Riscos de tecnologia em nuvem? Banco Central da Malásia lança diretrizes para contorná-los

O armazenamento em nuvem está cada vez mais integrado ao setor financeiro. Essa tecnologia, entretanto, apresenta riscos que precisam ser gerenciados.
Riscos de tecnologia em nuvem? Banco Central da Malásia lança diretrizes para contorná-los
Data
Autor
Equipe Propague
Produto
Compartilhar

A tecnologia em nuvem permite aos usuários armazenarem e gerenciarem dados em ambientes digitais utilizando um provedor. Essa infraestrutura tem sido cada vez mais utilizada por instituições financeiras (IFs), principalmente para armazenar e analisar um volume sem precedentes de dados, permitindo que forneçam serviços personalizados aos seus clientes. Entretanto, ao contratar esse tipo de serviço as instituições financeiras ficam expostas a alguns riscos, como vazamento de dados ou riscos de jurisdição.

Banco Central da Malásia de olho nos riscos de tecnologia em nuvem

Preocupado com o tema, o Banco Central da Malásia (BNM) emitiu, no dia 3 de junho de 2022, um documento com diretrizes sobre como as instituições financeiras deveriam enfrentar os riscos associados à adoção de tecnologias em nuvem, oferendo orientações para a avaliação de riscos e medidas de controle.

O documento intitulado “Exposição sobre a Diretriz de Avaliação de Risco de Tecnologia em Nuvem” (CTRAG) serve como orientação suplementar ao Documento de Política sobre Gestão de Riscos em Tecnologia (RMiT), também do BNM, emitido em 19 de junho de 2020. A orientação se divide em dois eixos: diretrizes sobre governança e sobre design e controle.

Em termos de governança, o documento traz considerações sobre política de uso, além das habilidades tecnológicas necessárias para implementação desses serviços de forma segura.

Com relação ao design e controle, o documento abrange aspectos como arquitetura e modelo de entrega de aplicativos em nuvem, desenvolvimento de software, backup e recuperação, proteção de dados e gerenciamento de segurança cibernética.

Embora o título do documento fale genericamente sobre instituições financeiras em geral, a autoridade especificou para quais tipos de IFs as diretrizes se aplicam:

  1. Bancos comerciais;
  2. Bancos de investimento;
  3. Bancos islâmicos;
  4. Seguradoras;
  5. Operadores Takaful (são fundos comunitários baseados na lei religiosa islâmica usados como seguros de saúde ou de outras naturezas);
  6. Instituições financeiras de desenvolvimento;
  7. Emissores aprovados de dinheiro eletrônico;
  8. Operadores de sistemas de pagamento.

Como deve ser o quadro de gerenciamento de risco de nuvem?

As instituições enumeradas no documento devem promover princípios sólidos de governança em todo o ciclo de vida da prestação do serviço em nuvem. Para isso, a IF deve implementar um quadro de gestão de riscos em nuvem que seja parte integrante do quadro de gestão de riscos corporativos geral da instituição, que esteja adaptado aos modelos de serviço em nuvem, e que especifique o escopo da responsabilidade da instituição financeira.

Além disso, uma característica marcante dos serviços em nuvem é a velocidade com que evoluem. Por isso, o quadro de gerenciamento de risco deve passar por uma revisão periódica. O BNM sugere que essa revisão seja feita, pelo menos, uma vez a cada três anos.

O Banco destaca, ainda, que independentemente do modelo de contratação da provedora, a instituição financeira é responsável ​​por proteger as informações dos clientes e garantir a confiabilidade do serviço.

Assim, a instituição financeira deve rever as certificações de seus provedores de serviços em nuvem antes de tomar decisões. As responsabilidades da IF são:

  1. Buscar a garantia de que o provedor de serviços em nuvem está em conformidade com requisitos legais ou regulatórios relevantes;
  2. Consultar relatórios externos independentes sobre as plataformas em nuvem ao realizar avaliações de risco.

Gerenciamento de contratos

Os contratos assinados pelas IFs devem estabelecer parâmetros sobre os padrões operacionais e de segurança que o provedor de serviços deve seguir de acordo com os requisitos regulatórios. Um aspecto especialmente relevante diz respeito aos riscos de jurisdição. Isso porque os provedores de serviços em nuvem operam regional ou globalmente, portanto podem estar sujeitos às leis e requisitos regulatórios de diferentes países e regiões.

Para mitigar esse tipo de risco a instituição financeira deve identificar e abordar os potenciais riscos de jurisdição previamente, para garantir o cumprimento de normas relevantes e outros requisitos regulatórios. Também é responsabilidade da IF garantir observância da legislação local de proteção ao cliente, bem como garantir que os clientes da instituição financeira recebam proteção e recursos adequados em caso de violação de dados pelo provedor da nuvem.

A importância do backup e das estratégias de saída da nuvem

Por fim, as instituições financeiras devem garantir que sejam efetuados procedimentos de backup e recuperação. Isso inclui definir e formalizar uma estratégia de backup e recuperação ainda na fase de planejamento da adoção em nuvem, realizar revisões periódicas dos recursos de restauração e recuperação dos provedores de serviços em nuvem e realizar testes de recuperação antes da implantação do sistema.

Tais procedimentos devem ser periodicamente testados para validar os recursos de recuperação, sendo necessária uma estratégia robusta de saída da nuvem em caso de eventos extremos, como uma falha não planejada ou vazamento de dados.

Essa estratégia de saída deve ser desenvolvida durante a fase de planejamento de implantação em nuvem, permitindo que a IF anteveja esses eventos. Cabe à instituição financeira identificar provedores alternativos de serviços em nuvem e realizar uma avaliação de impacto para determinar potenciais custos, recursos e implicações de tempo para os casos de transferência.

Caso essa saída venha a ocorrer, é preciso obter uma confirmação por escrito do provedor de serviços de nuvem de que todos os dados confidenciais foram completamente removidos e destruídos.

Leia mais:

Tecnologia DeFi: o que é e como funciona as finanças descentralizadas

Retomada Econômica, Tecnologia e Inclusão Financeira

5G no Brasil: como essa tecnologia afeta o mercado de pagamentos?

Tecnologia financeira mira segurança à medida que ameaças cibernéticas crescem

Interoperabilidade no Open Finance movimenta reguladores financeiros e de seguros

Confira também:

Todos os produtos

Quer se
aprofundar mais?

Com uma linguagem simples de entender, as análises do Instituto Propague vão te deixar por dentro dos principais temas do mercado.

Leia agora!