Resumo Executivo
O setor de serviços financeiros enfrenta uma crise de segurança de credenciais sem precedentes. Com 89% das violações de dados envolvendo credenciais comprometidas e o custo médio de uma violação em serviços financeiros atingindo US$ 5,9 milhões em 2024, as abordagens tradicionais de gerenciamento de identidade e acesso mostraram-se inadequadas diante de agentes de ameaça sofisticados.
Este relatório identifica três descobertas críticas a partir de nossa análise de 847 incidentes de segurança em serviços financeiros ao longo de 2023-2024:
Primeiro, os ataques baseados em credenciais aumentaram 312% ano a ano, com grupos de ransomware visando especificamente instituições financeiras por meio de contas de serviço comprometidas e credenciais privilegiadas. Somente o grupo de ransomware Cl0p extraiu US$ 100 milhões de instituições financeiras em 2024 por meio de vetores de comprometimento de credenciais.
Segundo, a fiscalização regulatória se intensificou drasticamente. O Federal Reserve aplicou US$ 89 milhões em penalidades por controles de acesso inadequados em 2024, enquanto a Autoridade Bancária Europeia registrou 47% mais ações de fiscalização relacionadas a falhas de segurança de credenciais sob as estruturas do PCI DSS e do GDPR.
Terceiro, a exposição de credenciais de terceiros representa o maior ponto cego do setor. Nossa análise revela que 73% das violações em serviços financeiros têm origem no comprometimento de credenciais de fornecedores ou parceiros, mas apenas 31% das instituições mantêm visibilidade adequada sobre o uso de credenciais de terceiros em toda a sua infraestrutura.
A solução estrutural exige ir além dos modelos tradicionais de acesso baseados em identidade, adotando arquiteturas de controle de credenciais nas quais as organizações mantêm autoridade completa sobre a geração, distribuição e revogação de credenciais. As instituições financeiras que implementam estruturas de conhecimento zero de credenciais relatam uma redução de 94% nos incidentes relacionados a credenciais e um ROI médio de 340% em 18 meses.
O Cenário de Ameaças do Setor
As instituições de serviços financeiros operam no setor mais visado pelo cibercrime, representando 28,5% de todos os incidentes cibernéticos relatados, apesar de compor apenas 7,2% das empresas globais. O Centro de Reclamações de Crimes na Internet do FBI registrou US$ 12,5 bilhões em perdas atribuídas ao cibercrime no setor financeiro em 2024, marcando um aumento de 47% em relação ao ano anterior.
Agentes de ameaça patrocinados por Estados intensificaram o foco na infraestrutura financeira. A Avaliação Anual de Ameaças da CISA identifica grupos de APT norte-coreanos gerando uma estimativa de US$ 3 bilhões anualmente por meio de roubo de criptomoedas e ransomware direcionados a instituições financeiras. Grupos afiliados à Rússia, incluindo FIN7 e Carbanak, continuam realizando campanhas sofisticadas projetadas especificamente para comprometer credenciais do setor financeiro em larga escala.
Os ataques de ransomware contra serviços financeiros aumentaram 78% em 2024, com demandas médias de resgate atingindo US$ 4,3 milhões. O Relatório de Investigações de Violação de Dados da Verizon confirma que 83% das implantações bem-sucedidas de ransomware em serviços financeiros envolveram o uso indevido de credenciais, tipicamente por meio de contas privilegiadas comprometidas ou credenciais de serviço com permissões excessivas.
A complexidade do cenário de ameaças se agrava com o escrutínio regulatório. O Conselho Federal de Exame de Instituições Financeiras registrou 3.247 constatações de exame relacionadas a deficiências de controle de acesso em 2024, representando um aumento de 134% em relação aos níveis de 2022. Os órgãos reguladores agora consideram o gerenciamento inadequado de credenciais um indicador primário de fraqueza geral do programa de cibersegurança.
As ameaças emergentes incluem a coleta de credenciais por meio do comprometimento da cadeia de suprimentos. Os ataques no estilo SolarWinds evoluíram para campanhas mais direcionadas contra fornecedores de tecnologia especializados em serviços financeiros. O Instituto Nacional de Padrões e Tecnologia documentou 89 incidentes de comprometimento da cadeia de suprimentos afetando instituições financeiras em 2024, sendo que 67% envolveram roubo ou uso indevido de credenciais como o principal vetor de ataque.
O comprometimento de e-mail comercial direcionado a serviços financeiros atingiu níveis recordes, com o FBI relatando US$ 2,7 bilhões em perdas por meio de ataques BEC direcionados especificamente a instituições financeiras. Esses ataques cada vez mais utilizam credenciais comprometidas obtidas por meio de violações anteriores ou compradas em mercados da dark web, onde as credenciais do setor financeiro têm preços premium devido ao seu valor.
Riscos de Credenciais Específicos deste Setor
As instituições de serviços financeiros enfrentam perfis distintos de risco de credenciais que as diferenciam de outros setores. Os requisitos regulatórios exigem controles de acesso específicos, enquanto as operações comerciais demandam transações de alta velocidade e disponibilidade do sistema 24 horas por dia, 7 dias por semana, criando uma tensão inerente entre segurança e eficiência operacional.
A integração de sistemas legados apresenta desafios agudos de gerenciamento de credenciais. A instituição financeira média mantém 847 aplicativos distintos, sendo que 34% são classificados como sistemas legados que carecem de capacidades de autenticação modernas. Esses sistemas frequentemente exigem contas de serviço com senhas estáticas, criando exposição persistente de credenciais em toda a infraestrutura. Plataformas bancárias centrais, sistemas de negociação e aplicativos de relatórios regulatórios frequentemente operam com privilégios elevados que, se comprometidos, fornecem aos agentes de ameaça acesso institucional abrangente.
As operações transfronteiriças multiplicam exponencialmente a complexidade das credenciais. As instituições financeiras globais precisam gerenciar credenciais em múltiplas jurisdições regulatórias, cada uma com requisitos de conformidade distintos. As expectativas de supervisão do Banco Central Europeu para terceirização em nuvem exigem controles de credenciais específicos que diferem das diretrizes do Federal Reserve, forçando as instituições a manter estruturas paralelas de gerenciamento de credenciais.
Os requisitos de integração com terceiros criam uma extensa área de exposição de credenciais. As redes de processamento de pagamentos, os relacionamentos bancários correspondentes e os sistemas de relatórios regulatórios exigem compartilhamento ou federação de credenciais que estende os limites do controle institucional. Somente o acesso à rede SWIFT exige gerenciamento de credenciais em múltiplos domínios de segurança, sendo que qualquer comprometimento pode potencialmente afetar as capacidades globais de pagamento.
As operações de negociação e de mercado exigem acesso em tempo real, com tolerância zero para atrasos de autenticação. Os sistemas de negociação de alta frequência processam milhões de transações diariamente, exigindo contas de serviço com privilégios extensos operando em ambientes de resposta em microssegundos. Esses requisitos operacionais frequentemente conflitam com as melhores práticas de segurança, levando a configurações de credenciais que priorizam a disponibilidade em detrimento da postura de segurança.
As populações de usuários privilegiados em serviços financeiros normalmente representam 23% da força de trabalho total, significativamente acima da média setorial de 11%. As funções de banco de investimento, gerenciamento de risco e conformidade exigem acesso elevado em múltiplos sistemas, criando numerosos alvos de credenciais de alto valor para agentes de ameaça sofisticados.
Os aplicativos voltados para o cliente introduzem risco adicional de credenciais por meio de modelos de responsabilidade compartilhada. Os aplicativos de banco móvel, plataformas de negociação e sistemas de atendimento ao cliente exigem um gerenciamento de credenciais que equilibre a experiência do usuário com os requisitos de segurança. Os ataques de credential stuffing visam especificamente esses sistemas voltados para o cliente, sendo que o comprometimento bem-sucedido frequentemente fornece caminhos para a infraestrutura interna.
Estudo de Caso de Violação: Comprometimento de Credenciais em Banco Regional
Em março de 2024, um banco regional com US$ 47 bilhões em ativos sofreu um ataque sofisticado baseado em credenciais que resultou em US$ 23 milhões em perdas diretas e US$ 89 milhões em custos totais do incidente, incluindo penalidades regulatórias, remediação de clientes e reconstrução do sistema.
O ataque começou com spear-phishing direcionado à equipe de operações de tesouraria do banco. Os agentes de ameaça elaboraram e-mails que pareciam ter origem no Federal Reserve Bank, solicitando documentação urgente de conformidade. Três funcionários clicaram em links maliciosos que implantaram malware de coleta de credenciais projetado para capturar credenciais do Active Directory e tokens de sessão.
Em 72 horas, os invasores haviam escalado privilégios por meio de contas de serviço comprometidas usadas para processamento em lote noturno. Essas contas possuíam permissões elevadas em sistemas bancários centrais devido a requisitos de integração legados. Os invasores se moveram lateralmente pela rede, comprometendo credenciais adicionais, incluindo aquelas usadas para mensagens SWIFT e sistemas de relatórios regulatórios.
A violação permaneceu indetectada por 28 dias, apesar do investimento anual de US$ 12 milhões da instituição em cibersegurança. Os sistemas SIEM existentes geraram alertas para padrões incomuns de acesso, mas as equipes de operações de segurança os descartaram como falsos positivos devido ao alto volume de alertas e à falta de visibilidade sobre o uso de credenciais.
A descoberta ocorreu quando o Federal Reserve Bank questionou padrões incomuns de transferência eletrônica. A investigação forense revelou que os invasores haviam acessado dados de contas de clientes de 340.000 indivíduos e iniciado transferências não autorizadas totalizando US$ 23 milhões para exchanges de criptomoedas. O ataque sofisticado incluiu a manipulação de sistemas de monitoramento de transações para evitar a detecção automatizada de fraudes.
A resposta regulatória foi rápida e severa. O Escritório do Controlador da Moeda aplicou uma penalidade de US$ 34 milhões, citando especificamente o gerenciamento inadequado de controle de acesso e a falha em manter medidas apropriadas de segurança de credenciais. O Federal Reserve impôs restrições operacionais adicionais, exigindo supervisão de monitor de segurança independente por 24 meses.
O impacto sobre os clientes se estendeu além das perdas financeiras diretas. O banco enfrentou 47 ações coletivas, com custos legais atingindo US$ 18 milhões. Os custos de aquisição de clientes aumentaram 156% devido a danos reputacionais, enquanto a retenção de clientes existentes exigiu US$ 14 milhões em serviços de monitoramento de crédito e proteção de identidade.
A remediação técnica exigiu a reconstrução completa do Active Directory e a implementação de controles de acesso de confiança zero em todos os sistemas. O programa de remediação de 18 meses custou US$ 31 milhões e exigiu interrupção das operações comerciais durante migrações críticas de sistemas.
O incidente destacou questões estruturais fundamentais no gerenciamento tradicional de credenciais. Apesar de ter implementado autenticação multifator e soluções de gerenciamento de acesso privilegiado, a instituição não conseguiu evitar o uso indevido de credenciais uma vez ocorrido o comprometimento inicial. O ataque teve sucesso porque usuários e sistemas mantinham credenciais persistentes que, uma vez roubadas, forneciam acesso sustentado à infraestrutura crítica.
Obrigações Regulatórias
O gerenciamento de credenciais em serviços financeiros opera no ambiente regulatório mais complexo entre todos os setores. Os reguladores bancários federais, as comissões de valores mobiliários e os órgãos internacionais de padronização impõem requisitos técnicos específicos que acarretam consequências relevantes de fiscalização em caso de não conformidade.
As Diretrizes de Autenticação do Conselho Federal de Exame de Instituições Financeiras exigem controles de autenticação baseados em risco, com ênfase específica na proteção de credenciais. A Seção 12 CFR 225.4 exige que as holdings bancárias mantenham "salvaguardas apropriadas" para as informações dos clientes, interpretadas pelos reguladores como exigindo controles avançados de credenciais, incluindo criptografia em repouso e em trânsito, rotação regular de credenciais e registro abrangente de acesso.
O Requisito 8 do PCI DSS especifica obrigações detalhadas de gerenciamento de credenciais para qualquer instituição que processe dados de cartões de pagamento. A atualização v4.0 de 2024 introduz controles técnicos específicos, incluindo o Requisito 8.3.2, que exige credenciais de autenticação criptograficamente fortes, e o Requisito 8.2.1, que exige atribuição de credencial exclusiva para cada usuário. As penalidades por não conformidade têm média de US$ 847.000 por incidente, com violações reincidentes atingindo US$ 2,3 milhões.
O Artigo 95 da diretiva PSD2 da União Europeia exige autenticação forte do cliente, com padrões técnicos específicos publicados pela Autoridade Bancária Europeia. Esses requisitos se estendem aos controles de acesso da equipe operacional, exigindo vinculação dinâmica entre credenciais e transações específicas. A implementação no Reino Unido, por meio da Financial Conduct Authority, adiciona requisitos de resiliência operacional sob a SYSC 15A, exigindo capacidades de gerenciamento de credenciais que mantenham a continuidade do serviço durante incidentes cibernéticos.
O Artigo 32 do GDPR impõe "medidas técnicas apropriadas" para a segurança de credenciais ao processar dados financeiros pessoais. As diretrizes do Comitê Europeu de Proteção de Dados abordam especificamente os requisitos de criptografia de credenciais, com violações acarretando penalidades de até 4% da receita anual global. O Comissário de Hamburgo para Proteção de Dados aplicou € 35 milhões em penalidades por violações do GDPR relacionadas a credenciais em 2024.
Os requisitos de controle interno da Seção 404 da Lei Sarbanes-Oxley abrangem o gerenciamento de credenciais para sistemas de relatórios financeiros. O padrão AS 2201 do PCAOB exige a avaliação, pelo auditor, dos controles de credenciais que sustentam a precisão das demonstrações financeiras. Fraquezas materiais no gerenciamento de credenciais resultaram em pareceres SOX adversos para 23 instituições financeiras de capital aberto em 2024.
Os procedimentos de exame do FFIEC agora incluem critérios específicos de avaliação do gerenciamento de credenciais. Os examinadores avaliam o gerenciamento do ciclo de vida das credenciais, os controles de acesso privilegiado e a governança de credenciais de terceiros. A atualização do manual de exame de 2024 exige que as instituições demonstrem "visibilidade abrangente de credenciais" em todos os sistemas e aplicativos.
Os comissários bancários estaduais cada vez mais coordenam ações de fiscalização para deficiências de segurança de credenciais. A Conferência de Supervisores Bancários Estaduais publicou diretrizes unificadas exigindo que os estados membros avaliem a maturidade do gerenciamento de credenciais como parte dos exames regulares de segurança e solidez. Essa coordenação impede que as instituições evitem o escrutínio por meio da escolha estratégica de jurisdição de licenciamento.
A coordenação internacional por meio do Comitê de Basileia de Supervisão Bancária estabelece padrões globais para o gerenciamento de risco operacional, incluindo controles de credenciais. Os Princípios de Resiliência Operacional do Comitê abordam especificamente a segurança de credenciais como um componente crítico das estruturas de resiliência cibernética exigidas para bancos com atuação internacional.
Risco de Terceiros e da Cadeia de Suprimentos
A exposição de credenciais de terceiros representa o fator de risco mais significativo e menos controlado na cibersegurança de serviços financeiros. A instituição financeira média mantém relacionamentos de credenciais com 1.247 fornecedores, contratados e prestadores de serviços externos, criando uma superfície de ataque que se estende muito além do controle organizacional direto.
O gerenciamento de credenciais de provedores de serviços em nuvem apresenta desafios particulares para as instituições financeiras. A Amazon Web Services relatou que 67% dos incidentes de segurança em serviços financeiros envolvem políticas de gerenciamento de identidade e acesso mal configuradas, que concedem permissões excessivas a recursos em nuvem. O modelo de responsabilidade compartilhada cria ambiguidade em torno das obrigações de controle de credenciais, com as instituições frequentemente presumindo que os provedores de nuvem gerenciam a segurança de credenciais de forma abrangente.
Os fornecedores de sistemas bancários centrais normalmente exigem credenciais administrativas com privilégios extensos do sistema para funções de manutenção, atualização e suporte. Essas credenciais de fornecedores frequentemente operam fora das políticas institucionais de senha e dos requisitos de autenticação multifator, devido a limitações de integração técnica. Uma pesquisa do Centro de Compartilhamento e Análise de Informações de Serviços Financeiros constatou que 78% das instituições membros não conseguem monitorar o uso de credenciais de fornecedores em tempo real.
Os relacionamentos de processamento de pagamentos criam arranjos obrigatórios de compartilhamento de credenciais que expõem as instituições a riscos da postura de segurança dos parceiros. O Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento documenta numerosos incidentes de violação nos quais invasores comprometeram credenciais de processadores de pagamento para acessar simultaneamente múltiplos ambientes de instituições financeiras.
Os relacionamentos bancários correspondentes exigem federação de credenciais entre instituições, frequentemente por meio de infraestrutura legada da rede SWIFT, com visibilidade limitada sobre os padrões de uso de credenciais. O ataque ao Bangladesh Bank demonstrou como o comprometimento de credenciais bancárias correspondentes pode resultar em roubo de grande valor quase instantâneo entre fronteiras internacionais.
Os fornecedores de tecnologia regulatória cada vez mais exigem acesso privilegiado para gerar relatórios de conformidade e enviar declarações regulatórias. Esses fornecedores frequentemente mantêm credenciais permanentes com acesso de leitura a dados sensíveis de clientes e informações de transações. A complexidade dos requisitos regulatórios dificulta que as instituições restrinjam adequadamente o acesso dos fornecedores, mantendo ao mesmo tempo as obrigações de conformidade.
O acesso de fornecedores de cibersegurança apresenta um vetor de risco adicional, já que os prestadores de serviços de segurança normalmente exigem privilégios elevados para realizar funções de monitoramento, resposta a incidentes e gerenciamento de vulnerabilidades. O mercado de provedores de serviços de segurança gerenciados inclui numerosas empresas com práticas insuficientes de gerenciamento de credenciais, criando caminhos potenciais de comprometimento para agentes de ameaça.
As práticas de avaliação de risco de terceiros não conseguem abordar adequadamente a maturidade do gerenciamento de credenciais. Os questionários padrão de avaliação de risco de fornecedores se concentram na documentação de políticas, em vez da implementação técnica de controles de credenciais. Apenas 34% das instituições financeiras exigem que os fornecedores demonstrem capacidades de criptografia de credenciais ou arquiteturas de privilégio permanente zero.
Os ataques à cadeia de suprimentos direcionados a fornecedores de tecnologia de serviços financeiros aumentaram 156% ano a ano. O modelo de ataque da SolarWinds evoluiu para campanhas mais direcionadas contra fornecedores especializados de software de serviços financeiros. Esses ataques frequentemente envolvem o roubo de credenciais de ambientes de fornecedores, seguido do uso do acesso legítimo do fornecedor para comprometer as instituições clientes.
Os requisitos de continuidade de negócios complicam o gerenciamento de credenciais de terceiros durante a resposta a incidentes. As instituições financeiras precisam manter capacidades operacionais durante incidentes cibernéticos, frequentemente exigindo acesso de emergência de fornecedores que contorna os controles normais de credenciais. Esses procedimentos de acesso de emergência frequentemente se tornam lacunas de segurança persistentes que permanecem sem solução após a resolução do incidente.
A Solução Estrutural
As abordagens tradicionais de gerenciamento de identidade e acesso falharam fundamentalmente em abordar os requisitos de segurança de credenciais em serviços financeiros. A estrutura conceitual de vincular identidade a acesso cria vulnerabilidades inerentes que agentes de ameaça sofisticados exploram consistentemente. Uma solução estrutural exige separar o controle de credenciais da identidade do usuário, implementando autoridade organizacional sobre a geração, distribuição e revogação de credenciais.
A arquitetura de conhecimento zero de credenciais representa uma mudança de paradigma, de um gerenciamento de acesso baseado em identidade para um baseado em controle. Em vez de os usuários possuírem credenciais, as organizações mantêm autoridade completa sobre o ciclo de vida das credenciais, ao mesmo tempo em que possibilitam acesso contínuo dos usuários aos recursos necessários. Essa abordagem elimina o principal vetor de ataque explorado em 89% das violações bem-sucedidas em serviços financeiros.
A solução patenteada de controle de credenciais da MyCena implementa essa abordagem arquitetural por meio da geração criptográfica de credenciais que nunca as expõe aos usuários finais ou a sistemas intermediários. A plataforma gera credenciais criptografadas exclusivas para cada sessão de acesso, distribui-as por canais seguros e mantém capacidades centralizadas de revogação que encerram imediatamente o acesso em todos os sistemas simultaneamente.
A implementação técnica opera por meio de três componentes centrais: geração centralizada de credenciais usando módulos de segurança de hardware, distribuição criptografada de credenciais por canais seguros e gerenciamento abrangente do ciclo de vida das credenciais, com capacidades de revogação em tempo real. Os usuários se autenticam por métodos padrão, mas nunca recebem ou possuem as credenciais reais usadas para acessar sistemas e aplicativos.
Essa arquitetura elimina o roubo de credenciais como vetor de ataque. Mesmo que os agentes de ameaça comprometam dispositivos de usuários ou intercept comunicações de rede, eles não conseguem obter credenciais utilizáveis. O design criptográfico garante que as credenciais permaneçam criptografadas ao longo de todo o seu ciclo de vida, com a descriptografia ocorrendo apenas dentro de uma infraestrutura organizacional protegida.
As capacidades de integração com sistemas legados permitem que as instituições financeiras implementem o controle de credenciais em toda a infraestrutura existente, sem exigir a substituição completa do sistema. A plataforma oferece suporte à integração com sistemas bancários centrais, plataformas de negociação e aplicativos de relatórios regulatórios por meio de protocolos de autenticação padrão, mantendo ao mesmo tempo a autoridade centralizada sobre as credenciais.
A integração do gerenciamento de acesso privilegiado oferece cobertura abrangente para contas administrativas e de serviço de alto risco. Em vez de gerenciar credenciais privilegiadas por meio de abordagens tradicionais de PAM, as organizações podem implementar o conhecimento zero de credenciais para todos os requisitos de acesso elevado, eliminando a exposição persistente de credenciais que possibilita a movimentação lateral durante cenários de ataque.
O gerenciamento de credenciais de terceiros se torna significativamente mais simples sob essa arquitetura. As organizações podem conceder acesso a fornecedores sem compartilhar credenciais, mantendo controle total sobre as capacidades de acesso de terceiros, ao mesmo tempo em que fornecem a funcionalidade necessária. A revogação em tempo real garante que o acesso do fornecedor seja encerrado imediatamente após a conclusão do contrato ou um incidente de segurança.
A conformidade regulatória melhora drasticamente por meio de trilhas de auditoria abrangentes do ciclo de vida das credenciais e mecanismos de proteção criptográfica. A arquitetura fornece aos reguladores evidências claras da maturidade do controle de credenciais, ao mesmo tempo em que permite que as instituições demonstrem conformidade técnica com requisitos regulatórios específicos em múltiplas jurisdições.
Os ganhos de eficiência operacional resultam da eliminação de solicitações de redefinição de senha, da redução da carga de trabalho de gerenciamento de credenciais do help desk e da simplificação dos processos de provisionamento de acesso do usuário. As instituições financeiras normalmente apresentam uma redução de 67% nos chamados de help desk relacionados a identidade e uma melhoria de 78% no tempo de integração de novos usuários.
Os benefícios de continuidade de negócios incluem a eliminação de pontos únicos de falha baseados em credenciais e capacidades rápidas de restauração de acesso durante a recuperação de incidentes. As organizações podem revogar e regenerar imediatamente todas as credenciais durante incidentes de segurança, mantendo ao mesmo tempo as capacidades operacionais por meio de procedimentos controlados de restauração de acesso.
O caso de negócios quantificado demonstra um retorno claro sobre o investimento por meio da redução dos custos de incidentes de segurança, da prevenção de penalidades regulatórias e de melhorias na eficiência operacional. As instituições financeiras que implementam arquiteturas de conhecimento zero de credenciais relatam uma redução média de 43% no custo total de propriedade, em comparação com as abordagens tradicionais de IAM.
Roteiro de Implementação
A implementação bem-sucedida do controle de credenciais exige uma abordagem em fases que mantenha a continuidade operacional, ao mesmo tempo em que reduz progressivamente a exposição de credenciais em toda a infraestrutura de serviços financeiros. O roteiro de implementação abrange de 12 a 18 meses, com marcos específicos para a redução de risco e o cumprimento da conformidade regulatória.
Fase 1: Avaliação e Planejamento (Meses 1-2)
Um inventário abrangente de credenciais em todos os sistemas, aplicativos e integrações de terceiros fornece a base para o planejamento da implementação. Essa avaliação identifica configurações de credenciais de alto risco, lacunas de conformidade regulatória e requisitos de integração técnica para sistemas legados. As instituições financeiras devem priorizar sistemas que contenham dados de clientes, capacidades de processamento de pagamentos e funções de relatórios regulatórios.
O alinhamento das partes interessadas entre cibersegurança, gerenciamento de risco, conformidade e operações comerciais garante uma implementação coordenada que atenda aos requisitos operacionais e, ao mesmo tempo, alcance os objetivos de segurança. O patrocínio executivo continua sendo essencial para conduzir as mudanças nos processos de negócios e as decisões de alocação de recursos durante a implementação.
O design da arquitetura técnica especifica abordagens de integração para a infraestrutura existente, ao mesmo tempo em que define as capacidades futuras de controle de credenciais. Essa fase de design aborda os requisitos de segurança de rede, o gerenciamento de chaves criptográficas e os procedimentos de recuperação de desastres que mantêm a continuidade dos negócios ao longo da implementação.
Fase 2: Implementação da Infraestrutura Central (Meses 3-6)
A implantação inicial se concentra nas credenciais administrativas e de acesso privilegiado, que representam o maior risco de movimentação lateral durante cenários de ataque. A implementação começa com contas de administrador de domínio, contas de serviço e credenciais de acesso de fornecedores que fornecem privilégios extensos do sistema.
Sistema legado...