Com os avanços da tecnologia e crescente utilização de meios eletrônicos, o Banco Central do Brasil (BACEN) divulgou a resolução nº 4.658, de 26/04/2018, que regulamenta a política de segurança cibernética e requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. A norma foi aprovada pelo Conselho Monetário Nacional (CMN) com o intuito de garantir mais segurança às operações das instituições financeiras.
A partir desta resolução, as instituições financeiras e demais organizações autorizadas a funcionar pelo BC passaram a utilizar provedores de nuvem pública no Brasil e no exterior. Para isso, as organizações deverão implementar e manter sua política de segurança cibernética planejada de acordo com os princípios e diretrizes estabelecidos pelo BACEN.
Tal medida lança ao mercado financeiro os pilares para a aquisição, uso, controle, responsabilidade, restrições e, sem dúvida, a conscientização frente a um processo que está cada vez mais globalizado e requer a atenção redobrada quanto aos riscos de segurança. Com certeza se trata de um avanço importante que envolve a proteção das informações do segmento financeiro. Mas como funcionará na prática?
Da Política de Segurança Cibernética
As instituições financeiras e aquelas que estão autorizadas a funcionar, devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.
Por tanto, a Política de Segurança Cibernética deve ser estruturada de modo a ser compatível com:
O porte, o perfil de risco e o modelo de negócio da instituição
A natureza das operações e complexidade dos produtos, serviços, atividades e processos da organização
A sensibilidade dos dados e das informações sob responsabilidade da instituição
Do conteúdo
A Política de Segurança Cibernética deve contemplar, no mínimo, os objetivos de segurança, os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança, além de os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis, o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da organização.
Também terão de contemplar as diretrizes para cenários de testes de continuidade de negócios, procedimentos voltados à prevenção e ao tratamento de incidentes, classificação dos dados e das informações, iniciativas para compartilhamento de informações sobre incidentes com as demais instituições e mecanismos para a disseminação da cultura de segurança cibernética na instituição.
Quanto à implementação, deverá conter um programa de capacitação e de avaliação periódica do pessoal para alcançar aos clientes e usuários a prestação de informações sobre preocupações na utilização de produtos e serviços financeiros e, por fim, o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados à segurança cibernética.
Da melhoria contínua
A política de segurança cibernética, o plano de ação e de resposta a incidentes devem ser documentados e revisados anualmente.
Tendo em vista todos os aspectos considerados na resolução, podemos acreditar que tal iniciativa é pacífica e define claramente a necessidade de investimento e responsabilidades na organização. Além, é claro, de reforçar a conscientização de um processo tão importante que requer que as instituições tenham controles e sistemas cada vez mais robustos, principalmente em relação à resiliência a ataques cibernéticos.
Cristiano Pimenta, diretor de serviços na Arcon.