*Marcos Paulo Freitas
A Resolução nº 4893 de 26 de fevereiro de 2021 do Banco Central do Brasil (BACEN) dispõe sobre a estruturação da política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil (BACEN). Esta Resolução entra em vigor a partir de 1º de julho de 2021 e revoga as Resoluções nº 4658:2018 e 4752:2019 que abordavam o mesmo tema.
Política de Segurança Cibernética e Plano de Ação e de Resposta a Incidentes
A Resolução nº 4893 mantém requisitos a respeito da elaboração e divulgação da Política de Segurança Cibernética e do Plano de Ação e de Resposta a Incidentes por parte das instituições.
Os principais pontos a serem observados são:
– Necessidade de que a instituição possua mecanismos (procedimentos e controles) para reduzir o nível de exposição a incidentes. Tais mecanismos devem abranger no mínimo: a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança (backup) dos dados e das informações.
– Elaboração de uma política de segurança cibernética. Este documento deve possuir minimamente os objetivos da instituição relacionados ao tema, os procedimentos e controles adotados para reduzir a vulnerabilidade a incidentes, os controles específicos que buscam garantir a segurança das informações e orientações para o correto registro, análise de causa e impacto e tratamento tempestivo de incidentes relevantes para as atividades da instituição.
– Necessidade de uma área específica para o registro e controle dos efeitos de incidentes relevantes e um processo estabelecido onde ocorram a identificação da causa e impacto, bem como a elaboração e acompanhamento dos planos de resposta aos incidentes;
– Elaboração de um relatório anual sobre a implementação do plano de ação e de resposta a incidentes, contendo incidentes ocorridos no período e resultado de testes de continuidade, considerando cenários de indisponibilidade. Importante que esse relatório seja apresentado ao conselho de administração ou a diretoria da instituição até 31 de março do ano seguinte ao da data-base.
Tanto a política de segurança cibernética quanto o plano de ação e de resposta a incidentes devem ser revisados anualmente e aprovados pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição.
Contratação de Serviços de Processamento e Armazenamento de Dados e de Computação em Nuvem
A Resolução atualiza os requisitos relacionados a Contratação de Serviços de Processamento e Armazenamento de Dados e de Computação em Nuvem. As instituições autorizadas a funcionar pelo Banco Central do Brasil (BACEN) devem obrigatoriamente:
– Assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos contemplem a contratação deste tipo de serviço no País ou no exterior;
– Apresentar e documentar práticas de governança e procedimentos que contemplem antes da contratação a verificação de capacidade da empresa prestadora de serviço e aderência as exigências da instituição e da regulamentação em vigor, considerando a criticidade de serviço e a sensibilidade dos dados;
– Se responsabilizar pela confiabilidade, integridade, disponibilidade em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor;
– Comunicar ao Banco Central do Brasil (BACEN) a contratação ou atualização contratual de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem. Essa comunicação deve ser realizada com o prazo de até dez dias após a contratação dos serviços ou atualização contratual e conter a denominação da empresa contratada, o detalhamento dos serviços contratados, a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados que serão armazenados, processados e gerenciados;
A contratação dos serviços prestados no exterior deve observar os seguintes requisitos:
– Existência de convênio entre o Banco Central do Brasil (BACEN) com autoridades dos países. Não havendo convênio, é necessário solicitar uma autorização do Banco Central do Brasil (BACEN) no mínimo 60 (sessenta) dias antes da contratação ou atualização de contrato já existente;
– Definição prévia a contratação de países e regiões onde os dados serão armazenados, gerenciados e processados;
– Continuidade de negócio caso impossibilidade da prestação de serviço;
– Medidas para garantir a segurança da transmissão e armazenamento da informação.
É importante mencionar que Instituições que em 26 de abril de 2018 já tinham contratado serviços de processamento e armazenamento de dados e de computação em nuvem devem adequar os contratos firmados com seus prestadores de serviços até 31 de dezembro de 2021.
Considerações Finais:
A ação do Banco Central do Brasil (BACEN) em publicar esta norma demonstra sua preocupação e compromisso com cyber segurança e reforça a necessidade das instituições em aprimorar continuamente suas operações de forma a estarem cada vez mais protegidas e preparadas para reagir a ameaças e ataques cibernéticos que estão cada vez mais sofisticados e são noticiados periodicamente.
De maneira geral, existiram alterações mínimas e complementares ao que estava disposto nas Resoluções nº 4658:2018 e 4752:2019 podendo ser considerada uma resposta a questionamentos que as instituições realizaram anteriormente.
*Marcos Paulo Freitas é GRC and Information Security Manager at [SAFEWAY]
Sobre a [SAFEWAY]
A Safeway é uma empresa de Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio.
Hoje através de 22 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções para tecnologia, processos e pessoas. A SAFEWAY pode ajudar sua organização validando o nível de aderência e maturidade aos requisitos da Resolução nº 4893, bem como apoiar na elaboração e execução de iniciativas para o cumprimento ao regulatório e para a melhoria contínua de processos.
