O setor financeiro avança ainda mais em cibersegurança

Resolução nº 4.658, aprovada recentemente pelo BACEN, regulamenta a política e os requisitos para contratação de serviços em nuvem por instituições financeiras e demais organizações autorizadas pelo Banco Central a funcionar

Compartilhar:

Com os avanços da tecnologia e crescente utilização de meios eletrônicos, o Banco Central do Brasil (BACEN) divulgou a resolução nº 4.658, de 26/04/2018, que regulamenta a política de segurança cibernética e requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. A norma foi aprovada pelo Conselho Monetário Nacional (CMN) com o intuito de garantir mais segurança às operações das instituições financeiras.

 

A partir desta resolução, as instituições financeiras e demais organizações autorizadas a funcionar pelo BC passaram a utilizar provedores de nuvem pública no Brasil e no exterior. Para isso, as organizações deverão implementar e manter sua política de segurança cibernética planejada de acordo com os princípios e diretrizes estabelecidos pelo BACEN.

 

Tal medida lança ao mercado financeiro os pilares para a aquisição, uso, controle, responsabilidade, restrições e, sem dúvida, a conscientização frente a um processo que está cada vez mais globalizado e requer a atenção redobrada quanto aos riscos de segurança. Com certeza se trata de um avanço importante que envolve a proteção das informações do segmento financeiro. Mas como funcionará na prática?

 

Da Política de Segurança Cibernética

 

As instituições financeiras e aquelas que estão autorizadas a funcionar, devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

 

Por tanto, a Política de Segurança Cibernética deve ser estruturada de modo a ser compatível com:

 

– O porte, o perfil de risco e o modelo de negócio da instituição

 

– A natureza das operações e complexidade dos produtos, serviços, atividades e processos da organização

 

– A sensibilidade dos dados e das informações sob responsabilidade da instituição

 

Do conteúdo

 

A Política de Segurança Cibernética deve contemplar, no mínimo, os objetivos de segurança, os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança, além de os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis, o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da organização.

 

Também terão de contemplar as diretrizes para cenários de testes de continuidade de negócios, procedimentos voltados à prevenção e ao tratamento de incidentes, classificação dos dados e das informações, iniciativas para compartilhamento de informações sobre incidentes com as demais instituições e mecanismos para a disseminação da cultura de segurança cibernética na instituição.

 

Quanto à implementação, deverá conter um programa de capacitação e de avaliação periódica do pessoal para alcançar aos clientes e usuários a prestação de informações sobre preocupações na utilização de produtos e serviços financeiros e, por fim, o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados à segurança cibernética.

 

Da melhoria contínua

 

A política de segurança cibernética, o plano de ação e de resposta a incidentes devem ser documentados e revisados anualmente.

 

Tendo em vista todos os aspectos considerados na resolução, podemos acreditar que tal iniciativa é pacífica e define claramente a necessidade de investimento e responsabilidades na organização. Além, é claro, de reforçar a conscientização de um processo tão importante que requer que as instituições tenham controles e sistemas cada vez mais robustos, principalmente em relação à resiliência a ataques cibernéticos.

 

* Cristiano Pimenta é diretor de serviços na Arcon

 

Conteúdos Relacionados

Security Report | Overview

TD SYNNEX conclui aquisição de migração para a nuvem da IPsense no Brasil

A aquisição fortalece a posição da TD SYNNEX e de seus parceiros de negócios na jornada para a transformação digital...
Security Report | Overview

Cibercrime cria QR code falso para golpes em recarga de carros elétricos

Unindo as palavras phishing e QR code, o quishing sobrepõe o código falso ao verdadeiro para levar as vítimas a...
Security Report | Overview

Qual o papel da Segurança Gerenciada na América Latina em 2025?

O objetivo atual de um MSSP visionário é manter o controle sobre o relacionamento com seus clientes e proteger suas...
Security Report | Overview

Violações de dados geram perda de 18% no PIB nacional, aponta Instituto

Estudo elaborado pelo Instituto Nacional de Combate ao Cibercrime (INCC) mostra impactos preocupantes dos custos de violações de dados no...