VISÃO GERAL DA SOLUÇÃO

Agilize as auditorias de conformidade com a estrutura GRC correta

Desviar-se dos padrões de governança, risco e conformidade pode custar caro. Entre agosto e outubro de 2020, um gabinete do governo dos EUA O Departamento do Tesouro impôs US$ 625 milhões em multas a grandes instituições financeiras.

Agilize as auditorias de conformidade

Simplificando seu processo de auditoria

Você nunca sabe quando a próxima auditoria vai começar. Quando isso acontece, você pode perder o tempo e os esforços de um engenheiro em tempo integral por até seis meses, que terá que fazer a pesquisa necessária e o trabalho de comprovação de conformidade.

Infelizmente, há muitos casos reais em que o OCC pode multar organizações , como fez recentemente com um grande banco dos EUA no valor de US$ 85 milhões. Em suas descobertas, eles citaram:

    O banco não conseguiu implementar e manter um programa eficaz de gestão de risco de conformidade e um programa eficaz de governança de risco de tecnologia da informação compatível com o tamanho, a complexidade e o perfil de risco do banco.

Manter-se dentro dos padrões de governança, risco e conformidade pode ser difícil, mas não deve impedi-lo de atingir metas comerciais críticas. Com o F5, você pode agilizar o processo de auditoria, e isso começa com uma segurança cibernética madura.


Figura 1: Este diagrama destaca os componentes críticos para alcançar uma segurança cibernética madura, um ingrediente essencial na conformidade.

Principais Características

Visibilidade detalhada dos vetores de risco de auditoria

Pequenos problemas podem ficar escondidos até que seja tarde demais. E quando isso acontece, seus auditores já impuseram multas caras ou atribuíram um trabalho tedioso de comprovação de conformidade. Ao visualizar seus aplicativos como um todo, você pode encontrar e isolar ou resolver problemas rapidamente antes que eles se tornem maiores, não importa onde o problema esteja escondido.

Soluções prontas para uso e prontas para conformidade

Os auditores esperam um maior grau de maturidade cibernética das instituições de serviços financeiros. Muitas vezes, verificar as caixas de conformidade não é suficiente. As soluções F5 são desenvolvidas especificamente para gerar um alto nível de maturidade cibernética, impressionando os auditores e, portanto, minimizando o atrito e o estresse causados pelas auditorias.

Suporte comprovado pela indústria da F5

O suporte comprovado da F5 no setor pode orientá-lo a criar os padrões e procedimentos críticos necessários para preparar melhor sua organização para auditorias de todos os tipos. Também podemos estar ao seu lado durante as reuniões de auditoria para ajudar a aprofundar os tópicos de conformidade.

A conformidade é mais do que uma caixa de seleção

Para agilizar efetivamente o processo de auditoria, você precisa ser proativo. A abordagem e as soluções de aplicativos corretas são essenciais. A F5 tem uma ampla gama de produtos e serviços que podem ajudar.

Produtos

Como eles ajudam

Gerenciador de políticas de acesso BIG-IP Controle de acesso, SSL VPN
Gerenciador de firewall avançado BIG-IP Controles de firewall, segmentação, acesso
Gerenciador de segurança de aplicativos BIG-IP/WAF® avançado Segurança de aplicativos, vulnerabilidades (WAF é obrigatório para conformidade com PCI DSS)
Gerenciamento Centralizado BIG-IQ Plataforma de gerenciamento, gerenciamento de configuração, telemetria, registro
Serviços em Nuvem DNS, DNS Load Balancer, Essential App Protect––fornece controles de segurança, análises e visibilidade para reguladores e auditores, experiência e suporte.
DNS BIG-IP Segurança DNS (sujeita a ataques)
Controlador NGINX O NGINX Ingress Controller é a melhor solução de gerenciamento de tráfego para aplicativos nativos da nuvem em Kubernetes e ambientes em contêineres.
NGINX Mais Acesso, registro, WAF
Forma Prevenção de fraude, proteção contra bots, opções de negação/engano
Linha de Prata SOCS, mitigação de DDoS, segurança de aplicativos, proteção de bots, gerenciamento de configuração (WAF é obrigatório para conformidade com PCI DSS)
Orquestrador SSL Visibilidade, descriptografia SSL em escala
Gateway Web Seguro Gateway da Web, acesso externo, vazamento de dados
   

Criação e Governança de Padrões e Procedimentos

Os especialistas comprovados da indústria da F5 podem orientá-lo a criar os padrões e procedimentos críticos necessários para preparar melhor sua organização para auditorias de todos os tipos. Sem um foco extremo na conformidade e vigilância contínua, as organizações podem muitas vezes ficar aquém em regulamentações críticas e padrões de conformidade, como nos processos de validação do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS).

Uma Metodologia de Aplicação Evoluída é a Chave

Tentar criar e entregar aplicativos modernos e convenientes usando infraestrutura legada apresenta desafios e limitações, especialmente quando se considera os requisitos de conformidade. À medida que as instituições avançam em sua transformação digital, uma Arquitetura de Aplicativos Corporativos (EAA) flexível e extensível pode ajudar a impulsionar a consistência e o alinhamento para dar suporte a resultados em escala, um requisito essencial para atender às expectativas em relação à segurança, desempenho e confiabilidade dos aplicativos.

Uma abordagem EAA evoluída alinha os esforços de inovação com a estratégia de negócios e oferece suporte à fácil integração de tecnologias emergentes para ajudar as organizações a permanecerem ágeis. Com o EAA correto, os desenvolvedores conseguem entregar aplicativos modernos de forma rápida e segura, independentemente da localização ou dispositivo, e em conformidade com padrões e regulamentações.

Passo 1: Alinhe a EAA e as metas de negócios e determine o equilíbrio apropriado entre inovação, agilidade e risco.

Passo 2: Faça um inventário de aplicativos. Considere todos os aplicativos do portfólio empresarial.

Etapa 3: Avalie o risco de segurança para cada aplicativo no portfólio e atribua a solução apropriada. Alguns exemplos incluem:

    • Certificação FIPS de hardware e software conforme necessário para atender aos padrões e regulamentações
    • Proteção de API e aplicativo da Web para proteger contra ameaças OWASP existentes e emergentes
    • Orquestração SSL com descriptografia dinâmica baseada em políticas, criptografia e direcionamento de tráfego por meio de vários dispositivos de inspeção

Passo 4: Defina categorias de aplicativos e especifique os serviços de aplicativo necessários para cada uma.

Etapa 5: Defina parâmetros para implantação e gerenciamento de aplicativos. Isso inclui:

    • Compreendendo as opções de implantação
    • Avaliação de custos associados, modelos de consumo e perfis de conformidade/certificação

Etapa 6: Atribuir funções e responsabilidades. Você vai querer:

    • Esclareça quem é responsável por cada componente dentro do EAA, incluindo a segurança.
    • Reconheça que a responsabilidade pode estar com colaboradores individuais, departamentos ou comitês multifuncionais.

Etapa 7: Aplique a abordagem EAA em toda a organização para otimizar a segurança. Isso inclui:

    • Aproveitando mecanismos automatizados como controles de acesso de usuários ou varreduras de vulnerabilidades de código
    • Engajar a organização por meio de treinamento e comunicação com os funcionários

Passo 8: Trabalhe com especialistas da F5 para garantir que você alcance maturidade cibernética contínua.

Funções críticas a serem atribuídas na criação de governança de padrões e procedimentos

Líder da equipe de conformidade de configuração

O gerenciamento de configuração pode ser difícil de implementar, por isso é fundamental designar um líder. Ferramentas de automação para ajudar a manter os padrões de configuração e minimizar o desvio de configuração incluem:

  • Integração declarativa
  • AS3
  • Transmissão de telemetria
  • Modelos de formação de nuvens

Líder de equipe de arquitetura de aplicativos corporativos

Essa função crítica perderá o rumo sem alguém supervisionando o progresso e a priorização dessa iniciativa. Os padrões de toda a organização também falharão sem essa função dedicada.

Proprietário da auditoria

A visibilidade contínua em torno dos principais tópicos de auditoria é essencial para cada auditoria. Cada equipe precisa de um líder que seja dono das soluções F5 e saiba como eles aproveitam dados profundos do aplicativo e da rede para fornecer os insights necessários para resolver rapidamente problemas relacionados à auditoria.

Os painéis compartilhados centrados em aplicativos da F5 dão às suas equipes de rede, desenvolvimento e segurança acesso aos dados necessários, ao mesmo tempo em que oferecem suporte à resolução colaborativa de problemas.


Figura 2: Detalhes do aplicativo em um piscar de olhos — visualize rapidamente a topologia específica do aplicativo, a integridade, os insights e os detalhes do evento.

Com a F5, você não está sozinho no próximo processo de auditoria. Peça aos nossos especialistas para ajudar a aprofundar os tópicos de conformidade, não importa o que aconteça nas suas próximas reuniões de auditoria.

O F5 pode ajudar:
  • Descubra ameaças criptografadas
  • Forneça detalhes sobre os controles de acesso para gerenciar melhor o acesso de usuários privilegiados
  • Personalize relatórios exportáveis para atender a requisitos de auditoria específicos
  • Fornecer advertências sobre controles de segurança

Conclusão

Os processos de auditoria podem ser demorados e estressantes. Os funcionários de serviços financeiros nunca sabem quando a próxima auditoria começará e o trabalho associado geralmente exige um emprego de tempo integral, que raramente é financiado. Sem as soluções e o suporte certos, as auditorias podem durar até seis meses, resultando em trabalho de remediação e outra auditoria.

A F5 tem um histórico comprovado na simplificação do processo de auditoria para instituições de serviços financeiros. Nossas soluções são desenvolvidas especificamente para minimizar o atrito e o estresse causados pelas auditorias.

Para saber mais, explore as soluções de serviços bancários e financeiros da F5 ou entre em contato com seu representante da F5.