O que fazer quando receber um e-mail Scam

Já se tornou comum recebermos e-mails com notícias boas demais para serem verdadeiras, ou então em um tom tão emergencial que desespera quem está recebendo. Porém, é sempre bom estar atento a esses casos porque muitas vezes podem se tratar de ciberataques. É o caso do Scam, um tipo de e-mail fraudulento em que o objetivo do atacante é enganar a vítima para que ela pague por algum objeto, serviço, compra ou prêmio, que é falso.

Apesar de muito parecido na execução o scam tem objetivos diferentes do phishing.

O phishing é o ato de enviar um e-mail passando-se, de forma falsa, por uma pessoa ou organização legítima que geralmente é combinado com um link falso para obter informações confidenciais da vítima, como detalhes da conta bancária, e-mail de acesso e senha. Já o scam é um e-mail fraudulento que visa enganar a vítima com o propósito de receber ganhos injustos ou ilegais, de diversas formas diferentes.

Em outubro deste ano, observamos um grande aumento de um tipo específico de scam – o scam ransom. Esse tipo de e-mail fraudulento tem como objetivo assustar a vítima para faze-la pagar uma quantia em dinheiro ou, na maior parte das vezes, em bitcoin, que varia entre 300 e 900 dólares em bitcoins.

O Scam Ransom desespera a vítima e faz com que a mesma pague uma quantia em dinheiro ou bitcoin.

Esse aumento está relacionado à falsos vazamentos de acessos à conteúdo adulto, ou seja, vítimas recebiam e-mails alegando que seus acessos foram vazados e no desespero pagavam uma quantia ao cibercriminoso. Nos Estados Unidos, este tipo de scam também é conhecido como sextortion.

Scam ransom

Os scammers, golpistas virtuais que criam e disparam os scams, fazem com que as vítimas acreditem que tiveram seus computadores hackeados e que os computadores estão sob o controle deles, ou seja, tudo o que é feito no computador seria assistido e gravado pelos scammers por aproximadamente um ano. Eles, então, fazem apelos cheios de imediatismo e ameaças e chantageiam as vítimas para que elas paguem uma quantia em troca de seu silêncio.

Para ilustrar esse tipo de ataque, vamos analisar o caso do e-mail scam “I’m a programmer who cracked your email account.” Dessa forma fica mais fácil de reconhecer um e-mail scam.

E-mail ScamNo caso acima podemos notar, já no assunto, que se trata de um e-mail que tem o objetivo de assustar a vítima. A tarja preta foi adicionada para cobrir o e-mail real do destinatário. Sem a tarja preta, o assunto do e-mail ficaria assim: <seu e-mail>  is compromised. Password must be changed.

O e-mail começa com uma apresentação rápida do scammer que se auto intitula programador dizendo que roubou informações de e-mail e senha quando a vítima as colocou em um site malicioso. Logo após, ele informa que não importa se a vítima irá trocar a senha do e-mail porque ele tem um dispositivo chamado RAT instalado no computador da vítima.

O e-mail começa informando que o scammer obteu o e-mail e senha da vítima quando essa as colocou em um site malicioso.

 

Um RAT (Remote Administration Tool ou Remote Access Trojan) é uma ferramenta utilizada por hackers para espionar computadores e usuários. Essa ferramenta conta com outras ferramentas como backdoors, que abrem uma brecha no sistema para que o hacker possa entrar. Uma vez dentro do sistema, o hacker pode utilizar outras ferramentas como keyloggers (captam tudo o que é digitado pelo usuário no teclado), tirar prints de tela, gravar áudios e vídeos, distribuir ameaças, deletar ou alterar arquivos, etc.

Resumidamente o hacker vai ter o controle total do sistema alvo. Essa ferramenta é real e existem diversos tipos, mas isso não quer dizer que só porque foi citada na mensagem, o scammer realmente tenha instalado algo no computador da vítima.

Voltando à análise, o scammer informa que não adianta tentar contata-lo pois enviou o scam através do próprio e-mail a vítima. Se a vítima observar o remetente do e-mail, verá que ela enviou o e-mail para si mesma.

Porém, isso é mais uma técnica para enganar as pessoas. Essa técnica, chamada spoofing, é uma falsificação de e-mail somente na parte em que o e-mail é mostrado na tela. Se formos analisar o cabeçalho do e-mail (informações de tráfego de rede do e-mail), notaremos que o e-mail real de onde partiu o scam estará diferente ou estará como desconhecido. Falsificar um e-mail com essa técnica é algo muito utilizado por e-mails com os quais já estamos familiarizados, os spams.

O scammer então informa a vítima que o sistema dela está comprometido e que salvou informações de todos os contatos dela e ao histórico de navegação. Novamente, ele informa que tem um RAT no sistema para espionar vítima.

Até então, a mensagem está bem genérica e poderia ter sido enviada para qualquer pessoa até que o scammer informa que “costuma bloquear dispositivos para pedir resgate regularmente com diversas vítimas, porém ficou impressionado com os sites de conteúdo adulto/íntimo que a vítima costuma visitar”.

A partir deste momento, ele parte para uma abordagem mais pessoal, continua informando que gravou ou tirou prints da vítima acessando os tais sites e faz ameaças sobre como seria constrangedor que isso fosse espalhado pela rede de amigos da vítima.

Após as ameaças, o scammer informa que o pagamento deverá ser feito em bitcoin, dá o endereço da carteira e ensina a vítima a fazer o pagamento e, assim como toda chantagem, promete que após o pagamento todo o conteúdo vazado da vítima será deletado. O scammer aumenta o tom das ameaças, fazendo com que soe urgentes. Ele ainda estipula prazos e informa que continua observando a vítima e pede para que ela seja prudente e pague o resgate.

Como identificar um scam:

Mesmo tornando a abordagem mais pessoal, como se aquela vítima específica tivesse lhe chamado a atenção pelo conteúdo visitado, ele não se refere a vítima pelo nome em nenhum momento e sequer utiliza o mesmo nome do e-mail que teria sido hackeado.

A grande maioria das pessoas que acessam sites de conteúdo adulto não querem que sua rede de amigos saiba de seus acessos então, mesmo que pareça que o cibercriminoso esteja sabendo dos acessos da vítima, é na verdade uma chantagem baseada na presunção que a vítima não vai querer ter esse tipo de dado exposto.

O tom ameaçador e alarmista nos lembra outros tipos de e-mails maliciosos como os de phishing, que também utiliza desse tom para que as pessoas acessem rapidamente o link malicioso sem se dar o tempo de pensar no que está acessando ou de pesquisar.

Além desses pontos, que já indicam que esse tipo de e-mail foi disparado de forma massiva e não específica, com uma rápida pesquisa no Google da primeira frase “I’m a programmer who cracked your email account” é possível identificar diversos relatos de pessoas que receberam esse e-mail e também a carteira de bitcoin a que o cibercriminoso se refere, porém, existem diversas carteiras sendo utilizadas por esse mesmo tipo de golpe.

carteira de bitcoin scamAtualmente, a carteira desse ataque em específico já continha mais de 1 bitcoin em pagamento e esses pagamentos estavam sendo transferidos para outra carteira que já continha mais de 5 bitcoins. Essas transferências podem ocorrer de forma quase infindável com o objetivo de camuflagem.

Isso significa que esse tipo de fraude está sendo efetiva em seu objetivo e as pessoas estão realmente assustadas e pagando o preço.

Alguns desses e-mails scams estão circulando pela web desde o início de 2018 e alguns desde o final de 2017. Alguns exemplos deles são:

“I’m a programmer who cracked your email account”

“It seems that your password is”

”Hello! My nickname in darknet is”

”Installed RAT software”

É importante citar que, muitos e-mails de scammers estão apresentando além do e-mail possivelmente hackeado, uma senha válida utilizada pela vítima. Podemos observar isso no exemplo a seguir:

username scammer

No entanto, que meios os scammers utilizam para descobrirem seu e-mail e senha?

Como os scammers descobriram seu e-mail e sua senha

Muitos sites e empresas não tratam os dados de seus clientes da forma como deveriam, isso até ter entrado em vigor a norma europeia (GDPR) e a brasileira LGPD, que servem para regulamentar e proteger dados pessoais dos cidadãos. Com a falta de regulamentação sobre dados foi dado margem para diversas violações de dados acontecessem.

Recentemente, diversos vazamento de dados de clientes de grandes empresas foram publicados na imprensa. São os casos da NetShoes, onde 2 milhões de consumidores foram afetados pelo vazamento, da Yahoo, que sofreu um vazamento de 3 bilhões de contas, e o mais recente do Facebook, que teve 87 milhões de informações vazadas, dentre outros tantos.

Os scammers tiveram acesso a esses dados vazados na deep web – uma rede que não é indexada pelos mecanismos de buscas e é comumente utilizada para atividades ilegais. Em algum vazamento de dados, podem ter vazado não somente os e-mails de clientes também as senhas que eles utilizavam para acessar os sites, portanto, os scammers acabam tendo acesso a esse tipo de informação.

Com essas informações em mãos, os scammers criaram esses e-mails fraudulentos com o objetivo de realizar golpes para obter lucro. Como muitas pessoas mantem a mesma senha para diversos serviços e aplicações e não costumam atualizar ou modificar a senha periódicamente, mesmo que o scammer não tivesse sequer tentando realmente hackear o e-mail, as pessoas acreditariam que haviam sido hackeadas.

Como se proteger desse golpe?

Agora que sabemos como se configura e o que fazer quando receber um e-mail scam, como nos protegemos desse tipo de ataque?

1. Mude suas senhas periodicamente;

2. Nunca utilize a mesma senha em sites, sistemas operacionais, aplicações e bancos;

3. Não reutilize uma senha antiga;

4. Utilize senhas fortes – mínimo de 8 caracteres com algarismos numéricos, letras maiúsculas e minúsculas, símbolos.

5. Utilize o fator de autenticação dupla, se possível;

6. Não abra e-mails que foram parar na lixeira a menos que você saiba exatamente do que se trata ou esteja esperando aquele e-mail. A chance de ser um e-mail malicioso é realmente grande.

7. Pesquise se sua conta foi vazada através desse site. Você pode verificar se sua conta já sofreu alguma brecha e poderá mudar imediatamente os acessos das contas vazadas.

8. Se alguma informação sua foi vazada anteriormente, como e-mail, religião, nome dos filhos, etc, fique atento pois isso poderá ser utilizado contra você futuramente.

Com o vazamento de informações de clientes de grandes empresas, o ambiente fica muito mais propício para que ataques de e-mail scam aconteçam. Observando o prejuízo que esses ataques podem acarretar fica fácil entender o porquê é importante saber como identificar e o que fazer quando receber um e-mail scam.

É essencial não ficar alardeado por mensagem desse tipo, verificar de onde o e-mail realmente está vindo e ficar atento para possíveis fraudes. Verifique se a técnica de spoofing está sendo utilizado, pesquise para saber se outras pessoas já sofreram esse ataque.

Afinal, assim como nem tudo que brilha é ouro, nem todo alarde representa uma ameaça.

CAPEX e OPEX: como otimizar os investimentos da área de TI?

Os gerentes de Tecnologia da Informação constantemente se deparam com equipamentos que não mais atendem as funções a serem exercidas ou então até mesmo obsoletos, que por consequência acabam comprometendo a operação e impactando negativamente na qualidade do serviço dos profissionais da área de TI. Não precisa nem ser gerente, você como profissional da área, com certeza já se deparou com essa situação. Através da leitura desse blogpost, você vai descobrir como otimizar os investimentos em equipamentos da área de TI sem comprometer a qualidade do serviço entendendo sobre dois modelos de investimento presentes nas organizações, o CAPEX e o OPEX.

O que seria CAPEX e OPEX?

Capex e Opex são investimentos em forma de aquisição ou contratação de um produto ou serviço. No modelo CAPEX, sigla que em inglês significa capital expenditure, os investimentos são feitos na forma de aquisição de bens para a empresa.  Dentre eles, estão os gastos para aquisição de:

  • Imóveis
  • Equipamentos
  • Mobiliários
  • Software
  • Hardware

Já o modelo OPEX, que em inglês significa operational expenditure, diz respeito aos investimentos em alocação de serviços, como:

  • Contrato de aluguel
  • Manutenção de equipamentos
  • Gasto de consumíveis
  • Contratação de cloud
  • SaaS

Após ter o conhecimento sobre a definição dos investimentos CAPEX e OPEX, prepare-se para descobrir como aumentar a produtividade dos seus colaboradores e não estar mais refém da obsolescência programada através de uma nova tendência. Reinaldo Sakis, gerente de Pesquisa e Consultoria de Consumer Devices da IDC, nos revela essa tendência:

“Houve um avanço da terceira plataforma. E este entendimento nos leva a crer que existe espaço para a migração do modelo de Capex para Opex, que também auxilia e direciona o mercado para um mundo como serviço”.

A migração do modelo CAPEX para o OPEX ocorre por quê?

Para explicar essa questão, utilizaremos como exemplo do modelo Capex a seguinte situação que foi citada no início do blog post:

Imagine que você, como profissional da área de TI tenha que solucionar o problema dos equipamentos obsoletos. Para isso, terá que substituí-los investindo em outros equipamentos que estejam atualizados tecnologicamente. Ao possuir um novo equipamento, a área de TI entrará num ciclo vicioso.

Investimento Capex

Cerca de 5 anos depois da aquisição, reiniciará o ciclo na tentativa de substituir o equipamento obsoleto, o que não é aconselhável se pensarmos a longo prazo. Porque além de desembolsar capital para realizar um investimento CAPEX nessa aquisição, gastará tempo dos colaboradores com o treinamento para a utilização devida dos novos equipamentos.

A empresa  pode até não trocar sempre os equipamentos, mas, com o tempo, os produtos tecnológicos acabarão entrando no processo de obsolescência programada, prejudicando ainda mais a produtividade dos colaboradores e obrigando a investir capital na troca de equipamentos para não comprometer a qualidade do serviço.

Consequências de utilizar um equipamento obsoleto na área de TI:

Ao utilizar um equipamento obsoleto, uma organização pode sofrer as seguintes consequências:

  • Atrasos nas entregas da equipe devido a falhas na tecnologia
  • Diminuição da produtividade
  • Gastos extras com técnicos para manutenção
  • Queda na qualidade do serviço prestado
  • A não realização de um patch, podendo deixar o computador vulnerável a ataques, prejudicando o usuário e a organização em termos de segurança da informação

Portanto, no modelo CAPEX, além da obsolescência programada e as consequências disso para a organização, temos que ficar atentos a questão financeira, porque o investimento é alto em termos de capital e a empresa precisa se descapitalizar para adquirir o equipamento, o que pode não ser saudável, dependendo do tamanho da empresa e da disponibilidade de caixa.  Só empresas com muito capital disponível no caixa conseguem fazer esse investimento sem ter impactos que prejudiquem as operações do financeiro da empresa.

De acordo com a nova tendência descrita anteriormente pelo Reinaldo Sakis, o avanço da terceira plataforma direciona o mercado de TI para a migração do CAPEX para o OPEX. Desta forma, no modelo OPEX, o investimento em bens ou serviços são feitos em parcelas e a empresa não tem que se descapitalizar para contratá-los.

Sendo assim, a migração do modelo CAPEX para o OPEX ocorre porque ao mudar a forma como a organização investe em  infraestrutura tecnológica, o gestor de TI pode usar o orçamento que gastaria com a aquisição do equipamento para outros fins dentro da empresa, otimizando os recursos da área de TI. Já que a locação é bem mais em conta para o caixa da empresa do que a aquisição.

É importante ressaltar que  as empresas devem ter um equilíbrio, sabendo gerenciar direcionando os dois modelos de  investimento de acordo com o que é essencial para a empresa e seu modelo de negócios em termos de aquisição e locação de bens.

Atualmente, de acordo com o Carlos Faria, CEO da Routerlink (empresa de soluções em TI):

O reparo/locação resulta em uma economia de recursos que chega a 75%”.

Para chegar a essa conclusão, a Routerlink migrou a forma de investir em seus equipamentos de infraestrutura da seguinte maneira:

Ao invés  de adquirir um equipamento novo, no ano de 2017, a Routerlink fez o reparo anual de cerca de 2 mil equipamentos, resultando numa economia de 95% em seus investimentos. Isso quer dizer que a empresa teve um ganho de MTBF (Mean Time Between Failures), que significa que o período médio entre falhas é maior do que 5 anos.

Dessa maneira, ao longo do blog post podemos perceber que o mercado de TI caminha cada vez menos para aquisição de produtos (CAPEX) e cada vez mais para a locação de serviços (OPEX).

Investimento Opex

Vantagens na locação de serviços na área de TI:

Otimizar recursos através do modelo OPEX traz para a área de TI vantagens financeiras e tecnológicas tendo a web como o elemento central dessa mudança de modelo de investimento. Além de dos benefícios como o aumento da agilidade dos colaboradores em exercerem suas funções, a segurança de estar atualizado e é claro, a otimização dos recursos, a locação de serviços via web concentra as seguintes megatendências tecnológicas:

  • Redundância de servidor
  • Contratação de cloud
  • Mobilidade
  • Outsourcing
  • Não ter mais a necessidade de contratar mão de obra especializada (in house) em uma tecnologia específica, o que mobilizaria outros departamentos, impostos e gestão de pessoas.
  • Ter atualizações constantes sem desembolsar capital, gerando uma maior facilidade de adaptação
  • Custo marginal zero

Quer saber mais sobre as tendências da web que acompanham a migração do modelo CAPEX para o OPEX? Fiquem ligados nos próximos posts do nosso blog.

Resolução 4.658 do BACEN

Entenda a Resolução 4.658 do BACEN

O avanço da tecnologia nos proporcionou realizar operações bancárias de maneira mais prática. Hoje conseguimos fazer transferências eletrônicas, consultar extratos e até mesmo abrir uma conta corrente, da palma da nossa mão. De acordo com a pesquisa realizada pela Febraban, só o mobile banking, que é a realização de transações financeiras via aplicativos para dispositivos móveis, representou 35% do total de transações realizadas em 2017, 8% a mais que no ano de 2016.

Com o aumento do uso da tecnologia nas rotinas bancárias, a segurança da informação se tornou fundamental, afinal, ninguém vai querer que cibercriminosos tenham acesso a dados bancários e realizem transações financeiras fraudulentas.

O Brasil ocupa ingratas posições no ranking do cibercrime. Nós somos a segunda principal fonte de ataques cibernéticos e o terceiro mais afetado do mundo. E de acordo com o FMI, instituições financeiras são os principais alvos de cibercriminosos. Um ataque bem-sucedido, como um vazamento de dados, pode causar prejuízos bilionários, colocando em risco até mesmo a estabilidade do sistema financeiro.

No Brasil, o Banco Central (BACEN) tem o papel de órgão regulador das instituições financeiras, e uma de suas funções é garantir que o sistema financeiro nacional se mantenha sólido e estável.  Diante desse cenário de crescimento tecnológico e aumento do cibercrime, o BACEN criou a Resolução 4.658, com o objetivo de mitigar os riscos cibernéticos e proteger as instituições financeiras. A Resolução foi aprovada em 26 de abril de 2018 pelo Conselho Monetário Nacional e entrou em vigor imediatamente.

O que é a Resolução 4.658 Banco Central do Brasil?

A Resolução 4.658 determina que as instituições que são reguladas pelo Banco Central desenvolvam uma política de segurança cibernética, um plano de ação de respostas a incidentes, um plano de ação para continuidade de negócios e estipula requisitos para contratação de serviços terceirizados e em nuvem.

A Resolução 4.658 foi criada baseada em padrões internacionais reconhecidos já utilizados por especialistas em cibersegurança, como a família ISO 27000. Além de estar diretamente ligada a respostas de incidentes, a Resolução 4.658 também observa as orientações da ISO 22301, que trata sobre a gestão da continuidade do negócio. O que antes era utilizado como boa prática pelas empresas, com a Resolução passou a ser uma regra.

 A Resolução 4.658 é a primeira normativa que determina elaboração de uma política de segurança com o foco em Tecnologia da Informação, além de tratar a segurança da informação de maneira holística, abordando processos, tecnologia e pessoas. Outro detalhe é que apesar das instituições de pagamento também serem reguladas pelo BACEN, a Resolução 4.658 não se aplica a esse segmento. Nesse caso, foi criada a Circular 3.909, com as mesmas determinações, a fim de regular e garantir a segurança das instituições de pagamento.

Além disso, a Resolução 4.658 não só afeta as instituições financeiras, como também os prestadores de serviços terceirizados, pois para que eles possam fornecer seus serviços para uma instituição, eles também precisam se adequar a alguns requisitos estipulados pela norma. Mas quais são esses requisitos?

Elaboração da política de Cibersegurança

A Resolução 4.658 cita alguns requisitos específicos para a criação da política de cibersegurança, que deve ser compatível com o porte da instituição, complexidade das operações e sensibilidade dos dados que manipula. É necessário que na política contenham processos e diretrizes que assegurem a confidencialidade, integridade e disponibilidade dos dados e sistemas manipulados pelas instituições financeiras.

Brevemente citando, a política de cibersegurança deve contemplar, no mínimo:

  • Objetivos de segurança cibernética da instituição
  • Procedimentos e controles adotados para reduzir a vulnerabilidade à incidentes
  • Controles específicos que garantam a segurança das informações sensíveis
  • Registro e análise das causas e impactos de incidentes para as atividades da instituição.

Também é necessário definir um plano de ação e estabelecer processos e diretrizes para detecção e respostas a incidentes de segurança e, que consiga garantir a gestão da continuidade do negócio. Isso significa que caso ocorra algum incidente de segurança na instituição, ela precisa estar preparada para se manter funcional com o seu plano de ação, diminuindo os impactos negativos ao negócio e seus clientes.

A Resolução 4.658 também especifica os procedimentos e controles tecnológicos a serem utilizados, para reduzir a vulnerabilidade da instituição à incidentes cibernéticos. Para isso, são necessários alguns requisitos mínimos, como:

  • Autenticação
  • Criptografia
  • Prevenção e a detecção de intrusão
  • Prevenção de vazamentos de informações
  • Realização periódica de testes e varreduras para detecção de vulnerabilidades
  • Proteção contra softwares maliciosos
  • Estabelecimento de mecanismos de rastreabilidade
  • Controles de acesso e segmentação da rede de computadores e manutenção de copias de segurança dos dados e das informações.

Esses procedimentos e controles citados devem ser aplicados, inclusive, no desenvolvimento de sistemas de informações e adoção de novas tecnologias empregadas nas atividades da instituição. Portanto, a política de cibersegurança deve abordar a capacidade da instituição para prevenir, detectar e reduzir vulnerabilidades e impactos dos incidentes relacionados ao ambiente cibernético da instituição financeira.

 Além de citar sobre processos e requisitos tecnológicos, a Resolução 4.658 também aborda o fator humano. Portanto, a normativa cita a importância da conscientização, treinamento e avaliação de pessoal dentro da instituição financeira. Por isso, é essencial a implementação de programas de conscientização e avaliação periódica de pessoas, além do comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados à segurança cibernética.

Depois de criada, a política de segurança cibernética precisa ser aprovada pelo Conselho Administrativo ou em sua ausência, pela diretoria da instituição financeira, até o dia 6 de maio de 2019. E, após aprovada, ela deve ser divulgada para os colaboradores, clientes e terceirizados, mas o nível de detalhamento divulgado deve ser de acordo com as funções desempenhadas por quem terá acesso.

Além da criação da política de segurança cibernética, a Resolução 4.658 também especifica requisitos para a contratação de serviços prestados por terceiros, como os serviços de processamento, armazenamento de dados e computação em nuvem.

Serviços de nuvem de acordo com a Resolução 4.658

A Resolução 4.658 não cita restrições quanto a contratação de serviços de nuvem localizados no exterior, desde que a instituição contratante comunique ao BACEN informações sobre a empresa contratada como nome, país de origem e o país em que os dados ficarão armazenados.

A instituição financeira precisa ter livre acesso aos dados e informações armazenadas pelo fornecedor, assim como os fornecedores precisam garantir a confidencialidade, integridade e disponibilidade dos dados. Isto significa dizer que é necessário verificar a capacidade do fornecedor de cumprir todos os requisitos estipulados na Resolução 4.658.

Logo, para todo serviço contratado, a instituição financeira deve considerar a relevância, criticidade do serviço e a sensibilidade dos dados que serão manipulados pelo fornecedor. Quanto mais sensível os dados manipulados, mais cuidado deverá ser tomado.

Segundo a Resolução 4.658, a contratação de qualquer serviço terceirizado e de processamento, armazenamento de dados e de computação em nuvem feito pela instituição financeira deve ser previamente comunicado ao Banco Central com no mínimo, 60 dias de antecedência. Caso o fornecedor não esteja em conformidade com a Resolução 4.658, o Banco Central pode vetar, caso seja necessário, a contratação do serviço pela instituição financeira.

Prazos para adequação à Resolução 4.658

A Resolução 4.658 conta com uma linha do tempo para adequação das instituições financeiras e fornecedores, como observada abaixo:

As informações e documentos relacionados à política devem estar disponíveis ao Banco Central, pelo prazo de 5 anos. O prazo previsto no cronograma para adequação a norma não pode ultrapassar 31 de dezembro de 2021. A Resolução 4.658 não especifica punições caso as instituições financeiras não se enquadrem na norma, porém a resolução passará por constantes atualizações até a data limite da adequação.

Conclusão

As instituições financeiras já realizam investimentos em tecnologia proativamente, buscando levar comodidade e segurança para seus clientes. A Resolução 4.658 veio para regular as instituições financeiras quanto a segurança de seu ambiente digital. Os ataques cibernéticos estão cada vez mais sofisticados, logo a segurança cibernética das instituições que lidam com informações tão sensíveis, como dados pessoais e financeiros, precisa ser tão sofisticada quanto.

A iniciativa do BACEN é um grande avanço no cenário de segurança brasileiro, sendo a primeira Resolução a ser abordada com foco em cibersegurança, exigindo que instituições financeiras cuidem do seu cenário tecnológico com a devida segurança.

A Resolução 4.658 passará por atualizações até sua data limite, porém seu ponto inicial já foi dado e cabe agora as instituições financeiras e seus prestadores de serviços terceirizados se adequarem a norma, a fim de evitar possíveis sanções do BACEN.

Portanto, fica a cargo das empresas se adequarem à norma até sua data limite, sob risco de punições vindas do BACEN. Empresas especializadas em cibersegurança podem auxiliar no processo de elaboração da política de segurança, monitoramento, prevenção e respostas à incidentes, conscientização de pessoas e qualquer outro ponto de adaptação a norma. Entre em contato conosco para que nossos consultores possam auxiliar nessa jornada.

Como funciona a LGPD

Como funciona a LGPD?

O perigo das Fake News

Segurança da informação nas empresas: as diferenças entre educar, treinar e conscientizar