Para entender o impacto da Resolução 4.658 do Bacen, é importante compreender, em primeiro lugar, o que é uma política de segurança. Em suma, trata-se de um documento que declara por escrito como uma empresa planeja proteger os ativos físicos e de TI.
Considerado um “documento vivo”, uma política de segurança é continuamente atualizada enquanto os requisitos de tecnologia e funcionários mudam. Assim, deve incluir:
- Uma descrição de como a empresa planeja educar seus funcionários sobre a proteção de ativos;
- As explicações de como as medidas de segurança serão realizadas e aplicadas na organização;
- E como será avaliada sua eficiência frente aos requisitos de segurança que foram definidos.
A Resolução estabelece a obrigação de uma política de segurança cibernética, bem como os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais organizações autorizadas pelo Bacen a funcionar .
Desafios na segurança de dados preocupam
A iniciativa tomada do Bacen mostra a preocupação que a organização tem com as instituições financeiras e os seus usuários, já que observa como a computação em nuvem é um importante elemento na realização de transações e no armazenamento de dados dos clientes.
Assim, os dados dos clientes armazenados na nuvem são os que correm o maior risco. Já que informações como e-mail, registros de funcionários e pagamentos se tornaram o principal alvo de ataques e roubos por conta do potencial impacto financeiro.
Devido a essa sensibilidade, o Bacen passou a exigir que as instituições financeiras devem definir, implementar, divulgar e manter política de segurança cibernética formulada a partir de princípios e diretrizes que busquem assegurar a confidencialidade, integridade e disponibilidade dos dados, assim como dos sistemas de informação utilizados.
Pontos importantes da Resolução 4.658 do Bacen
Para dar uma ideia da amplitude dessa Resolução, vamos observar o artigo terceiro. Uma vez que ele diz que a política de segurança cibernética deve contemplar no mínimo:
I – os objetivos de segurança cibernética da instituição;
II – os procedimentos e controles adotados para reduzir a vulnerabilidade da
instituição a incidentes e atender aos demais objetivos de segurança cibernética;III – os controles específicos, incluindo os voltados para a rastreabilidade da
informação, que busquem garantir a segurança das informações sensíveis;IV – o registro, a análise da causa e do impacto, bem como o controle dos efeitos
de incidentes relevantes para as atividades da instituição;V – as diretrizes para:
a) a elaboração de cenários de incidentes considerados nos testes de continuidade
de negócios;b) a definição de procedimentos e controles voltados à prevenção e ao
tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;c) a classificação dos dados e das informações quanto à relevância; e
d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos
incidentes;VI – os mecanismos para disseminação da cultura de segurança cibernética na
instituição, incluindo:a) a implementação de programas de capacitação e avaliação periódica de pessoal;
b) a prestação de informações a clientes e usuários sobre precauções na utilização
de produtos e serviços financeiros; ec) o comprometimento da alta administração com a melhoria contínua dos
procedimentos relacionados com a segurança cibernética;VII – as iniciativas para compartilhamento de informações sobre os incidentes
relevantes, mencionados no inciso IV, com as demais instituições referidas no art. 1º.
Nuvem
Em síntese, a nuvem armazena todos os tipos de informações, desde identificação pessoal a números de cartões de crédito e senhas. Em alguns casos, as pessoas não sabem onde esses dados são armazenados e, o mais importante, como pode ser fácil acessá-los.
Por isso a importância da Resolução 4.658 do Bacen, que exige que, além de definir uma política de segurança cibernética, a empresa deve garantir, por meio de mecanismos de validação e controle, a efetividade do plano de ação e de resposta a incidentes.
A computação em nuvem é o foco da Resolução
Aprovada pelo Conselho Monetário Nacional (CMN), a Resolução 4.658 prevê que as instituições financeiras que utilizarem provedores de nuvem pública no Brasil ou exterior deverão implementar e manter sua política de segurança cibernética de acordo com as diretrizes e os princípios estabelecidos pelo Bacen.
A Resolução orienta o mercado financeiro sobre os fundamentos relativos a aquisição, uso, controle, responsabilidade, restrições e conscientização frente aos avanços da tecnologia e à crescente utilização da computação em nuvem em um processo que está cada vez mais globalizado e requer a atenção quanto aos riscos de segurança.
De acordo com o Bacen, as instituições financeiras que contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem devem adotar procedimentos como:
- práticas de governança corporativa e gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas;
- a capacidade do prestador de serviço de nuvem em assegurar o cumprimento da legislação e regulamentação;
- garantir a confidencialidade, integridade, disponibilidade e recuperação dos dados e das informações processados ou armazenados;
- a aderência a certificações exigidas pela instituição para a prestação do serviço a ser contratado;
- o acesso aos relatórios dos procedimentos e controles utilizados na prestação dos serviços de nuvem contratados. Inclusive, estes relatórios devem ser elaborados por empresa de auditoria especializada e independente, contratada pelo prestador de serviço.
Por fim, a Resolução do Bacen estabelece importantes critérios sobre segurança cibernética, permitindo que as instituições reguladas avancem de maneira estruturada em um mundo cada vez mais digital, melhorando a relação de confiança com o mercado e os consumidores.
Com as ações previstas pela Resolução, é possível efetivar a gestão de riscos, o compliance e os controles internos, estabelecendo, assim, a governança cibernética com foco na proteção de dados e privacidade de seus usuários.
E-VAL Tecnologia, uma empresa do Grupo E-VAL
A E-VAL Tecnologia atua há mais de 14 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os seguimentos de bancos, educação e indústria.
Fale conosco, os especialistas da E-VAL Tecnologia terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança da informação para a sua instituição.