Pular para o conteúdo principal
Setor
Financial analyst helping a customer on a Surface Book in a bank.
·
7 min read

3 estratégias para governar o risco da Microsoft Cloud em serviços financeiros

  • By Tom Deprins, Gerente de Programas—Conformidade Regulatória do Microsoft Global Financial Services

Poucos setores da economia estão se beneficiando mais do advento da computação na nuvem do que os serviços financeiros. Bancos, seguradoras, corretoras de ações, gestores de investimentos e muitas outras empresas estão obtendo vantagens competitivas, gerando novo valor a partir de dados e análises e acelerando a inovação ao substituir abordagens e sistemas legados por tecnologias de nuvem. A ascensão de soluções generativas baseadas em IA promete acelerar ainda mais a transformação, com benefícios ainda maiores. 

No entanto, para as pessoas e equipes responsáveis pela gestão de riscos e pela garantia da conformidade, esta mudança de paradigma traz consigo novas preocupações, uma vez que é necessário cumprir requisitos rigorosos de segurança e conformidade. Embora as avaliações de risco e estratégias de auditoria no local possam ter sido simples em um mundo pré-nuvem, quando os dados são transferidos para um fornecedor de nuvem terceirizado que opera um ambiente compartilhado em hiperescala, a situação muda. Os controles de segurança e acesso são automatizados, o DevSecOps se torna mais comum, surgem lacunas de conhecimento e o contexto regulatório muda drasticamente. Para aumentar a pressão, se as avaliações de conformidade e as auditorias forem interrompidas, a inovação poderá parar bruscamente. 

Felizmente, existem alguns recursos excelentes para guiar você de forma produtiva nesta jornada. A Microsoft faz um investimento considerável para ajudar os clientes a obter a assistência necessária para otimizar avaliações de risco na nuvem em escala. Nesta postagem, eu gostaria de compartilhar um pouco do aprendizado que obtivemos por meio de nosso profundo envolvimento com os clientes, apontar algumas minas de ouro online da Microsoft e convidar você para conferir nosso Programa de conformidade para Microsoft Cloud, que acho que você vai adorar. 

Três estratégias testadas na prática para governar os riscos da nuvem 

Graças à nossa comunidade de conformidade, obtemos um fluxo incrível de insights, comentários e histórias sobre o que funciona e o que não funciona. Estas são as três estratégias que vemos no cerne de toda organização que governa com sucesso os riscos da nuvem: 

  1. Estabelecer um órgão de governança de risco na nuvem. As organizações de risco são complexas, e as abordagens isoladas provavelmente atingirão seus limites quando diferentes partes interessadas de controle de risco em todas as três linhas de defesa fizerem sua própria avaliação de um provedor de serviços de nuvem. Muitas vezes, vemos problemas com uma má compreensão das tecnologias de nuvem e dos controles de risco. As ineficiências tendem a surgir à medida que questões são levantadas repetidamente por diferentes partes interessadas (“Onde estão armazenados os meus dados?” ou “Quem pode acessá-los?”). Muitos problemas podem ser resolvidos ou evitados por meio de uma abordagem unificada de avaliação de riscos na nuvem. Aconselhamos a criação de um conselho ou órgão de governança de risco na nuvem que envolva todas as principais funções em um processo único e integrado que leve a implantações mais rápidas e resolva restrições de recursos e lacunas de habilidades. 
  1. Aderir a padrões comuns e aplicar abordagens baseadas em riscos. Nem todos os casos de uso são iguais, mas muitas vezes vemos clientes aplicarem um conjunto extremamente grande de controles obrigatórios a todo e qualquer caso de uso de nuvem, independentemente de sua importância. Além disso, os fornecedores de nuvem aplicam diferentes medidas de controle de risco em comparação com o que seria esperado no local, e isso pode levar a discussões intermináveis sobre controle. Uma boa maneira de evitar esses desafios é alinhar as estruturas de controle interno aos padrões do setor, como o SOC 2 e Cloud Controls Matrix (CCM) da Cloud Security Alliance. Essa abordagem fornece estrutura e orientação para a implementação de controles apropriados que podem ser aplicados com base em risco a casos de uso individuais, sempre alinhados aos requisitos de risco, segurança e conformidade da sua organização. 
  1. Aproveitar ao máximo a garantia de terceiros.Outra armadilha é que algumas instituições financeiras tentarão avaliar ou auditar cada controle da nuvem de forma independente. Isso é uma perda de tempo porque já existem certificações e relatórios de auditoria disponíveis onde vários terceiros respeitáveis atestam a solidez e segurança desses mesmos controles e das áreas de risco relacionadas. Eles não devem ser ignorados. A Microsoft é líder em conformidade e oferece uma ampla oferta de conformidade para Azure, Dynamics 365 e Microsoft 365 com mais de 100 certificações e atestados

Nossa estrutura para avaliação na nuvem 

Depois que essas bases forem estabelecidas, você poderá realizar avaliações de risco na nuvem nessas seis dimensões básicas: 

Agora você pode obter um processo de avaliação de risco otimizado para nuvem que gera eficiência máxima à medida que você percorre diferentes casos de uso. De forma crítica, este processo permanecerá resiliente à medida que a empresa implanta gradualmente mais funções de negócios no Microsoft Cloud onde cada uma exigirá uma avaliação contextual dos riscos. 

Como aproveitar os riscos e os recursos de auditoria do Microsoft Cloud 

A Microsoft entende a necessidade crítica de que as equipes de risco, conformidade e auditoria de serviços financeiros tenham uma boa base com ferramentas e recursos que as capacitem a compreender e avaliar totalmente os riscos relacionados à nuvem. 

Para explicar como operamos nossa nuvem e ajudar os clientes em suas avaliações de risco e auditorias, criamos um local centralizado que descreve a conformidade da Microsoft e aponta para nossas ofertas de conformidade. Isso inclui uma seção de garantia de serviço que descreve detalhadamente a forma como operamos nossos serviços do Microsoft Cloud, o que é um excelente ponto de partida para as funções de risco e auditoria iniciarem suas avaliações. A seção de garantia de serviço é organizada por 14 domínios de risco e descreve detalhadamente a forma como a Microsoft trabalha para proteger os dados de nossos clientes. Isso inclui caminhos de aprendizagem sob demanda disponíveis para os clientes aprenderem em seu próprio ritmo. 

Outro excelente recurso é o nosso Portal de confiança de serviço, onde você pode baixar relatórios de auditoria externa, documentos úteis e itens como relatórios de vulnerabilidade de terceiros, continuidade de negócios e relatórios de validação de plano de recuperação de desastres. Você também encontrará listas de verificação detalhadas de conformidade regulatória para serviços financeiros regionais que podem ser usadas para atender aos requisitos regulatórios de cada país. 

Em seguida, o Gerente de Conformidade do Microsoft Purview é uma ferramenta exclusiva que permite avançar ainda mais e gerenciar riscos e conformidade não apenas do lado da Microsoft, mas também para suas implantações multinuvem, garantindo que suas configurações atendam a todos os requisitos regulatórios, bem como às práticas recomendadas de segurança cibernética e privacidade. Você encontrará mais de 320 avaliações de conformidade alinhadas a vários setores e regiões em todo o mundo. Você pode clicar duas vezes em cada controle e revisar informações detalhadas, incluindo implementações de controle da Microsoft, e como cada controle foi testado por auditores externos e os resultados. 

Não se esqueça que a nuvem envolve uma responsabilidade compartilhada e que, depois de avaliar a Microsoft como seu provedor, você também deve garantir que suas implantações sejam compatíveis por padrão e seguras de maneira ideal. A boa notícia é que isso tudo está integrado na garantia de serviço como ponto de partida seguindo a mesma estrutura baseada em risco. 

Precisa do que há de melhor? Verifique o Programa de conformidade para Microsoft Cloud 

O Programa de conformidade para Microsoft Cloud é um serviço premium criado especificamente para dar suporte a profissionais de controle de risco e conformidade em suas avaliações. Esse programa teve origem há 10 anos, quando as primeiras organizações de serviços financeiros começaram a adotar a nuvem, e facilita o envolvimento trilateral entre clientes, reguladores e especialistas da Microsoft. O programa continua evoluindo e oferece aos clientes acesso direto a especialistas jurídicos, de segurança cibernética, de privacidade, de risco e de conformidade regulatória, tanto da Microsoft quanto do setor como um todo. 

Os clientes receberão as melhores respostas para perguntas e preocupações muito específicas e poderão enviar questionários completos para acelerar a avaliação de riscos e as atividades de auditoria. O programa traz um valor educativo tremendo com webinars e palestras sobre conformidade global e regional; oferece oportunidades de envolvimento em uma comunidade com outros clientes e especialistas do setor; e fornece atualizações proativas relacionadas a desenvolvimentos regulatórios e de conformidade em todo o mundo. 

Participe do programa hoje mesmo 

Os insights e dicas deste artigo foram em grande parte baseados na experiência desta comunidade nos últimos anos. Se isso soa interessante para você e sua organização, convido você a participar do Programa de conformidade para Microsoft Cloud e conectar-se com seus colegas hoje mesmo. 

Saiba mais sobre o Microsoft Cloud para serviços financeiros

Programa de conformidade para Microsoft Cloud 

Acelere a adesão à nuvem com garantia de conformidade proativa. 

Comece a se conectar hoje mesmo  

Tom Deprins 

Diretor de Conformidade Global de Serviços Financeiros 

Ver mais artigos deste autor 

Tom Deprins
Tom Deprins
Gerente de Programas—Conformidade Regulatória do Microsoft Global Financial Services

Related posts