O que eu preciso saber sobre a resolução do BACEN?
Otávio Damaso, diretor do BACEN, para o jornal O Globo:
“Os ataques cibernéticos são cada vez mais sofisticados e profissionalizados, mas a gente identificou a necessidade de chamar um pouco mais a atenção para a organização, para a gestão desse risco no âmbito das instituições financeiras. É um movimento que está acontecendo em outros países também.”
De fato, o Fórum Econômico Mundial divulgou um estudo recente que calcula em US$ 500 bilhões por ano os prejuízos anuais, em todo o planeta, com os crimes cibernéticos. Uma estimativa de uma consultoria internacional estima que os crimes virtuais possam chegar a US$ 6 trilhões em 2021.
A norma aborda questões objetivas e subjetivas, exigindo uma visão analítica em suas interpretações e discussões internas de entendimento para sua aplicação.
Detalhada em cinco capítulos, o BACEN procurou trazer à tona a preocupação com a crescente utilização de meios eletrônicos e de inovações tecnológicas no setor financeiro. Segundo o BACEN, isso requer que as instituições financeiras tenham controles e sistemas cada vez mais robustos, especialmente quanto à resiliência a ataques cibernéticos.
Algo que caracteriza a segurança cibernética é que o seu agente de ameaça, isto é, aquele que perpetra os ataques virtuais, é única e exclusivamente alguém ou algo fora do ambiente da empresa. Lembrando que quando tratamos a segurança da informação, incluímos também o agente de ameaça interno, representado entre outros por colaboradores e funcionários. A segurança cibernética deve ser vista como um braço da segurança tecnológica que faz parte de algo bem maior que é a segurança da informação.
Na resolução 4658, controles específicos sobre segurança cibernética passaram a ser exigidos, entre eles, a criação, manutenção e divulgação de uma política de segurança cibernética, realizada a partir de princípios e diretrizes que buscam assegurar a confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informação utilizado. Tais diretrizes incluem:
- Redução da vulnerabilidade a incidentes cibernéticos;
- Cenários de incidentes nos testes de continuidade de negócios;
- Procedimentos e controles preventivos e de tratamento de incidentes por prestadores e terceiros;
- Classificação dos dados e das informações;
- Implementação de programas de capacitação e de avaliação periódica de pessoal e
- Prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros.
O plano de tratamento de incidentes é uma definição de como a instituição deve se comportar diante desses eventuais incidentes, com prontidão e transparência. A norma exige também a designação de um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.
Outro item de destaque é o que cita a criação de iniciativas para compartilhamento de informações sobre os incidentes relevantes com as demais instituições, isso é uma novidade para esse setor e dará forma ao que já acontece de maneira informal, abrindo possibilidades de usar benchmarks internacionais.
No que diz respeito à contratação de empresas para processar e armazenar dados em infraestrutura de computação em nuvem, a norma tem diversos procedimentos e exigências, entre elas a de que as instituições devem informar ao BACEN com antecedência mínima de 60 dias a empresa e os serviços que serão contratados. O contrato entre instituição financeira e prestador de serviços em nuvem deverá ter cláusulas mínimas e estabelecerá a adoção de procedimentos que englobem práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas.
Em caso de contratação de empresas no exterior, as instituições podem contratar serviços em países que tenham firmado o MoU (Memorando de Entendimento entre Bancos Centrais). Caso não haja este acordo, o BACEN deve decidir se autoriza ou não a contratação. Além disso, a legislação do país onde será feita a contratação não pode restringir o acesso a esses dados à instituição financeira e ao Banco Central. Por fim, a instituição financeira deve identificar ao BACEN o país, a região e sistemas que armazenaram esses dados.
Como era de se esperar, a resolução define prazos para ações de designação, aprovação, adequação, comunicação, assim como de emissão regular de relatório anual. As instituições devem estabelecer de imediato uma força tarefa para identificar as lacunas existentes em relação às exigências e definir os planos de ação para o cumprimento dos prazos (180 dias para apresentar o cronograma e adequação até 2021).