O Banco Central aprovou uma resolução que estabelece novas obrigações para as instituições financeiras brasileiras no que diz respeito à segurança da informação. O setor financeiro é o que mais investe em soluções para a segurança de dados no Brasil, mas também é o principal alvo dos cibercriminosos.
Basicamente, as normas são divididas em duas partes, a primeira fala sobre a implementação obrigatória de uma política de segurança nas instituições financeiras e a segunda parte detalha algumas práticas para a adoção e uso da nuvem no setor.
A resolução diz que as instituições devem implementar e manter uma política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados para isso.
Todas as empresas regulamentadas pelo Banco Central terão que implementar e testar um plano de ação de resposta a incidentes e também implementar controles mínimos definidos como autenticação, criptografia, prevenção de intrusos, DLP, antivírus, análise de vulnerabilidades, entre outros. Também passa a ser obrigatório existir um executivo responsável pelo planejamento e execução da segurança, independentemente do porte da empresa.
Sobre a adoção e uso de nuvem, as normas visam criam um padrão sobre como as nuvens podem ser adotadas e de que maneira dados devem ser processados e armazenados. Nesse ponto chama a atenção a preocupação com a residência dos dados, ou seja, conseguir indicar geograficamente onde os dados hospedados em nuvem estarão. Não será obrigatório hospedar os dados apenas no Brasil, mas será preciso comprovar o país de hospedagem.
As novas normas têm o intuito de disseminar a cultura de segurança da informação e aprimorar a proteção dos dados das empresas e dos clientes, criando algumas padronizações em todo o setor. Até abril de 2019, um ano após a publicação da resolução, todas as empresas regulamentadas pelo Banco Central terão que apresentar seus relatórios para provar que estão de acordo com todas as regras estabelecidas.
O setor financeiro, em sua maioria, já possui uma maturidade muito maior em segurança e por isso é usado como modelo para os outros segmentos. Muitas empresas já têm todas ou quase todas as normas aplicadas, mas antes não existia obrigatoriedade. A grande vantagem agora é poder usar o apelo da resolução para melhorar ainda mais a postura de segurança das empresas, ajudar a conscientizar a área de negócios sobre o assunto e usar essas diretrizes para direcionar mudanças e conquistar mais robustez para o futuro.
Bruno Zani, líder de vendas para segurança na nuvem da McAfee no Brasil.