Artigos

Resolução BC 4658:2018 – Política de Segurança Cibernética e Computação em Nuvem

By 25 de maio de 2018 No Comments

Por @marcospaulofreitas

A Resolução nº 4.658 de 26 de abril de 2018 do Banco Central do Brasil dispõe sobre a implantação da Política de Segurança Cibernética e sobre os requisitos para a contratação de serviços de processamento/ armazenamento de dados e de computação em nuvem, a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

Requisitos de Segurança da Informação

A resolução apresenta requisitos de Segurança da Informação (SI) a serem adotados pelas instituições, sendo estes:

  • Estabelecimento de uma Política de Segurança Cibernética, plano de ação e resposta a incidentes, os quais precisam ser aprovados pelo Conselho de Administração ou Diretoria até o dia 6 de maio de 2019, devendo estes serem revisados, no mínimo, anualmente;
  • Definição dos membros do Conselho de Administração e/ ou Diretor responsável por garantir a relevância e aprovação da Política de Segurança Cibernética e pela execução do plano de ação e de resposta a incidentes;
  •  Definição dos critérios para a classificação dos dados e das informações;
  • Implementação de programas de capacitação em Segurança da Informação (SI) e comunicação para clientes e colaboradores;
  • Implementação de controles que assegurem a confidencialidade, integridade e a disponibilidade dos dados e sistemas que suportam as operações regulares, levando em consideração o porte da instituição, seu perfil de risco, seu modelo de negócio, seus produtos e a sensibilidade dos dados.

Também são exigidos procedimentos e controles a serem adotados para reduzir o nível de exposição das instituições a incidentes. Tais procedimentos devem abranger no mínimo:

  • Autenticação;
  • Criptografia;
  • Prevenção, detecção de intrusão e possíveis vazamentos de informação;
  • Realização periódica de testes e varreduras para detecção de vulnerabilidades;
  • Proteção contra softwares maliciosos;
  • Estabelecimento de mecanismos de rastreabilidade;
  • Controles de acesso e de segmentação da rede;
  • Manutenção de cópias de segurança dos dados e das informações;
  • Desenvolvimento de sistemas seguros.

Gerenciamento de Incidentes

A Resolução, também menciona o processo de gerenciamento de Incidentes, destacando os seguintes controles e requisitos a serem implementados pelas instituições:

  • Necessidade de uma área específica para o registro de incidentes e um processo estabelecido onde ocorram a identificação da causa e impacto, bem como a elaboração e acompanhamento dos planos de resposta aos incidentes;
  • Elaboração de relatório anual sobre a implementação do plano de ação e de resposta a incidentes, contendo incidentes ocorridos no período e resultado de testes de continuidade, considerando cenários de indisponibilidade;
    Este relatório anual precisa ser apresentado e aprovado pelo Conselho de Administração e/ ou a Diretoria.

Contratação de cloud services e processamento/ armazenamento de dados

A Resolução determina que as instituições financeiras que realizarem a contratação de cloud services de armazenamento de dados devem obrigatoriamente adotar procedimentos que contemplem:

  • Assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos contemplem a contratação deste tipo de serviço no País ou no exterior;
  • Verificar a capacidade da empresa prestadora de serviço (competência, recursos) e aderência as exigências da instituição;
  • Acessar e avaliar os relatórios de auditorias recebidas pelo prestador de serviço, bem como monitorar continuamente os serviços prestados;
  • Garantir controles físicos e lógicos pela empresa prestadora de serviço, de modo a garantir a proteção dos dados dos clientes da instituição;
  • Garantir que a instituição é responsável pela confiabilidade, integridade, disponibilidade em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor; Comunicar previamente ao Banco Central do Brasil, os serviços contratados e os países e regiões, onde os dados serão armazenados;
  • Garantir a continuidade mantendo a obrigatoriedade na transferência de dados para um novo prestador de serviço, em casos da rescisão de contratos com prestadores atuais.

A contratação dos serviços prestados no exterior deve observar os seguintes requisitos:

  • Existência de convênio entre o Banco Central do Brasil com autoridades dos países. Não havendo convênio, é necessária uma autorização do Banco Central do Brasil;
  • Definição de país e região onde os dados serão processados e armazenados;
  • Continuidade de negócio caso impossibilidade da prestação de serviço;
  • Legislação dos países permitam acesso das instituições e do Banco Central do Brasil;
  • Medidas para garantir a segurança da transmissão e armazenamento da informação.

Instituições que já tiverem contratado a prestação de cloud services de processamento, armazenamento de dados devem apresentar ao Banco Central do Brasil, no prazo máximo de 180 dias contados a partir da data de entrada em vigor desta resolução, um cronograma para adequação aos requisitos com o prazo máximo de 31 de dezembro de 2019.

Conclusão

A ação do Banco Central do Brasil em publicar esta norma é consequência de uma movimentação e preocupação global com cyber segurança que se tornou evidente nos últimos anos, por exemplo, em discussões sobre o tema realizadas no World Economic Forum 2018 e após o crescente número de incidentes, ameaças e ataques cada vez mais sofisticados.

Diante deste cenário, cabe as instituições possuir e aprimorar mecanismos de identificação e controles de segurança, de modo a proteger seus ativos de informação.

*Marcos Paulo Freitas é consultor de Segurança da Informação da [SAFEWAY]

Quer fazer um teste rápido?

Quanto você ou sua empresa está compliance com a atual Política de Segurança Cibernética da Resolução BC n° 4658?

Responda abaixo “10 perguntas chaves” e avalie o nível de maturidade atual de uma empresa frente a Resolução BC n° 4658. Click aqui ou no botão e comece o teste.

 

Sobre a [SAFEWAY]

[SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:

● Archer da RSA Security, considerada pelos institutos Gartner e Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;

● [SAFEWAY] Security Tower, suportada pelo IBM Qradar (tecnologia Watson), sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.

● E outras, envolvendo tecnologias ImpervaThalesBeyondTrustVaronisWatchGuard Technologies.

Aguardamos seu contato: [email protected]

Leave a Reply