visão geral da solução
Simplifique as auditorias de conformidade com a estrutura GRC certa
Desviar-se dos padrões de governança, risco e conformidade pode custar caro. Entre agosto e outubro de 2020, um gabinete do governo dos EUA O Departamento do Tesouro impôs US$ 625 milhões em multas a grandes instituições financeiras.
Simplificação do seu processo de auditoria
Você nunca sabe quando a próxima auditoria vai começar. Quando isso acontece, você pode perder o tempo e os esforços de um engenheiro em tempo integral por até seis meses, que terá que fazer a pesquisa necessária e o trabalho de comprovação de conformidade.
Infelizmente, há muitos casos reais em que o OCC pode multar organizações , como fez recentemente com um grande banco dos EUA no valor de US$ 85 milhões. Em suas descobertas, eles citaram:
-
O banco falhou em implementar e manter um programa eficaz de gerenciamento de riscos de conformidade e um programa eficaz de governança de risco de tecnologia da informação compatível com o tamanho, complexidade e perfil de risco do banco.
Manter-se dentro dos padrões de governança, risco e conformidade pode ser difícil, mas não deve impedi-lo de atingir metas comerciais críticas. Com o F5, você pode agilizar o processo de auditoria, e isso começa com uma segurança cibernética madura.
Figura 1: Este diagrama destaca os componentes críticos para alcançar uma segurança cibernética madura, um ingrediente essencial na conformidade.
Características principais
Visibilidade detalhada em vetores de risco de auditoria
Pequenos problemas podem ficar escondidos até que seja tarde demais. E quando isso acontece, seus auditores já impuseram multas caras ou atribuíram um trabalho tedioso de comprovação de conformidade. Ao visualizar seus aplicativos como um todo, você pode encontrar e isolar ou resolver problemas rapidamente antes que eles se tornem maiores, não importa onde o problema esteja escondido.
Soluções prontas para uso, prontas para conformidade
Os auditores esperam um maior grau de maturidade cibernética das instituições de serviços financeiros. Muitas vezes, verificar as caixas de conformidade não é suficiente. As soluções F5 são desenvolvidas especificamente para gerar um alto nível de maturidade cibernética, impressionando os auditores e, portanto, minimizando o atrito e o estresse causados pelas auditorias.
Suporte comprovado da indústria da F5
O suporte comprovado da F5 no setor pode orientá-lo a criar os padrões e procedimentos críticos necessários para preparar melhor sua organização para auditorias de todos os tipos. Também podemos estar ao seu lado durante as reuniões de auditoria para ajudar a aprofundar os tópicos de conformidade.
Conformidade é mais do que uma caixa de seleção
Para agilizar efetivamente o processo de auditoria, você precisa ser proativo. A abordagem e as soluções de aplicativos corretas são essenciais. A F5 tem uma ampla gama de produtos e serviços que podem ajudar.
Produtos |
Como eles ajudam |
| BIG-IP Access Policy Manager | Controle de acesso, VPN SSL |
| BIG-IP Advanced Firewall Manager | Controles de firewall, segmentação, acesso |
| BIG-IP Application Security Manager/Advanced WAF® | Segurança de aplicações, vulnerabilidades (WAF é obrigatório para conformidade com PCI DSS) |
| BIG-IQ Centralized Management | Plataforma de gerenciamento, gerenciamento de configuração, telemetria, registro |
| serviços na nuvem | DNS, DNS Load Balancer, Essential App Protect — fornecem controles de segurança, análises e visibilidade para reguladores e auditores, experiência e suporte. |
| BIG-IP DNS | Segurança do DNS (sujeito a ataques) |
| NGINX Controller | O NGINX Ingress Controller é a melhor solução de gerenciamento de tráfego da classe para aplicações nativas da nuvem em Kubernetes e ambientes em contêineres. |
| NGINX Plus | Acesso, registro, WAF |
| Shape | Prevenção contra fraude, proteção de bot, opções de negar/enganar |
| Silverline | SOCS, mitigação de DDoS, segurança de aplicações, proteção contra bots, gerenciamento de configuração (WAF é obrigatório para conformidade com PCI DSS) |
| Orquestrador SSL | Visibilidade, descriptografia SSL em escala |
| Gateway da web seguro | Gateway da Web, acesso externo, vazamento de dados |
Criação e governança de padrões e procedimentos
Os especialistas comprovados da indústria da F5 podem orientá-lo a criar os padrões e procedimentos críticos necessários para preparar melhor sua organização para auditorias de todos os tipos. Sem um foco extremo na conformidade e vigilância contínua, as organizações podem muitas vezes ficar aquém em regulamentações críticas e padrões de conformidade, como nos processos de validação do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS).
Uma metodologia de aplicação evoluída é o segredo
Tentar criar e entregar aplicativos modernos e convenientes usando infraestrutura legada apresenta desafios e limitações, especialmente quando se considera os requisitos de conformidade. À medida que as instituições avançam em sua transformação digital, uma Arquitetura de Aplicativos Corporativos (EAA) flexível e extensível pode ajudar a impulsionar a consistência e o alinhamento para dar suporte a resultados em escala, um requisito essencial para atender às expectativas em relação à segurança, desempenho e confiabilidade dos aplicativos.
Uma abordagem EAA evoluída alinha os esforços de inovação com a estratégia de negócios e oferece suporte à fácil integração de tecnologias emergentes para ajudar as organizações a permanecerem ágeis. Com o EAA correto, os desenvolvedores conseguem entregar aplicativos modernos de forma rápida e segura, independentemente da localização ou dispositivo, e em conformidade com padrões e regulamentações.
Passo 1: Alinhe a EAA e as metas de negócios e determine o equilíbrio apropriado entre inovação, agilidade e risco.
Passo 2: Faça um inventário de aplicativos. Considere todos os aplicativos do portfólio empresarial.
Etapa 3: Avalie o risco de segurança para cada aplicativo no portfólio e atribua a solução apropriada. Alguns exemplos incluem:
- Certificação FIPS de hardware e software conforme necessário para atender aos padrões e regulamentos
- Proteção de aplicação Web e API para proteção contra ameaças OWASP existentes e emergentes
- Orquestração SSL com descriptografia dinâmica baseada em políticas, criptografia e direcionamento de tráfego por meio de vários dispositivos de inspeção
Passo 4: Defina categorias de aplicativos e especifique os serviços de aplicativo necessários para cada uma.
Etapa 5: Defina parâmetros para implantação e gerenciamento de aplicativos. Isso inclui:
- Compreender as opções de implantação
- Avaliar os custos associados, modelos de consumo e perfis de conformidade/certificação
Etapa 6: Atribuir funções e responsabilidades. Você vai querer:
- Esclarecer quem é responsável por cada componente da EAA, incluindo a segurança.
- Reconhecer que a responsabilidade pode recair sobre colaboradores individuais, departamentos ou comitês multifuncionais.
Etapa 7: Aplique a abordagem EAA em toda a organização para otimizar a segurança. Isso inclui:
- Aproveitar mecanismos automatizados, como controles de acesso do usuário ou varreduras de vulnerabilidade de código
- Integrar a organização por meio de treinamento e comunicações de funcionários
Passo 8: Trabalhe com especialistas da F5 para garantir que você alcance maturidade cibernética contínua.
Funções essenciais a serem atribuídas na criação da governança de padrões e procedimentos
Líder da equipe de conformidade de configuração
O gerenciamento de configuração pode ser difícil de implementar, por isso é fundamental designar um líder. Ferramentas de automação para ajudar a manter os padrões de configuração e minimizar o desvio de configuração incluem:
- Integração declarativa
- AS3
- Streaming de telemetria
- Modelos de formação de nuvem
Líder da equipe de arquitetura de aplicações empresariais
Essa função crítica perderá o rumo sem alguém supervisionando o progresso e a priorização dessa iniciativa. Os padrões de toda a organização também falharão sem essa função dedicada.
Proprietário de auditoria
A visibilidade contínua em torno dos principais tópicos de auditoria é essencial para cada auditoria. Cada equipe precisa de um líder que seja dono das soluções F5 e saiba como eles aproveitam dados profundos do aplicativo e da rede para fornecer os insights necessários para resolver rapidamente problemas relacionados à auditoria.
Os painéis compartilhados centrados em aplicações da F5 fornecem às equipes de rede, desenvolvimento e segurança acesso aos dados que precisam, ao mesmo tempo que oferecem suporte à solução colaborativa de problemas.
Figura 2: Detalhes do aplicativo em um piscar de olhos — visualize rapidamente a topologia específica do aplicativo, a integridade, os insights e os detalhes do evento.
Com a F5, você não está sozinho no próximo processo de auditoria. Peça aos nossos especialistas para ajudar a aprofundar os tópicos de conformidade, não importa o que aconteça nas suas próximas reuniões de auditoria.
A F5 pode ajudar a:
- Descobrir ameaças criptografadas
- Fornecer detalhes sobre os controles de acesso para gerenciar melhor o acesso de usuários com privilégios
- Personalizar relatórios exportáveis para atender a requisitos específicos de auditoria
- Apresentar cuidados sobre os controles de segurança
Conclusão
Os processos de auditoria podem ser demorados e estressantes. Os funcionários de serviços financeiros nunca sabem quando a próxima auditoria começará e o trabalho associado geralmente exige um emprego de tempo integral, que raramente é financiado. Sem as soluções e o suporte certos, as auditorias podem durar até seis meses, resultando em trabalho de remediação e outra auditoria.
A F5 tem um histórico comprovado na simplificação do processo de auditoria para instituições de serviços financeiros. Nossas soluções são desenvolvidas especificamente para minimizar o atrito e o estresse causados pelas auditorias.
Para saber mais, explore as soluções de serviços bancários e financeiros da F5 ou entre em contato com seu representante da F5.