Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Resiliência cibernética
Aishwarya Ramani
Gerente Sênior de Marketing de Soluções
Illumio Editorial
Outubro 28, 2025
23 minutos. ler

Como atender aos requisitos de conformidade do HKMA OR-2 com o Illumio

No setor bancário, a infraestrutura tecnológica muitas vezes pode parecer uma tigela de sopa wonton: terminais, roteadores e dispositivos de armazenamento flutuando em um caldo de fluxos de dados.  

E nem sempre é aquele tipo de abraço reconfortante, daqueles que a vovó fazia numa tigela. É uma bagunça. É imprevisível. Se você não consegue ver claramente cada ingrediente da sopa, isso pode arruinar toda a tigela.

Quando algo dá errado, raramente é um problema isolado e pode ter um impacto de longo alcance que se faz sentir em todo o ecossistema bancário.  

É por isso que reguladores como a Autoridade Monetária de Hong Kong (HKMA) estão elevando o padrão com requisitos de conformidade como o OR-2, que exigem resiliência operacional, e não apenas consciência de riscos. Para os bancos, isso significa demonstrar que conseguem ter uma visão completa da situação, conter as interrupções quando elas ocorrem e testar continuamente sua capacidade de recuperação.

Neste post, vamos explorar os requisitos da OR-2, por que a visibilidade é fundamental para alcançar a conformidade e como a Illumio pode ajudar.

As feridas da violação da ICBC são profundas!

Em 2023, o Banco Industrial e Comercial da China (ICBC), o maior banco do mundo em ativos, foi atingido por um ataque de ransomware que interrompeu suas operações de corretagem nos EUA.  

O resultado? Quase US$ 9 bilhões em transações do Tesouro não liquidadas. Os funcionários tiveram que recorrer a pen drives e ao Gmail apenas para processar transações. Os efeitos em cadeia se espalham por todo o mercado de US$ 26 trilhões do Tesouro dos EUA.

Como quem despeja óleo de pimenta fervendo em uma ferida aberta, menos de um ano depois, a filial londrina do ICBC foi invadida. Os atacantes extraíram 6,6 terabytes de dados sensíveis. O momento não poderia ter sido pior.  

A violação não se limitou a expor dados. Isso expôs a fragilidade, e no setor bancário, a fragilidade é justamente aquilo que você não pode se dar ao luxo de demonstrar.  

Órgãos reguladores em todo o mundo exigem resiliência. A Autoridade Monetária de Hong Kong (HKMA), assim como seus pares na Europa, Austrália e Singapura, está fazendo exatamente isso por meio de sua estrutura de Resiliência Operacional (OR-2).  

O incidente com o ICBC reforçou o objetivo da OR-2 de evitar esses pontos cegos operacionais que transformam interrupções em crises.  

Quando as ondulações se transformam em marés, os reguladores entram em ação.  

A questão das operações bancárias é que elas são profundamente interligadas. Uma pequena perturbação em um canto do sistema pode ter repercussões em diversas funções, regiões geográficas e até mesmo nos mercados financeiros. Quando essas ondulações se transformam em ondas, os órgãos reguladores tomam conhecimento.

Segundo o modelo OR-2, espera-se que os bancos em Hong Kong demonstrem que conseguem manter as operações críticas mesmo diante de interrupções graves, porém plausíveis.  

Eles estão pedindo aos bancos que mapeiem como as operações, os sistemas e terceiros estão conectados para entender como as coisas podem dar errado. Mais importante ainda, eles querem que os bancos sejam capazes de conter os danos quando eles ocorrerem.

Visibilidade: o maior desafio de segurança do setor bancário  

Muitas instituições já possuem as estruturas, políticas de governança e planos de ação necessários. Mas poucos estão fazendo a pergunta que realmente importa: podemos realmente ver as interconexões que deveríamos mapear?

A OR-2 da HKMA insta os bancos a irem além da mera documentação. Os bancos precisam ser capazes de identificar e compreender como suas operações críticas estão interligadas. Não apenas as dependências óbvias, mas também as ocultas entre sistemas, equipes, fornecedores e processos.

Já não basta dizer: "Conhecemos o nosso ambiente". Regulamentações de conformidade como a OR-2 exigem que os bancos compreendam profundamente como funcionam suas operações digitais.

É aqui que a maioria dos bancos começa a sentir a pressão. Resiliência não se resume a ter um plano, mas sim a ter a visibilidade necessária para tornar esse plano realidade.  

Em outras palavras, você não pode proteger o que não pode ver.

Nos ambientes híbridos de Hong Kong, onde sistemas legados se encontram com novas implementações em nuvem e integrações de terceiros, manter a visibilidade em todas as camadas costuma ser a parte mais difícil. No entanto, é exatamente isso que os órgãos reguladores esperam que você domine.

A contenção deixou de ser apenas uma questão técnica e passou a ser cultural.

O regulamento OR-2 da HKMA vai além da tecnologia, abrangendo também a governança e a cultura. O documento solicita aos bancos que identifiquem seus serviços comerciais essenciais, definam limites de impacto e testem sua capacidade de operar dentro desses limites durante uma interrupção.

Contenção não é mais apenas um termo técnico. Isso se tornou uma prioridade na sala de reuniões. Quando os bancos falham, os clientes não perdem apenas o acesso; perdem também a confiança. E a confiança, uma vez abalada, é difícil de reconstruir.

No ecossistema bancário de Hong Kong, orientado para o relacionamento, onde a confiança, a estabilidade e a reputação da marca são tudo, uma violação de segurança não é apenas uma falha técnica. É uma crise cultural e empresarial.

Testando, testando e testando ainda mais.

Como saber se seu processo pode resistir ao impacto de um ataque de ransomware disruptivo? Você testa, testa e testa novamente. Completamente!  

A HKMA prevê testes de resiliência baseados em cenários. E não daquele tipo em que todos concordam com a cabeça durante um exercício teórico e voltam para suas mesas. Eles querem simulações realistas do que acontece quando os sistemas falham, os fornecedores quebram ou os ataques cibernéticos se espalham mais rápido do que o esperado.

Uma prova não é divertida se você não estudou. Estudar para o teste em termos de resiliência significa ter um programa de resposta a incidentes bem definido e ensaiado, capaz de detectar, conter e recuperar-se de interrupções de ponta a ponta.  

Você também precisa de exercícios bem elaborados e bem projetados para comprovar que está mantendo a continuidade operacional, gerenciando a comunicação com o cliente e reportando aos órgãos reguladores.

E isso não é um exercício que se faz uma única vez. A OR-2 espera melhoria contínua: atualização da documentação, aprimoramento dos controles e aprendizado com cada incidente, seja interno ou em todo o setor.

Como atender aos requisitos de conformidade OR-2 com a Illumio

Para atender aos requisitos de conformidade da OR-2, as organizações devem começar obtendo visibilidade granular e de ponta a ponta .  

A Illumio oferece aos bancos um mapa em tempo real de como os sistemas, aplicativos e fluxos de dados interagem em ambientes de nuvem, data center e endpoints, sem depender de varreduras de rede tradicionais ou agentes complexos.

Visibilidade Illumio

Com o Illumio, você pode visualizar seus ativos críticos, entender como eles se comunicam e identificar onde uma única interrupção pode se alastrar pela rede se não for controlada.

Isso significa que, quando a HKMA (Autoridade Monetária de Hong Kong) perguntar como você está gerenciando o risco operacional sob a OR-2 (Regulamento Operacional 2), você não estará agindo de forma ingênua, reagindo a quaisquer sons e estímulos provenientes do seu ambiente.  

Em vez disso, o Illumio ajuda você a abordar a conformidade com clareza. Você pode demonstrar de forma rápida e fácil que identificou seus serviços comerciais importantes e mapeou suas interconexões.

Com essa visibilidade, você pode usar a Segmentação do Illumio para isolar ameaças instantaneamente e limitar seu raio de impacto.  

Segmentação Illumio

É possível conter um ataque de ransomware em segundos, interrompendo a movimentação lateral antes que ele afete sistemas críticos ou se espalhe para conexões de terceiros. Essa capacidade de conter danos em tempo real é fundamental para o objetivo do OR-2 de garantir operações críticas mesmo diante de interrupções plausíveis.

Em vez de entrar em pânico após uma violação de segurança, o Illumio oferece as ferramentas para você entender o ambiente e responder com controle, precisão e rapidez. Isso significa que você pode manter o restante das operações bancárias em funcionamento enquanto investiga e recupera o problema.

O OR-2 prega a preparação, não a perfeição.

A HKMA não está exigindo perfeição. Isso exige preparo: que os bancos sejam pragmáticos, ágeis e lúcidos em relação aos seus riscos.  

A visibilidade granular do Illumio ajuda você a chegar lá sem ruído.

O preparo não é apenas a maneira mais fácil de fortalecer sua postura de resiliência operacional do OR-2. É também a forma mais inteligente de construir confiança com os reguladores, com o conselho de administração e com os clientes.

Porque, no fim das contas, resiliência não se resume a ter uma pasta cheia de políticas. Trata-se de saber o que está conectado, o que é vulnerável e o que você fará quando — e não se — algo der errado.

A visibilidade é a base da resiliência, e a Illumio é a forma de construí-la.

Comece agora mesmo com Illumio Insights hoje.

Tópicos relacionados

Serviços financeiros do setor bancário &

Artigos relacionados

Antifragilidade: como o Zero Trust transforma ameaças de IA em pontos fortes
Resiliência cibernética

Antifragilidade: como o Zero Trust transforma ameaças de IA em pontos fortes

Descubra por que o Zero Trust não se trata apenas de resiliência — é um modelo de segurança antifrágil que fica mais forte sob ataque.

Leia mais
Mais aulas de segurança empresarial de Steph Curry: quando algo dá errado
Resiliência cibernética

Mais aulas de segurança empresarial de Steph Curry: quando algo dá errado

As equipes de segurança precisam tomar decisões como essa em tempo real o tempo todo, e quanto mais dados tiverem acesso sobre a situação, melhores decisões poderão tomar.

Leia mais
Uma década após o pior ano de segurança cibernética de todos os tempos — o que mudou?
Resiliência cibernética

Uma década após o pior ano de segurança cibernética de todos os tempos — o que mudou?

Saiba como a segurança cibernética mudou e permaneceu a mesma na última década e por que isso é importante para o futuro da segurança cibernética.

Leia mais
Duas violações, um banco: lições da crise cibernética do ICBC
Resiliência cibernética

Duas violações, um banco: lições da crise cibernética do ICBC

Descubra as principais lições da crise cibernética do ICBC, em que duas grandes violações — ransomware nos EUA e roubo de dados em Londres — revelaram vulnerabilidades sistêmicas no setor bancário global.

Leia mais
Hacks em caixas eletrônicos: uma ameaça cibernética oculta à segurança bancária
Resiliência cibernética

Hacks em caixas eletrônicos: uma ameaça cibernética oculta à segurança bancária

Saiba como os cibercriminosos exploram caixas eletrônicos para acessar redes e como a Illumio ajuda a conter brechas rapidamente com a microssegmentação.

Leia mais
Como a Western Union construiu confiança zero escalável com a segmentação Illumio
segmentação

Como a Western Union construiu confiança zero escalável com a segmentação Illumio

Saiba como a Western Union usou o Illumio para implementar o Zero Trust e a microssegmentação escalável para conformidade com PCI, segurança de fusões e aquisições e visibilidade em tempo real.

Leia mais

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais