Introdução
A resolução CMN 4983 foi publicada em 26 de fevereiro de 2021 e veio como uma importante atualização da preocupação do Banco Central do Brasil com a segurança cibernética das instituições autorizadas a operar por este órgão.
Com o advento da internet, evolução tecnológica bancária, automatização de processos e dependência tecnológica de diversos serviços, os riscos cibernéticos como fraudes, roubo de dados, interrupção de serviços tem tomado um papel essencial nas discussões do sistema financeiro de todo o globo.
Outro item na pauta atual é a necessidade de proteção de dados de clientes e de ativos, cada vez mais digitalizados.
A computação em nuvem revolucionou a forma como as instituições financeiras operam, oferecendo escalabilidade, flexibilidade e agilidade que eram inimagináveis há algumas décadas. No entanto, essa transformação digital também trouxe consigo novos desafios, principalmente no que diz respeito à segurança da informação.
Disposições-chave
Requisitos de política de segurança cibernética
Quando a resolução fala em implementar políticas robustas de segurança de dados, abrangendo confidencialidade, integridade e disponibilidade, estamos se referindo à necessidade de estabelecer um conjunto de regras e procedimentos claros para proteger as informações das instituições. Essas políticas visam garantir que os dados sejam:
- Confidenciais: Acessíveis apenas por pessoas autorizadas.
- Íntegros: Precisos, completos e consistentes, sem alterações não autorizadas.
- Disponíveis: Acessíveis quando e onde forem necessários.
Importante frisar que as políticas devem ser compatíveis com o porte, perfil de risco e modelo de negócio da instituição.
Essa política deve conter no mínimo itens para::
- Proteger a instituição: Minimizar a exposição a riscos cibernéticos, como ataques, vazamentos de dados e interrupções de serviços.
- Assegurar a confidencialidade, integridade e disponibilidade dos dados: Garantir que os dados sejam acessíveis apenas por pessoas autorizadas, que permaneçam inalterados e que estejam disponíveis quando necessários.
- Implementar controles de segurança: Estabelecer medidas técnicas e administrativas para proteger os sistemas e informações da instituição.
- Gerenciar incidentes: Ter um plano claro para detectar, responder e se recuperar de incidentes de segurança.
- Promover a cultura de segurança: Sensibilizar os colaboradores sobre a importância da segurança cibernética e incentivar a adoção de práticas seguras.
- Colaborar com outras instituições: Compartilhar informações sobre incidentes e ameaças com outras organizações do setor.
Planos de resposta a incidentes
Os artigos 6º a 10º da resolução estabelecem a obrigatoriedade de as instituições financeiras terem um plano de ação e de resposta a incidentes cibernéticos. Esse plano é fundamental para garantir que a instituição esteja preparada para lidar com ataques cibernéticos, violações de dados e outras ameaças à sua segurança.
Esses artigos exigem que:
- As instituições elaborem um plano detalhado: Esse plano deve incluir ações para prevenir, detectar e responder a incidentes de segurança cibernética, além de definir as responsabilidades de cada área envolvida.
- Haja um responsável: Um diretor deve ser designado para coordenar a implementação e execução do plano.
- Sejam realizados testes e avaliações: A efetividade do plano deve ser avaliada regularmente por meio de testes de continuidade de negócios e relatórios anuais.
- A alta gestão esteja envolvida: O plano e a política de segurança devem ser aprovados pela alta gestão da instituição.
- Haja revisões periódicas: O plano e a política devem ser revisados anualmente para garantir que continuem relevantes e eficazes.
Em outras palavras, as instituições devem estar preparadas para o pior cenário e ter um plano claro de ação para se recuperar de qualquer incidente de segurança cibernética.
Seleção e supervisão de provedores de serviços em nuvem
Já os artigos 11 a 18 da resolução estabelecem regras rigorosas para a contratação de serviços de processamento, armazenamento de dados e computação em nuvem por instituições financeiras.
O objetivo principal é garantir que:
- A segurança dos dados seja priorizada: As instituições devem verificar a capacidade do prestador de serviço em proteger os dados dos clientes, garantindo confidencialidade, integridade e disponibilidade.
- A legislação seja cumprida: A contratação deve estar em conformidade com as leis e regulamentações vigentes, tanto no Brasil quanto no exterior.
- A instituição mantenha o controle: A instituição contratante deve ter acesso às informações necessárias para monitorar os serviços e garantir que seus requisitos sejam atendidos.
- Haja um plano de continuidade: A instituição deve ter um plano para garantir a continuidade dos negócios em caso de interrupção dos serviços.
Importante frisar os seguintes pontos:
- Dever de diligência: As instituições devem realizar uma análise detalhada dos potenciais prestadores de serviços, verificando sua capacidade técnica e financeira.
- Governança: A contratação deve ser alinhada com as políticas de governança da instituição.
- Contratos detalhados: Os contratos devem conter cláusulas específicas sobre segurança, acesso aos dados, responsabilidades e condições de rescisão.
- Comunicação ao Banco Central: A instituição deve informar ao Banco Central sobre a contratação e eventuais alterações nos contratos.
- Restrições para contratações no exterior: Existem requisitos específicos para a contratação de serviços em nuvem no exterior, como a necessidade de convênios entre os bancos centrais.
Gerenciamento de Riscos
Os artigos 19 e 20 tratam da importância da continuidade dos negócios e da gestão de riscos em relação a incidentes cibernéticos e interrupções de serviços.
Em resumo, esses artigos exigem que:
- As instituições tenham um plano de continuidade: Esse plano deve detalhar as ações a serem tomadas em caso de incidentes cibernéticos que possam interromper as operações da instituição, incluindo a interrupção de serviços em nuvem.
- Os planos considerem diferentes cenários: Os planos de continuidade devem considerar diversos cenários, como a substituição de fornecedores de serviços em nuvem e o reestabelecimento das operações após um incidente.
- Haja comunicação com o Banco Central: As instituições devem comunicar ao Banco Central sobre incidentes relevantes que possam configurar uma situação de crise.
- Os critérios para definir uma situação de crise sejam claros: As instituições devem estabelecer critérios claros para determinar quando um incidente configura uma situação de crise.
Conclusão
Conforme vimos, a resolução analisada introduz um marco regulatório robusto para a segurança cibernética no setor financeiro brasileiro. Seus principais pontos incluem:
- Obrigatoriedade de planos de segurança: As instituições financeiras devem elaborar e implementar planos detalhados de segurança cibernética, incluindo medidas preventivas, de detecção e resposta a incidentes.
- Gerenciamento de riscos: As instituições devem identificar, avaliar e tratar os riscos cibernéticos a que estão expostas, com foco na proteção de dados e na continuidade dos negócios.
- Contratação de serviços em nuvem: A resolução estabelece regras específicas para a contratação de serviços em nuvem, visando garantir a segurança e a privacidade dos dados.
- Transparência e comunicação: As instituições devem comunicar ao Banco Central sobre incidentes relevantes e sobre a contratação de serviços em nuvem.
- Continuidade dos negócios: As instituições devem ter planos para garantir a continuidade de suas operações em caso de incidentes cibernéticos.
Fontes:
BANCO CENTRAL DO BRASIL. Resolução CMN nº 4.893, de 26 de fevereiro de 2021. Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados