Reforçar a resiliência operacional e reduzir o risco de concentração nos serviços financeiros

Este artigo baseia-se na nossa publicação de blogue de julho de 2023 que fornece orientações práticas sobre como reforçar a resiliência operacional e gerir o risco de concentração em instituições de serviços financeiros (FSIs).

Para garantir a consistência com os regulamentos existentes e futuros, incorporamos na nossa abordagem as principais orientações regulamentares para as FSIs, incluindo consultas em curso sobre o tema da resiliência operacional.

Eles incluem:

• Consulta do Conselho de Estabilidade Financeira (FSB) sobre o reforço da gestão e supervisão de riscos de terceiros (22 de junho de 2023 Consulta do FSB)
• Lei de Resiliência Operacional Digital (DORA) da UE
• DORA Draft Regulatory Technical Standard on ICT risk management tools (DORA ICT RMF)
• Uk PRA Discussion Paper "Resiliência operacional: terceiros críticos para o sector financeiro" (DP3/22 do Reino Unido)
• Documentação de Orientação sobre Relações de Terceiros nos EUA
• Relatório do Tesouro dos EUA sobre Computação na Cloud
• Diretrizes de Risco de Terceiros do Canadá
• Autoridade Monetária da criação de um Fórum de Resiliência da Cloud em Singapura
• Princípios do IOSCO de 2021 sobre o Outsourcing

A nossa abordagem é consistente com as publicações listadas e será atualizada ao longo do tempo. O nosso objetivo é ajudar os clientes a crescer e inovar de forma responsável e conforme, de acordo com os regulamentos de FSI existentes e futuros.

Visão Geral

No que diz respeito à utilização da tecnologia de cloud nas FSIs, a resiliência operacional e o risco de concentração são interligados porque são abordados pelo reforço da resiliência operacional em vários regulamentos. Ambos estão preocupados com um vasto conjunto de medidas, incluindo a identificação e monitorização de relações críticas de terceiros, requisitos para reforçar a governação e gestão de riscos, e orientações sobre a continuidade do negócio e o planeamento de saída.

Pretendemos ajudar as FSIs a abordar e reforçar a sua resiliência operacional para ajudá-las a gerir o risco de concentração ao nível da empresa de uma forma consistente com as diretrizes regulamentares. É importante que este tópico seja abordado de forma holística e tenha em consideração todas as relações de terceiros. A utilização de serviços cloud e dependências em produtos de software no local tem de ser mantida e mantida em segurança. Além disso, a subcontratação em relação a funções críticas também é normalmente abordada nas orientações regulamentares.

Na Consulta do FSB de 22 de junho de 2023, um serviço crítico foi definido como um serviço cuja falha ou perturbação poderia prejudicar significativamente a viabilidade, as operações críticas ou a sua capacidade de cumprir as principais obrigações legais e regulamentares. São principalmente estes serviços que estão em foco quando se trata de gerir o risco de concentração.

A concentração tem de ser distinguida do risco de concentração. A concentração de dependências de terceiros é comum atualmente em muitos serviços de FSI críticos e pode não ser viável eliminá-la. Por exemplo, se considerar a utilização alargada de redes de informação financeira (por exemplo, Bloomberg ou Thomson Reuters) e fornecedores de software como a IBM e a Oracle, torna-se claro que a substituição completa seria desafiante. Pode-se conceber um plano de saída para um serviço específico de terceiros, mas torna-se difícil descontinuar toda a utilização de uma solução de terceiros para grandes instituições financeiras. Por conseguinte, o foco deve estar na redução do risco de concentração para que se mantenha dentro das tolerâncias de risco de uma organização.

Embora alguns destes exemplos já sejam systemicamente importantes, não são muitas vezes vistos como portadores de níveis elevados de risco de concentração porque estão distribuídos por várias localizações dispersas geograficamente. Como resultado, a maioria das falhas só tem um impacto limitado (nãoglobal). Também oferecem os níveis mais elevados de resiliência através do design de última geração, como operações seguras e resilientes, utilização da automatização e implementação de confiança zero. Estes designs foram confirmados por vários terceiros independentes através de vários processos de certificação. Este conjunto colectivo de medidas derrubou o perfil de risco global, embora, a nível firme, a concentração ainda esteja em vigor.

As FSIs têm de se concentrar no reforço da resiliência operacional e têm de ser feitas de uma forma consistente com os regulamentos e as orientações. É importante ter em atenção que os regulamentos não forçam as FSIs a implementar soluções híbridas ou multicloud, mas sim a adotar uma abordagem baseada em princípios, baseada no risco e neutra em tecnologia para abordar o risco de concentração. Estes riscos também podem existir num ambiente no local.

Para além dos aspectos operacionais, os regulamentos destacam igualmente os riscos não operacionais em relação ao outsourcing, em particular os riscos de insolvência financeira e as abordagens de resolução. Os riscos não operacionais não podem ser geridos através de medidas tecnológicas, mas são tratados com medidas legais durante a fase de contratação e invocando a estratégia de saída.

Uma abordagem de 6 passos para gerir o risco operacional nos serviços financeiros

Existem vários elementos que devem ser considerados antes de fazer escolhas críticas sobre como gerir riscos operacionais, razão pela qual introduzimos uma abordagem de seis passos para abordar o risco de concentração e reforçar a resiliência operacional:

Passo 1 – Atualizar a governação de risco da cloud

Atualmente, a tecnologia de cloud na regulação dos serviços financeiros é regida principalmente por diretrizes de outsourcing de terceiros que se aplicam especificamente neste contexto, com diferentes conjuntos de regulamentação a aplicarem-se ao ambiente de TIC no local. As consultas mais recentes, conforme referido na introdução, tomam uma abordagem holística no que diz respeito ao reforço da resiliência operacional. Por exemplo, os projectos de regulamento como o DORA e o RMF de TIC do DORA não se aplicarão apenas ao local, mas também considerarão a utilização de fornecedores de serviços de terceiros de TIC como parte integrante da sua estrutura.

Além disso, conforme descrito na Consulta do FSB de 22 de junho de 2023, o foco principal é nos serviços críticos. Também o vemos noutros regulamentos, como o DORA. O foco nos serviços críticos é necessário porque, caso contrário, o âmbito dos serviços a avaliar torna-se demasiado amplo à medida que os serviços tecnológicos se interligam cada vez mais.

Por conseguinte, recomendamos que as empresas revisitem as estruturas de governação de riscos internos e incorporem holísticamente estas novas medidas de resiliência operacional com foco nos serviços críticos, incorporando várias diretrizes sobre o outsourcing de terceiros ou da cloud para garantir a conformidade.

Algumas perguntas adequadas a colocar neste contexto incluem:

1. Foram definidas tolerâncias de risco organizacionais claras?
2. Que serviços são críticos para a empresa?
3. Que cenários plausíveis para ameaças reais podem ter impacto nestes cenários?
4. Qual é o apetite de risco geral da minha empresa?

Os quadros de governação de riscos também têm de ser atualizados anualmente para garantir a conformidade contínua num panorama regulamentar em rápida evolução.

Os regulamentos e as orientações da introdução alinham-se com estas questões como ponto de partida no que se refere ao reforço do risco operacional. Para ter em conta estes requisitos em várias jurisdições, a Microsoft criou um vasto conjunto de Listas de Verificação de Conformidade dos Serviços Financeiros para ajudar os clientes a autoavaliá-los em vários países no que diz respeito à utilização da tecnologia da cloud. Estas listas de verificação apresentam mapeamentos regulamentares e apontam para informações específicas relevantes ao avaliar a utilização da tecnologia de cloud da Microsoft.

Além disso, o Programa de Conformidade para a Microsoft Cloud foi concebido para ajudar as funções de risco e conformidade nas três linhas de defesa no cumprimento destes regulamentos e na resolução de riscos gerais relacionados com a utilização da cloud. O programa oferece funcionalidades proativas e reativas, oferecendo um canal de suporte premium para os intervenientes do risco.

Passo 2 – Identificar a concentração

Quanto maior for o nível de concentração de serviços com um único fornecedor de terceiros, maior será o potencial de impacto adverso se algo correr mal, o que é referido como risco de concentração. Este risco é o motivo pelo qual as organizações precisam de ter uma compreensão clara de todas as dependências entre processos empresariais, plataformas de TIC, software e relações de terceiros.

Normalmente, o mapeamento destas dependências é efetuado como parte da análise de impacto comercial (BIA). Depois de todas as relações de terceiros terem sido identificadas e mapeadas para casos de utilização críticos, torna-se possível identificar o nível de concentração de serviços críticos com um único fornecedor de terceiros. Esta vista permite que as empresas identifiquem onde devem concentrar-se na gestão do risco de concentração.

Para os serviços Cloud da Microsoft, é possível identificar potenciais concentrações para cargas de trabalho críticas ao rever os IDs de subscrição e inquilino no portal do Azure. As empresas também podem ver e filtrar informações de recursos do Azure que podem ajudar a fornecer uma compreensão detalhada dos serviços que estão a ser utilizados numa organização. Estas informações são exportáveis e podem ser correlacionadas com informações internas do BIA para ajudar a identificar dependências críticas em tempo real. Para o Microsoft 365, as empresas também podem gerar relatórios no Centro de Administração, tanto em licenças compradas como em atividade.

Passo 3 – Avaliar alternativas

Assim que uma empresa compreender as suas dependências e como se relacionam com casos de utilização críticos, o próximo passo é abordar o risco de concentração associado. Comece por identificar uma breve lista de alternativas viáveis que podem ser investigadas mais detalhadamente. As perguntas que poderá querer abordar incluem:

• Que alternativas práticas existem na cloud no local, híbrida, multi-sourcing e completa?
• Quais são as desvantagens e os benefícios de cada um?
• Como é que os perfis de risco se comparam uns com os outros? Quão resiliente é cada alternativa?
• Quais se adequam melhor ao apetite pelo risco e à estratégia da cloud da organização?
• Ao planear uma saída, é possível e desejável uma saída completa do fornecedor? Que alternativas podem ser consideradas?

O risco de concentração é um termo agregado que aponta para o impacto mais elevado que um evento adverso teria num ou mais serviços críticos. Ao avaliar esses riscos, é necessário avaliar cada um dos cenários de ameaça subjacentes, o que, por sua vez, leva a uma visão com nuances que inclua benefícios e desvantagens associadas à concentração de serviços. Os fatores de ameaça a considerar incluem desastres de datacenters, falhas de hardware, falhas de rede, ciberataques, alterações e atualizações com falhas, erros humanos, etc. Para cada uma destas medidas de mitigação adequadas deve ser cuidadosamente considerada. As empresas também devem considerar os custos de mitigação, a complexidade e a disponibilidade de competências internas quando considerarem a solução preferencial para lidar com o risco de concentração.

Pode ser possível e, em alguns casos, até desejável manter a concentração para que as empresas possam reforçar maximamente a resiliência. Em vez de tentar remover totalmente a dependência de terceiros, as empresas devem concentrar-se em reforçar a resiliência operacional ao abordar os cenários de ameaça subjacentes associados ao risco de concentração (por exemplo, um evento de desastre do datacenter regional). Estes cenários podem muitas vezes ser facilmente resolvidos e com menos desvantagens ao (i) reduzir a probabilidade de o evento de ameaça ocorrer e (ii) limitar o seu impacto ao reduzir a concentração:

1. A redução da probabilidade é obtida ao reforçar a resiliência na conceção da solução. Um conjunto robusto de procedimentos de gestão de riscos pode melhorar a resiliência operacional, apesar da concentração de funções críticas com um único fornecedor de terceiros. As medidas podem incluir a execução em infraestruturas de última geração, a execução de um modelo de segurança de confiança zero, a aplicação de patches a sistemas com as atualizações mais recentes, a garantia de que foram configuradas e comprovadas medidas de continuidade do negócio, a implementação de tecnologias modulares e open source (por exemplo: contentores), etc. Cada um destes contribui para a obtenção de um ambiente maximicamente resiliente.

2. A limitação do impacto através da redução da concentração em níveis mais baixos é conseguida através da conceção dos seus serviços para operar em várias zonas de disponibilidade numa configuração ativa/ativa; ao garantir que existem redundâncias e mecanismos de recuperação suficientes (por exemplo, cópias de segurança) e ao tirar partido de designs georredundantes. Estas configurações não só resultam numa maior resiliência e melhores SLAs, como também ajudam a mitigar ameaças como a perda de um único datacenter ou mesmo de uma região inteira devido à sua natureza distribuída. O impacto das ameaças pode ser reduzido, reduzindo também o risco de concentração, em alguns casos, mesmo indo além do que é viável em cenários no local ou híbridos.

Em conclusão, se uma topologia de cloud completa oferecer uma maior resiliência em comparação com alternativas, o risco de concentração também será efetivamente reduzido, embora a concentração em si não seja diminuída. Este resultado pode ser aceitável e até desejável.

Recomendamos que incorpore este modelo operacional numa política de cloud empresarial, uma vez que fornece orientações às equipas empresariais e de TIC sobre o que é a topologia preferida para uma organização e quais os elementos a considerar como parte da conceção da solução. Outra razão para o considerar é porque, muitas vezes, as alianças estratégicas são feitas com um ou mais fornecedores de cloud para a entrega de serviços de terceiros de TIC e as abordagens para gerir riscos associados são frequentemente geridas a um nível mais elevado.

Passo 4 – Conceber a resiliência

Nesta fase, a tecnologia de TIC, as equipas de segurança e operações começam a aprofundar a conceção da solução ao criar as conclusões e os requisitos de casos de utilizadores individuais anteriores.

As Equipas de TIC têm de garantir que configuram e estruturam aplicações para serem seguras e resilientes por predefinição. Isto significa garantir que as soluções são fiáveis, seguras, livres de pontos únicos de falhas e potencialmente tirar partido das zonas de disponibilidade para estabelecer objetivos de tempo de recuperação (RTOs), objetivos de ponto de recuperação (RPOs) e níveis de serviço (SLAs), conforme exigido pela empresa. A implementação de cópias de segurança sempre que necessário, a atualização da continuidade do negócio e dos planos de saída também faz parte do processo.

Ao tentar maximizar os SLAs ponto a ponto com a tecnologia de cloud da Microsoft, considere rever os nossos SLAs para o Microsoft Online Services. Verá que os SLAs variam consoante o serviço e dependem das opções de design do cliente, com SLAs mais elevados para implementações em várias zonas de disponibilidade. Ao escolher a estrutura certa, os clientes podem obter um SLA de disponibilidade mensal de 99,999% na cloud.

Garantir um design forte e seguro por predefinição não é uma tarefa fácil e existe o risco de as equipas de TIC deixarem fraquezas ou cometerem erros durante as respetivas implementações. Este desafio é a razão pela qual oferecemos orientações sobre as melhores práticas ao implementar na cloud da Microsoft. Embora seja menos complicado para ofertas SaaS, como o Microsoft 365 e o Dynamics, as coisas podem tornar-se complexas quando uma solução é criada com base no Azure (IaaS). Por conseguinte, o Microsoft Azure Well-Architected Framework foi criado pela Microsoft para fornecer orientações adicionais sobre como conceber a fiabilidade e a segurança. A Microsoft fornece recursos para ajudar as empresas na implementação de cenários de elevada resiliência, incluindo uma descrição geral da fiabilidade do Azure, a descrição geral da segurança do Azure e a revisão dos conceitos de Zonas de Disponibilidade e Regiões do Azure. Outros aspetos a considerar incluem o estabelecimento da excelência operacional e, em menor medida, a otimização do custo e do desempenho.

Por conseguinte, deve chamar a atenção para a segurança global, especialmente nos serviços financeiros. Recomendamos que avalie a nossa Segurança no Microsoft Cloud Adoption Framework para o Azure, que fornece princípios fundamentais e orientações práticas sobre como lidar com as ameaças de cibersegurança atuais de forma mais eficaz na nossa cloud. Também inclui ligações para arquiteturas de referência e linhas de base de segurança para diferentes casos de utilização.

Por fim, o Teams de TIC deve implementar recursos da cloud de uma forma que cumpra todos os requisitos de políticas regulamentares e internas. A Governação do Azure ajuda as empresas a implementar estes requisitos de controlo interno e regulamentar ao impor essas políticas aos recursos da cloud do Azure. Além disso, as empresas podem rever a nossa introdução ao Azure híbrido e multicloud, que ajuda a suportar implementações híbridas e multicloud.

Passo 5 – Testar o plano de continuidade do negócio

O processo de planeamento e teste de continuidade de negócio foi bem estabelecido nas FSIs reguladas. O foco neste passo é avaliar os impactos que podem causar interrupções do outsourcing de terceiros (utilização da Microsoft Cloud) neste processo. Um bom exemplo de testes é abordado no artigo 26.º Testar os planos de continuidade de negócio de TIC do projecto RTS do DORA sobre os processos e políticas de métodos de gestão de riscos de TIC.

Existe um aspeto da responsabilidade partilhada e a nossa descrição geral da resiliência e continuidade da Microsoft ajuda os clientes a prepararem-se para cenários de desastre. Oferece orientações específicas para cada serviço cloud da Microsoft, incluindo a forma como a Microsoft lida com a continuidade do negócio para cada serviço e orientações sobre como os clientes podem tirar partido dos serviços cloud da Microsoft para se prepararem para eventos de desastre.

A continuidade do negócio deve ser testada regularmente pelas empresas financeiras quando utilizam o Microsoft Cloud, uma vez que a responsabilidade segue o modelo de responsabilidade partilhada. Para soluções SaaS, como o Microsoft 365 e para alguns serviços do Azure, a Microsoft é responsável por realizar estes testes em intervalos regulares. Para obter mais informações, os clientes podem rever o Relatório trimestral de Continuidade de Negócio e Validação do Plano de Recuperação Após Desastre da Microsoft que a Microsoft publica no respetivo Portal de Confiança do Serviço na secção Continuidade de Negócio e Recuperação Após Desastre para obter mais informações sobre o desempenho dos serviços cloud da Microsoft específicos.

Passo 6 – Preparar planos de saída

Alguns cenários de ameaça não podem ser geridos com planos de continuidade de negócio ou medidas de resiliência técnica, como o risco de falência ou a resolução do fornecedor de terceiros. Um plano de saída tem o benefício de lidar com tais cenários catastróficos e deve ser visto como gratuito por ter testado planos de continuidade de negócio.

É por isso que todas as organizações devem ter uma estratégia de saída geral e planos de saída individuais para os seus casos de utilização críticos, uma vez que se baseia em vários regulamentos e orientações futuras.

A secção 3.7 da Consulta do FSB de 23 de Junho oferece orientações úteis que apontam para elementos de uma estratégia de saída e planos de saída, tais como (i) concordar contratualmente sobre períodos de transição para minimizar o risco de perturbação; ii Assegurar que os activos lógicos e físicos, incluindo os dados e as aplicações, sejam devolvidos de forma económica e oportuna e que (iii) tenham disposições contratuais relacionadas com a propriedade, manutenção, preservação e disponibilidade de registos a longo prazo, conforme adequado.

O artigo 28.º (8) do DORA também requer que as empresas desenvolvam estratégias de saída para serviços de TIC que suportem funções críticas ou importantes. Da mesma forma, a Declaração de Supervisão da PRA do Reino Unido SS2/21 sobre o Outsourcing e a gestão de riscos de terceiros de março de 2021 tem uma descrição extensiva dos requisitos de planeamento de saída na secção 10 e também introduz o conceito de saídas stressadas. As empresas financeiras nestas jurisdições têm de avaliar estas orientações e implementar disposições contratuais adequadas que possam apoiar a execução deste domínio, por exemplo, exigindo períodos de transição obrigatórios durante os quais os fornecedores de serviços de terceiros de TIC continuam a prestar serviços relevantes (por exemplo: o artigo 30.3.f do DORA refere o estabelecimento contratual de um período de transição adequado obrigatório).

Um documento técnico escrito pela Federação Europeia dos Bancos, em junho de 2020 , descreve algumas das formas como os testes de planos de saída podem ser alcançados para as instituições financeiras em conformidade com as Orientações da EBA.