BR +55 11 3069 3925  |  USA +1 855 726 4878

O que eu preciso saber sobre a resolução do BACEN?

por | jan 10, 2019 | Blog

No dia 26 de abril de 2018, o Banco Central do Brasil – BACEN tornou pública a Resolução Nº 4.658, que dispõe sobre a política de segurança cibernética, contemplando os requisitos para a contratação de serviços de processamento e armazenamento de dados, computação em nuvem, a serem observados por instituições financeiras e demais instituições autorizadas a funcionar pelo BACEN.

Otávio Damaso, diretor do BACEN, para o jornal O Globo:

 “Os ataques cibernéticos são cada vez mais sofisticados e profissionalizados, mas a gente identificou a necessidade de chamar um pouco mais a atenção para a organização, para a gestão desse risco no âmbito das instituições financeiras. É um movimento que está acontecendo em outros países também.”

De fato, o Fórum Econômico Mundial divulgou um estudo recente que calcula em US$ 500 bilhões por ano os prejuízos anuais, em todo o planeta, com os crimes cibernéticos. Uma estimativa de uma consultoria internacional estima que os crimes virtuais possam chegar a US$ 6 trilhões em 2021.

A norma aborda questões objetivas e subjetivas, exigindo uma visão analítica em suas interpretações e discussões internas de entendimento para sua aplicação.

Detalhada em cinco capítulos, o BACEN procurou trazer à tona a preocupação com a crescente utilização de meios eletrônicos e de inovações tecnológicas no setor financeiro. Segundo o BACEN, isso requer que as instituições financeiras tenham controles e sistemas cada vez mais robustos, especialmente quanto à resiliência a ataques cibernéticos.

Algo que caracteriza a segurança cibernética é que o seu agente de ameaça, isto é, aquele que perpetra os ataques virtuais, é única e exclusivamente alguém ou algo fora do ambiente da empresa. Lembrando que quando tratamos a segurança da informação, incluímos também o agente de ameaça interno, representado entre outros por colaboradores e funcionários. A segurança cibernética deve ser vista como um braço da segurança tecnológica que faz parte de algo bem maior que é a segurança da informação.

Na resolução 4658, controles específicos sobre segurança cibernética passaram a ser exigidos, entre eles, a criação, manutenção e divulgação de uma política de segurança cibernética, realizada a partir de princípios e diretrizes que buscam assegurar a confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informação utilizado. Tais diretrizes incluem:

  • Redução da vulnerabilidade a incidentes cibernéticos;
  • Cenários de incidentes nos testes de continuidade de negócios;
  • Procedimentos e controles preventivos e de tratamento de incidentes por prestadores e terceiros;
  • Classificação dos dados e das informações;
  • Implementação de programas de capacitação e de avaliação periódica de pessoal e
  • Prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros.

O plano de tratamento de incidentes é uma definição de como a instituição deve se comportar diante desses eventuais incidentes, com prontidão e transparência.  A norma exige também a designação de um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

Outro item de destaque é o que cita a criação de iniciativas para compartilhamento de informações sobre os incidentes relevantes com as demais instituições, isso é uma novidade para esse setor e dará forma ao que já acontece de maneira informal, abrindo possibilidades de usar benchmarks internacionais.

No que diz respeito à contratação de empresas para processar e armazenar dados em infraestrutura de computação em nuvem, a norma tem diversos procedimentos e exigências, entre elas a de que as instituições devem informar ao BACEN com antecedência mínima de 60 dias a empresa e os serviços que serão contratados. O contrato entre instituição financeira e prestador de serviços em nuvem deverá ter cláusulas mínimas e estabelecerá a adoção de procedimentos que englobem práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas.

Em caso de contratação de empresas no exterior, as instituições podem contratar serviços em países que tenham firmado o MoU (Memorando de Entendimento entre Bancos Centrais). Caso não haja este acordo, o BACEN deve decidir se autoriza ou não a contratação. Além disso, a legislação do país onde será feita a contratação não pode restringir o acesso a esses dados à instituição financeira e ao Banco Central. Por fim, a instituição financeira deve identificar ao BACEN o país, a região e sistemas que armazenaram esses dados.

Como era de se esperar, a resolução define prazos para ações de designação, aprovação, adequação, comunicação, assim como de emissão regular de relatório anual. As instituições devem estabelecer de imediato uma força tarefa para identificar as lacunas existentes em relação às exigências e definir os planos de ação para o cumprimento dos prazos (180 dias para apresentar o cronograma e adequação até 2021).

Acesse a norma completa

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Investimento de 13 milhões de dólares impulsiona expansão da senhasegura nas Américas e no Oriente Médio

Por Priscilla Silva São Paulo, 10 de Março de 2023 - O senhasegura, provedor líder de solução para Gestão de Acessos Privilegiados (PAM), que protege ambientes tecnológicos e recursos críticos de organizações contra ameaças cibernéticas, anuncia o aporte de 13 milhões...

senhasegura recebe prêmio CyberSecured 2022 como melhor solução de PAM nos EUA

Escrito por Priscilla Silva SÃO PAULO, 28 de Fevereiro de 2023 - A edição de 2022 do prêmio CyberSecured, promovido pela revista Security Today, marca do grupo 1105 Media's Infrastructure Solutions Group, elegeu a senhasegura como vencedora na categoria Privileged...

senhasegura lança o conceito “Jiu-JitCISO” para mostrar o vigor da cibersegurança brasileira

Por Priscilla Silva São Paulo, 13 de janeiro de 2023 - "Como no Jiu-Jitsu, a senhasegura é sobre defesa própria. Toda empresa deveria saber como se proteger e também proteger os seus clientes" é o propósito baseado na filosofia da arte marcial japonesa, mas...

CISA e FBI lançam script de recuperação de ransomware ESXiArgs

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos e o Departamento Federal de Investigação (FBI) lançaram, nesta semana, um guia de recuperação do ransomware ESXiArgs, que prejudicou milhares de empresas em âmbito global. Isso ocorreu porque...

senhasegura é líder pelo segundo ano consecutivo no relatório KuppingerCole Leadership Compass 2023

Por Priscilla Silva São Paulo, 30 de janeiro de 2023 - A senhasegura, solução de Gestão de Acessos Privilegiados (PAM) conquista a posição de líder no atual "Leadership Compass 2023". O relatório é produzido pela renomada empresa de análise de TI, a alemã...