O avanço veloz da tecnologia transformou também a forma com que negócios são feitos no meio digital, inclusive nas finanças. Acompanhando essas mudanças, vigora desde 26 de abril de 2018 a Resolução 4.658 do Banco Central, estabelecendo a obrigação de uma política de segurança cibernética e requisitos estipulados para a contratação de serviços de armazenamento de dados e processamento em nuvem para instituições financeiras e instituições de pagamento.
Dessa forma, desde grandes centrais de banco até as startups e fintechs precisarão formalizar um programa de segurança para se prevenir contra fraudes e ataques ao banco de dados.
Como o prazo para aderir à Resolução 4.658 está se esgotando, preparamos este blog post com informações importantes. Leia e descubra tudo sobre o documento do BACEN – Banco Central.
Sobre a Resolução 4.658
A Resolução 4.658 aborda questões importantes: serviços em nuvem, prontidão e transparência em caso de incidentes de segurança cibernética, compartilhamento de informações, responsabilização pelo vazamento de informações sensíveis, entre outras.
Primeira normativa oficial voltada à elaboração de uma política de segurança com foco em Tecnologia da Informação (TI) para o setor financeiro, a Resolução 4.658 não afeta só as instituições financeiras como também os prestadores de serviço terceirizados, pois para ofertarem seus serviços à instituição também precisam corresponder às normas.
Um dos novos impactos da implantação da nova lei que protege dados é a criação / nomeação de um novo cargo dentro do setor de TI: o gestor de cibersegurança. Caberá a esse profissional ter responsabilidade sobre o planejamento e a execução da política de segurança da informação digital da empresa.
O documento do BACEN é um facilitador que ajuda as empresas do setor a direcionarem suas decisões estratégicas, táticas e operacionais a esse respeito, tendo como base os principais pilares para a formação de qualquer plano de segurança que, de acordo com a norma, são: a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.
Sendo imprescindível que as instituições financeiras estejam em conformidade com a lei e, levando em conta que as empresas do setor dependem cada vez mais da tecnologia, deixar de se adequar às normas vigentes significa tornar a empresa menos competitiva, perdendo oportunidades e, consequentemente, tendo prejuízos nos resultados.
O primeiro passo para essa conformidade é ter uma política de segurança clara e atualizada, conforme veremos no próximo tópico.
Elaboração da política de segurança
Antes da implantação propriamente dita, é muito importante estruturar um plano de ação para colocar tudo em prática. Assim, fica mais fácil detectar incidentes de segurança e respostas para esses problemas, além de garantir a gestão da continuidade do negócio – nesse contexto, os testes de invasão são muito importantes e você pode saber detalhes lendo o “Guia dos testes de invasão“.
Uma política de segurança eficaz deve ser compatível com a extensão das atividades da instituição. Não existe um formato pré definido para organizar o modelo, mas seguindo orientação da Resolução 4.658 deve ser compatível com o perfil de risco e modelo de negócio e com o porte da organização.
A natureza das operações e complexidade de produtos e serviços oferecidos, bem como o nível de sensibilidade dos dados e das informações sob responsabilidade da instituição também são levados em consideração ao elaborar a política de segurança. Ela deve contemplar:
- Objetivos de segurança cibernética da instituição;
- Procedimentos adotados para reduzir a vulnerabilidade relacionada a acidentes;
- Controles específicos para garantir a segurança das informações sensíveis;
- Registro e análise das causas e impactos de incidentes para as atividades.
Após ser criada, a política de segurança digital necessita de aprovação do Conselho Administrativo ou, se ele não existir, pela Diretoria da instituição financeira até 6 de maio de 2019, mas a data limite de adequação total às diretrizes está fixada em 31 de dezembro de 2021.
Depois da aprovação, a política de segurança cibernética deve ser divulgada para colaboradores, clientes e terceirizados – os detalhes do conhecimento do plano de segurança digital são relativos às funções desempenhadas por cada envolvido.
Adaptando-se à Resolução 4.658
A Resolução nº 4.658 afeta rotinas mais básicas e operacionais chegando às políticas de governança em alto nível, exigindo uma análise completa da organização para conhecer quais aspectos já estão em conformidade com as normas e quais ainda necessitam ser ajustados.
Como já foi dito, o início de maio de 2019, um ano após estar em vigor, é a data limite para aprovação da política, planos e incidentes para instituições financeiras e demais autorizadas – mas o prazo de adequação às diretrizes expira em 31 de dezembro de 2021, somando-se aos requisitos da LGPD, que serão obrigatórios a partir de 2020.
No entanto, deixar para a última hora não é a opção ideal. É importante planejar passo a passo com antecedência, já que um plano de segurança complexo como esse envolve alinhamento com diferentes setores da empresa que fogem ao segmento da TI.
Neste momento de transição é fundamental contar com assessoria especializada para formular a melhor solução para sua empresa e ajudar sua empresa a criar maior maturidade, em termos de proteção e segurança, a partir da otimização de processos e redução de riscos.
Saiba como a IBLISS pode ajudar a aumentar a maturidade digital da sua empresa a partir de um ciclo de diagnóstico, tratamento e melhoramento contínuo dos eventuais problemas encontrados. Aproveite para ler um artigo no qual detalhamos todo o processo da Resolução 4.658 do BACEN.
