Resoluções estabelecem regras para implantação de uma política de segurança cibernética e a contratação de serviços de nuvem pelas instituições financeiras
Em 1º agosto termina o prazo para que as instituições financeiras estejam em conformidade com a resolução nº 85 do Banco Central que institui a obrigatoriedade de implementação e manutenção de uma política de segurança cibernética e estabelece requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por todas as empresas que integram o Sistema Financeiro Nacional (SFN).
Antes disso, em 1º de julho, entra em vigor a resolução nº 4.893 do Conselho Monetário Nacional (CMN) que dispõe praticamente das mesmas obrigações, com a diferença que a resolução nº 85 é aplicável exclusivamente aos provedores de serviços de pagamento, enquanto as demais instituições financeiras ficam sob a égide do CMN. Na verdade, as duas resoluções partiram da mesma base, a resolução nº 4.658, que já estabelecia boa parte das políticas e dos requisitos para segurança cibernética e contratação de serviços de computação em nuvem.
Vale ressaltar, porém, que ambos são instrumentos distintos. Quando se compara as novas resoluções com as antigas — a de nº 4.658 do BC, de 2018; e a de nº 4.752 do CMN, de 2019 — é possível notar as diferenças. Algumas condições antes existentes nos artigos 15 e 16, por exemplo, foram alteradas e trazem novas exigências. Agora, estabelecem que a instituição financeira, antes de contratar um provedor de nuvem no exterior, deve se certificar da existência de um convênio para troca de informações entre o Banco Central e as autoridades supervisoras dos países onde os serviços poderão ser prestados. Caso contrário, ela deve comunicar ao BC, com no mínimo 60 dias de antecedência, sobre a ausência do convênio.
De acordo com as novas normas, a política de segurança cibernética das instituições financeiras deve contemplar procedimentos e controles para reduzir a vulnerabilidade a incidentes. Estão incluídos também nesse rol mecanismos voltados à prevenção e ao tratamento de incidentes a serem adotados por empresas prestadoras de serviços que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição.
Entre os procedimentos e controles definidos pelas resoluções constam a autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações e a realização periódica de testes e varreduras para detecção de vulnerabilidades. A política de cibersegurança deve contemplar também a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.
Há ainda exigências setoriais específicas, que definem diversos requisitos a serem cumpridos pelas instituições como, por exemplo, o padrão PCI DSS de segurança de dados do setor de cartões de pagamento. Por fim, as resoluções definem normas, modelos e metodologias de boas práticas. As instituições podem trabalhar no sentido de obter — ou se adequar — a certificação ISO/IEC 27001, por exemplo, o que as levará naturalmente a implementar uma série de procedimentos necessários à segurança da informação.
A incorporação desses controles e procedimentos é fundamental não apenas para que as instituições possam detectar e prevenir incidentes cibernéticos, mas também para que o seu enquadramento aos regulamentos possa ocorrer de maneira mais
O fato é que a definição de uma política de segurança cibernética ampla e mais ajustada ao momento de transformação pelo qual atravessa o setor financeiro traz, sem dúvida, mais confiabilidade a todos os agentes envolvidos. Para as instituições e provedores de serviços de pagamento porque podem contar com um plano estratégico de cibersegurança para evitar perdas de receita por violações, fraudes ou indisponibilidade dos sistemas. Para os clientes e consumidores, porque as operações de pagamento e transações financeiras nos meios digitais passam a ser feitas com níveis mais elevados de segurança.
Via: TI Inside Solução Pentest 360°, da Kryptus, adotada por setores como indústria e saúde, Leia mais
Por Geovane Oliveira, Analista de SI na Kryptus Coleta de logs para análise forense: entenda Leia mais
Acompanhe a Kryptus no Google Notícias Por Dionatan Koch, Tech Líder de Cibersegurança na Leia mais