Artigo
23/09/2023
Atualizado em 15/04/2026

Exigências Regulatórias sobre os Riscos e as Políticas de Segurança Cibernética - Res. 4893

A Resolução 4893 do Bacen estabelece políticas obrigatórias de segurança cibernética e requisitos para contratação de serviços em nuvem, visando mitigar riscos e fortalecer a proteção das instituições financeiras.

Imagem de capa do artigo

Nesta última sexta, durante a reunião mensal da Comissão de Riscos do IBGC - Instituto Brasileiro de Governança Corporativa, da qual faço parte, tivemos uma interessante discussão sobre riscos cibernéticos, pois assim como eu, muita gente tem esta grande preocupação atualmente.

Neste sentido, queria comentar sobre um estudo sobre o tema chamado Allianz Risk Barometer, que para termos uma ideia do tamanho do impacto e relevância, destaca que o custo global anual do crime cibernético poderá exceder a fortuna US$ 20 trilhões até 2026, conforme Cybersecurity Ventures. E no Brasil especificamente vimos um aumento de 16% nas tentativas de ataques cibernéticos em 2022 em comparação com 2021, com base em dados do FortiGuard Labs da Fortinet, o que nos deixa em segundo lugar na América Latina em número de ataques, atrás apenas do México, talvez pela sua proximidade com os EUA.

O estudo também mostra que a média de ataques efetivados no Brasil em 2022 foi de 1.484 por semana, um número superior à média global, citando dados da Check Point Research. De acordo com outro estudo, desta vez da Fiesp e Ciesp, por aqui 74% dos ataques visam bloquear operações de empresas, conseguindo sucesso em 36% dos casos, que é um número alto e preocupante.

Isto tudo mostra os desafios que enfrentamos por aqui, que vão além de simples aspectos tecnológicos, mas que envolvem a cultura corporativa, pois entre os problemas apontados estão a falta de conscientização sobre os riscos cibernéticos e recursos limitados investidos em segurança. Este, por sinal, foram dois pontos bem discutidos nesta reunião da sexta, e como o Conselho e seus comitês técnicos de assessoramento de Riscos (Coris) e Auditoria (Coaud) podem e devem ajudar nisto.

Inclusive a própria Organização para a Cooperação e Desenvolvimento Econômico (OCDE) indica que a falta de conscientização aumenta a vulnerabilidade das empresas brasileiras. Grupos criminosos organizados estão cada vez mais especializados e lucrativos. Apesar disso, o investimento das empresas em segurança cibernética é insuficiente, especialmente frente ao avanço dos cibercriminosos, exatamente em um momento da chegada da IA e um mundo cada vez mais digital e conectado.

Não vamos esquecer que, como dissemos na nossa conversa, estamos neste momento abrindo as IFs para o mundo digital e interconectado com o Open Finance/Banking, onde passamos de um ambiente restrito para um mais aberto e sujeito a riscos.

Olhe, o que mais me preocupa são, para começar, os chamados dispositivos IoT, por causa da vulnerabilidade destes dispositivos conectados à Internet das Coisas (IoT). Segundo um estudo da Symantec, mais de 50% dos ataques de IoT em 2018 ocorreram via roteadores e 15% através de câmeras web.

Mas o que mais me tira o sono mesmo são os ransomware: pois atualmente este é o principal método de ataque no Brasil. Para ter uma ideia, em 2022 cerca de 82% dos cibercrimes financeiros envolveram ransomware ou scripts maliciosos, em grande parte devido ao crescimento do Ransomware-as-a-Service (RaaS) na dark web.

E na maioria das vezes estes ataques de phishing induzem os usuários a acessar sites falsos, comprometendo suas credenciais. Deepfakes, que usam inteligência artificial para imitar pessoas, também foram comuns em 2022.

De acordo com a "2022 Cybersecurity Workforce Study" da (ISC), há uma lacuna de 441 mil profissionais em segurança cibernética no Brasil. A demanda global aumentou 26,2% em 2022 em relação a 2021, com a estimativa de 3,4 milhões de profissionais necessários globalmente.

Em termos de políticas e iniciativas de exigências e normas regulatórias, o Brasil está em um processo contínuo de construção de um ambiente regulatório de segurança cibernética. As políticas públicas são responsabilidade principalmente do Gabinete de Segurança Institucional da Presidência da República (GSIPR) e do Centro de Defesa Cibernética do Exército Brasileiro (CDCiber/EB/MD).

Queria destacar alguns marcos neste sentido como, o Marco Civil da Internet, que estabeleceu regras sobre a segurança da informação e relações comerciais online, ou a LGPD, que similar ao GDPR, tratou da proteção de dados dos cidadãos brasileiros, e por fim da resolução 4893 do Bacen.

O Bacen também tem esta mesma preocupação, e que pode ser vista claramente atrás das recentes resoluções CMN 4893 de Fev/21 (para IFs) e a BCB 85 de Abr/21 (para IPs), onde aborda principalmente duas grandes áreas: a Política de Segurança Cibernética e os Requisitos para a Contratação de Serviços de Processamento e Armazenamento de Dados e de Computação em Nuvem. E que sabemos bem que ambos são essenciais para a gestão de riscos cibernéticos em instituições financeiras.

De forma reduzida aborda os seguintes principais pontos:

1) Políticas de Segurança Cibernética:

  • Estruturação da Política: Obriga as instituições a estruturarem uma Política de Segurança Cibernética a ser aprovada pelo Conselho de Administração ou, na sua inexistência, pela Diretoria.
  • Classificação de Informações: A política deve incluir processos para a identificação e classificação de informações com base no grau de sensibilidade e criticidade.
  • Procedimentos de Detecção e Resposta: Institui a necessidade de procedimentos específicos para detecção, resposta e recuperação de incidentes cibernéticos.
  • Controles de Acesso: Orienta a implementação de controles rigorosos de acesso a sistemas e dados.
  • Auditoria e Testes de Invasão: Exige o planejamento de testes de invasão e auditorias periódicas para avaliar a eficácia dos controles de segurança cibernética.

Aqui queria destacar alguns pontos específicos que merecem sua atenção:

1.A) Seção I - Da Implementação da Política de Segurança Cibernética:

  • Art. 2º: Define que as instituições devem implementar uma política de segurança cibernética. A política deve ser compatível com o perfil de risco, o porte e o modelo de negócios da instituição. §1 e §2: Permitem a adoção de uma política única para conglomerados e sistemas cooperativos de crédito.
  • Art. 3º: Detalha os elementos mínimos que devem constar na política, incluindo objetivos, controles, diretrizes para cenários de incidentes e mecanismos para disseminação da cultura de segurança cibernética.
  • §1 a §5: Refinam os detalhes dos controles e procedimentos, incluindo autenticação, criptografia, e procedimentos para terceiros.

1.B) Seção II - Da Divulgação da Política de Segurança Cibernética:

  • Art. 4º e 5º: Estabelecem que a política deve ser divulgada para funcionários e prestadoras de serviços e também um resumo ao público.

1.C) Seção III - Do Plano de Ação e de Resposta a Incidentes:

  • Art. 6º: Institui a necessidade de um plano de ação e de resposta a incidentes, detalhando que esse plano deve conter rotinas, procedimentos e controles para a prevenção e resposta a incidentes. Detalhando as áreas que o plano de ação deve cobrir.
  • Art. 7º: Define a necessidade de designar um diretor responsável pela política de segurança cibernética.
  • Art. 8º: Exige a elaboração de um relatório anual sobre a implementação do plano de ação, a ser apresentado a instâncias superiores da instituição. Estabelecendo o conteúdo mínimo e a data de apresentação do relatório.
  • Art. 9º e 10º: Enfatizam a necessidade de aprovação da política e do plano de ação por instâncias superiores e estabelecem que ambos devem ser revisados anualmente.

A implementação efetiva de um Plano de Resposta a Incidentes agrega vários benefícios para uma instituição financeira, entre eles poderia listar algumas:

  • Redução do tempo e dos custos de recuperação de dados e informações;
  • Preservação da confiabilidade da empresa;
  • Coordenação de ações entre as várias áreas, departamentos, prestadores de serviços etc., envolvidos;
  • Demonstração de conformidade e geração de documentação e subsídios objetivos para comunicação aos órgãos de governança;
  • Preparação da empresa para eventuais emergências;
  • Redução do impacto e da recorrência de incidentes cibernéticos.

É importante salientar que as empresas deverão ter um canal apropriado para comunicação e acionamento de incidentes, que deverá ser disponibilizado e divulgado a todos os funcionários e prestadores de serviços a fim de agilizar as ações de mitigação de impactos e identificar a abrangência de um evento cibernético adverso.

2) Requisitos para Contratação de Serviços Terceirizados:

  • Avaliação de Riscos: Antes de contratar qualquer serviço de processamento e armazenamento de dados ou de computação em nuvem, as instituições devem realizar uma avaliação prévia de riscos.
  • Cláusulas Contratuais: Os contratos devem conter cláusulas que garantam a adesão às normas regulatórias, incluindo a Lei Geral de Proteção de Dados (LGPD).
  • Plano de Contingência: As instituições são obrigadas a estabelecer um plano de contingência e continuidade de negócios em caso de falhas ou incidentes com o fornecedor terceirizado.

Aqui queria destacar alguns pontos específicos que merecem sua atenção, que precisam seguir e tomar cuidado:

2.A) Governança e Gestão de Riscos:

  • Art. 11: As instituições devem garantir que suas políticas internas incluam critérios específicos para a terceirização de serviços de computação em nuvem e processamento de dados.
  • Art. 12, § 2º: Os procedimentos devem ser documentados e a governança deve ser proporcional aos riscos envolvidos.

2.B) Verificação do Prestador:

  • Art. 12: Antes da contratação, deve-se avaliar a capacidade do prestador em diversas áreas, incluindo conformidade regulatória, segurança dos dados, acesso à informação, entre outros.

2.C) Tipos de Serviços em Nuvem:

  • Art. 13: Define os tipos de serviços de computação em nuvem que podem ser contratados, abrangendo infraestrutura, plataformas e softwares como serviço.

2.D) Responsabilidades:

  • Art. 14: instituição contratante permanece responsável pela confiabilidade, integridade e conformidade legal dos serviços contratados.

2.E) Comunicação ao Banco Central:

  • Art. 15: Qualquer contratação deve ser comunicada ao Banco Central do Brasil, detalhando aspectos como a denominação da empresa contratada e os serviços a serem prestados.

2.F) Requisitos para Serviços no Exterior:

  • Art. 16: Se os serviços são prestados no exterior, a instituição deve observar critérios adicionais como a existência de convênios com autoridades supervisoras e garantia de continuidade dos negócios.

2.G) Cláusulas Contratuais:

  • Art. 17: O contrato deve especificar aspectos como locais de armazenamento de dados, medidas de segurança e condições para eventual extinção do contrato.

Além disto existem algumas disposições gerais importantes que merecem também sua atenção.

Como a que trata do gerenciamento de riscos, focando em: incidentes cibernéticos: estabelece que a política de gerenciamento de riscos deve prever o tratamento de incidentes cibernéticos, e na interrupção de serviços de computação em nuvem: exige procedimentos que considerem a substituição da empresa contratada e o reestabelecimento da operação. Assim como fala claramente dos testes de continuidade de negócios, destacando que os cenários de incidentes devem ser contemplados nesses testes.

Ainda sobre procedimentos para continuidade de negócios, a norma diz que devem incluir a mitigação de efeitos de incidentes cibernéticos e interrupção de serviços, e os prazos para a normalização das atividades ou dos serviços interrompidos, assim como a notificação ao Banco Central do Brasil em casos de crises.

Aborda também os mecanismos de controle e acompanhamento, tais como: a definição de processos, testes e trilhas de auditoria, assim como métricas e indicadores, e fala da identificação e correção de deficiências.

Estipula que a documentação que deve ser mantida por cinco anos, incluindo políticas de segurança cibernética, atas de reunião, relatórios anuais, entre outros.

E como sempre gosto de fazer, queria listar alguns dos desafios e riscos que vejo relacionados:

  • Investimento em Tecnologia e Pessoal: Cumprir as diretrizes exigirá investimentos significativos em tecnologia e capacitação de pessoal.
  • Riscos de Penalidades: O não cumprimento pode levar a penalidades severas, além de riscos reputacionais e financeiros em caso de falha de segurança.
As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante