Por @marcospaulofreitas
A Resolução nº 4.658 de 26 de abril de 2018 do Banco Central do Brasil dispõe sobre a implantação da Política de Segurança Cibernética e sobre os requisitos para a contratação de serviços de processamento/ armazenamento de dados e de computação em nuvem, a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
Requisitos de Segurança da Informação
A resolução apresenta requisitos de Segurança da Informação (SI) a serem adotados pelas instituições, sendo estes:
- Estabelecimento de uma Política de Segurança Cibernética, plano de ação e resposta a incidentes, os quais precisam ser aprovados pelo Conselho de Administração ou Diretoria até o dia 6 de maio de 2019, devendo estes serem revisados, no mínimo, anualmente;
- Definição dos membros do Conselho de Administração e/ ou Diretor responsável por garantir a relevância e aprovação da Política de Segurança Cibernética e pela execução do plano de ação e de resposta a incidentes;
- Definição dos critérios para a classificação dos dados e das informações;
- Implementação de programas de capacitação em Segurança da Informação (SI) e comunicação para clientes e colaboradores;
- Implementação de controles que assegurem a confidencialidade, integridade e a disponibilidade dos dados e sistemas que suportam as operações regulares, levando em consideração o porte da instituição, seu perfil de risco, seu modelo de negócio, seus produtos e a sensibilidade dos dados.
Também são exigidos procedimentos e controles a serem adotados para reduzir o nível de exposição das instituições a incidentes. Tais procedimentos devem abranger no mínimo:
- Autenticação;
- Criptografia;
- Prevenção, detecção de intrusão e possíveis vazamentos de informação;
- Realização periódica de testes e varreduras para detecção de vulnerabilidades;
- Proteção contra softwares maliciosos;
- Estabelecimento de mecanismos de rastreabilidade;
- Controles de acesso e de segmentação da rede;
- Manutenção de cópias de segurança dos dados e das informações;
- Desenvolvimento de sistemas seguros.
Gerenciamento de Incidentes
A Resolução, também menciona o processo de gerenciamento de Incidentes, destacando os seguintes controles e requisitos a serem implementados pelas instituições:
- Necessidade de uma área específica para o registro de incidentes e um processo estabelecido onde ocorram a identificação da causa e impacto, bem como a elaboração e acompanhamento dos planos de resposta aos incidentes;
- Elaboração de relatório anual sobre a implementação do plano de ação e de resposta a incidentes, contendo incidentes ocorridos no período e resultado de testes de continuidade, considerando cenários de indisponibilidade;
Este relatório anual precisa ser apresentado e aprovado pelo Conselho de Administração e/ ou a Diretoria.
Contratação de cloud services e processamento/ armazenamento de dados
A Resolução determina que as instituições financeiras que realizarem a contratação de cloud services de armazenamento de dados devem obrigatoriamente adotar procedimentos que contemplem:
- Assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos contemplem a contratação deste tipo de serviço no País ou no exterior;
- Verificar a capacidade da empresa prestadora de serviço (competência, recursos) e aderência as exigências da instituição;
- Acessar e avaliar os relatórios de auditorias recebidas pelo prestador de serviço, bem como monitorar continuamente os serviços prestados;
- Garantir controles físicos e lógicos pela empresa prestadora de serviço, de modo a garantir a proteção dos dados dos clientes da instituição;
- Garantir que a instituição é responsável pela confiabilidade, integridade, disponibilidade em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor; Comunicar previamente ao Banco Central do Brasil, os serviços contratados e os países e regiões, onde os dados serão armazenados;
- Garantir a continuidade mantendo a obrigatoriedade na transferência de dados para um novo prestador de serviço, em casos da rescisão de contratos com prestadores atuais.
A contratação dos serviços prestados no exterior deve observar os seguintes requisitos:
- Existência de convênio entre o Banco Central do Brasil com autoridades dos países. Não havendo convênio, é necessária uma autorização do Banco Central do Brasil;
- Definição de país e região onde os dados serão processados e armazenados;
- Continuidade de negócio caso impossibilidade da prestação de serviço;
- Legislação dos países permitam acesso das instituições e do Banco Central do Brasil;
- Medidas para garantir a segurança da transmissão e armazenamento da informação.
Instituições que já tiverem contratado a prestação de cloud services de processamento, armazenamento de dados devem apresentar ao Banco Central do Brasil, no prazo máximo de 180 dias contados a partir da data de entrada em vigor desta resolução, um cronograma para adequação aos requisitos com o prazo máximo de 31 de dezembro de 2019.
Conclusão
A ação do Banco Central do Brasil em publicar esta norma é consequência de uma movimentação e preocupação global com cyber segurança que se tornou evidente nos últimos anos, por exemplo, em discussões sobre o tema realizadas no World Economic Forum 2018 e após o crescente número de incidentes, ameaças e ataques cada vez mais sofisticados.
Diante deste cenário, cabe as instituições possuir e aprimorar mecanismos de identificação e controles de segurança, de modo a proteger seus ativos de informação.
*Marcos Paulo Freitas é consultor de Segurança da Informação da [SAFEWAY]
Quer fazer um teste rápido?
Quanto você ou sua empresa está compliance com a atual Política de Segurança Cibernética da Resolução BC n° 4658?
Responda abaixo “10 perguntas chaves” e avalie o nível de maturidade atual de uma empresa frente a Resolução BC n° 4658. Click aqui ou no botão e comece o teste.
Sobre a [SAFEWAY]
A [SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:
● Archer da RSA Security, considerada pelos institutos Gartner e Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;
● [SAFEWAY] Security Tower, suportada pelo IBM Qradar (tecnologia Watson), sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.
● E outras, envolvendo tecnologias Imperva, Thales, BeyondTrust, Varonis, WatchGuard Technologies.
Aguardamos seu contato: [email protected]