0
1
0
1
1
0
1
0

Home Posts ENTENDA A RESOLUƇƃO 4.568 DO BACEN

ENTENDA A RESOLUƇƃO 4.568 DO BACEN

ENTENDA A RESOLUƇƃO 4.568 DO BACEN

ConheƧa a ResoluĆ§Ć£o 4.658 do Bacen e a polĆ­tica de seguranƧa cibernĆ©tica nas instituiƧƵes financeiras aplicada ao uso da computaĆ§Ć£o em nuvem.

Para entender o impacto da ResoluĆ§Ć£o 4.568 do Bacen, Ć© importante compreender que uma polĆ­tica de seguranƧa Ć© um documento que declara por escrito como uma empresa planeja proteger os ativos fĆ­sicos e de TI.

Considerado um ā€œdocumento vivoā€, uma polĆ­tica de seguranƧa Ć© continuamente atualizada na medida em que os requisitos de tecnologia e funcionĆ”rios mudam. Desta forma, deve incluir:

  • uma descriĆ§Ć£o de como a empresa planeja educar seus funcionĆ”rios sobre a proteĆ§Ć£o de ativos;
  • as explicaƧƵes de como as medidas de seguranƧa serĆ£o realizadas e aplicadas na organizaĆ§Ć£o;
  • e como serĆ” avaliada sua eficiĆŖncia frente aos requisitos de seguranƧa que foram definidos.

A resoluĆ§Ć£o estabelece a obrigaĆ§Ć£o de uma polĆ­tica de seguranƧa cibernĆ©tica e os requisitos para a contrataĆ§Ć£o de serviƧos de processamento e armazenamento de dados e de computaĆ§Ć£o em nuvem a serem observados pelas instituiƧƵes financeiras e demais organizaƧƵes autorizadas a funcionar pelo Bacen.

Desafios na seguranƧa de dados preocupam

A iniciativa tomada do Bacen mostra a preocupaĆ§Ć£o que a organizaĆ§Ć£o tem com as instituiƧƵes financeiras e os seus usuĆ”rios, por observar que a computaĆ§Ć£o em nuvem Ć© um importante elemento na realizaĆ§Ć£o de transaƧƵes e no armazenamento de dados dos clientes.

Os dados dos clientes armazenados na nuvem sĆ£o os que correm o maior risco. InformaƧƵes como e-mail, registros de funcionĆ”rios e pagamentos se tornaram o principal alvo de ataques e roubos, por conta do potencial impacto financeiro.

Devido a essa sensibilidade, o Bacen passou a exigir que as instituiƧƵes financeiras devem definir, implementar, divulgar e manter polĆ­tica de seguranƧa cibernĆ©tica formulada a partir de princĆ­pios e diretrizes que busquem assegurar a confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informaĆ§Ć£o utilizados.

Pontos importantes da ResoluĆ§Ć£o 4.658 do Bacen

Para vocĆŖ ter uma ideia da amplitude da ResoluĆ§Ć£o 4.658, o artigo terceiro diz que a polĆ­tica de seguranƧa cibernĆ©tica deve contemplar, no mĆ­nimo:

I – os objetivos de seguranƧa cibernĆ©tica da instituiĆ§Ć£o;

II – os procedimentos e controles adotados para reduzir a vulnerabilidade da
instituiĆ§Ć£o a incidentes e atender aos demais objetivos de seguranƧa cibernĆ©tica;

III – os controles especĆ­ficos, incluindo os voltados para a rastreabilidade da
informaĆ§Ć£o, que busquem garantir a seguranƧa das informaƧƵes sensĆ­veis;

IV – o registro, a anĆ”lise da causa e do impacto, bem como o controle dos efeitos
de incidentes relevantes para as atividades da instituiĆ§Ć£o;

V – as diretrizes para:

a) a elaboraĆ§Ć£o de cenĆ”rios de incidentes considerados nos testes de continuidade
de negĆ³cios;

b) a definiĆ§Ć£o de procedimentos e controles voltados Ć  prevenĆ§Ć£o e ao
tratamento dos incidentes a serem adotados por empresas prestadoras de serviƧos a terceiros que manuseiem dados ou informaƧƵes sensĆ­veis ou que sejam relevantes para a conduĆ§Ć£o das atividades operacionais da instituiĆ§Ć£o;

c) a classificaĆ§Ć£o dos dados e das informaƧƵes quanto Ć  relevĆ¢ncia; e

d) a definiĆ§Ć£o dos parĆ¢metros a serem utilizados na avaliaĆ§Ć£o da relevĆ¢ncia dos
incidentes;

VI – os mecanismos para disseminaĆ§Ć£o da cultura de seguranƧa cibernĆ©tica na
instituiĆ§Ć£o, incluindo:

a) a implementaĆ§Ć£o de programas de capacitaĆ§Ć£o e avaliaĆ§Ć£o periĆ³dica de pessoal;

b) a prestaĆ§Ć£o de informaƧƵes a clientes e usuĆ”rios sobre precauƧƵes na utilizaĆ§Ć£o
de produtos e serviƧos financeiros; e

c) o comprometimento da alta administraĆ§Ć£o com a melhoria contĆ­nua dos
procedimentos relacionados com a seguranƧa cibernĆ©tica; 

VII – as iniciativas para compartilhamento de informaƧƵes sobre os incidentes
relevantes, mencionados no inciso IV, com as demais instituiƧƵes referidas no art. 1Āŗ.

A nuvem armazena todos os tipos de informaƧƵes, desde identificaĆ§Ć£o pessoal a nĆŗmeros de cartƵes de crĆ©dito e senhas. Em alguns casos, as pessoas nĆ£o sabem onde esses dados sĆ£o armazenados e, o mais importante, como pode ser fĆ”cil acessĆ”-los.

DaĆ­ a importĆ¢ncia da ResoluĆ§Ć£o 4.568 do Bacen, que exige que, alĆ©m de definir uma polĆ­tica de seguranƧa cibernĆ©tica, a empresa deve garantir, por meio de mecanismos de validaĆ§Ć£o e controle, a efetividade do plano de aĆ§Ć£o e de resposta a incidentes.

A computaĆ§Ć£o em nuvem Ć© o foco

Aprovada pelo Conselho MonetĆ”rio Nacional (CMN), a ResoluĆ§Ć£o 4.568 prevĆŖ que as instituiƧƵes financeiras que utilizarem provedores de nuvem pĆŗblica no Brasil ou exterior deverĆ£o implementar e manter sua polĆ­tica de seguranƧa cibernĆ©tica de acordo com as diretrizes e os princĆ­pios estabelecidos pelo Bacen.

Considerada um importante avanƧo, a resoluĆ§Ć£o orienta o mercado financeiro sobre os fundamentos relativos a aquisiĆ§Ć£o, uso, controle, responsabilidade, restriƧƵes e conscientizaĆ§Ć£o frente aos avanƧos da tecnologia e Ć  crescente utilizaĆ§Ć£o da computaĆ§Ć£o em nuvem em um processo que estĆ” cada vez mais globalizado e requer a atenĆ§Ć£o quanto aos riscos de seguranƧa.

De acordo com a ResoluĆ§Ć£o 4.568 do Bacen, as instituiƧƵes financeiras que contemplem a contrataĆ§Ć£o de serviƧos relevantes de processamento e armazenamento de dados e de computaĆ§Ć£o em nuvem devem adotar procedimentos como:

  • prĆ”ticas de governanƧa corporativa e gestĆ£o proporcionais Ć  relevĆ¢ncia do serviƧo a ser contratado e aos riscos a que estejam expostas;
  • a capacidade do prestador de serviƧo de nuvem em assegurar o cumprimento da legislaĆ§Ć£o e regulamentaĆ§Ć£o;
  • garantir a confidencialidade, integridade, disponibilidade e recuperaĆ§Ć£o dos dados e das informaƧƵes processados ou armazenados;
  • a aderĆŖncia a certificaƧƵes exigidas pela instituiĆ§Ć£o para a prestaĆ§Ć£o do
    serviƧo a ser contratado;
  • o acesso aos relatĆ³rios elaborados por empresa de auditoria especializada e independente contratada pelo prestador de serviƧo, relativos aos procedimentos e controles utilizados na prestaĆ§Ć£o dos serviƧos de nuvem contratados.

Em vigor desde 26 de abril de 2018, a ResoluĆ§Ć£o 4.568 do Bacen estabelece importantes critĆ©rios a serem cumpridos quanto Ć  seguranƧa cibernĆ©tica, permitindo que as instituiƧƵes reguladas avancem de maneira estruturada em um mundo cada vez mais digital, melhorando a relaĆ§Ć£o de confianƧa com o mercado e os consumidores.

Com as aƧƵes previstas pela resoluĆ§Ć£o, Ć© possĆ­vel efetivar a gestĆ£o de riscos, o compliance e os controles internos, estabelecendo, assim, a governanƧa cibernĆ©tica com foco na proteĆ§Ć£o de dados e privacidade de seus usuĆ”rios.

Mande suas dĆŗvidas! nossos especialistas irĆ£o respondĆŖ-las e contribuirĆ£o para o desenvolvimento dos seus projetos de inovaĆ§Ć£o e a melhoria contĆ­nua da sua empresa.