Artigos

Monitoramento e Resposta a Incidentes – Convergência de Leis, Resoluções e Circulares para o tema de Segurança Cibernética

Por 6 de janeiro de 2023 Sem comentários

São Paulo/SP – 06 de janeiro de 2023. O monitoramento de informações e eventos de segurança é um conjunto de atividades e tecnologias para a coleta e análise de informações de forma a detectar comportamentos suspeitos ou alterações não autorizadas na rede e no ambiente tecnológico de sua empresa. A resposta a incidentes, por sua vez, é o conjunto de atividades ou processo para reagir a ameaças como ataques cibernéticos, violações de segurança e indisponibilidade de serviços.

*Por Marcos Paulo

Nos últimos anos o Brasil figura entre os países da américa latina e do mundo que mais sofrem com ataques cibernéticos. A perspectiva de especialistas no tema é de uma expansão no volume de ataques nos próximos anos. Diante deste cenário o governo, agências reguladoras, autarquias e instituições estão cada vez mais estabelecendo requisitos para incitar as empresas dos mais variados setores a estabelecerem controles relacionados a segurança cibernética e privacidade de dados, com o objetivo de identificar ameaças, responder e recuperar-se de incidentes.

Para as empresas, investir em processos, pessoas e tecnologias relacionadas a segurança cibernética implica não somente na proteção de suas informações, ou na relação com seus consumidores, fornecedores e parceiros, mas também na conformidade com tais requisitos, uma vez que muitos destes preveem a aplicação de multas e penalidades em casos de inadequação ou não cumprimento das exigências.

O que é monitoramento e resposta a incidentes?

O monitoramento de informações e eventos de segurança é um conjunto de atividades e tecnologias para a coleta e análise de informações de forma a detectar comportamentos suspeitos ou alterações não autorizadas na rede e no ambiente tecnológico de sua empresa, determinando quais situações devem gerar alertas e quais as medidas a serem tomadas. A resposta a incidentes, por sua vez, é o conjunto de atividades ou processo para reagir a ameaças como ataques cibernéticos, violações de segurança e indisponibilidade de serviços.

Diante do cenário crescente de ameaças e ataques cibernéticos, ambos os processos se tornam fundamentais para assegurar maior visibilidade, eficiência e segurança, não somente no ambiente de sua empresa, mas também em todo o ecossistema (clientes, parceiros e fornecedores). Por conta de sua relevância esses processos são cada vez mais mencionados em leis, resoluções, circulares ou portarias.

Exemplos – Requisitos:

A seguir trazemos exemplos de Leis, Resoluções e Circulares de órgãos reguladores brasileiros que determinam a necessidade de estabelecimento de controles de segurança cibernética com foco em monitoramento e resposta a incidentes.

LGPD (Lei nº 13.709 de 14 de agosto de 2018)

  • “Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”

BACEN (Resolução CMN N° 4.893, de 26 de fevereiro de 2021)

  • “Art. 3º A política de segurança cibernética deve contemplar, no mínimo:

II – os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;

III – os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;”

SUSEP (Circular Nº 638 de 27 de julho de 2021)

  • “Art. 5º A supervisionada deverá possuir, e manter atualizados, processos, procedimentos e controles efetivos para:

I – identificar e reduzir vulnerabilidades de forma proativa; e

II – detectar, responder e recuperar-se de incidentes.”

  • 6º Os processos, procedimentos e controles mencionados no inciso II do art. 5º deverão contemplar, no mínimo:

I – monitoramento contínuo da rede de comunicação, por meio de técnicas que auxiliem na detecção de incidentes;”

ANATEL (Resolução nº 740, de 21 de dezembro de 2020)

  • “Art. 5º As pessoas naturais ou jurídicas envolvidas direta ou indiretamente na gestão ou no desenvolvimento das redes e serviços de telecomunicações devem atuar em Segurança Cibernética observando as seguintes diretrizes:

V – identificar, proteger, diagnosticar, responder e recuperar de incidentes de Segurança Cibernética;”

ANEEL (Resolução Nº 964, de 14 de dezembro de 2021)

  • “Art. 3º As diretrizes para a atuação em segurança cibernética são:

V – identificar, proteger, diagnosticar, responder e recuperar os incidentes cibernéticos;”

Considerações Finais:

Na seção anterior, listamos exemplos de requisitos presentes em Leis, Resoluções e Circulares em âmbito nacional. No entanto, é importante observar que também existem regulamentações e padrões internacionais que trazem requisitos relacionados a segurança cibernética e podem afetar o negócio e operações de sua empresa, exemplo PCI DSS (Payment Card Industry Data Security Standard) e a lei Sarbanes-Oxley. Observar e assegurar a conformidade com tais requisitos possibilita não somente maior segurança e transparência, como também evita o pagamento de multas e a publicidade negativa oriunda do não cumprimento das exigências, ou mesmo de um incidente cibernético.

Independente da legislação aplicável ao negócio e operações de sua empresa o crescente número de ameaças e ataques cibernéticos já justifica a necessidade de maior atenção, estabelecimento de processo de monitoramento e resposta a incidentes e a realização de investimentos em pessoas, processos e tecnologia para proteção de suas informações.

— Marcos Paulo é Sales Executive | Project Manager GRC at [SAFEWAY]

Como podemos Ajudar?

SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.

Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.

Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de ProcessosPessoas e Tecnologia.

Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!