ou externamente) por padrão e exigir a verificação rigorosa de todas as pessoas ou dispositivos antes de conceder acesso.
Os perímetros do castelo continuam a ser importantes. Porém, em vez de apenas continuar a investir em paredes mais fortes e fossos mais amplos, o modelo de Confiança Zero adota uma abordagem mais sutil para gerenciar o acesso a identidades, dados e dispositivos no famoso castelo. Portanto, mesmo que um membro interno aja de maneira mal-intencionada ou descuidada ou invasores ocultos consigam passar pelas paredes do castelo, o acesso automático aos dados não será garantido.
Limitações da abordagem “fosso de castelo”
Quando se trata de proteger o patrimônio digital corporativo de hoje, a abordagem “fosso de castelo” tem limitações críticas, pois o advento das ameaças cibernéticas mudou o significado de vigilância e proteção. Grandes organizações, como bancos, lidam com redes dispersas de dados e aplicativos acessados por funcionários, clientes e parceiros no local ou online. Isso dificulta a proteção dos perímetros do castelo. Mesmo que o fosso seja eficaz para manter os inimigos do lado de fora, não é muito útil para usuários com identidades comprometidas ou outras ameaças internas ocultas dentro das muralhas do castelo.
As práticas a seguir são fontes de exposição, sendo comuns em bancos que adotam a abordagem de segurança “fosso de castelo”:
- Uma única revisão anual dos direitos de acesso da equipe a aplicativos.
- Políticas ambíguas e inconsistentes de direitos de acesso, a critério do gerente, e governança insuficiente quando ocorrem mudanças de equipe.
- Uso excessivo de contas administrativas privilegiadas pela TI.
- Dados de clientes armazenados em vários compartilhamentos de arquivos e pouca noção de quem tem acesso a eles.
- Dependência excessiva de senhas para autenticar usuários.
- Falta de classificação e relatório de dados para entender onde estão os dados.
- Uso frequente de unidades flash USB para transferir arquivos que incluem dados altamente confidenciais.
Como um modelo de Confiança Zero capacita banqueiros e clientes
Os benefícios de uma abordagem de Confiança Zero foram bem documentados. Um número crescente de exemplos do mundo real mostra que essa abordagem poderia ter evitado ataques cibernéticos sofisticados. No entanto, muitos bancos ainda adotam práticas que divergem dos princípios de Confiança Zero.
A adoção de um modelo de Confiança Zero pode ajudar os bancos a fortalecer sua postura de segurança, para que possam apoiar com confiança iniciativas que deem mais flexibilidade a funcionários e clientes. Por exemplo, os executivos de bancos gostariam de liberar de suas mesas os funcionários que lidam diretamente com clientes (como gerentes de relacionamento e consultores financeiros), para que eles se reúnam com os clientes fora das dependências do banco. Hoje, muitas instituições financeiras dão suporte à agilidade geográfica usando ferramentas analógicas, como itens impressos em papel ou visualizações estáticas da consultoria. No entanto, os funcionários e os clientes dos bancos esperam obter uma experiência mais dinâmica usando dados em tempo real.
Os bancos que recorrem à abordagem “fosso de castelo” para a segurança hesitam em dispersar os dados fora da rede física. Assim, os banqueiros e consultores financeiros só podem usar os modelos dinâmicos de estratégias de investimento comprovadas e disciplinadas se as reuniões com os clientes ocorrem nas instalações do banco.
Historicamente, quando banqueiros ou consultores financeiros estão em outros locais, é difícil compartilhar atualizações de modelos em tempo real ou colaborar ativamente com outros banqueiros ou comerciantes, pelo menos não sem VPNs. No entanto, essa agilidade é um fator importante para garantir boas decisões de investimento e a satisfação do cliente. Um modelo de Confiança Zero permite que um gerente de relacionamento ou um analista obtenha informações de provedores de dados de mercado, sintetize-as com seus próprios modelos e trabalhe dinamicamente em diferentes cenários de clientes, em praticamente qualquer lugar e a qualquer momento.
A boa notícia é que estamos em uma nova era de segurança inteligente, habilitada pela nuvem e pela arquitetura de Confiança Zero, que pode otimizar e modernizar a segurança e a conformidade dos bancos.
O Microsoft 365 ajuda a transformar a segurança do banco
Com o Microsoft 365, os bancos podem tomar medidas imediatas para adotar a segurança de Confiança Zero implantando três estratégias principais:
- Identidade e autenticação ‒ em primeiro lugar, os bancos precisam garantir que os usuários são quem dizem ser e conceder acesso de acordo com as funções. Com o Azure AD (Azure Active Directory), os bancos podem usar o SSO (logon único) para permitir que usuários autenticados se conectem a aplicativos de qualquer lugar. Assim, funcionários móveis podem acessar recursos com segurança, sem comprometer a produtividade.
Os bancos também podem implantar métodos de autenticação robustos, como MFA (Autenticação Multifator) de dois fatores ou sem senha, o que pode reduzir em 99,9% o risco de violação. O Microsoft Authenticator dá suporte a notificações por push, senhas de uso único e biometria para qualquer aplicativo conectado ao Azure AD.
Para dispositivos Windows, os funcionários do banco podem usar o Windows Hello, um recurso de reconhecimento facial seguro e conveniente para entrar em dispositivos. Por fim, os bancos podem usar o Acesso Condicional do Azure AD para proteger recursos contra solicitações suspeitas, aplicando as políticas de acesso apropriadas. O Microsoft Intune e o Azure AD trabalham em conjunto para garantir que apenas dispositivos gerenciados e em conformidade possam acessar os serviços do Office 365, como email e aplicativos locais. Por meio do Intune, você também pode avaliar o status de conformidade dos dispositivos. A política de acesso condicional é imposta dependendo do status de conformidade do dispositivo no momento em que o usuário tenta acessar os dados.
Ilustração de acesso condicional.
- Proteção contra ameaças ‒ com o Microsoft 365, os bancos também podem reforçar a capacidade de proteger, detectar e reagir a ataques com a segurança integrada e automatizada da Proteção contra Ameaças da Microsoft. Ela tira proveito de um dos maiores sinais de ameaças do mundo disponíveis no Gráfico de Segurança Inteligente da Microsoft e da automação avançada com IA (inteligência artificial) para aprimorar a identificação e a resposta a incidentes, permitindo que as equipes de segurança resolvam ameaças de maneira precisa, eficiente e oportuna. O Centro de segurança do Microsoft 365 fornece um hub centralizado e um espaço de trabalho especializado para gerenciar e aproveitar ao máximo as soluções de segurança inteligente do Microsoft 365 para gerenciamento de identidade e acesso, proteção contra ameaças, proteção de informações e gerenciamento de segurança.
O Centro de segurança do Microsoft 365.
- Proteção de informações ‒ embora a identidade e os dispositivos sejam os principais vetores de vulnerabilidade dos ataques cibernéticos, em última análise, os dados são o que os criminosos cibernéticos desejam. Com a Proteção de Informações da Microsoft, os bancos podem melhorar a proteção de informações confidenciais, onde quer que elas estejam. O Microsoft 365 permite que os clientes 1) identifiquem e classifiquem seus dados confidenciais; 2) apliquem políticas de proteção flexíveis; e 3) monitorem e corrijam dados confidenciais que estão em risco.
Exemplo de cenário de classificação e proteção.
Simplificar o gerenciamento de segurança com a Confiança Zero
O Microsoft 365 ajuda a simplificar o gerenciamento de segurança em uma arquitetura moderna de Confiança Zero, aproveitando a visibilidade, a escala e a inteligência necessárias para combater o crime cibernético.
Ao considerar como proteger seu “castelo” moderno, um ambiente de Confiança Zero é ideal para combater as ameaças modernas de segurança cibernética. Um ambiente de Confiança Zero exige supervisão atualizada de quem acessa o que, onde e quando e se essas pessoas devem ter acesso.
Os recursos de segurança e conformidade do Microsoft 365 ajudam as organizações a verificar antes de confiarem em um usuário ou dispositivo. O Microsoft 365 também oferece uma solução completa de produtividade e trabalho em equipe. No geral, o Microsoft 365 fornece uma solução abrangente para ajudar os executivos dos bancos a se concentrar nos clientes e na inovação.