Empresas, Opinião

Os três fatores chave nos serviços financeiros em nuvem

Para as instituições financeiras, existem três temas comuns que emergem frequentemente no contexto da regulação e que devem estar no topo da agenda dos ‘stakeholders’: gestão de dados, cibersegurança e gestão de riscos.

Ian Massingham, AWS Technical Evangelist

29 abr 2019, 08:07

A perceção global da ideia de “mudar para a nuvem” sofreu várias alterações desde o seu início. O que começou por ser um salto de fé para o desconhecido, acabou por se tornar um fator crucial para empresas que querem inovar e crescer. Já as empresas que evitam mudar para a cloud estão a ser ultrapassadas.

A muito regulada área dos serviços financeiros foi mais lenta na adoção da nuvem. Mas a ansiedade inicial deu lugar ao entusiasmo, pois o nível de segurança, flexibilidade e resiliência da computação em nuvem foram provados diversas vezes. Na verdade, organizações financeiras como a Capital One, Starling Bank e Stripe são alguns dos principais players que usam e defendem a computação em nuvem.

Com a cloud a tornar-se um lugar comum no setor dos serviços financeiros, os reguladores começam a estender a sua atividade para englobar ambientes em nuvem. Testaram-se várias abordagens: foram emitidas novas regras e adaptaram-se orientações ao ambiente em nuvem, assim como se atualizaram as diretrizes existentes para que fossem mais aplicáveis às tecnologias emergentes. Independentemente da opção escolhida pelos reguladores, o enfoque global no tema da privacidade e da cibersegurança levou a um maior escrutínio face às formas como as instituições financeiras gerem os dados na nuvem.

Para estas organizações, existem três temas comuns que emergem frequentemente no contexto da regulação e que devem estar no topo da agenda dos stakeholders: gestão de dados, cibersegurança e gestão de riscos.

Gestão de dados

As empresas que oferecem serviços financeiros armazenam enormes quantidades de dados sobre os consumidores, mercado ou informação interna. A gestão destes dados tornou-se ainda mais importante com a introdução do Regulamento Geral sobre a Proteção de Dados. A fim de cumprir o regulamento, as instituições financeiras têm que implementar medidas para garantir a segurança e a confidencialidade dos dados armazenados em nuvem.

O primeiro passo para a gestão de um conjunto cada vez maior de dados prende-se com a encriptação. Como ponto de partida, as empresas devem garantir que os dados podem ser supervisionados a partir de um ponto central de controlo. Historicamente, os silos são inimigos do progresso, ao conferir aos processos internos um ritmo semelhante ao de um caracol. A nuvem sempre se apresentou como uma solução para este problema, dando uma visão clara e unificada de onde os dados residem e um único ponto para gerir esses mesmos dados.

Agora, é crucial que stakeholders consigam gerir chaves de encriptação e definam políticas consistentes através deste ponto de controlo único para encriptar efetivamente todos os dados confidenciais.

Em última análise, a gestão de dados na nuvem deve ser encarada sob a forma de “conteúdo agnóstico”. O que significa que empresas e fornecedores de serviços em “nuvem têm que tratar todos os dados de clientes e ativos associados como algo altamente confidencial, implementando medidas técnicas e físicas sofisticadas contra o acesso não autorizado. O que, por sua vez, limita a possibilidade de falhas e “backdoors”, oferecendo um ambiente seguro para todos os ativos incluídos na infraestrutura.

Cibersegurança

As instituições financeiras vivem com base na sua abordagem à cibersegurança. Os reguladores financeiros esperam que as empresas mantenham uma postura forte neste campo, dado que uma falha pode causar danos irreparáveis à reputação de uma marca, o que torna a cibersegurança uma preocupação fundamental para as administrações.

De acordo com a última atualização semestral de 2018 sobre ações fraudulentas, compilada por investigadores da UK Finance, as organizações de serviços financeiros sofreram um aumento do número de ataques no último ano. Os ciberataques têm vindo a tornar-se mais sofisticados e a registarem maior sucesso, fazendo com que o tema cibersegurança se torne mais assustador para estas empresas.

É precisamente neste âmbito que os fornecedores de serviços em nuvem podem apoiar as organizações de serviços financeiros com uma perspetiva de responsabilidade partilhada sobre segurança. O fornecedor de serviços em nuvem é responsável pela segurança da própria nuvem, facultando níveis de proteção de classe mundial, concebidos para as empresas cujo tema da segurança é bastante sensível.

No entanto, as instituições financeiras devem lembrar-se de que são responsáveis por gerir a segurança quando os dados estão na nuvem. Desde testes de invasão até funções de segurança automatizadas, é crucial que as empresas estejam totalmente instruídas e atualizadas nos procedimentos, processos e ferramentas mais recentes para reduzir os riscos.

Os testes de invasão, um requisito fundamental dos reguladores financeiros, é um bom exemplo de como funciona o modelo de responsabilidade partilhada. São realizados testes regulares de invasão na nossa infraestrutura e serviços. Os clientes podem executar verificações de vulnerabilidade e testes de invasão nos seus próprios ambientes informáticos, e é responsabilidade de cada instituição garantir que estes são realizados regularmente para se manterem seguros.

Gestão de riscos

Em qualquer área de TI, se não conseguir medir, não consegue gerir. Se os CIO tiverem uma visão insuficiente da sua infraestrutura de TI, será quase impossível garantir a existência da compliance desejada – o que é especialmente importante em serviços financeiros nos quais os órgãos reguladores esperam que processos robustos de gestão de riscos estejam em vigor para qualquer empresa que use infraestrutura em nuvem.

A verificação contínua é essencial para assegurar que os utilizadores conseguem gerir o risco inerente ao seu ambiente em nuvem, garantindo que têm ferramentas suficientes para apoiar a regulamentação e rastreabilidade. É por isso que as empresas devem ter uma prática de verificação completa, que permita monitorizar, analisar e auditar eventos que ocorrem nos seus ambientes em nuvem. Com tal prática em vigor, os órgãos executivos podem melhorar a sua perceção do assunto e também fornecer um ponto de vista necessário e transparente aos reguladores do setor.

Para garantir que a adoção da nuvem neste contexto altamente regulamentado é bem-sucedida, fornecedores de serviço em nuvem e utilizadores finais têm de trabalhar de forma cooperativa. A existência de linhas abertas de comunicação e uma única perspetiva para questões relacionadas com compliance e segurança são essenciais para as empresas em nuvem que desejam ajudar as instituições financeiras na sua jornada digital. Protegendo e gerindo convenientemente os dados em todo o ambiente, as empresas podem desfrutar dos benefícios da nuvem, reduzindo os riscos existentes.

Os três fatores chave nos serviços financeiros em nuvem

RECOMENDADO

CT da TSF lamenta falta de consenso parlamentar para constituir comissão de inquérito

Equipas da Faculdade de Economia do Porto vencem competições de casos de negócio na Holanda e Dinamarca

AHRESP está disponível para dialogar sobre taxa turística

Siga-nos

Sobre

Comercial