Na esteira da Resolução Nº 4.658, do Banco Central, que estabelece a obrigação de uma política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, a Trend Micro elaborou um estudo sobre aplicação das melhores práticas de segurança cibernética para instituições do setor financeiro. Em vigor desde de 26 de abril de 2018, a resolução obriga as instituições financeiras e demais instituições autorizadas a funcionar pela autoridade monetária a definir, implementar, divulgar e manter política de segurança cibernética com o objetivo de assegurar a confidencialidade, a integridade e a disponibilidade dos dados e seus sistemas.
O estudo aborda aspectos de fortalecimento da segurança de modo a garantir a conformidade no setor financeiro. O material ressalta que a tecnologia da informação evoluiu rapidamente e os desafios para manter o parque computacional atualizado são conhecidos pelos profissionais de TI. Pensando em um equilíbrio entre elasticidade e custo, obtido no modelo conhecido como pay-as-you-go, várias instituições aderiram à computação em nuvem. Segundo a empresa de pesquisa Gartner, o uso de nuvem pública deve crescer 17% em 2020 e atingir US? 331 bilhões ao final de 2022 em todo o mundo.
Segundo o relatório, o setor financeiro também segue essa tendência, porém os desafios encontrados aí, como confidencialidade, integridade, disponibilidade e conformidade com a legislação e as normas aplicáveis têm suas próprias características.
Além da transformação digital, o aumento da quantidade e da complexidade de ciberataques tem agravado o cenário de segurança da informação. De acordo com o Fórum Econômico Mundial, ciberataques estão entre os cinco principais riscos globais, por probabilidade e impacto. Por isso, destaca a publicação, é essencial existir um equilíbrio entre estratégia organizacional, pessoas, processos e tecnologia na construção da segurança da informação, pois uma gestão de riscos adequada requer competência, eficiência e a seleção dos controles tecnológicos, tanto para suprir os processos quanto auxiliar as pessoas nas suas atividades.
A Trend Micro também reforça que uma vez que as instituições financeiras têm seu modelo de prestação de contas diferente da indústria ou do setor de saúde, as suas necessidades de segurança também mudam. Desta forma, o estudo tem por objetivo esclarecer o que é a Resolução Nº 4.658, do Banco Central, e identificar as funcionalidades providas pelas soluções de mercado, como da Trend Micro, que podem auxiliar os profissionais de TI na definição de controles de uma política de segurança cibernética.
O conteúdo destaca ainda que a Resolução 4.658 não afeta apenas Instituições Financeiras e é aplicável a empresas que tenham contratos de tecnologia com estas Instituições Reguladas. Uma extensão destas obrigações foi criada pela Circular 3.909/19, com deveres similares para as demais Instituições de Pagamento. Assim, os prestadores de serviços e contratados também deverão seguir a norma e demonstrar conformidade podendo, em alguns casos, serem responsabilizados por infrações ou terem seus contratos rescindidos por determinação do Banco Central.
Dentre os principais aspectos mencionados pela Trend Micro no estudo para que as instituições tenham pleno atendimento aos pontos da regulação estão controles específicos para a rastreabilidade da Informação, autenticação, criptografia, prevenção e tratamento dos incidentes (incluindo vazamento de dados), controle e classificação dos dados e das informações, entre outros aspectos.
Além disso, é importante que haja realização periódica de testes e varreduras para detecção de vulnerabilidades, estabelecimento de mecanismos de rastreabilidade, controles de acesso e segmentação da rede de computadores e manutenção de cópias de segurança dos dados e das informações, além de rotinas, procedimentos, controles e tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética.
O estudo avalia que como se trata especificamente de cibersegurança, a resolução determina a implementação e manutenção de uma política que busque assegurar a integridade, disponibilidade e confidencialidade dos dados, abrangendo os procedimentos e controles necessários para tal. Vale destacar que ela obriga que as instituições implementem procedimentos e controles para reduzir a vulnerabilidade da instituição a incidentes.
O estudo Trend Micro sobre boas práticas de segurança cibernética no setor financeiro pode ser acessado gratuitamente por meio do link.
