BR +55 11 3069 3925 | USA +1 469 620 7643

O que eu preciso saber sobre a resolução do BACEN?

por | jan 10, 2019 | Blog

No dia 26 de abril de 2018, o Banco Central do Brasil – BACEN tornou pública a Resolução Nº 4.658, que dispõe sobre a política de segurança cibernética, contemplando os requisitos para a contratação de serviços de processamento e armazenamento de dados, computação em nuvem, a serem observados por instituições financeiras e demais instituições autorizadas a funcionar pelo BACEN.

Otávio Damaso, diretor do BACEN, para o jornal O Globo:

 “Os ataques cibernéticos são cada vez mais sofisticados e profissionalizados, mas a gente identificou a necessidade de chamar um pouco mais a atenção para a organização, para a gestão desse risco no âmbito das instituições financeiras. É um movimento que está acontecendo em outros países também.”

De fato, o Fórum Econômico Mundial divulgou um estudo recente que calcula em US$ 500 bilhões por ano os prejuízos anuais, em todo o planeta, com os crimes cibernéticos. Uma estimativa de uma consultoria internacional estima que os crimes virtuais possam chegar a US$ 6 trilhões em 2021.

A norma aborda questões objetivas e subjetivas, exigindo uma visão analítica em suas interpretações e discussões internas de entendimento para sua aplicação.

Detalhada em cinco capítulos, o BACEN procurou trazer à tona a preocupação com a crescente utilização de meios eletrônicos e de inovações tecnológicas no setor financeiro. Segundo o BACEN, isso requer que as instituições financeiras tenham controles e sistemas cada vez mais robustos, especialmente quanto à resiliência a ataques cibernéticos.

Algo que caracteriza a segurança cibernética é que o seu agente de ameaça, isto é, aquele que perpetra os ataques virtuais, é única e exclusivamente alguém ou algo fora do ambiente da empresa. Lembrando que quando tratamos a segurança da informação, incluímos também o agente de ameaça interno, representado entre outros por colaboradores e funcionários. A segurança cibernética deve ser vista como um braço da segurança tecnológica que faz parte de algo bem maior que é a segurança da informação.

Na resolução 4658, controles específicos sobre segurança cibernética passaram a ser exigidos, entre eles, a criação, manutenção e divulgação de uma política de segurança cibernética, realizada a partir de princípios e diretrizes que buscam assegurar a confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informação utilizado. Tais diretrizes incluem:

  • Redução da vulnerabilidade a incidentes cibernéticos;
  • Cenários de incidentes nos testes de continuidade de negócios;
  • Procedimentos e controles preventivos e de tratamento de incidentes por prestadores e terceiros;
  • Classificação dos dados e das informações;
  • Implementação de programas de capacitação e de avaliação periódica de pessoal e
  • Prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros.

O plano de tratamento de incidentes é uma definição de como a instituição deve se comportar diante desses eventuais incidentes, com prontidão e transparência.  A norma exige também a designação de um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

Outro item de destaque é o que cita a criação de iniciativas para compartilhamento de informações sobre os incidentes relevantes com as demais instituições, isso é uma novidade para esse setor e dará forma ao que já acontece de maneira informal, abrindo possibilidades de usar benchmarks internacionais.

No que diz respeito à contratação de empresas para processar e armazenar dados em infraestrutura de computação em nuvem, a norma tem diversos procedimentos e exigências, entre elas a de que as instituições devem informar ao BACEN com antecedência mínima de 60 dias a empresa e os serviços que serão contratados. O contrato entre instituição financeira e prestador de serviços em nuvem deverá ter cláusulas mínimas e estabelecerá a adoção de procedimentos que englobem práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas.

Em caso de contratação de empresas no exterior, as instituições podem contratar serviços em países que tenham firmado o MoU (Memorando de Entendimento entre Bancos Centrais). Caso não haja este acordo, o BACEN deve decidir se autoriza ou não a contratação. Além disso, a legislação do país onde será feita a contratação não pode restringir o acesso a esses dados à instituição financeira e ao Banco Central. Por fim, a instituição financeira deve identificar ao BACEN o país, a região e sistemas que armazenaram esses dados.

Como era de se esperar, a resolução define prazos para ações de designação, aprovação, adequação, comunicação, assim como de emissão regular de relatório anual. As instituições devem estabelecer de imediato uma força tarefa para identificar as lacunas existentes em relação às exigências e definir os planos de ação para o cumprimento dos prazos (180 dias para apresentar o cronograma e adequação até 2021).

Acesse a norma completa

Alta disponibilidade: tecnologia que garante produtividade e credibilidade

Neste artigo, explicamos mais detalhes sobre o assunto. Nosso texto está dividido por tópicos para facilitar sua compreensão. São eles: O que é alta disponibilidade? O que é um cluster de alta disponibilidade? Qual é a importância da alta disponibilidade para as...

Múltiplo Fator de Autenticação: como se beneficiar dessa estratégia de segurança

O múltiplo fator de autenticação é uma solução inteligente que proporciona proteção de ataques cibernéticos a pessoas físicas e jurídicas.  Essa estratégia é especialmente importante nos dias atuais, considerando o aumento expressivo de tentativas de invasão. Uma...

Gestão de Acesso Privilegiado

A implementação do gerenciamento de acesso privilegiado em uma empresa é fundamental para garantir que não haja roubos de informação e outros problemas de segurança. Os chamados ciberataques são os responsáveis, por exemplo, pelo roubo e sequestro de informações em...

Gerenciamento de Credenciais

Com o aumento significativo no número de malwares e ransomwares por todo o mundo, garantir a segurança das credenciais privilegiadas da sua empresa tornou-se uma prática fundamental para se proteger de ameaças internas, vazamentos de dados e perdas financeiras...

Como evitar ataques DDoS na sua empresa?

Existem diversos métodos por meio dos quais agentes mal-intencionados atacam websites e desestabilizam serviços e recursos em rede. Uma das técnicas mais comumente utilizadas é o ataque DDoS, da sigla em inglês distributed denial-of-service ou “negativa distribuída de...
Copy link
Powered by Social Snap