São Paulo/SP – 19 de fevereiro de 2024 – A ação da SUSEP em publicar resoluções e circulares para o mercado de seguros, é uma consequência de uma movimentação e preocupação global com continuidade de negócios e segurança cibernética que se tornou evidente nos últimos anos.
*Kelli Ribeiro – Gerente de GRC da Safeway
A SUSEP (Superintendência de Seguros Privados) e outros órgãos de fiscalização e controle, estabelecem regras e requisitos que as empresas fiscalizadas devem atender para estimular o desenvolvimento dos mercados de seguros, resseguros, previdência complementar aberta e capitalização garantindo a livre concorrência, estabilidade e respeito ao consumidor.
Dentro desse contexto são estabelecidas continuamente regulamentações e requisitos que buscam garantir a proteção de dados e transações de investidores e consumidores.
Essas regulamentações determinam que as empresas fiscalizadas estruturem planos de continuidade de negócios, que contemplam medidas de contingência para mitigação de riscos e manutenção de suas operações em caso de desastres, crises econômicas e outras interrupções significativas.
Resolução CNSP 416
A disciplina de continuidade de negócios está associada a gestão de riscos, conforme determinado na Resolução CNSP Nº 416, de 20 de julho de 2021, que dispõe sobre o Sistema de Controles Internos, a Estrutura de Gestão de Riscos e a atividade de Auditoria Interna, conforme descrito a seguir:
Seção IV
Dos Requisitos para a Gestão de Riscos Específicos
Subseção I
Da Continuidade dos Negócios
Art. 22. Os riscos que possam ocasionar interrupção total ou redução significativa dos processos críticos de negócio da supervisionada deverão ser mitigados através de um plano de continuidade de negócios que preveja, no mínimo:
I. papéis e responsabilidades específicos em relação à continuidade dos negócios;
II. nível mínimo de operação e prazo máximo de retorno ao funcionamento normal;
III. procedimentos de comunicação com interessados internos e externos; e
IV. testes periódicos.
Circulares SUSEP e Segurança Cibernética
De acordo com a Resolução CNSP 416 2021 e Circular SUSEP 638 de 2021 as seguradoras e corretoras de seguro precisam possuir um plano de continuidade de negócio para riscos identificados de interrupção total ou que que possam causar uma redução significativa de suas atividades.
A Circular 638/21, estabelece regras e requisitos de segurança cibernética a serem observados por seguradoras, entidades abertas de previdência complementar, sociedades de capitalização e resseguradores locais para garantir a continuidade dos negócios e minimizar os impactos em caso de incidentes.
A SUSEP estabelece requisitos para a elaboração de planos de contingência pelas empresas do setor. Esses planos devem apresentar medidas preventivas, como:
- A criação de backups de dados;
- Estratégias para recuperação rápida da operação em caso de interrupção (nível mínimo de operação e prazo máximo de retorno);
- Possuir e manter atualizados papéis e responsabilidades, processos, procedimentos e controles, para identificar e reduzir vulnerabilidades, para detectar, responder e se recuperar de incidentes, que deverão ser previstos no plano de continuidade de negócios.
- Realização de testes periódicos de suas estratégias de continuidade de negócios para garantir a eficácia dos planos de contingência.
Essas ações visam garantir a proteção dos interesses dos segurados e a segurança do mercado de seguros em momentos de crise (resiliência do ecossistema de seguros).
O não cumprimento desses requisitos pode levar a penalidades graves, como multas, proibições de operação e perda de licenças essenciais para o funcionamento das empresas. Portanto, a conformidade regulatória é fundamental para garantir a continuidade dos negócios, bem como para manter a confiança dos investidores, clientes e outras partes interessadas.
Principais Desafios
Os principais desafios encontrados durante a implantação da Gestão de Continuidade de Negócios (GCN) são:
- Identificação de riscos que podem levar a organização a eventos disruptivos ou catastróficos, especialmente aqueles que são difíceis de prever, é uma tarefa desafiadora.
- Justificar o investimento em recursos: Para garantir a continuidade dos negócios, são necessários recursos financeiros, humanos e tecnológicos. A priorização de investimentos em continuidade é desafiadora devido a ausência de uma visão integrada da gestão dos riscos corporativos.
- Falta de conscientização: A Gestão de Continuidade é vista normalmente como secundária e necessária somente em momentos de crises.
- Falta de Comprometimento: A continuidade exige o envolvimento de diversas áreas e stakeholders da organização, o que pode levar a conflitos e desafios para demonstração desse comprometimento.
- Teste e atualização: Os planos precisam ser testados e atualizados frequentemente para garantir que as medidas de resposta a um evento disruptivo funcionem efetivamente.
Conclusão
A ação da SUSEP em publicar resoluções e circulares é uma consequência de uma movimentação e preocupação global com continuidade de negócios e segurança cibernética que se tornou evidente nos últimos anos.
A gestão de continuidade de negócios é responsável por garantir que uma organização possa sobreviver a eventos disruptivos ou catastróficos e continuar suas operações vitais.
Um plano de GCN eficaz ajuda a minimizar esses riscos, definindo procedimentos claros para lidar com essas situações críticas. A primeira etapa para o planejamento de um programa de continuidade de negócios é entender as ameaças e os desafios atuais; após essa etapa será necessário:
- avaliação de riscos e impactos;
- priorização de processos e sistemas críticos;
- desenvolvimento de um plano de resposta, treinamento e teste do plano;
- ajuste e revisão periódicos do plano.
O plano de contingência ajuda na análise do impacto que um incidente pode causar, dando mais segurança aos gestores na administração de crises, garantindo que as operações essenciais não sejam prejudicadas.
Ao priorizar a continuidade de negócios, as organizações podem proteger sua reputação e, em última análise, garantir a resiliência de suas operações a longo prazo.
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 16 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. A SAFEWAY também pode ajudar sua organização validando o nível de aderência e maturidade aos requisitos do GDPR (Regulamento Geral de Proteção de Dados) e LGPD (Lei Geral de Proteção de Dados) considerando o ambiente de negócio ao qual está inserido, de modo a identificar os principais planos de ações para o cumprimento aos regulatórios, visando melhorias no processo e ganhos para a sua organização.
Com nossas soluções de planejamento de continuidade de negócios, ajudamos você a identificar, preparar e evitar eventos que possam interromper as atividades da empresa, desenvolvendo os planos necessários para recuperação avaliação, implementação, teste e treinamento em GCN.
