top of page
  • Foto do escritorCristiano Pimenta

Segurança Cibernética e a Resolução No. 4.658 do BACEN

O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que o Conselho Monetário Nacional, em sessão realizada em 26 de abril de 2018, no seu Art, 1º aborda a resolução que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.


Abordarei neste artigo os aspectos relacionados ao tema Segurança Cibernética, iniciativa do BACEN que reflete um avanço importante na proteção das informações do segmento financeiro. Ficando a esperança de que sirva de referência para outras instituições.


Da Política de Segurança Cibernética

As instituições financeiras e aquelas autorizadas a funcionar, devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.


Da Estrutura

A Política de Segurança Cibernética deve ser estruturada de modo a ser compatível com:

  • o porte, o perfil de risco e o modelo de negócio da instituição.

  • a natureza das operações e complexidade dos produtos, serviços, atividades e processos da instituição.

  • a sensibilidade dos dados e das informações sob responsabilidade da instituição.

Nos casos de conglomerado prudencial (instituições integrantes de grupos financeiros) e sistema cooperativo de crédito, será admitido o uso de política de segurança cibernética única.


Não constituir política de segurança cibernética própria em decorrência de sua incompatibilidade, ou seja, não se enquadrar em Conglomerado prudencial e sistema cooperativo de crédito, será necessário formalizar a opção por essa faculdade em reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição.


Do conteúdo

A Política de Segurança Cibernética deve contemplar no mínimo: os objetivos de segurança, os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança, os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis, o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição.


Também deve contemplar as diretrizes para: cenários de testes de continuidade de negócios, procedimentos voltados à prevenção e ao tratamento de incidentes, classificação dos dados e das informações, critérios para avaliação da relevância dos incidentes, iniciativas para compartilhamento de informações sobre incidentes com as demais instituições, mecanismos para a disseminação da cultura de se segurança cibernética na instituição.


No tema, cultura de segurança, a implementação deve conter um programa de capacitação e de avaliação periódica do pessoal, deve alcançar aos clientes e usuários a prestação de informações sobre preocupações na utilização de produtos e serviços financeiros e por fim, sem dúvida muito relevante o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética.


Da Prevenção, Detecção e Reação

As instituições devem contemplar a capacidade da instituição para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.


Devem fazer de uso de controles e procedimentos que no mínimo abrangem: autenticação a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.


Importante ressaltar, que tais controles também devem ser aplicados, inclusive, no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da instituição.


Do Plano de Ação e da Resposta a Incidentes

As instituições atendidas por esta resolução devem estabelecer plano de ação e de resposta a incidentes visando à implementação da política de segurança cibernética, este plano deve contemplar os esforços de adequação (estrutura organizacional e operacional) para atendimento aos princípios das diretrizes estabelecidos na política de segurança cibernética.


Entenda como esforços, também as rotinas, procedimento, os controles e as tecnologias, a adoção de área responsável por registro e controle dos efeitos de incidentes relevantes, como também a designação de diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes. Não havendo conflito de interesse o diretor poderá desempenhar outras funções.


Da Prestação de Contas

As instituições referidas devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, com data-base de 31 de dezembro. Este relatório deve abordar no mínimo: a efetividade da implementação das ações, o resumo dos resultados obtidos (nas rotinas, procedimentos, controles, tecnologias, na prevenção e resposta a incidentes, os incidentes relevantes, os resultados dos testes de continuidade de negócios.


Tal relatório deve ser submetido ao comitê de risco, quando existente, e apresentado ao conselho de administração ou, na sua inexistência, à diretoria da instituição até 31 de março do ano seguinte ao da data base (31 de dezembro).


Da Publicidade

A política de segurança cibernética deve ser divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.

Tal ação também alcança o público em geral, assim as instituições devem divulgar um resumo contendo as linhas gerais da política de segurança cibernética.


A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser aprovados pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição.


Da Melhoria Contínua

A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser documentados e revisados, no mínimo, anualmente.

Por fim, acredito que tal iniciativa é muito bem recebido por todos os profissionais envolvidos no segmento, pois pacifica não apenas o que deve ser feito, como também defini claramente a necessidade de investimento e responsabilidades na organização.


Cristiano Pimenta é diretor de Serviços da ARCON, empresa especializada em Serviços Gerenciados de Segurança de Tecnologia da Informação. Sua trajetória profissional ao longo de 20 anos de experiência em segurança da informação, tecnologia da informação e recursos humanos, inclui atuações de liderança na Módulo Security, Telemig Celular, Amazônia Celular e Vivo | Telefônica.

42 visualizações0 comentário

Posts recentes

Ver tudo
bottom of page