Resolução nº 4.658 sobre a política de segurança cibernética

0

Com os avanços da tecnologia e crescente utilização de meios eletrônicos, o Banco Central do Brasil (BACEN) divulgou a resolução nº 4.658, de 26/04/2018, que regulamenta a política de segurança cibernética e requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. A norma foi aprovada pelo Conselho Monetário Nacional (CMN) com o intuito de garantir mais segurança às operações das instituições financeiras.

A partir desta resolução, as instituições financeiras e demais organizações autorizadas a funcionar pelo BC passaram a utilizar provedores de nuvem pública no Brasil e no exterior. Para isso, as organizações deverão implementar e manter sua política de segurança cibernética planejada de acordo com os princípios e diretrizes estabelecidos pelo BACEN.

Tal medida lança ao mercado financeiro os pilares para a aquisição, uso, controle, responsabilidade, restrições e, sem dúvida, a conscientização frente a um processo que está cada vez mais globalizado e requer a atenção redobrada quanto aos riscos de segurança. Com certeza se trata de um avanço importante que envolve a proteção das informações do segmento financeiro. Mas como funcionará na prática?

Da Política de Segurança Cibernética

As instituições financeiras e aquelas que estão autorizadas a funcionar, devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

Por tanto, a Política de Segurança Cibernética deve ser estruturada de modo a ser compatível com:

O porte, o perfil de risco e o modelo de negócio da instituição

A natureza das operações e complexidade dos produtos, serviços, atividades e processos da organização

A sensibilidade dos dados e das informações sob responsabilidade da instituição

Do conteúdo

A Política de Segurança Cibernética deve contemplar, no mínimo, os objetivos de segurança, os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança, além de os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis, o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da organização.

Também terão de contemplar as diretrizes para cenários de testes de continuidade de negócios, procedimentos voltados à prevenção e ao tratamento de incidentes, classificação dos dados e das informações, iniciativas para compartilhamento de informações sobre incidentes com as demais instituições e mecanismos para a disseminação da cultura de segurança cibernética na instituição.

Quanto à implementação, deverá conter um programa de capacitação e de avaliação periódica do pessoal para alcançar aos clientes e usuários a prestação de informações sobre preocupações na utilização de produtos e serviços financeiros e, por fim, o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados à segurança cibernética.

Da melhoria contínua

A política de segurança cibernética, o plano de ação e de resposta a incidentes devem ser documentados e revisados anualmente.

Tendo em vista todos os aspectos considerados na resolução, podemos acreditar que tal iniciativa é pacífica e define claramente a necessidade de investimento e responsabilidades na organização. Além, é claro, de reforçar a conscientização de um processo tão importante que requer que as instituições tenham controles e sistemas cada vez mais robustos, principalmente em relação à resiliência a ataques cibernéticos.

Cristiano Pimenta, diretor de serviços na Arcon.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.