Notícias e Eventos

Entenda a Resolução 4.658 do Bacen

Para entender o impacto da Resolução 4.658 do Bacen, é importante compreender, em primeiro lugar, o que é uma política de segurança. Em suma, trata-se de um documento que declara por escrito como uma empresa planeja proteger os ativos físicos e de TI.

Considerado um “documento vivo”, uma política de segurança é continuamente atualizada enquanto os requisitos de tecnologia e funcionários mudam. Assim, deve incluir:

  • Uma descrição de como a empresa planeja educar seus funcionários sobre a proteção de ativos;  
  • As explicações de como as medidas de segurança serão realizadas e aplicadas na organização;  
  • E como será avaliada sua eficiência frente aos requisitos de segurança que foram definidos.  

A Resolução estabelece a obrigação de uma política de segurança cibernética, bem como os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais organizações autorizadas pelo Bacen a funcionar .

Desafios na segurança de dados preocupam

A iniciativa tomada do Bacen mostra a preocupação que a organização tem com as instituições financeiras e os seus usuários, já que observa como a computação em nuvem é um importante elemento na realização de transações e no armazenamento de dados dos clientes.

Assim, os dados dos clientes armazenados na nuvem são os que correm o maior risco. Já que informações como e-mail, registros de funcionários e pagamentos se tornaram o principal alvo de ataques e roubos por conta do potencial impacto financeiro.

Devido a essa sensibilidade, o Bacen passou a exigir que as instituições financeiras devem definir, implementar, divulgar e manter política de segurança cibernética formulada a partir de princípios e diretrizes que busquem assegurar a confidencialidade, integridade e disponibilidade dos dados, assim como dos sistemas de informação utilizados.

Pontos importantes da Resolução 4.658 do Bacen

Para dar uma ideia da amplitude dessa Resolução, vamos observar o artigo terceiro. Uma vez que ele diz que a política de segurança cibernética deve contemplar no mínimo:

I – os objetivos de segurança cibernética da instituição;

II – os procedimentos e controles adotados para reduzir a vulnerabilidade da
instituição a incidentes e atender aos demais objetivos de segurança cibernética;

III – os controles específicos, incluindo os voltados para a rastreabilidade da
informação, que busquem garantir a segurança das informações sensíveis;

IV – o registro, a análise da causa e do impacto, bem como o controle dos efeitos
de incidentes relevantes para as atividades da instituição;

V – as diretrizes para:

a) a elaboração de cenários de incidentes considerados nos testes de continuidade
de negócios;

b) a definição de procedimentos e controles voltados à prevenção e ao
tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;

c) a classificação dos dados e das informações quanto à relevância; e

d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos
incidentes;

VI – os mecanismos para disseminação da cultura de segurança cibernética na
instituição, incluindo:

a) a implementação de programas de capacitação e avaliação periódica de pessoal;

b) a prestação de informações a clientes e usuários sobre precauções na utilização
de produtos e serviços financeiros; e

c) o comprometimento da alta administração com a melhoria contínua dos
procedimentos relacionados com a segurança cibernética; 

VII – as iniciativas para compartilhamento de informações sobre os incidentes
relevantes, mencionados no inciso IV, com as demais instituições referidas no art. 1º.

Nuvem

Em síntese, a nuvem armazena todos os tipos de informações, desde identificação pessoal a números de cartões de crédito e senhas. Em alguns casos, as pessoas não sabem onde esses dados são armazenados e, o mais importante, como pode ser fácil acessá-los.

Por isso a importância da Resolução 4.658 do Bacen, que exige que, além de definir uma política de segurança cibernética, a empresa deve garantir, por meio de mecanismos de validação e controle, a efetividade do plano de ação e de resposta a incidentes.

A computação em nuvem é o foco da Resolução

Aprovada pelo Conselho Monetário Nacional (CMN), a Resolução 4.658 prevê que as instituições financeiras que utilizarem provedores de nuvem pública no Brasil ou exterior deverão implementar e manter sua política de segurança cibernética de acordo com as diretrizes e os princípios estabelecidos pelo Bacen.

A Resolução orienta o mercado financeiro sobre os fundamentos relativos a aquisição, uso, controle, responsabilidade, restrições e conscientização frente aos avanços da tecnologia e à crescente utilização da computação em nuvem em um processo que está cada vez mais globalizado e requer a atenção quanto aos riscos de segurança.

De acordo com o Bacen, as instituições financeiras que contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem devem adotar procedimentos como:

  • práticas de governança corporativa e gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas;  
  • a capacidade do prestador de serviço de nuvem em assegurar o cumprimento da legislação e regulamentação;  
  • garantir a confidencialidade, integridade, disponibilidade e recuperação dos dados e das informações processados ou armazenados;  
  • a aderência a certificações exigidas pela instituição para a prestação do serviço a ser contratado;  
  • o acesso aos relatórios dos procedimentos e controles utilizados na prestação dos serviços de nuvem contratados. Inclusive, estes relatórios devem ser elaborados por empresa de auditoria especializada e independente, contratada pelo prestador de serviço.

Por fim, a Resolução do Bacen estabelece importantes critérios sobre segurança cibernética, permitindo que as instituições reguladas avancem de maneira estruturada em um mundo cada vez mais digital, melhorando a relação de confiança com o mercado e os consumidores.

Com as ações previstas pela Resolução, é possível efetivar a gestão de riscos, o compliance e os controles internos, estabelecendo, assim, a governança cibernética com foco na proteção de dados e privacidade de seus usuários.

E-VAL Tecnologia, uma empresa do Grupo E-VAL

A E-VAL Tecnologia atua há mais de 14 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os seguimentos de bancos, educação e indústria.

Fale conosco, os especialistas da E-VAL Tecnologia terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança da informação para a sua instituição.

Siga-nos nas redes sociais:
error

Gostou do blog? Compartilhe já :D