Preparando-se para os requisitos do BACEN 4.658

Desde a data de 26/04/2018, o Banco Central do Brasil (BACEN) traz sua regulamentação quanto aos requisitos exigidos para ambientes de tecnologia contra os ataques cibernéticos, dispondo assim sobre a política de segurança e sobre as premissas para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem considerados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

De acordo com a regulação descrita, as instituições deverão apresentar suas políticas de cibersegurança, proteção a dados e resposta a incidentes, bem como definir um diretor responsável por seu cumprimento. “As instituições que não constituírem política de segurança cibernética própria devem formalizar a opção por essa faculdade em reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição”, consta no terceiro inciso do artigo 2º.

Os riscos potenciais inseridos nessa resolução estariam incluídos na visão geral de risco operacional mediante a Resolução Nº 4.557, todavia conforme a gravidade das ameaças críticas da segurança cibernética e do processamento e armazenamento de dados em “nuvem” o BACEN se posicionou por uma resolução específica.

Exigindo ainda, a construção de cenários de incidentes a serem levados em consideração na continuidade de negócios. Tais obrigações são ampliadas aos prestadores de serviços que manipulam dados ou informações sensíveis ou relevantes para a condução das atividades operacionais da instituição financeira.

Os procedimentos e os controles devem abranger, no mínimo, a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra software malicioso, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações”, detalha o artigo 3º da resolução.

Resumidamente o Art. 3º que traz sobre o que a política de segurança cibernética deve contemplar, no mínimo:

I – os objetivos de segurança cibernética da instituição;

II – os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;

III – os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;

IV – o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;

Existem outros mais incisos no documento oficial como um todo que podem ser consultados.

Os controles de segurança da informação que constam na resolução do BACEN- 4658:2018, seguem toda uma normativa de melhores práticas em termos operacionais, de auditoria, compliance, risco e segurança cibernética, considerando referências como os padrões ISO. Em que podemos destacar os que estão diretamente conectados com os controles da resolução do Banco Central, que seriam:

• Norma NBR ISO 22301:2013 – Segurança da sociedade – Sistemas de Gestão de continuidade de negócio – Requisitos.
• Norma NBR ISO/IEC 27001:2013 – Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos.
• Norma NBR ISO/IEC 27002:2013 – Tecnologia da Informação – Técnicas de segurança – Código de prática para controles de segurança da informação.
• Norma NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação.
• Norma NBR ISO/IEC 27014:2013 – Tecnologia da Informação – Técnicas de segurança – Governança de segurança da informação.
• Norma NBR ISO/IEC 27017:2016 – Tecnologia da Informação – Técnicas de segurança – Código de prática para controles de segurança da informação para serviços em nuvem.

Com destaque sobretudo nas ISOs 27001 / 27002, de maneira que esta resolução considerou as orientações dessas e outras normativas, porém para algumas delas concretizou em controles bem específicos. Exemplo: “…tem que ser aprovado pelo Conselho de Administração, e na falta dele pela Diretoria da Instituição. ”

Ou seja, uma preparação com o devido planejamento para se reestruturar e organizar processos, espaço físico, ferramentas tecnológicas, capacitações, devem ser levadas em consideração para conseguir atender os requisitos.

Abaixo um esquema do que seria uma visão geral daquilo que poderia ser gerado como insumos a todo esse processo de preparação dos requisitos exigidos conforme os controles, o que vai se deparar de forma resumida e o que poderia sair como resultado.

A resolução define prazos para seu pleno estabelecimento, conforme o tipo da instituição. O primeiro prazo requer uma atenção especial das instituições para análise do ambiente atual e definição do plano de ação para atendimento aos requisitos em seus devidos prazos:

Sem dúvida, o primeiro passo é trabalhar com pessoas e processos para depois investir em ferramental. Todo um plano de divulgação da Política de Segurança Cibernética, utilizando-se de uma linguagem clara, acessível e com detalhamento compatível com as funções e sensibilidade das informações fará toda uma diferença para conseguir maior envolvimento e engajamento de todos da empresa. É algo extremamente cultural que deve ser iniciado com atitudes, divulgações, ações teóricas e práticas.  A empresa em si deverá assim desenvolver cartilhas, promover a capacitação e avaliação periódica de colaboradores através de um programa de conscientização, além de contemplar o aculturamento do cliente, por meio de dicas e alertas. Contando também com o apoio de seus parceiros de negócio.

Estabelecer esta maturidade, claro que não é da noite para o dia, mas se deve ao menos iniciar.