Resolução CMN 4893 |
Política de segurança
cibernética BACEN:
O BACEN, ou Banco Central do Brasil, é uma autarquia federal, ou seja, uma entidade independente supervisionada pelo governo do país. Graças às diretrizes e regulamentações criadas no Conselho Monetário Nacional (CMN) e sua implementação pelo BACEN, as demais organizações financeiras do país operam de maneira ordenada.
Seu objetivo é garantir que todas as regulamentações sejam seguidas pelas instituições financeiras, assegurando um Sistema Financeiro Nacional eficiente e seguro para todos.
Entre suas principais ações estão a gestão da liquidez da economia, a coordenação de políticas monetárias, a manutenção de reservas internacionais saudáveis, a promoção da máxima qualidade nas operações das instituições financeiras e a garantia do cumprimento das regulamentações.
Em 26 de fevereiro de 2021, tornou-se de conhecimento público a normativa elaborada para bancos e empresas financeiras voltada para segurança cibernética.
O foco da resolução está na Política de Segurança da Informação e Cibernética. Assim, todos os bancos e empresas financeiras que adotam tecnologias para o processamento e armazenamento de dados de clientes e que contratam diferentes serviços terceiros e computação em nuvem devem seguir essa resolução para garantir sua conformidade.
No que diz respeito ao processamento e armazenamento de dados, há alguns pontos importantes que já são levantados até mesmo pela LGPD, sendo eles: privacidade, integridade e disponibilidade.
Confidencialidade: este pilar envolve a limitação de acesso às informações. Somente pessoas autorizadas com privilégios específicos podem acessar determinadas informações, ou seja, é preciso restringir o acesso a dados considerados sensíveis pela instituição.
Disponibilidade: é essencial garantir que as informações estejam disponíveis para aqueles que possuem permissão de acesso, sempre seguindo todas as diretrizes de segurança estabelecidas.
Integridade: garantir a integridade das informações é imprescindível. Isso significa que qualquer alteração nos dados é proibida durante a transferência ou armazenamento, exceto quando explicitamente autorizada pelo proprietário da informação.
Algo que vai ajudar as empresas a manter esses pilares e consequentemente o cumprimento da normativa é a definição do processo de classificação de dados e informações, bem como o ciclo de vida dos mesmos. Para isso, é necessário definir claramente a diferença entre dados não pessoais e dados pessoais:
Dados não pessoais: eles não identificam uma pessoa singular e podem até ser anonimizados, ou seja, não são atribuídos a uma pessoa específica. Entre os dados não pessoais, encontram-se dados públicos, dados internos e dados super confidenciais, que só podem ser acessados por pessoas autorizadas.
Dados pessoais: são aqueles que contêm informações de identificação, como nome, sobrenome ou número de telefone. Nesta categoria, existem os não sensíveis, que não necessariamente identificam uma pessoa, como IDs de cookies ou endereços de e-mail criptografados. Já os sensíveis, além de identificar uma pessoa, podem revelar etnia, crenças, dados genéticos, entre outras informações específicas.
Essa ação já contribui de maneira significativa para o cumprimento da normativa. No entanto, ainda é necessário abordar as contratações de serviços terceirizados e de computação em nuvem.
Para contratar serviços terceirizados, segundo a resolução, as instituições financeiras precisam seguir alguns critérios, seja a empresa a ser contratada em território nacional ou no exterior. Entre eles estão:
Para contratação de serviços de computação em nuvem:
Antes da contratação, a normativa exige que a instituição financeira faça uma avaliação profunda da empresa contratada, justificando a necessidade da contratação para o negócio.
O prestador contratado também precisa assegurar a integridade e confidencialidade das informações, garantindo o cumprimento das políticas de segurança estabelecidas.
Realizar uma avaliação de riscos, considerando que a prestadora de computação em nuvem fornecerá o ambiente no qual os dados serão tratados.
Avaliar a criticidade do serviço, um ponto crucial a ser abordado é entender o nível de complexidade e entender exatamente quais componentes serão envolvidos.
Garantir que a empresa contratada tenha máxima cautela no armazenamento e processamento dos dados, realizando um processo de classificação de dados conforme mencionado.
As cláusulas do contrato precisam ser claras e objetivas para ambas as partes, incluindo pontos cruciais da legislação, o nível de acesso da prestadora, a garantia de que a empresa possui certificados de segurança como o ISO 27001, por exemplo.
O artigo 3º da Resolução CMN determina que a política de segurança cibernética de uma instituição deve incluir objetivos claros de segurança, procedimentos e controles para reduzir vulnerabilidades e garantir a proteção de informações sensíveis.
O artigo 4º da Resolução CMN estabelece que a política de segurança cibernética deve ser comunicada de forma clara e acessível aos funcionários da instituição e às empresas prestadoras de serviços, enquanto o artigo 5º exige que as instituições divulguem ao público um resumo com as linhas gerais de sua política de segurança cibernética.
O artigo 8º da Resolução CMN exige que as instituições elaborem um relatório anual sobre a implementação do plano de ação e resposta a incidentes. Esse relatório deve incluir a efetividade das ações implementadas, resultados obtidos na prevenção e resposta a incidentes, a descrição de incidentes cibernéticos e resultados dos testes de continuidade de negócios.
O artigo 12º da Resolução CMN exige que as instituições adotem práticas de governança e gestão proporcionais à relevância e aos riscos dos serviços contratados, assegurando que os prestadores cumpram a legislação, enquanto o artigo 13º detalha os tipos de serviços de computação em nuvem que as instituições podem contratar, abrangendo a infraestrutura necessária para processar e armazenar dados, bem como a execução de aplicações.
Entenda como
surgiu a Resolução CMN 4893!
Há alguns requisitos mínimos exigidos para que as instituições financeiras consigam realizar o cumprimento da resolução:
Planejamento estratégico voltado para segurança cibernética: a nível estratégico, a instituição precisa definir quais técnicas e ferramentas utilizará para prevenir e detectar incidentes de cibersegurança. Entre elas:
Autenticação
MFA (Autenticação Multifator)
Criptografia de dados
Adoção de equipes MDR, EDR e XDR
Plano de respostas a incidentes
Políticas claras sobre vazamento de dados
Realização de testes para validação de técnicas
Ação do Blue Team e Red Team para avaliar a conscientização dos colaboradores.
Alinhamento dos objetivos da instituição financeira para contratação de serviços terceiros e computação em nuvem: como explicamos anteriormente, é preciso que antes de qualquer contratação de serviço terceiro e para computação em nuvem, pontos cruciais estejam muito claros como por exemplo, a forma como essas empresas vão operar e se elas também estão seguindo outras regulamentações importantes.
Regras para processamento e armazenamento de dados: defina regras claras para o processamento de dados. É importante que cada instituição financeira tenha tudo documentado, todos os seus processos, e ainda mais aqueles voltados para a forma de uso e armazenamento de dados valiosos e informações. Além de garantir a conformidade, em casos de processos judiciais e auditoria, esse tipo de documentação é sempre solicitada.
Iniciativas para conscientização e disseminação da cultura de segurança cibernética: a efetivação da resolução acontecerá de forma plena quando todos os envolvidos no negócio tiverem a consciência da importância da segurança cibernética. Por isso, é importante que a empresa desenvolva programas e iniciativas que contribuam no entendimento dos colaboradores sobre as consequências de vazamentos de dados e crimes cibernéticos.
Todas essas normas e leis recentes surgiram como uma forma de organizar processos e, principalmente, para combater os cibercrimes que cada vez mais afetam indivíduos e organizações.
O avanço da tecnologia tem dois lados. Um deles é muito positivo: graças ao IoT, por exemplo, é possível a comunicação entre dispositivos; com ferramentas robustas de gestão de rede, é possível ter uma visão holística do ambiente, detectar proativamente falhas e contribuir para a automação do ambiente. No entanto, a atuação de criminosos também evoluiu ao mesmo passo.
Atualmente, criminosos não se limitam ao ambiente físico e são responsáveis por uma alta taxa de crimes digitais. O maior alvo dos cibercriminosos não são indivíduos, mas sim grandes empresas que possuem um alto volume de informações.
Vale ressaltar que, até mesmo dentro de uma organização, pode haver ameaças veladas, o que destaca a importância de um ambiente Zero Trust.
É justamente nesse contexto que surgem essas regulamentações, como uma forma de construir uma base legal para combater esse cenário.
Além dos trâmites relacionados ao processo jurídico envolvido em casos de vazamento de dados ou invasão de sistemas, um ponto crítico a ser considerado é a reputação da empresa, que acaba sendo prejudicada.
Os clientes perdem a confiança em manter seus dados e informações na empresa, e os potenciais clientes, ao verem a deficiência na segurança, também não confiam. Sem contar todo o investimento necessário para "mudança" de imagem e o impacto sobre os colaboradores.
Seguir as regulamentações é um ponto chave, mas também é fundamental que todos os funcionários da empresa desenvolvam uma conscientização sobre segurança cibernética. Todos precisam entender como o não cumprimento dessas regras pode afetar tanto a empresa quanto a eles mesmos.
Agradecemos seu interesse no e-book sobre a Resolução 4893 do Bacen! Você receberá o link do arquivo em seu e-mail.