O ano de 2025 trouxe impactos inéditos à Cibersegurança do setor financeiro brasileiro e para todas as organizações do país, em especial por meio de incidentes de grave impacto como o que atingiu a C&M Software. Nesse sentido, líderes de Cyber reforçam a necessidade de participação do setor nas decisões de negócio desde os passos iniciais, e isso inclui o onboarding de parceiros terceirizados e a formação de ecossistemas digitais seguros.
Leonardo Muroya, CEO e Co-Fouder da TAO Governança Digital analisou que essas ocorrências trouxeram aprendizados essenciais ao setor financeiro, especialmente no que diz respeito ao Pix. Segundo o executivo, os incidentes na C&M e outras parceiras demonstraram que havia demandas de SI ainda a serem corrigidas na digitalização desse meio de pagamento, exigindo uma participação mais ativa da comunidade de Cyber nesse projeto.
“Além disso, depois desses casos passou-se a discutir uma responsabilização maior de todos os agentes dessa cadeia, seja na figura dos próprios bancos ou das fornecedoras de TI. Com isso, estamos vendo a carga de controle de novos entrantes aumentando e padrões mais rígidos para quem já está na estrutura, mas sem ser plenamente regularizado”, disse Muroya durante Painel de Debates sobre o tema no Security Leaders Nacional.
Além disso, o aliciamento de pessoas tem sido fator crítico em todos os incidentes de Segurança contra o sistema financeiro que tem sido comentados, tornando o olhar sobre a parte comportamental em um fator crítico para responder a esses desafios. “Um potencial comprometimento sempre demonstra indícios antes de acontecer, pois a forma que o usuário interage com aquele ambiente apresenta outliers que podem indicar um risco do colaborador”.
Diante de diversos desafios relacionados à proteção da cadeia de terceiros, os participantes da discussão defenderam o uso de controles mais rígidos para a entrada e saída de parceiros dentro da infraestrutura conjunta. Para o CISO da Claro Brasil e Curador desse Painel, Denis Nesi, Isso pode ser feito a partir da organização de uma estrutura integrada entre as duas empresas e um cadastramento detalhado de cada um dos agentes parceiros.
“Conhecendo a nossa superfície de terceiros, teremos condições de estabelecer frameworks padronizados, classificação de criticidade desses fornecedores e alinhamentos adequados de responsabilização entre as duas partes. Além disso, teremos condições de levar ao board uma proposta de orçamento para gerenciar os riscos diretamente voltados aos parceiros, de forma a endereçar de início o onboarding e termination deles, com expurgo de dados”, acrescenta Nesi.
Porém, todo esse processo exigirá também ampla aplicação de tecnologias emergentes capazes de automatizar esse processo e tornar a interação com os terceiros mais otimizada para a geração de valor da empresa. O CISO do Banco BV, Rodrigo Colossi, ressaltou isso ao concordar com a jornada proposta por Nesi, pois, na visão dele é essencial à Cibersegurança se apropriar de inovações como Inteligência Artificial para trazer melhores resultados ao business.
“Há uma pressão constante do negócio para que possa manter sua operatividade em alto nível, mas ainda temos a demanda de manter toda a estrutura segura. Encontrar esse equilíbrio entre a velocidade que o negócio precisa no acordo de terceiros e a Segurança necessária para que essa parceria não se torne uma vulnerabilidade é uma linha muito tênue”, explica Colossi.
Acompanhe a íntegra do Painel de Debates “Cenário recente de ataques ao ecossistema financeiro: quais os riscos da gestão de terceiros?” Pelo canal da TVSecurity no YouTube ou pelo vídeo abaixo:
