Em 2017, o Departamento de Serviços Financeiros de Nova York (NYDFS) emitiu novos requisitos relativos ao Gerenciamento de Identidade e Acesso (IAM). A intenção era clara: proteger os dados institucionais e dos clientes, exigindo autenticação multifator (MFA) ou medidas equivalentes.
Na prática, no entanto, o fortalecimento da segurança baseada em identidade tem demorado a se concretizar. Tão lento, de fato, que em 2021 o NYDFS emitiu uma carta ressaltando sua preocupação com o ritmo das mudanças feitas em resposta à decisão inicial.
O resultado: pouquíssimas empresas de serviços financeiros estão se adaptando a novas regulamentações com práticas modernas de MFA. Descreveremos como a Okta pode ajudar as empresas de serviços financeiros a cumprir as novas regras de MFA e preparar-se para o sucesso a longo prazo com uma plataforma de identidade que oferece ganhos de negócios e segurança em toda a organização.
Principais datas de conformidade
Os cronogramas de implementação de segurança cibernética são ditados com base em seu tipo de categorias de negócios. Use os links oficiais abaixo para revisar os requisitos de data de conformidade mais atualizados com base em sua classificação.
- Cronograma de Implementação para Pequenas Empresas
- Cronograma de implementação para empresas da Classe A
- Cronograma de Implementação para Entidades Abrangidas
Na tabela a seguir, você encontraráas principais datas de conformidade futuras.
|
TIPO DE NEGÓCIO AFETADO |
SEÇÃO RELEVANTE # |
PRAZO |
|
Pequenas empresas |
Seção 500.12(a) |
1 de novembro de 2024
|
|
Seção 500.7 |
1º de maio de 2025
| |
|
Empresas da Classe A e Entidades Cobertas |
Seção 500.7 |
1º de maio de 2025
|
|
Seção 500.12 |
1 de novembro de 2025
|
Problemas comuns ao adotar o MFA
As ameaças à segurança que as empresas de serviços financeiros enfrentam são sérias, e a identidade continua sendo o vetor de ataque número 1 no cenário de ameaças atual. Mais de 80% das violações de dados envolvem alguma forma de identidade comprometida. (Verizon, 2024)
Mas, à medida que trabalham para navegar em um cenário de ameaças cada vez mais sofisticado, muitas empresas de serviços financeiros estão encontrando obstáculos que atrasam ou impedem a modernização da segurança de que precisam para atender ao momento. Estes são alguns dos principais culpados:
Sistemas IAM legados
Um dos principais obstáculos para as organizações de serviços financeiros que buscam cumprir as novas regras do NYDFS é a Identidade legada que simplesmente não consegue oferecer suporte ao MFA. Aplicativos e sistemas desatualizados tendem a limitar as organizações a formas básicas de autenticação, como credenciais de nome de usuário/senha, embora alguns desses sistemas legados tenham anunciado o lançamento de métodos de autenticação mais modernos, essa transição tem sido extremamente lenta para oferecer às empresas o MFA de nível empresarial de que precisam. As organizações de serviços financeiros não podem se dar ao luxo de esperar; elas precisam de opções de autenticação modernas que permitam acesso seguro a sistemas, plataformas e aplicativos essenciais da força de trabalho.
Além do mais, os sistemas legados geralmente prejudicam a capacidade de 1) manter a visibilidade unificada de quem tem acesso ao quê e 2) impor protocolos consistentes de acesso com privilégios mínimos por meio de um processo de solicitação de acesso bem definido. A Identidade legada geralmente consiste em uma combinação fragmentada de diferentes soluções, tornando difícil para as equipes de segurança verificar se a organização está sofrendo com a expansão do acesso ou a aplicação inadequada das políticas de acesso. Resumindo: Além do MFA, as organizações de serviços financeiros precisam de governança de Identidade robusta e gerenciamento de postura de segurança.
Vulnerabilidades de terceiros
A maioria das empresas de serviços financeiros entende a aplicação do MFA em sua força de trabalho em tempo integral. Mas muitas empresas não estendem esses protocolos a terceiros, como parceiros e contratados, permitindo que esses colaboradores essenciais acessem informações não públicas sem exigir o MFA. Isso não apenas aumenta o risco de uma violação, mas também viola diretamente o requisito NYDFS MFA.
Outros problemas
- A autenticação multifator fraca, como senhas únicas por SMS, é fácil para os invasores contornarem e pode prejudicar a conformidade com o NYDFS.
- As contas privilegiadas devem ser a maior prioridade quando se trata de proteger o acesso com a Autenticação Multifator (MFA), mas muitas empresas de serviços financeiros ficam aquém.
- O acesso remoto requer protocolos de segurança específicos , como autenticação adicional e específica ao conteúdo, mas muitas empresas não levam isso em consideração ou implementam protocolos de acesso remoto de forma inconsistente.
- Políticas de autenticação inconsistentes: Com mais empresas aproveitando as soluções SaaS, suas políticas de autenticação e requisitos de MFA nem sempre são aplicados de forma consistente, levando a lacunas desconhecidas.
Uma olhada na oportunidade completa
Por um ou mais desses motivos, muitas empresas de serviços financeiros estão lutando para cumprir os requisitos de MFA do NYDFS, o que as deixa vulneráveis a possíveis ações regulatórias e violações iniciadas por invasores.
Mas, enquanto trabalham para modernizar sua identidade de força de trabalho em alinhamento com um cenário regulatório em mudança, as organizações de serviços financeiros não devem limitar sua abordagem de identidade ao MFA. Para começar, isso apenas prolongará seu jogo de recuperação. Ao negligenciar antecipar as normas de segurança cibernética cada vez mais rígidas, é provável que suas equipes de segurança enfrentem o mesmo problema repetidamente: as limitações integradas em suas soluções de identidade legadas.
Talvez o mais importante seja que dar um salto para uma Identidade verdadeiramente moderna oferece uma riqueza de oportunidades para o avanço dos negócios. Identidade é mais do que uma caixa de login. Com a solução de Identidade certa, os serviços financeiros podem impulsionar melhorias significativas em todos os níveis – estamos falando de melhor segurança e resultados de negócios.
Vamos entrar em como, começando com a questão mais premente: MFA.
Como a Okta resolve o problema da MFA
Okta oferece suporte à total conformidade com os requisitos de acesso e autenticação detalhados na decisão da NYDFS. Nossa abordagem unificada para Identity permite que empresas de serviços financeiros tragam seu IAM, gerenciamento de identidade e administração (IGA) e gerenciamento de acesso privilegiado para uma única plataforma, o que mitiga os riscos associados à fragmentação do Identity legado e oferece suporte a uma melhor conformidade.
Okta Adaptive MFA
O Okta Adaptive MFA, incluindo o Desktop MFA, atende a todos os requisitos de conformidade com o mandato de MFA estabelecido nas diretrizes da Seção 500.12 do NYDFS e ajuda a garantir a segurança para todos os grupos de usuários em praticamente qualquer aplicação. A Autenticação Multifator (MFA) deve ser aplicada para acesso à nuvem, sistemas hospedados, aplicativos on-premises, estações de trabalho, servidores, etc. Ao aproveitar as informações contextuais de cada login, o Adaptive MFA é capaz de adicionar uma etapa extra à autenticação em situações consideradas de alto risco – por exemplo, login de um novo dispositivo ou rede não reconhecida.
Isso permite altos níveis de segurança e facilidade de uso em toda a organização, reduzindo o risco de senhas comprometidas, agilizando a experiência do usuário e protegendo melhor o dispositivo e tudo o que pode ser acessado por meio do dispositivo.
Gerenciamento de Postura de Segurança de Identidade Okta
Com o Okta Identity Security Posture Management, uma organização pode:
- Avaliar proativamente a postura de risco de Identidade
- Descubra continuamente configurações incorretas e lacunas críticas, como aplicação inconsistente de MFA e proliferação de contas
- Priorize e corrija os problemas mais urgentes com base na gravidade do risco
Okta Lifecycle Management
Os novos mandatos do NYDFS especificam que os controles de acesso devem ser “baseados nos fatos e circunstâncias individuais apresentados” – ou seja, fundamentados em políticas claramente definidas que determinam o acesso com base nas especificidades organizacionais de sua empresa. O Okta Lifecycle Management oferece suporte a esse nível de gerenciamento de acesso, ajudando as equipes de TI e segurança a definir facilmente regras de acesso e direitos com base em atributos como associação a grupos. O Lifecycle Management também define um novo padrão para visibilidade, oferecendo aos líderes de segurança uma visão unificada de quem tem acesso ao quê, o que ajuda a evitar o excesso de permissões que pode levar ao acesso inadequado.
O benefício total da segurança baseada em identidade
Os cenários regulatórios e do setor estão em constante mudança. Para se adaptar, as organizações de serviços financeiros precisam de uma solução de segurança que também atue como um motor de negócios. Dentro do Workforce Identity, isso significa integrar funções de Identidade seguras e contínuas em toda a organização para atingir três objetivos de longo alcance:
- Fortalecimento da postura de segurança ao estender o contexto, os sinais de risco e a automação baseada em políticas em todas as ações e decisões de Identidade.
- Fazer mais com menos recursos, consolidando a Identidade em uma única visualização para reduzir a complexidade e permitir que os processos manuais sejam automatizados.
- Impulsionando a agilidade, acelerando solicitações, aprovações e acesso crítico a recursos importantes sem comprometer a segurança.
Estar em conformidade com os novos requisitos de Autenticação Multifator (MFA) da NYDFS é apenas a mais urgente das necessidades de Identidade das organizações de serviços financeiros. Para permanecer seguro e competitivo em meio a ambientes de risco, regulatórios e de negócios em constante mudança, você precisa de uma solução de Identidade unificada que ajude sua organização a liderar o grupo em segurança da força de trabalho e KPIs de eficiência central. Milhares de clientes em todo o mundo confiam na Okta para atingir seus objetivos de segurança.
Quer saber mais sobre como a Okta pode oferecer melhor conformidade, melhor segurança e melhores negócios? Agende uma demonstração com nossa equipe e veja nossa Okta Platform em ação.
