Esta resolução estabelece um conjunto de normas e procedimentos que as instituições financeiras, incluindo cooperativas de crédito, devem seguir para garantir a segurança de seus sistemas e dados. A resolução aborda diversos aspectos da segurança cibernética, como Política de Segurança Cibernética, Plano de Ação e Respostas a Incidentes, Treinamento e Conscientização, Contratação de Serviços de Processamento e Armazenamento de Dados e de Computação em Nuvem, Controles de Segurança, Gerenciamento do Risco Operacional e Planos de Continuidade de Negócio.
1. Política de Segurança Cibernética
Cada cooperativa deve estabelecer uma Política de Segurança Cibernética que contemple todos os requisitos mínimos estabelecidos no art. 3º da Resolução CMN n° 4.893/21. Esta política deve ser formalizada em documento oficial e aprovada no âmbito do Conselho de Administração ou órgão competente da cooperativa. Lembrando que o Banco Central permite a utilização de políticas sistêmicas aprovadas por conglomerado; porém, atente-se, pois podem existir processos internos na sua cooperativa de conhecimento exclusivamente local, e a política do conglomerado precisará de um complemento. Em ambas as situações, a política deverá ser divulgada a todos os colaboradores e a todas as empresas prestadoras de serviços, sem exceção.
2. Plano de Ação e de Respostas a Incidentes
Para garantir que a cooperativa atenda às exigências da auditoria e demonstre sua conformidade, é fundamental que a instituição realize uma revisão completa do seu plano de resposta a incidentes, confirmando se o conteúdo mínimo previsto no art. 8º da Resolução CMN nº 4.893/21 está contemplado, assim como se as últimas alterações foram aprovadas pelo diretor designado pela cooperativa como responsável pela segurança cibernética no UNICAD.
Essa revisão deve assegurar que o plano de ação detalhe a implementação dos temas relacionados à segurança cibernética e que seja aprovado pelo Conselho de Administração ou Diretoria Executiva. O plano deve abordar as ações para sanar vulnerabilidades identificadas no ambiente tecnológico como sistemas e aplicativos, indisponibilidade de soluções e serviços de TI, vazamento de dados e informações (atenção quanto ao atendimento à Lei 13.709/18 sobre tratamento de dados pessoais), corrupção de dados e incidentes cibernéticos, como ransomwares. Assim como mencionei sobre a Política de Segurança Cibernética, o Banco Central também admite a adoção de plano de ação e resposta a incidentes por conglomerado, e deixo a mesma observação quanto às particularidades locais que devem ser abordadas em documentos oficiais da cooperativa.
3. Treinamento e Conscientização
A qualificação contínua dos profissionais que trabalham com segurança cibernética é essencial para garantir a proteção dos dados da cooperativa. Neste item, é recomendável implementar um plano de desenvolvimento profissional que inclua treinamentos regulares e participação em eventos do setor por esses colaboradores. Essa prática demonstra o compromisso da cooperativa em se manter atualizada frente às constantes evoluções do cenário de ameaças cibernéticas, e os certificados de participação podem ser disponibilizados como evidência se solicitados em auditoria. Treinamentos disponibilizados por conglomerado são admitidos, desde que relacionados às atividades diárias dos colaboradores.
A conscientização dos clientes também é um dos pilares da segurança cibernética. Neste caso, a cooperativa deve realizar ações para informar seus clientes sobre as principais ameaças na área de tecnologia. Ações como publicidade no site da instituição, informativos nas agências e e-mails de conscientização são eficazes e podem contribuir para reduzir o risco de incidentes de segurança, além de fortalecer a relação de confiança com os associados.
4. Contratação de Serviços de Processamento e Armazenamento de Dados e de Computação em Nuvem
É comum que as cooperativas de crédito contratem serviços relevantes de processamento e/ou armazenamento de dados e computação em nuvem, tanto no país quanto no exterior, especialmente soluções de backup devido à alta disponibilidade e custo reduzido.
O que comumente não é feito pela cooperativa é uma avaliação formal da relevância da contratação desse tipo de serviço. Alguns sistemas de três níveis até disponibilizam modelos de avaliação para auxiliar as cooperativas Centrais e Singulares na decisão se o serviço deve ser comunicado ao Banco Central.
Independentemente do modelo de avaliação, desde que tenha critérios consistentes, a comunicação da contratação do serviço de processamento ou armazenamento de dados em nuvem, se relevante, deve ocorrer conforme os prazos estabelecidos pelo BCB no Brasil (até dez dias após a contratação) ou no exterior (no mínimo sessenta dias antes da contratação).
Se a cooperativa optar pela contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem, deve avaliar a capacidade dos prestadores desses serviços em assegurar a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e informações por eles processados ou armazenados. Em outras palavras, a cooperativa precisa se certificar de que o provedor escolhido possui a capacidade de garantir a segurança dos dados. Ao armazenar dados em nuvem de backup, a cooperativa confia a um terceiro a responsabilidade pelos seus ativos digitais mais valiosos, sendo fundamental que esse terceiro tenha as competências e os recursos necessários para protegê-los.
Essa avaliação pode ser formalizada por meio de um Termo de Referência (TR), Solicitação de Propostas (RFP) com perguntas específicas, visitas técnicas às instalações do prestador de serviço para avaliar a infraestrutura de segurança, cláusulas contratuais sobre segurança dos dados, relatórios de auditoria independente etc.
O importante aqui, tanto para atender à regulamentação quanto para evidenciar em uma auditoria, é a formalização dessa avaliação e o registro de todas as comunicações realizadas ao Banco Central do Brasil (BCB) sobre a contratação de serviços em nuvem.
5. Controles de Segurança
As perguntas da auditoria para este item visam verificar se a cooperativa está adotando as medidas mínimas necessárias para proteger seus ativos tecnológicos. Neste sentido, a auditoria avaliará se os controles de segurança aplicados ao ambiente de rede, sistemas e banco de dados estão devidamente implementados em produção, de acordo com a política institucional de segurança cibernética abordada no primeiro item deste artigo. A critério do auditor, ele pode considerar os critérios configurados em relação às melhores práticas de mercado, inclusive para temas omissos na política interna, como orientações contidas nos frameworks ISO/IEC ou NIST e outras metodologias internacionais.
Os testes de auditoria consistem em avaliar, nesses três ambientes, os parâmetros para autenticação de contas de login (senhas) em relação à política de segurança, se os recursos de log (trilha de auditoria) estão habilitados e se são passíveis de avaliação. É conveniente que a cooperativa utilize uma ferramenta de SIEM - Security Information and Event Management para gestão dos dados armazenados em log.
Além disso, a auditoria avaliará o atendimento às regras estabelecidas para criação, manutenção e bloqueio das contas de login, assim como as aprovações necessárias para a associação do perfil de acesso a cada conta. É comum a auditoria identificar contas de login “genéricas”, ou seja, logins que não permitem identificar o usuário responsável. Nesses casos, será solicitada uma documentação técnica que explique para que a conta é utilizada e quem é o usuário responsável por ela. É importante lembrar que contas de login associadas a perfis de “administrador”, em qualquer um dos ambientes, devem ter um termo de responsabilidade assinado pelo colaborador para formalizar a relação de confiança e responsabilidade entre o colaborador e a cooperativa. Também é comum a identificação de contas de login ativas pertencentes a colaboradores desligados ou afastados, neste sentido é recomendável revisar os processos de comunicação entre as áreas envolvidas (normalmente RH e TI), para refinar este processo e evitar recomendações de auditoria.
Além disso, poderá ser avaliada a utilização de recursos de criptografia de dados nos três ambientes. Neste aspecto, a análise contemplará a utilização de criptografia nos dados em movimento na cooperativa (no dia a dia) e nos dados que estão em repouso, como por exemplo os backups. Também será analisada a proteção contra softwares maliciosos (antivírus) em todo o parque tecnológico. O auditado deverá demonstrar controle total do parque tecnológico, incluindo máquinas de usuários e servidores, evidenciando a instalação de agentes do antivírus e que a versão de vacinas está atualizada.
A existência de backups também será avaliada. O auditor examinará os parâmetros configurados na ferramenta utilizada pela instituição para geração de backups, como frequência diária, mensal e anual, tipo (incremental ou full), além de questionar sobre o armazenamento local, externo ou em nuvem. Caso haja armazenamento externo, uma visita ao local pode ser solicitada para avaliar a estrutura física do local de armazenamento. O auditor também avaliará a existência de testes periódicos de recuperação a partir dos dados armazenados em backup, sendo recomendável que esses testes sejam executados no mínimo uma vez ao ano. O auditor solicitará a formalização dos testes executados com os resultados obtidos.
É comum que o auditor também visite o ambiente físico de armazenamento de servidores da cooperativa, para uma avaliação da estrutura física de armazenamento e a restrição adequada de colaboradores no local. Em ambos os locais (externo e interno) é comum a identificação de pessoas não autorizadas como colaboradores que não possuem o domínio de infraestrutura tecnológica e isso pode representar um risco para a cooperativa. Falhas no controle de acesso e ambientais nestes locais são frequentes, sendo recomendável a utilização de sistema de biometria com registro de trilha de auditoria, bem como a existências de materiais não apropriados em ambos os locais como itens de fácil combustão, ausência de climatização, ausência de câmeras de vigilância, cabos desorganizados etc., todos estes itens geram apontamentos de auditoria recomendando melhorias nos controles.
Ainda sobre os controles de segurança, o auditor irá analisar se a cooperativa possui um processo bem definido para identificar fragilidades em seus sistemas e se há planos de ação para resolver esses problemas. É comum que as cooperativas busquem empresas especializadas para realizar testes de invasão (pentest) e simular ataques cibernéticos. O auditor irá avaliar os resultados desses testes e verificar se a cooperativa tomou as medidas necessárias para corrigir as falhas encontradas.
É importante que esses testes sejam feitos pelo menos uma vez por ano e que a equipe de TI da cooperativa participe ativamente desse processo. Assim, eles podem entender melhor as vulnerabilidades e trabalhar junto com os especialistas para encontrar as melhores soluções. É admissível a utilização de empresa especializada por conglomerado para realizar tais procedimentos ou mesmo em caso de sistemas de 3 níveis (confederação, Central e Singular) a utilização de equipe especializada da Confederação ou Cooperativa Central para a realização dos testes de vulnerabilidades, desde que haja um processo claro e documentado para garantir que todas as cooperativas estejam protegidas.
Importante destacar, que os testes devem ser realizados com periodicidade mínima anual e por ambiente tecnológico, com a participação ativa do especialista em TI local no processo de identificação e solução das vulnerabilidades para formalização do ocorrido internamente.
6. Gerenciamento do Risco Operacional
Neste item a auditoria irá avaliar se a cooperativa está cuidando bem dos seus equipamentos e softwares. A gente sabe que sistemas antigos, podem ser como carros velhos mais fáceis de quebrar e mais difíceis de consertar. Esses sistemas mais antigos são alvos fáceis para hackers e podem fazer a cooperativa perder tempo e dinheiro. Por isso, é importante você demonstrar que está atento a essa questão e que tem um plano para lidar com equipamentos antigos e programas desatualizados.
O auditor irá avaliar se a cooperativa tem um processo para identificar quais equipamentos estão ficando obsoletos (velhos) e quais são os riscos que isso representa para o ambiente. A cooperativa precisa demonstrar que tem controle e um plano para atualizar seu parque tecnológico o que incluí ativos de TI, sistemas etc e que está investindo em tecnologias mais modernas e seguras. Ao demonstrar a existência de um bom gerenciamento dos riscos tecnológicos, a cooperativa mostra que se preocupa com a segurança dos seus dados e que está preparada para enfrentar os desafios do mundo digital. Isso gera confiança nos cooperados e fortalece a reputação da cooperativa. A cooperativa deve evidenciar processos formais para identificar, avaliar e tratar riscos de obsolescência
Também deve ser considerado a existência de dispositivos não gerenciados pela área de tecnologia, como por exemplo sistemas administrados por departamento da cooperativa como área financeiro, Recursos Humanos etc, estes sistemas podem representar um risco à segurança da informação, pois é comum não terem os mesmos níveis de proteção que os equipamentos gerenciados pela área de tecnologia.
7. Planos de Continuidade de Negócio
Neste item o objetivo é avaliar a robustez dos planos de continuidade de negócio das cooperativas, com foco especial na capacidade de lidar com interrupções de serviços, especialmente aqueles relacionados à tecnologia da informação incluindo os serviços em nuvem. O auditor irá verificar a existência de planos estabelecidos e testados periodicamente que garantam que a cooperativa esteja preparada para lidar com situações inesperadas em seu ambiente tecnológico e minimizar os impactos em suas operações.
É muito comum que a cooperativa apresente ao auditor os planos de contingência que não envolvem a área de TI, como por exemplo alagamento de pontos de atendimento ao público sendo que nestes pontos não há infraestrutura de TI, logo não são necessários para avaliação neste escopo. O auditado deve apresentar planos relacionados ao ambiente de TI administrado pela cooperativa, voltados a disponibilidade dos serviços de rede, sistemas, infraestrutura de segurança, firewalls etc sob sua responsabilidade.
Por fim, os planos devem contemplar cenários de interrupção de serviços relevantes de TI, inclusive os serviços contratados ou administrados por terceiros. É importante que a cooperativa minimamente faça uma avaliação formal de quais são os serviços relevantes antes de iniciar a construção de planos de contingência. Logo após a identificação dos serviços críticos a cooperativa deve estabelecer planos de contingência para retorno dos serviços adequados para assegurar o reinício das atividades ou dos serviços relevantes interrompidos dentro do prazo estabelecido e é de extrema importância que estes planos prevejam a comunicação tempestiva ao Banco Central de incidentes relevantes que tenham ocorrido.
Ao se preparar para a Auditoria Cooperativa, a instituição não apenas demonstra conformidade com as regulamentações, mas também reforça sua cultura de segurança da informação e proteção de seus ativos tecnológicos.
Resoluções do Banco Central complementar ao tema Res. CMN nº 4.968/21.
Resolução CMN n° 4.879/20, art. 12, inciso I
Resolução CMN n° 5.051/22, art. 21, inciso I
Resolução CMN nº 4.606/17, art. 23, inciso III
Resolução CMN nº 4.557/17, art. 33, inciso IV
