As organizações de serviços financeiros estão entre os principais adotantes de serviços na nuvem no mundo, de acordo com o último Relatório de Segurança da Nuvem da McAfee. Esta mudança para as nuvens privada e pública está acontecendo em meio a prioridades conflitantes entre regulamentos e drivers de negócios. A maioria das instituições financeiras está interessada nos benefícios de custo e flexibilidade das nuvens e está procurando ativamente maneiras de enfrentar os riscos e atender às restrições regulatórias da nuvem, ao mesmo tempo em que aproveita o que os serviços em nuvem oferecem aos negócios.
Um dos grandes desafios da nuvem para os serviços financeiros é a tensão entre velocidade e risco. Muitos departamentos, especialmente aqueles que se beneficiam de relacionamentos, como gerenciamento de patrimônio ou private equity, querem as interações dos clientes mais fáceis prometidas pelas nuvens. Do e-mail ao compartilhamento de arquivos para a assinatura digital, esses grupos não estão aguardando os serviços geralmente mais lentos e mais caros aprovados e implantados pela TI. As subsidiárias de marcas privadas e as unidades de menor regulamentação são ainda menos propensas a esperar pela aprovação da TI. Portanto, não é surpresa que os profissionais de TI nos serviços financeiros estejam entre os mais preocupados que essas atividades de Shadow IT prejudiquem sua capacidade de manter a nuvem segura e protegida.
O meu conselho para os CISOs é mudar as táticas e avançar com esses grupos. É mais difícil pegar ou parar o Shadow IT do que preparar e apoiar os serviços desejados, por isso é essencial reunir os requisitos e encontrar maneiras de atendê-los. Isso significa empregar respostas baseadas em processos de negócios para criptografia, classificação de dados e controles de acesso granular sobre o movimento de dados. As soluções orientadas para o negócio podem ajudar os usuários e as empresas a encontrarem uma maneira de manter o controle.
Reduzir o Shadow TI também significa oferecer serviços em prazo menor e preço interno mais baixo. As empresas não aguardam seis meses e pagam 10 vezes mais quando podem baixar um aplicativo e usar uma conta de compartilhamento de arquivos em menos de cinco minutos por menos de US$ 100 (ou grátis).
Finalmente, significa ouvir e educar esses grupos em sua compreensão dos riscos envolvidos, promover uma cultura de cooperação e conformidade entre esses grupos e a TI. Sem compreensão suficiente, os grupos muitas vezes irão racionalizar suas ações, pensando que é apenas uma ação única, ou que seus dados não são sensíveis, ou é com um cliente em que podem confiar. Infelizmente, como vimos repetidamente, a facilidade de compartilhar informações digitais rapidamente refuta todas e quaisquer justificativas.
A educação deve ser tratada como prioridade. Por exemplo, antes de gastar US$100 em um serviço de compartilhamento de arquivos, aqui estão algumas coisas que você precisa considerar. Os CISOs devem pesquisar exemplos de como esse tipo de atividade foi comprometida e como proteger adequadamente o cliente e a organização. Trabalhe em realizar uma avaliação de risco específica às suas necessidades, com base em casos de negócios, regulamentos e jurisdições.
A gestão em diferentes geografias e jurisdições vai ser um desafio a longo prazo para os serviços em nuvem. Não há soluções de tamanho único disponíveis quando se trata de nuvens e regulamentos de privacidade. Enquanto alguns mercados terão regulamentos complementares, alguns serão contraditórios com um vizinho, e alguns podem até tornar praticamente impossível o uso de um serviço público na nuvem. Esses regulamentos tornam ainda mais importante avançar com a atividade de controle a Shadow IT e implantar serviços adequados.
A nuvem oferece benefícios significativos de custo e flexibilidade, e a implantação parece ser inevitável, seja você pronto ou não. Então, prepare-se e faça os investimentos necessários agora. Os provedores de nuvem e os fornecedores de segurança estão cada vez mais conscientes da necessidade de incorporar regulamentos específicos do setor e outras restrições ao projetar e desenvolver produtos e serviços, e são parceiros capazes e dispostos nesta jornada. O futuro dos bancos nas nuvens ainda está nublado, mas juntos podemos reduzir muito os riscos.
Joe Bernik é CTO da McAfee para serviços financeiros