O crescente número e a grande variedade de ataques cibernéticos recentes estão obrigando as autoridades de vários países a aprovarem leis e normas que têm como objetivo aumentar os níveis de proteção contra danos financeiros e econômicos a países, empresas e indivíduos.
Uma grande preocupação atual para a segurança de governos, organizações e pessoas é a segurança da informação. O investimento nessa área não é mais uma opção.
Algumas das mais recentes normas e regulamentações são a European Union General Data Protection Regulation (GDPR), a Lei Geral de Proteção de Dados do Brasil e, para as instituições financeiras que operam no Brasil, a Resolução BACEN nº 4.658.
A seguir, procuraremos abordar os principais pontos que impactarão as instituições financeiras e seus prestadores de serviços, com a vigência da Resolução nº 4.658 do Banco Central do Brasil.
Segurança da informação para as instituições financeiras
Apesar da tecnologia utilizada pelas instituições financeiras no Brasil ser considerada uma das mais avançadas do mundo, havia uma necessidade de normatizar o que se entende por política de segurança cibernética e definir os requisitos necessários para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Dessa forma, tornou-se imperativo que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil estejam preparadas e observem o que dita a Resolução. Apesar desse fato, observamos que o mercado ainda não está discutindo suficientemente alguns problemas e decisões a serem tomadas.
Quando se fala em segurança da informação, o primeiro dilema a ser superado é proposto por dois vetores que não são necessariamente compatíveis: a pressão para redução de custos e a necessidade de realizar investimentos em segurança.
A resolução do Banco Central reduz em muito o drama desse dilema e oferece sólidos argumentos para encaminhar sua solução.
Política de segurança cibernética
A Resolução determina a implantação e a manutenção de uma política de segurança cibernética, com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.
Traz a responsabilidade final pela política de segurança cibernética para a alta administração, pois deve ser aprovada pelo conselho de administração ou, na sua inexistência, da diretoria da instituição. Essa exigência confere o grau de importância necessário e desperta uma maior atenção para a segurança da informação e suas necessidades de investimento.
Além disso, a instituição deve divulgar a política a seus funcionários de todos os níveis, prestadores de serviço e público em geral.
A política deve ser compatível com o porte, o perfil de risco e o modelo de negócio da instituição; a natureza das operações e a complexidade dos produtos, serviços, atividades e processos da instituição; e a sensibilidade dos dados e das informações sob responsabilidade da instituição.
Deve contemplar no mínimo:
- Os objetivos de segurança cibernética;
- Os procedimentos e os controles adotados;
- O registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes;
- Diretrizes para elaboração de cenários de incidentes, procedimentos e controles para prevenção e tratamento de incidentes;
- Classificação da relevância dos dados e dos incidentes;
- Orientação a clientes e usuários sobre a utilização dos serviços e produtos financeiros;
- Comprometimento da alta administração com a melhoria contínua dos procedimentos; e
- Iniciativas para compartilhamento de informações sobre os incidentes relevantes para as outras instituições financeiras.
Plano de ação e de resposta a incidentes
Também deve ser desenvolvido pela instituição um plano de ação e de resposta a incidentes, contendo:
- As ações para adequar a estrutura organizacional e operacional à política de segurança cibernética, que coloca em evidência as necessidades de recursos humanos e materiais especializados;
- As rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes;
- A área responsável pelo registro e controle dos efeitos de incidentes relevantes.
Outro ponto que confere mais importância institucional e operacional às iniciativas: um diretor deve ser designado como responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.
Computação na nuvem
Um novo modelo operacional, acompanhado de suas vantagens e riscos, se abre com a possibilidade de contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.
Esse fato pode trazer significativa redução nos custos, entretanto demanda mudanças tecnológicas, novos perfis de profissionais e novos processos.
No que se refere aos riscos, as instituições devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, são compatíveis com as operações na nuvem.
Serviços terceirizados
Além das instituições financeiras, estão sujeitas à Resolução as empresas prestadoras de serviços, que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição financeira.
Esses prestadores de serviço devem apresentar recursos e competências necessários para a adequada gestão dos serviços a serem contratados e atenderem aos requisitos da legislação. Sua contratação deve ser previamente comunicada ao Banco Central.
Importante: a contratação de serviços de terceiros não exime a instituição contratante de responsabilidade solidária pelos atos do prestador de serviços contratado.
Acompanhamento e controle
As instituições devem instituir mecanismos de acompanhamento e de controle para assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo:
- A definição de processos, testes e trilhas de auditoria;
- A definição de métricas e indicadores adequados; e
- A identificação e a correção de eventuais deficiências.
A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser documentados e revisados, no mínimo, anualmente.
Conclusão
Assim como diversas outras leis, regulamentos e normas, a Resolução BACEN 4.658 foi criada para oferecer referências para as instituições financeiras das boas práticas de mercado (seguindo o que já propunha a ANBIMA com o Guia de Melhores práticas de segurança cibernética) e assegurar que as empresas serão beneficiadas por essas práticas.
Proteger os dados e informação com o máximo cuidado passa a ser não somente requisito regulatório, mas um diferencial competitivo em um ambiente de negócios cada vez mais digital e baseado em dados e a experiência mostra que deixar a conformidade para a última hora é custoso e problemático.
Comments are closed.
Recent Comments