ARTIGOS / SERVIçOS FINANCEIROS

O problema das credenciais em BPO que toda empresa de serviços financeiros carrega


Quando a violação de dados dos clientes da Medibank expôs 9,7 milhões de registros em outubro de 2022, os investigadores rastrearam o vetor de ataque até credenciais comprometidas em um fornecedor terceirizado. O incidente consolidou uma preocupação crescente no setor de serviços financeiros: os contratos de Business Process Outsourcing (BPO) criam uma exposição de credenciais que as estruturas tradicionais de segurança não conseguem resolver adequadamente.

A responsabilidade oculta na sua cadeia de suprimentos

As instituições financeiras passaram a última década fortalecendo sua postura interna de segurança, implementando sistemas sofisticados de gerenciamento de identidade e acesso, arquiteturas Zero Trust e autenticação multifator em seus ambientes. No entanto, uma vulnerabilidade crítica permanece evidente: as credenciais gerenciadas pelos parceiros de Business Process Outsourcing.

Os acordos de BPO em serviços financeiros normalmente envolvem operações sensíveis — atendimento ao cliente, processamento de sinistros, monitoramento de transações, relatórios de conformidade e análise de dados. Essas parcerias exigem que os provedores BPO mantenham acesso administrativo a sistemas bancários centrais, plataformas de negociação, bancos de dados de clientes e ferramentas de relatórios regulatórios. Cada ponto de acesso representa uma credencial que, se comprometida, pode fornecer aos invasores um caminho direto para os sistemas mais sensíveis da instituição financeira.

O desafio vai além do simples gerenciamento de acesso. Ambientes BPO frequentemente operam sob padrões de segurança diferentes, empregam funcionários com níveis variados de conscientização sobre segurança e mantêm práticas de gerenciamento de credenciais que seriam consideradas inadequadas dentro da própria instituição financeira. Ainda assim, essas mesmas credenciais podem acessar sistemas que contêm dados financeiros de clientes, informações de negociação e documentos regulatórios.

A dimensão da exposição

Análises recentes do setor revelam a extensão desse risco. De acordo com a pesquisa de resiliência operacional de 2023 da Financial Conduct Authority, 78% das empresas de serviços financeiros do Reino Unido dependem de contratos críticos de BPO, com uma média de 12 fornecedores terceirizados tendo acesso a sistemas classificados como serviços empresariais importantes.

O Data Breach Investigations Report 2023, da Verizon, constatou que 61% das violações no setor financeiro envolveram credenciais comprometidas, sendo que 43% dessas violações tiveram origem em pontos de acesso de parceiros ou da cadeia de suprimentos. Segundo o relatório Cost of a Data Breach da IBM Security, o custo médio de uma violação na cadeia de suprimentos no setor financeiro chegou a US$ 4,8 milhões em 2023.

As implicações regulatórias são igualmente preocupantes. Os dados de relatórios de incidentes cibernéticos do Banco Central Europeu de 2023 mostram que 34% dos incidentes cibernéticos significativos relatados por instituições de crédito envolveram fornecedores terceirizados ou acordos de terceirização. Nos Estados Unidos, o Office of the Comptroller of the Currency identificou gerenciamento inadequado de riscos de terceiros em 23% das ações de fiscalização contra bancos nacionais em 2023.

Talvez o dado mais revelador seja o estudo do Ponemon Institute, que descobriu que organizações de serviços financeiros conseguem identificar apenas 57% das credenciais mantidas por seus fornecedores BPO em determinado momento. Essa lacuna de visibilidade representa uma falha fundamental de controle em ambientes onde as regulamentações exigem supervisão completa dos acessos a sistemas sensíveis.

Por que as ferramentas atuais de segurança não resolvem o problema

O setor financeiro investiu fortemente em tecnologias avançadas de gerenciamento de acesso, mas essas soluções não conseguem resolver o problema fundamental do controle de credenciais nas relações com fornecedores BPO.

Os sistemas de Gerenciamento de Identidade e Acesso (IAM) são eficientes para administrar identidades dentro dos limites organizacionais, mas enfrentam dificuldades com a natureza distribuída das credenciais BPO. Esses sistemas conseguem provisionar e remover acessos, mas não conseguem impedir que funcionários de BPO acessem, copiem ou compartilhem as próprias credenciais.

As soluções de Gerenciamento de Acesso Privilegiado (PAM) oferecem gravação de sessões e fluxos de aprovação, mas ainda dependem do princípio de que os usuários possuem suas próprias credenciais. Quando um funcionário de BPO recebe credenciais para uma conta privilegiada, os sistemas PAM conseguem monitorar como essas credenciais são utilizadas, mas não conseguem impedir que elas sejam comprometidas na origem.

O Single Sign-On (SSO) reduz a proliferação de credenciais, mas exige um grande esforço de integração e pode não ser viável em ambientes BPO complexos envolvendo múltiplos sistemas e plataformas. Mais importante ainda, o SSO continua exigindo que os usuários mantenham credenciais de autenticação, apenas concentrando o risco em vez de eliminá-lo.

A Autenticação Multifator (MFA) adiciona uma camada de segurança, mas não resolve o roubo de credenciais. Invasores sofisticados demonstraram diversas técnicas para contornar a MFA, desde troca fraudulenta de SIM (SIM swapping) até ataques de phishing em tempo real capazes de capturar senhas e tokens de autenticação.

As arquiteturas Zero Trust melhoram a postura de segurança ao não assumir confiança automática, mas ainda precisam conceder acesso com base em algum tipo de verificação de credencial. Se essas credenciais forem comprometidas, os princípios Zero Trust oferecem proteção limitada.

A falha comum em todas essas abordagens é estrutural: elas assumem que os usuários precisam possuir credenciais para acessar sistemas. Essa suposição cria uma vulnerabilidade inerente que nenhum nível de monitoramento, criptografia ou controle de acesso consegue eliminar completamente.

Resolvendo o controle de credenciais na origem

A solução está em reestruturar fundamentalmente a propriedade e a distribuição das credenciais. Em vez de permitir que parceiros BPO criem, armazenem e gerenciem credenciais, as instituições financeiras precisam de sistemas nos quais as credenciais sejam geradas, distribuídas e controladas totalmente pela organização — sem que os usuários tenham acesso direto ao material da credencial.

Nesse modelo, quando um funcionário de BPO precisa acessar um sistema financeiro, ele recebe um material de credencial criptografado que só pode ser descriptografado e utilizado dentro de um ambiente controlado. O funcionário não consegue extrair, copiar ou compartilhar as credenciais porque nunca as possui em formato legível. O acesso torna-se vinculado criptograficamente a dispositivos e sessões específicas, tornando o roubo de credenciais praticamente impossível.

A tecnologia patenteada de controle de credenciais da MyCena demonstra essa abordagem na prática. O sistema gera credenciais criptografadas exclusivas para cada usuário e sessão, distribuindo-as por canais seguros sem nunca expor o material da credencial ao usuário final. Funcionários de BPO podem acessar os sistemas necessários para realizar suas funções, mas o mecanismo de autenticação permanece totalmente sob controle da instituição financeira.

Essa mudança arquitetônica transforma o gerenciamento de credenciais BPO de um exercício de gestão de riscos em um controle técnico. Em vez de esperar que parceiros BPO mantenham práticas adequadas de segurança, as instituições financeiras podem garantir que o comprometimento de ambientes BPO não resulte em roubo de credenciais.

O imperativo de conformidade

Para empresas de serviços financeiros, as implicações são claras. Estruturas regulatórias exigem cada vez mais controle comprovável sobre acessos de terceiros a sistemas sensíveis. A regulamentação europeia DORA, que entrou em vigor em janeiro de 2025, exige explicitamente que entidades financeiras mantenham "supervisão e responsabilidade completas" sobre serviços de TIC fornecidos por terceiros.

O momento de tratar o gerenciamento de credenciais BPO como uma questão contratual, e não técnica, passou. Instituições financeiras que continuam dependendo de abordagens tradicionais de gerenciamento de acesso em relações BPO mantêm uma vulnerabilidade estrutural que a fiscalização regulatória e a sofisticação dos agentes de ameaça inevitavelmente irão expor.

O caminho à frente exige reconhecer que identidade e acesso são conceitos separados — e que a verdadeira segurança surge do controle do acesso sem distribuir as credenciais que permitem esse acesso.

MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.