Brasil Reforça Regulamentações de Segurança Cibernética e Computação em Nuvem para Instituições Financeiras

Brasil Reforça Regulamentações de Segurança Cibernética e Computação em Nuvem para Instituições Financeiras

Introdução

A resolução CMN 4983 foi publicada em 26 de fevereiro de 2021 e veio como uma importante atualização da preocupação do Banco Central do Brasil com a segurança cibernética das instituições autorizadas a operar por este órgão.

Com o advento da internet, evolução tecnológica bancária, automatização de processos e dependência tecnológica de diversos serviços, os riscos cibernéticos como fraudes, roubo de dados, interrupção de serviços tem tomado um papel essencial nas discussões do sistema financeiro de todo o globo.

Outro item na pauta atual é a necessidade de proteção de dados de clientes e de ativos, cada vez mais digitalizados.

A computação em nuvem revolucionou a forma como as instituições financeiras operam, oferecendo escalabilidade, flexibilidade e agilidade que eram inimagináveis há algumas décadas. No entanto, essa transformação digital também trouxe consigo novos desafios, principalmente no que diz respeito à segurança da informação.

Disposições-chave

Requisitos de política de segurança cibernética

Quando a resolução fala em implementar políticas robustas de segurança de dados, abrangendo confidencialidade, integridade e disponibilidade, estamos se referindo à necessidade de estabelecer um conjunto de regras e procedimentos claros para proteger as informações das instituições. Essas políticas visam garantir que os dados sejam:

  • Confidenciais: Acessíveis apenas por pessoas autorizadas.
  • Íntegros: Precisos, completos e consistentes, sem alterações não autorizadas.
  • Disponíveis: Acessíveis quando e onde forem necessários.

Importante frisar que as políticas devem ser compatíveis com o porte, perfil de risco e modelo de negócio da instituição.

Essa política deve conter no mínimo itens para::

  • Proteger a instituição: Minimizar a exposição a riscos cibernéticos, como ataques, vazamentos de dados e interrupções de serviços.
  • Assegurar a confidencialidade, integridade e disponibilidade dos dados: Garantir que os dados sejam acessíveis apenas por pessoas autorizadas, que permaneçam inalterados e que estejam disponíveis quando necessários.
  • Implementar controles de segurança: Estabelecer medidas técnicas e administrativas para proteger os sistemas e informações da instituição.
  • Gerenciar incidentes: Ter um plano claro para detectar, responder e se recuperar de incidentes de segurança.
  • Promover a cultura de segurança: Sensibilizar os colaboradores sobre a importância da segurança cibernética e incentivar a adoção de práticas seguras.
  • Colaborar com outras instituições: Compartilhar informações sobre incidentes e ameaças com outras organizações do setor.

Planos de resposta a incidentes

Os artigos 6º a 10º da resolução estabelecem a obrigatoriedade de as instituições financeiras terem um plano de ação e de resposta a incidentes cibernéticos. Esse plano é fundamental para garantir que a instituição esteja preparada para lidar com ataques cibernéticos, violações de dados e outras ameaças à sua segurança.

Esses artigos exigem que:

  • As instituições elaborem um plano detalhado: Esse plano deve incluir ações para prevenir, detectar e responder a incidentes de segurança cibernética, além de definir as responsabilidades de cada área envolvida.
  • Haja um responsável: Um diretor deve ser designado para coordenar a implementação e execução do plano.
  • Sejam realizados testes e avaliações: A efetividade do plano deve ser avaliada regularmente por meio de testes de continuidade de negócios e relatórios anuais.
  • A alta gestão esteja envolvida: O plano e a política de segurança devem ser aprovados pela alta gestão da instituição.
  • Haja revisões periódicas: O plano e a política devem ser revisados anualmente para garantir que continuem relevantes e eficazes.

Em outras palavras, as instituições devem estar preparadas para o pior cenário e ter um plano claro de ação para se recuperar de qualquer incidente de segurança cibernética.

Seleção e supervisão de provedores de serviços em nuvem

Já os artigos 11 a 18 da resolução estabelecem regras rigorosas para a contratação de serviços de processamento, armazenamento de dados e computação em nuvem por instituições financeiras.

O objetivo principal é garantir que:

  • A segurança dos dados seja priorizada: As instituições devem verificar a capacidade do prestador de serviço em proteger os dados dos clientes, garantindo confidencialidade, integridade e disponibilidade.
  • A legislação seja cumprida: A contratação deve estar em conformidade com as leis e regulamentações vigentes, tanto no Brasil quanto no exterior.
  • A instituição mantenha o controle: A instituição contratante deve ter acesso às informações necessárias para monitorar os serviços e garantir que seus requisitos sejam atendidos.
  • Haja um plano de continuidade: A instituição deve ter um plano para garantir a continuidade dos negócios em caso de interrupção dos serviços.

Importante frisar os seguintes pontos:

  • Dever de diligência: As instituições devem realizar uma análise detalhada dos potenciais prestadores de serviços, verificando sua capacidade técnica e financeira.
  • Governança: A contratação deve ser alinhada com as políticas de governança da instituição.
  • Contratos detalhados: Os contratos devem conter cláusulas específicas sobre segurança, acesso aos dados, responsabilidades e condições de rescisão.
  • Comunicação ao Banco Central: A instituição deve informar ao Banco Central sobre a contratação e eventuais alterações nos contratos.
  • Restrições para contratações no exterior: Existem requisitos específicos para a contratação de serviços em nuvem no exterior, como a necessidade de convênios entre os bancos centrais.

Gerenciamento de Riscos

Os artigos 19 e 20 tratam da importância da continuidade dos negócios e da gestão de riscos em relação a incidentes cibernéticos e interrupções de serviços.

Em resumo, esses artigos exigem que:

  • As instituições tenham um plano de continuidade: Esse plano deve detalhar as ações a serem tomadas em caso de incidentes cibernéticos que possam interromper as operações da instituição, incluindo a interrupção de serviços em nuvem.
  • Os planos considerem diferentes cenários: Os planos de continuidade devem considerar diversos cenários, como a substituição de fornecedores de serviços em nuvem e o reestabelecimento das operações após um incidente.
  • Haja comunicação com o Banco Central: As instituições devem comunicar ao Banco Central sobre incidentes relevantes que possam configurar uma situação de crise.
  • Os critérios para definir uma situação de crise sejam claros: As instituições devem estabelecer critérios claros para determinar quando um incidente configura uma situação de crise.

Conclusão

Conforme vimos, a resolução analisada introduz um marco regulatório robusto para a segurança cibernética no setor financeiro brasileiro. Seus principais pontos incluem:

  • Obrigatoriedade de planos de segurança: As instituições financeiras devem elaborar e implementar planos detalhados de segurança cibernética, incluindo medidas preventivas, de detecção e resposta a incidentes.
  • Gerenciamento de riscos: As instituições devem identificar, avaliar e tratar os riscos cibernéticos a que estão expostas, com foco na proteção de dados e na continuidade dos negócios.
  • Contratação de serviços em nuvem: A resolução estabelece regras específicas para a contratação de serviços em nuvem, visando garantir a segurança e a privacidade dos dados.
  • Transparência e comunicação: As instituições devem comunicar ao Banco Central sobre incidentes relevantes e sobre a contratação de serviços em nuvem.
  • Continuidade dos negócios: As instituições devem ter planos para garantir a continuidade de suas operações em caso de incidentes cibernéticos.

Fontes:

BANCO CENTRAL DO BRASIL. Resolução CMN nº 4.893, de 26 de fevereiro de 2021. Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados