O Banco Central (“BC”) divulgou o Relatório de Estabilidade Financeira do segundo semestre de 2024 e, dentre outros temas, analisou as medidas adotadas pelas principais instituições para a gestão de crises tecnológicas e cibernéticas (“Avaliação”).
A percepção das entidades que participaram da Avaliação é de que o risco operacional relacionado com ataques cibernéticos e fraudes eletrônicas pode afetar a confiança do Sistema Financeiro Nacional - SFN.
A Avaliação realizada é importante para que se possa mensurar (i) as medidas adotadas pelas Instituições avaliadas e, com base nelas, (ii) as recomendações do BC para o mercado.
Critérios adotados pela Avaliação?
A Avaliação foi realizada a partir da análise dos(as):
Políticas, normativos internos e documentação em geral;
Estruturas de governança estabelecidas, dos planos de comunicação e de continuidade de negócios desenvolvidos; e
Mecanismos para gestão de crises envolvendo terceiros e da verificação do papel das linhas de defesa.
O que foi constatado pelo BC?
De acordo com a Avaliação, foi constatado que as Instituições avaliadas:
Revisam periodicamente os critérios de classificação dos incidentes (por exemplo, o tempo previsto para solução, o impacto em clientes, os sistemas afetados e o impacto em grades de processamento);
Disponibilizam estrutura interna (com equipe dedicada e capacitada) que seja capaz de definir estratégias, manter os processos e executar as atividades da gestão de crises e de recuperação pós crise;
Envolvem a alta administração (presidente e diretoria) no enfrentamento das crises;
Possuem políticas, procedimentos e planos devidamente estabelecidos e testados; sendo, no mínimo: (i) Política para a Continuidade de Negócios; (ii) Norma Corporativa referente à Gestão de Incidentes de TI; (iii) Políticas de Segurança da Informação e Segurança Cibernética; e (iv) Norma Corporativa sobre Incidentes de Segurança de Informação;
Dispõem de fluxo de comunicação em caso de crises (incluindo a comunicação aos Reguladores);
Consideram a identificação e a gestão de incidentes que possam ser originados em fornecedores e parceiros que prestam serviços nas áreas de Segurança da Informação e Segurança Cibernética; e
Realizam testes periódicos para identificar eventuais deficiências e oportunidades de melhoria, bem como para verificar se todos os envolvidos na simulação estão cientes de suas responsabilidades.
Quais as preocupações das Instituições?
Pela Avaliação foi possível identificar alguns pontos de preocupação das Instituições:
Dificuldade de manutenção de profissionais diretamente ligados à gestão de crises, treinados e atualizados para seu enfrentamento;
A necessidade de promoção de maior colaboração entre as Instituições do SFN no enfretamento das crises sistêmicas;
A necessidade de aprimoramentos na comunicação, entre as Instituições, de incidentes verificados em provedores de serviços.
Quais as recomendações do BC para o mercado?
O relatório apresenta recomendações para que as instituições de todo o mercado possam se preparar para enfrentar eventos adversos, sendo:
Estabelecer papéis e responsabilidades e definir critérios objetivos para conduzir a tomada de decisão;
Elaborar documentação clara e objetiva (com foco na usabilidade de quem consumirá as informações); e manter essa documentação disponível;
Manter planos atualizados quando houver mudanças significativas no ambiente tecnológico; e testar periodicamente os planos estabelecidos;
Monitorar os serviços prestados por terceiros; estabelecer protocolo de comunicação sobre incidentes; e formalizar acordos de nível de serviço em contrato (incluindo indicadores relacionados à comunicação de incidentes);
Estabelecer plano de comunicação; utilizar a comunicação como ferramenta de enfrentamento da crise (em especial, para eliminação de ruídos e para tranquilizar o mercado/terceiros); e elaborar modelos de comunicação.
Fonte: Banco Central do Brasil
Boas práticas
Apesar de a Avaliação ter considerado as 08 instituições sistemicamente relevantes do SFN, as recomendações do BC servem como parâmetro de boas práticas para todo o mercado.
É importante que as Instituições possuam políticas, procedimentos e planos de Segurança da Informação e de Segurança Cibernética e, com base neles:
Realizem testes periódicos de vulnerabilidade;
Realizem o monitoramento dos prestadores de serviço;
Estabeleçam acordos de Níveis de Serviço (SLA) com todos os parceiros e fornecedores, por meio de contratos, sobre a gestão dos incidentes de segurança; e
Estabeleçam procedimentos de tomada de decisão e de comunicação (aos clientes, demais Instituições e aos Reguladores) em caso de eventos adversos.
O Relatório de Estabilidade Financeira (Vol 23, nº 2, nov. 2024) está disponível em: https://www.bcb.gov.br/publicacoes/ref
