Regras do Bacen para contratação de serviços e armazenamento de dados na nuvem terão de compor o planeamento de empresas financeiras e apresentado até final de 2021.

A evolução frenética do digital em todo o mundo, aguçou ainda mais o apetite dos cibercriminosos, não somente intensificando o volume de ataques, mas especialmente os tornando a cada dia mais sofisticados e profissionalizados, desafiando a proteção de dados de empresas atuantes nos mais variados setores da economia.

Atento a essa evolução criminosa, o Banco Central do Brasil (Bacen), tomou medidas para frear a onda devastadora de incidentes que assolou o mercado, por meio da Resolução 4654:2018, oficializada em 26 de abril de 2018. Assim, as instituições financeiras que atuam no País terão de apresentar ao Banco Central suas políticas para segurança cibernética até dezembro de 2021.

Aprovada pelo Conselho Monetário Nacional (CMN), a Resolução estabelece que as instituições financeiras serão obrigadas também a implementar requisitos para a contratação de serviços de processamento e armazenamento de dados em nuvem, em território brasileiro ou não. Além disso, impõe a adoção, de “plano de ação”, capaz de prevenir crimes cibernéticos.

A Política de Segurança da Informação não é novidade para nenhuma companhia, porém a Resolução traz requisitos que ajudam a fortalecer a necessidade da construção de uma política robusta e consistente, levando em consideração o perfil de risco ao negócio, porte da instituição e todas suas complexidades.

A partir dessa resolução, as instituições financeiras e demais organizações autorizadas a funcionar pelo Bacen passaram a utilizar provedores de nuvem pública no Brasil e no exterior. Contudo, para isso, elas devem implementar e manter suas políticas de segurança cibernética apoiadas em planejamento regido pelos princípios e diretrizes do Bacen.

De acordo com o diretor do Bacen Otávio Damaso, em entrevista à TV Globo, controles específicos sobre segurança cibernética passarão a ser exigidos, “entre eles a organização de um plano de política cibernética, o tratamento de incidentes e uma definição de como a instituição deve se comportar diante desses eventuais incidentes. A instituição também deve definir um diretor responsável por isso”.

Requisitos que merecem atenção:

• A definição de um Conselho Administrativo ou nomeação de um Diretor responsável por garantir a devida aprovação da Política de Segurança Cibernética, seu alinhamento pela companhia e garantia de execução do Plano de Ação de Respostas a Incidentes. A necessidade de ter a Alta Administração envolvida no processo de condução da Segurança Cibernética.
• Formalização do Plano de Resposta a Incidentes, definição dos critérios para Classificação da Informação e implantação de planos de capacitação em segurança da informação, conscientização tanto para colaboradores quanto para seus clientes.
• Contemplação dos objetivos de segurança, procedimentos e controles adotados para redução de vulnerabilidades, definição de rastreabilidade, controles especiais para informações sensíveis, proteção contra softwares maliciosos, proteção para o processo de gestão de acessos, segmentação de redes, autenticação e criptografia.
• Definição de Políticas de Segurança para terceiros e prestadores de serviço que são relevantes para a condução das atividades operacionais da instituição.
• Iniciativas para formalização do processo de compartilhamento de informações entre instituições relacionadas a incidentes.
• Estabelecimento do Processo de Respostas a Incidentes, contemplando a declaração dos responsáveis pela Gestão da Resposta a Incidentes e as ações a serem desenvolvidas para definição de rotinas, processos, controles e tecnologias a serem utilizadas.
• Elaboração de um relatório anual sobre a implementação de planos de ação, histórico de incidentes, controle da efetividade do plano de ações, resumo dos resultados obtidos e resultado do teste de continuidade de negócios. Esse relatório deve ser submetido ao Comitê de Riscos ou Conselho Administrativo.

Para a Contratação de Serviços de processamento e armazenamento na nuvem, as instituições devem garantir o atendimento às suas políticas, regulamentações e estruturas para gerenciamento de riscos. Aqui também existem itens importantes como:

• Atendimento às legislações e regulamentações declaradas pelas Instituições.
• Fornecimento de documentos que comprovem tais conformidades como certificações, relatórios de conformidade, documentos de garantia de capacidade e relatórios de conformidade emitidos por entidades de auditorias externas especializadas e independentes.
• Garantia de acesso às instituições aos seus dados.
• Prover recursos de gestão para monitoração dos serviços a serem prestados.
• Identificação e segregação dos dados de clientes da instituição por meio de controles lógicos ou físicos.
• Qualidade do controle de acesso voltado à proteção de dados.
• Para o uso de aplicativos de internet, o provedor poderá utilizar empresas terceiras, desde que garanta a devida conformidade com controles mínimos de mitigação de vulnerabilidades, atualizações e lançamento de novas versões.
• A instituição deve comunicar ao Bacen a contratação de serviços em nuvem, informando a denominação da empresa, serviços relevantes e indicação dos países e regiões onde o serviço será prestado com, no mínimo, 60 dias de antecedência.
• Todas as alterações contratuais relevantes devem ser comunicadas ao Bacen.
• As instituições devem garantir que serviços contratados no exterior, o provedor tenha convênio com autoridades supervisoras, de forma a garantir que os serviços não causem prejuízos ao seu funcionamento e nem embaraços à atuação do Bacen.
• O provedor deve prevenir o vendor lock-out, ou seja, a instituição deve prever alternativas para continuidade do negócio em casos de impossibilidade de manutenção ou extinção do contrato.
• O Bacen deverá ter acesso aos contratos e aos acordos firmados para prestação de serviços, documentações e contratos referentes aos serviços prestados, aos dados armazenados e às informações sobre seu processamento, as cópias de segurança de dados, bem como aos códigos de acesso aos dados e às informações.
• Documentos como políticas de segurança da informação, atas de reunião do conselho, documentos do plano de ação a respostas a incidentes, relatório anual, documentação sobre procedimentos, documentação sobre os serviços prestados, os contratos e dados de controle, iniciados a partir da data de extinção devem ser mantidos por cinco anos.

Existe grande preocupação global em relação à cibersegurança, razão pela qual o tema é fortemente debatido em fóruns internacionais e a movimentação das instituições e corporações para fortalecimento da proteção é evidente devido ao alto nível de sofisticação dos ataques e constantes notícias sobre vazamento de dados divulgadas nos últimos anos.

Leis como GDPR, a brasileira LGPD e agora a Resolução Bacen 4654 são de extrema importância para a evolução da Segurança Cibernética, considerando ainda o avanço do uso da nuvem em estratégias de instituições financeiras e a capacidade de compartilhamento de dados mais dinâmico.

Artigo elaborado por Evandi Manoel, especialista em segurança da informação.