[email protected]
+ 55 (11) 5505-0505
Leadcomm Trusted Digital Security
  • Soluções
    • Automação SOC
      • Soc Cognitivo
        • IBM Security ReaQta
      • Orquestração de respostas a Incidentes
    • Controle de Acesso e Governança
      • Gestão de Identidade e Acesso Privilegiado
    • Postura Cyber
      • SOC
      • Microsegmentação Zero Trust
      • Plataforma de Microsegmentação
      • Gerenciamento de Superfície de Ataque
      • Anti-Ransomware
    • Gestão de Privacidade
      • Gestão de Privacidade
      • Localização e Governança de Dados
    • [:pb]Proteção de Aplicativos[:en]APPLICATION SECURITY[:es]APPLICATION SECURITY[:]
      • Proteção de APPs
      • Proteção e Teste de Aplicações
      • Proteção Unificada de API
      • Value Stream Management
    • Proteção de Dados
      • Criptografia de Dados
      • Gestão de Ameaças e Vulnerabilidades
      • [:pb]Proteção de Vazamento de Dados (DLP)[:en]Proteção de Vazamento de Dados[:es]Proteção de Vazamento de Dados[:]
      • Sensitive Data Protection
      • Proteção de Dados Sensíveis
    • Proteção de Endpoints
      • Gerenciamento de Dispositivos Mobile (MDM)
      • [:pb]Proteção de Endpoints[:en]Detecção e Resposta para Endpoints[:es]Detecção e Resposta para Endpoints[:]
  • Serviços
    • Consultoria
    • Consultoria LGPD
    • Serviços Especializados
    • Pentest
  • Sobre nós
    • Sobre nós
    • Lugares Incríveis para Trabalhar
    • Pacto Global
  • Conteúdos
  • Blog
  • Clipping
  • Contato
  • Suporte
  • |
  • Soluções
    • Automação SOC
      • Soc Cognitivo
        • IBM Security ReaQta
      • Orquestração de respostas a Incidentes
    • Controle de Acesso e Governança
      • Gestão de Identidade e Acesso Privilegiado
    • Postura Cyber
      • SOC
      • Microsegmentação Zero Trust
      • Plataforma de Microsegmentação
      • Gerenciamento de Superfície de Ataque
      • Anti-Ransomware
    • Gestão de Privacidade
      • Gestão de Privacidade
      • Localização e Governança de Dados
    • [:pb]Proteção de Aplicativos[:en]APPLICATION SECURITY[:es]APPLICATION SECURITY[:]
      • Proteção de APPs
      • Proteção e Teste de Aplicações
      • Proteção Unificada de API
      • Value Stream Management
    • Proteção de Dados
      • Criptografia de Dados
      • Gestão de Ameaças e Vulnerabilidades
      • [:pb]Proteção de Vazamento de Dados (DLP)[:en]Proteção de Vazamento de Dados[:es]Proteção de Vazamento de Dados[:]
      • Sensitive Data Protection
      • Proteção de Dados Sensíveis
    • Proteção de Endpoints
      • Gerenciamento de Dispositivos Mobile (MDM)
      • [:pb]Proteção de Endpoints[:en]Detecção e Resposta para Endpoints[:es]Detecção e Resposta para Endpoints[:]
  • Serviços
    • Consultoria
    • Consultoria LGPD
    • Serviços Especializados
    • Pentest
  • Sobre nós
    • Sobre nós
    • Lugares Incríveis para Trabalhar
    • Pacto Global
  • Conteúdos
  • Blog
  • Clipping
  • Contato
  • Suporte
  • |

08/10/2018 By admin Comments are Off BACEN4658, cibersegurança, cybersecurity, data protection, Data Security, DPVM, GDPR, Guardium, Lei de Proteção de Dados, LGDP, Proteção de Dados, Security

[:pb]O crescente número e a grande variedade de ataques cibernéticos recentes estão obrigando as autoridades de vários países a aprovarem leis e normas que têm como objetivo aumentar os níveis de proteção contra danos financeiros e econômicos a países, empresas e indivíduos.

Uma grande preocupação atual para a segurança de governos, organizações e pessoas é a segurança da informação. O investimento nessa área não é mais uma opção.

Algumas das mais recentes normas e regulamentações são a European Union General Data Protection Regulation (GDPR), a Lei Geral de Proteção de Dados do Brasil e, para as instituições financeiras que operam no Brasil, a Resolução BACEN nº 4.658.

A seguir, procuraremos abordar os principais pontos que impactarão as instituições financeiras e seus prestadores de serviços, com a vigência da Resolução nº 4.658 do Banco Central do Brasil.

Segurança da informação para as instituições financeiras

Apesar da tecnologia utilizada pelas instituições financeiras no Brasil ser considerada uma das mais avançadas do mundo, havia uma necessidade de normatizar o que se entende por política de segurança cibernética e definir os requisitos necessários para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

Dessa forma, tornou-se imperativo que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil estejam preparadas e observem o que dita a Resolução. Apesar desse fato, observamos que o mercado ainda não está discutindo suficientemente alguns problemas e decisões a serem tomadas.

Quando se fala em segurança da informação, o primeiro dilema a ser superado é proposto por dois vetores que não são necessariamente compatíveis: a pressão para redução de custos e a necessidade de realizar investimentos em segurança.

A resolução do Banco Central reduz em muito o drama desse dilema e oferece sólidos argumentos para encaminhar sua solução.

Política de segurança cibernética

A Resolução determina a implantação e a manutenção de uma política de segurança cibernética, com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

Traz a responsabilidade final pela política de segurança cibernética para a alta administração, pois deve ser aprovada pelo conselho de administração ou, na sua inexistência, da diretoria da instituição. Essa exigência confere o grau de importância necessário e desperta uma maior atenção para a segurança da informação e suas necessidades de investimento.

Além disso, a instituição deve divulgar a política a seus funcionários de todos os níveis, prestadores de serviço e público em geral.

A política deve ser compatível com o porte, o perfil de risco e o modelo de negócio da instituição; a natureza das operações e a complexidade dos produtos, serviços, atividades e processos da instituição; e a sensibilidade dos dados e das informações sob responsabilidade da instituição.

Deve contemplar no mínimo:

  • Os objetivos de segurança cibernética;
  • Os procedimentos e os controles adotados;
  • O registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes;
  • Diretrizes para elaboração de cenários de incidentes, procedimentos e controles para prevenção e tratamento de incidentes;
  • Classificação da relevância dos dados e dos incidentes;
  • Orientação a clientes e usuários sobre a utilização dos serviços e produtos financeiros;
  • Comprometimento da alta administração com a melhoria contínua dos procedimentos; e
  • Iniciativas para compartilhamento de informações sobre os incidentes relevantes para as outras instituições financeiras.

Plano de ação e de resposta a incidentes

Também deve ser desenvolvido pela instituição um plano de ação e de resposta a incidentes, contendo:

  • As ações para adequar a estrutura organizacional e operacional à política de segurança cibernética, que coloca em evidência as necessidades de recursos humanos e materiais especializados;
  • As rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes;
  • A área responsável pelo registro e controle dos efeitos de incidentes relevantes.

Outro ponto que confere mais importância institucional e operacional às iniciativas: um diretor deve ser designado como responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

Computação na nuvem

Um novo modelo operacional, acompanhado de suas vantagens e riscos, se abre com a possibilidade de contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.

Esse fato pode trazer significativa redução nos custos, entretanto demanda mudanças tecnológicas, novos perfis de profissionais e novos processos.

No que se refere aos riscos, as instituições devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, são compatíveis com as operações na nuvem.

Serviços terceirizados

Além das instituições financeiras, estão sujeitas à Resolução as empresas prestadoras de serviços, que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição financeira.

Esses prestadores de serviço devem apresentar recursos e competências necessários para a adequada gestão dos serviços a serem contratados e atenderem aos requisitos da legislação. Sua contratação deve ser previamente comunicada ao Banco Central.

Importante: a contratação de serviços de terceiros não exime a instituição contratante de responsabilidade solidária pelos atos do prestador de serviços contratado.

Acompanhamento e controle

As instituições devem instituir mecanismos de acompanhamento e de controle para assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo:

  • A definição de processos, testes e trilhas de auditoria;
  • A definição de métricas e indicadores adequados; e
  • A identificação e a correção de eventuais deficiências.

A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser documentados e revisados, no mínimo, anualmente.

Conclusão

Assim como diversas outras leis, regulamentos e normas, a Resolução BACEN 4.658 foi criada para oferecer referências para as instituições financeiras das boas práticas de mercado (seguindo o que já propunha a ANBIMA com o Guia de Melhores práticas de segurança cibernética) e assegurar que as empresas serão beneficiadas por essas práticas.

Proteger os dados e informação com o máximo cuidado passa a ser não somente requisito regulatório, mas um diferencial competitivo em um ambiente de negócios cada vez mais digital e baseado em dados e a experiência mostra que deixar a conformidade para a última hora é custoso e problemático.[:en]O crescente número e a grande variedade de ataques cibernéticos recentes estão obrigando as autoridades de vários países a aprovarem leis e normas que têm como objetivo aumentar os níveis de proteção contra danos financeiros e econômicos a países, empresas e indivíduos.

Uma grande preocupação atual para a segurança de governos, organizações e pessoas é a segurança da informação. O investimento nessa área não é mais uma opção.

Algumas das mais recentes normas e regulamentações são a European Union General Data Protection Regulation (GDPR), a Lei Geral de Proteção de Dados do Brasil e, para as instituições financeiras que operam no Brasil, a Resolução BACEN nº 4.658.

A seguir, procuraremos abordar os principais pontos que impactarão as instituições financeiras e seus prestadores de serviços, com a vigência da Resolução nº 4.658 do Banco Central do Brasil.

Segurança da informação para as instituições financeiras

Apesar da tecnologia utilizada pelas instituições financeiras no Brasil ser considerada uma das mais avançadas do mundo, havia uma necessidade de normatizar o que se entende por política de segurança cibernética e definir os requisitos necessários para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

Dessa forma, tornou-se imperativo que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil estejam preparadas e observem o que dita a Resolução. Apesar desse fato, observamos que o mercado ainda não está discutindo suficientemente alguns problemas e decisões a serem tomadas.

Quando se fala em segurança da informação, o primeiro dilema a ser superado é proposto por dois vetores que não são necessariamente compatíveis: a pressão para redução de custos e a necessidade de realizar investimentos em segurança.

A resolução do Banco Central reduz em muito o drama desse dilema e oferece sólidos argumentos para encaminhar sua solução.

Política de segurança cibernética

A Resolução determina a implantação e a manutenção de uma política de segurança cibernética, com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

Traz a responsabilidade final pela política de segurança cibernética para a alta administração, pois deve ser aprovada pelo conselho de administração ou, na sua inexistência, da diretoria da instituição. Essa exigência confere o grau de importância necessário e desperta uma maior atenção para a segurança da informação e suas necessidades de investimento.

Além disso, a instituição deve divulgar a política a seus funcionários de todos os níveis, prestadores de serviço e público em geral.

A política deve ser compatível com o porte, o perfil de risco e o modelo de negócio da instituição; a natureza das operações e a complexidade dos produtos, serviços, atividades e processos da instituição; e a sensibilidade dos dados e das informações sob responsabilidade da instituição.

Deve contemplar no mínimo:

• Os objetivos de segurança cibernética;
• Os procedimentos e os controles adotados;
• O registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes;
• Diretrizes para elaboração de cenários de incidentes, procedimentos e controles para prevenção e tratamento de incidentes;
• Classificação da relevância dos dados e dos incidentes;
• Orientação a clientes e usuários sobre a utilização dos serviços e produtos financeiros;
• Comprometimento da alta administração com a melhoria contínua dos procedimentos; e
• Iniciativas para compartilhamento de informações sobre os incidentes relevantes para as outras instituições financeiras.

Plano de ação e de resposta a incidentes

Também deve ser desenvolvido pela instituição um plano de ação e de resposta a incidentes, contendo:

• As ações para adequar a estrutura organizacional e operacional à política de segurança cibernética, que coloca em evidência as necessidades de recursos humanos e materiais especializados;
• As rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes;
• A área responsável pelo registro e controle dos efeitos de incidentes relevantes.

Outro ponto que confere mais importância institucional e operacional às iniciativas: um diretor deve ser designado como responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

Computação na nuvem

Um novo modelo operacional, acompanhado de suas vantagens e riscos, se abre com a possibilidade de contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.

Esse fato pode trazer significativa redução nos custos, entretanto demanda mudanças tecnológicas, novos perfis de profissionais e novos processos.

No que se refere aos riscos, as instituições devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, são compatíveis com as operações na nuvem.

Serviços terceirizados

Além das instituições financeiras, estão sujeitas à Resolução as empresas prestadoras de serviços, que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição financeira.

Esses prestadores de serviço devem apresentar recursos e competências necessários para a adequada gestão dos serviços a serem contratados e atenderem aos requisitos da legislação. Sua contratação deve ser previamente comunicada ao Banco Central.

Importante: a contratação de serviços de terceiros não exime a instituição contratante de responsabilidade solidária pelos atos do prestador de serviços contratado.

Acompanhamento e controle

As instituições devem instituir mecanismos de acompanhamento e de controle para assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo:

• A definição de processos, testes e trilhas de auditoria;
• A definição de métricas e indicadores adequados; e
• A identificação e a correção de eventuais deficiências.

A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser documentados e revisados, no mínimo, anualmente.

Conclusão

Assim como diversas outras leis, regulamentos e normas, a Resolução BACEN 4.658 foi criada para oferecer referências para as instituições financeiras das boas práticas de mercado (seguindo o que já propunha a ANBIMA com o Guia de Melhores práticas de segurança cibernética) e assegurar que as empresas serão beneficiadas por essas práticas.

Proteger os dados e informação com o máximo cuidado passa a ser não somente requisito regulatório, mas um diferencial competitivo em um ambiente de negócios cada vez mais digital e baseado em dados e a experiência mostra que deixar a conformidade para a última hora é custoso e problemático.[:]

Comments are closed.

Posts recentes

  • Proteja a saúde financeira da sua organização, priorizando a segurança de APIs
  • Illumio pode ajudar a conter ataques de ransomware em instituições financeiras
  • Mantenha a segurança das APIs utilizando o modelo Zero Trust
  • O verdadeiro impacto e custo do ransomware para os negócios!
  • Um mergulho técnico na proteção anti-ransomware

Comentários

    Arquivos

    • novembro 2023
    • outubro 2023
    • agosto 2023
    • julho 2023
    • fevereiro 2023
    • janeiro 2023
    • dezembro 2022
    • novembro 2022
    • outubro 2022
    • julho 2022
    • maio 2022
    • abril 2022
    • março 2022
    • fevereiro 2022
    • dezembro 2021
    • setembro 2021
    • agosto 2021
    • julho 2021
    • junho 2021
    • maio 2021
    • abril 2021
    • março 2021
    • fevereiro 2021
    • janeiro 2021
    • dezembro 2020
    • novembro 2020
    • outubro 2020
    • setembro 2020
    • agosto 2020
    • julho 2020
    • junho 2020
    • maio 2020
    • abril 2020
    • março 2020
    • fevereiro 2020
    • janeiro 2020
    • novembro 2019
    • outubro 2019
    • setembro 2019
    • agosto 2019
    • julho 2019
    • junho 2019
    • maio 2019
    • abril 2019
    • fevereiro 2019
    • janeiro 2019
    • dezembro 2018
    • novembro 2018
    • outubro 2018
    • junho 2018
    • setembro 2017
    • agosto 2017
    • julho 2017
    • junho 2017

    Categorias

    • Arxan
    • Check Marx
    • Cyber Security
    • Data Discovery
    • Data Protection for Vertical Markets
    • DevSecOps
    • DLP
    • Eventos
    • GDPR
    • Gestão de Identidade
    • Gestão de Privacidade
    • Guardium
    • Guardium Data Encryption
    • Halcyon
    • Inteligência Artificial
    • LGPD
    • MaaS360
    • OneTrust
    • Performance
    • Programas de conscientização
    • Proteção de APIs
    • Proteção de Apps
    • Proteção de Dados
    • Proteção de marcas e pessoas
    • QRadar XDR
    • Resposta a incidentes
    • Safebreach
    • Security
    • Segurança Digital
    • Sem categoria
    • Simulação Contínua de Ataques
    • Value Stream Management
    • VM Analytic Services
    • Zero Trust Security
    • ZeroFox
    • ZeroTrust Security

    Meta

    • Acessar
    • Feed de posts
    • Feed de comentários
    • WordPress.org

    Líder em implementação de Programas de Segurança Digital, serviços e soluções para LGPD e Gestão de Riscos Cibernéticos.

    Últimos posts

    Proteja a saúde financeira da sua organização, priorizando a segurança de APIs

    28/11/2023

    Illumio pode ajudar a conter ataques de ransomware em instituições financeiras

    Illumio pode ajudar a conter ataques de ransomware em instituições financeiras

    27/10/2023

    Segurança de APIs utilizando modelo Zero Trust

    Mantenha a segurança das APIs utilizando o modelo Zero Trust

    23/10/2023

    Contato

    55 (11) 5505-0505
    contato@leadcomm.com.br

    Canal de denúncias da Leadcomm

    Clique aqui para fazer uma denúncia

    ou ligue no número 0800 033 0314

    Leadcomm 2024© Todos os direitos reservados