18/11/2024 às 22h36min - Atualizada em 21/11/2024 às 08h06min

Segurança cibernética das instituições financeiras deve começar de dentro para fora, alerta Kryptus

Medidas incluem combinação de soluções tradicionais e emergentes com base no princípio de privilégio mínimo

GENILSON OLIVEIRA
Foto: Pixabay

Em um cenário em que o roubo de credenciais e a complexidade das fraudes aumentam exponencialmente, a proteção de dados e identidades digitais se tornou uma questão crítica para o setor financeiro. Segundo relatório do FMI,  bancos, seguradoras e gestoras de ativos foram alvos de mais de 20 mil ataques cibernéticos nas últimas décadas, somando perdas em torno de US$ 12 bilhões.

Práticas cada vez mais sofisticadas de phishing, engenharia social e comprometimento de credenciais pressionam as instituições a investir constantemente em camadas adicionais de segurança. Um estudo recente da Federação Brasileira de Bancos (Febraban) mapeou as tecnologias emergentes de segurança e identidade digital mais relevantes para o setor financeiro, como biometria, Privacy-Preserving Computation (PPC) e cibersegurança pós-quântica.

Nesse contexto, o foco das instituições também se volta para a questão da eficiência. “Ferramentas robustas de segurança demandam grande quantidade de processamento, por isso é preciso pensar em soluções que permitam operações seguras sem comprometer a usabilidade”, afirma Armando Ferraz, especialista no setor de pagamentos da Kryptus, multinacional brasileira de criptografia e segurança cibernética.

Ferraz destaca os avanços no segmento de biometria, que evoluiu de simples verificação de impressões digitais para uma solução de reconhecimento facial, de íris e até mesmo comportamental. “Uma vez que dados biométricos são registros únicos, a tecnologia elimina a necessidade de senhas e aprimora a experiência do usuário, promovendo maior segurança e praticidade”, diz.

A despeito do investimento em tecnologias emergentes ser essencial para elevar as defesas de perímetro e controle de acesso, muitas organizações ainda negligenciam o uso restrito dos dados que administram internamente, observa o especialista. Ele explica que a segurança centrada exclusivamente em barreiras externas é insuficiente, especialmente em caso de credenciais administrativas. "É preciso limitar a capacidade de consumo de dados de cada credencial e adotar uma visão orientada aos dados, que deve ser somada à proteção perimetral. Dessa forma, mesmo que um acesso seja comprometido, o potencial de danos será menor, já que o alcance dos dados será restringido."

O especialista também aponta a ampla área de exposição como alto risco à segurança de credenciais. “Muitas empresas terceiras acabam tendo acesso a informações, e a maturidade dos usuários no quesito segurança ainda é baixa, o que os tornam suscetíveis a golpes. Portanto, as credenciais devem ser restritas de acordo com a real necessidade do usuário administrador. Uma credencial com privilégios ilimitados é um dos principais vetores de ataque, inclusive de ransomware.”

Baseada no princípio de privilégio mínimo, a anonimização de dados pode ser realizada por meio de softwares capazes de classificar e proteger as credenciais e os níveis de acesso de cada usuário. Combinados em um módulo de segurança de hardware (HSM), os dados são classificados, cifrados e protegidos em todas as camadas. Essa abordagem, de acordo com Ferraz, não apenas garante que os dados sensíveis permaneçam inacessíveis a usuários não autorizados, como também assegura que a criptografia utilizada para protegê-los seja gerida de maneira segura, minimizando o risco de comprometimento.

Medidas de proteção interna dos dados devem ainda ser orientadas pela observação das conformidades regulatórias, a exemplo das normas PSD2 e PCI DSS, que determinam o uso de mecanismos de autenticação e criptografia avançada; e ISO/IEC 27701, que fornece diretrizes para a gestão de informações de privacidade, em alinhamento com a Lei Geral de Proteção de Dados (LGPD).

A cibersegurança pós-quântica também se tornará essencial na proteção de dados à medida que os computadores quânticos ganham espaço e tornam vulneráveis os métodos criptográficos tradicionais. "Recentemente, alcançamos a certificação NIST CAVP, que valida nossa capacidade de resistência a ataques de computadores pós-quânticos para o kNET HSM, conforme o Instituto Nacional de Padrões e Tecnologia. Isso significa que adotamos uma abordagem híbrida, combinando criptografia tradicional e pós-quântica para garantir uma proteção contínua e de longo prazo", acrescenta Ferraz.

Outras tecnologias emergentes, como o PPC, que efetua o processamento e análise de dados ao mesmo tempo em que preserva a privacidade das informações; e a criptografia homomórfica, que permite realizar operações em dados criptografados sem a necessidade de decifrá-los primeiro, serão igualmente importantes frente aos novos desafios à segurança cibernética de bancos e empresas de meios de pagamento.

“O setor financeiro deve adotar e promover uma abordagem de segurança cibernética proativa, combinando ferramentas novas e tradicionais, mas principalmente olhando para seu pessoal e seus processos. Uma segurança efetiva e duradoura depende de uma mudança de mentalidade e deve começar de dentro para fora das instituições”, conclui.


Notícia distribuída pela saladanoticia.com.br. A Plataforma e Veículo não são responsáveis pelo conteúdo publicado, estes são assumidos pelo Autor(a):
GENILSON ALVES DE OLIVEIRA
[email protected]


Link
Notícias Relacionadas »
Comentários »
Comentar

*Ao utilizar o sistema de comentários você está de acordo com a POLÍTICA DE PRIVACIDADE do site https://itaqueraemnoticias.com.br/.