São Paulo/SP – 07 de junho de 2023 – Resiliência operacional: como a resolução de nº 304 do Bacen contribui para a segurança do ecossistema financeiro
*Carlos Borella é sócio e líder da área de Cyber da Safeway
Vimos nos últimos anos várias resoluções e circulares publicadas pelo Banco Central do Brasil (BCB), que comprovam a preocupação do órgão regulador com o nível de maturidade do ecossistema financeiro nacional.
Algumas dessas regulamentações eram focadas em temas específicos, como o caso da BC 4.658 (substituída pela BC 4.893) – foco em Segurança da Informação, outras voltadas mais a operação em si do sistema (funcionamento do Sistema de Pagamentos Brasileiro), como é o caso da BCB 304.
Quando se fala de risco operacional, entre outros temas que devem ser contemplados, a resolução é clara e estabelece que as Instituições Operadoras de Sistema de Mercado Financeiro (IOSMF) devem tratar questões como gestão de fraudes, gestão da terceirização de serviços (gestão de fornecedores), continuidade de negócios, gestão de serviços de tecnologia da informação e segurança da informação e cibernética, devendo estas serem projetadas de modo a alcançar o objetivo de resiliência operacional do sistema.
Tais diretrizes refletem – e reforçam – a necessidade de uma abordagem abrangente para proteger as instituições financeiras contra ameaças cada vez mais sofisticadas.
A resolução ainda apresenta de modo direto que as IOSMF devem estabelecer mecanismos de acompanhamento e de controle, de modo a assegurar a implementação e a efetividade da política de segurança da informação e cibernética, do plano diretor de segurança da informação, do plano de resposta a incidentes e dos requisitos para contratação de serviços, em especial de processamento e armazenamento de dados e de computação em nuvem.
Ainda sobre a preocupação com resiliência operacional, a resolução apresenta atividades que devem ser estabelecidas para a gestão de continuidade de negócios, citando: realização de análise de impacto de negócios (AIN, conhecido em inglês como Business Impact Analysis (BIA)), definição de estratégias para limitação de perdas, planos de continuidade de negócios com procedimentos que estabeleçam prazos de recuperação e plano de comunicação, testes e revisões do plano em periodicidade adequada.
Do ponto de vista de segurança da informação e cibernética, a resolução não apresenta muitas novidades em relação aos temas que devem ser priorizados pelas IOSMF, além de reforçar a necessidade de ações focadas nos três pilares (processos, tecnologia e pessoas). Alguns destes temas são bastante conhecidos, tais como: prevenção, detecção, redução de vulnerabilidade, resposta e recuperação; monitoramento e rastreabilidade das informações e análise da causa e do impacto; continuidade de negócios, gestão de incidentes (compartilhamento de incidentes relevantes ao BCB), programa de conscientização, classificação da informação, testes periódicos dos sistemas, acompanhamento anual de evolução/implementação do plano diretor de segurança da informação.
Vale ressaltar que a BCB 304, assim como outras resoluções ou circulares do BCB, menciona a necessidade de controles e proteções em níveis mais estratégicos e táticos, como, por exemplo, para o tema de continuidade de negócios. Porém, não direciona ou detalha suas implementações (nível operacional). De modo resumido, apresenta “o que” aplicar, mas não “como” aplicar. Desta forma a utilização de referências e boas práticas de cibersegurança – ISO 27.002, ISO 22.301, NIST, SANS, entre outros – devem continuar sendo utilizadas.
De modo geral, a BCB 304 disciplina, no âmbito do Sistema de Pagamentos Brasileiro, o funcionamento dos sistemas, e desta forma trata de temas sensíveis ao negócio (liquidação, registro e depósito de ativos financeiros). Neste artigo, focamos em apresentar os principais controles ligados a segurança da informação e cibernética. Neste sentido, para as instituições que já possuem uma estratégia de segurança da informação e cibernética, e governança já estabelecida, por exemplo, para atender a um Sistema de Gestão, é importante que esta revise e incorpore-a dentro de seu sistema. Adicionalmente, esta ação proporcionará que as iniciativas de segurança da informação e cibernética, convirjam e evitando assim que haja sobreposição de controles para a cobertura e mitigação dos riscos já mapeados.
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
