Resolução 4.658 do BACEN

Entenda a Resolução 4.658 do BACEN

O avanço da tecnologia nos proporcionou realizar operações bancárias de maneira mais prática. Hoje conseguimos fazer transferências eletrônicas, consultar extratos e até mesmo abrir uma conta corrente, da palma da nossa mão. De acordo com a pesquisa realizada pela Febraban, só o mobile banking, que é a realização de transações financeiras via aplicativos para dispositivos móveis, representou 35% do total de transações realizadas em 2017, 8% a mais que no ano de 2016.

Com o aumento do uso da tecnologia nas rotinas bancárias, a segurança da informação se tornou fundamental, afinal, ninguém vai querer que cibercriminosos tenham acesso a dados bancários e realizem transações financeiras fraudulentas.

O Brasil ocupa ingratas posições no ranking do cibercrime. Nós somos a segunda principal fonte de ataques cibernéticos e o terceiro mais afetado do mundo. E de acordo com o FMI, instituições financeiras são os principais alvos de cibercriminosos. Um ataque bem-sucedido, como um vazamento de dados, pode causar prejuízos bilionários, colocando em risco até mesmo a estabilidade do sistema financeiro.

No Brasil, o Banco Central (BACEN) tem o papel de órgão regulador das instituições financeiras, e uma de suas funções é garantir que o sistema financeiro nacional se mantenha sólido e estável.  Diante desse cenário de crescimento tecnológico e aumento do cibercrime, o BACEN criou a Resolução 4.658, com o objetivo de mitigar os riscos cibernéticos e proteger as instituições financeiras. A Resolução foi aprovada em 26 de abril de 2018 pelo Conselho Monetário Nacional e entrou em vigor imediatamente.

O que é a Resolução 4.658 Banco Central do Brasil?

A Resolução 4.658 determina que as instituições que são reguladas pelo Banco Central desenvolvam uma política de segurança cibernética, um plano de ação de respostas a incidentes, um plano de ação para continuidade de negócios e estipula requisitos para contratação de serviços terceirizados e em nuvem.

A Resolução 4.658 foi criada baseada em padrões internacionais reconhecidos já utilizados por especialistas em cibersegurança, como a família ISO 27000. Além de estar diretamente ligada a respostas de incidentes, a Resolução 4.658 também observa as orientações da ISO 22301, que trata sobre a gestão da continuidade do negócio. O que antes era utilizado como boa prática pelas empresas, com a Resolução passou a ser uma regra.

 A Resolução 4.658 é a primeira normativa que determina elaboração de uma política de segurança com o foco em Tecnologia da Informação, além de tratar a segurança da informação de maneira holística, abordando processos, tecnologia e pessoas. Outro detalhe é que apesar das instituições de pagamento também serem reguladas pelo BACEN, a Resolução 4.658 não se aplica a esse segmento. Nesse caso, foi criada a Circular 3.909, com as mesmas determinações, a fim de regular e garantir a segurança das instituições de pagamento.

Além disso, a Resolução 4.658 não só afeta as instituições financeiras, como também os prestadores de serviços terceirizados, pois para que eles possam fornecer seus serviços para uma instituição, eles também precisam se adequar a alguns requisitos estipulados pela norma. Mas quais são esses requisitos?

Elaboração da política de Cibersegurança

A Resolução 4.658 cita alguns requisitos específicos para a criação da política de cibersegurança, que deve ser compatível com o porte da instituição, complexidade das operações e sensibilidade dos dados que manipula. É necessário que na política contenham processos e diretrizes que assegurem a confidencialidade, integridade e disponibilidade dos dados e sistemas manipulados pelas instituições financeiras.

Brevemente citando, a política de cibersegurança deve contemplar, no mínimo:

  • Objetivos de segurança cibernética da instituição
  • Procedimentos e controles adotados para reduzir a vulnerabilidade à incidentes
  • Controles específicos que garantam a segurança das informações sensíveis
  • Registro e análise das causas e impactos de incidentes para as atividades da instituição.

Também é necessário definir um plano de ação e estabelecer processos e diretrizes para detecção e respostas a incidentes de segurança e, que consiga garantir a gestão da continuidade do negócio. Isso significa que caso ocorra algum incidente de segurança na instituição, ela precisa estar preparada para se manter funcional com o seu plano de ação, diminuindo os impactos negativos ao negócio e seus clientes.

A Resolução 4.658 também especifica os procedimentos e controles tecnológicos a serem utilizados, para reduzir a vulnerabilidade da instituição à incidentes cibernéticos. Para isso, são necessários alguns requisitos mínimos, como:

  • Autenticação
  • Criptografia
  • Prevenção e a detecção de intrusão
  • Prevenção de vazamentos de informações
  • Realização periódica de testes e varreduras para detecção de vulnerabilidades
  • Proteção contra softwares maliciosos
  • Estabelecimento de mecanismos de rastreabilidade
  • Controles de acesso e segmentação da rede de computadores e manutenção de copias de segurança dos dados e das informações.

Esses procedimentos e controles citados devem ser aplicados, inclusive, no desenvolvimento de sistemas de informações e adoção de novas tecnologias empregadas nas atividades da instituição. Portanto, a política de cibersegurança deve abordar a capacidade da instituição para prevenir, detectar e reduzir vulnerabilidades e impactos dos incidentes relacionados ao ambiente cibernético da instituição financeira.

 Além de citar sobre processos e requisitos tecnológicos, a Resolução 4.658 também aborda o fator humano. Portanto, a normativa cita a importância da conscientização, treinamento e avaliação de pessoal dentro da instituição financeira. Por isso, é essencial a implementação de programas de conscientização e avaliação periódica de pessoas, além do comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados à segurança cibernética.

Depois de criada, a política de segurança cibernética precisa ser aprovada pelo Conselho Administrativo ou em sua ausência, pela diretoria da instituição financeira, até o dia 6 de maio de 2019. E, após aprovada, ela deve ser divulgada para os colaboradores, clientes e terceirizados, mas o nível de detalhamento divulgado deve ser de acordo com as funções desempenhadas por quem terá acesso.

Além da criação da política de segurança cibernética, a Resolução 4.658 também especifica requisitos para a contratação de serviços prestados por terceiros, como os serviços de processamento, armazenamento de dados e computação em nuvem.

Serviços de nuvem de acordo com a Resolução 4.658

A Resolução 4.658 não cita restrições quanto a contratação de serviços de nuvem localizados no exterior, desde que a instituição contratante comunique ao BACEN informações sobre a empresa contratada como nome, país de origem e o país em que os dados ficarão armazenados.

A instituição financeira precisa ter livre acesso aos dados e informações armazenadas pelo fornecedor, assim como os fornecedores precisam garantir a confidencialidade, integridade e disponibilidade dos dados. Isto significa dizer que é necessário verificar a capacidade do fornecedor de cumprir todos os requisitos estipulados na Resolução 4.658.

Logo, para todo serviço contratado, a instituição financeira deve considerar a relevância, criticidade do serviço e a sensibilidade dos dados que serão manipulados pelo fornecedor. Quanto mais sensível os dados manipulados, mais cuidado deverá ser tomado.

Segundo a Resolução 4.658, a contratação de qualquer serviço terceirizado e de processamento, armazenamento de dados e de computação em nuvem feito pela instituição financeira deve ser previamente comunicado ao Banco Central com no mínimo, 60 dias de antecedência. Caso o fornecedor não esteja em conformidade com a Resolução 4.658, o Banco Central pode vetar, caso seja necessário, a contratação do serviço pela instituição financeira.

Prazos para adequação à Resolução 4.658

A Resolução 4.658 conta com uma linha do tempo para adequação das instituições financeiras e fornecedores, como observada abaixo:

As informações e documentos relacionados à política devem estar disponíveis ao Banco Central, pelo prazo de 5 anos. O prazo previsto no cronograma para adequação a norma não pode ultrapassar 31 de dezembro de 2021. A Resolução 4.658 não especifica punições caso as instituições financeiras não se enquadrem na norma, porém a resolução passará por constantes atualizações até a data limite da adequação.

Conclusão

As instituições financeiras já realizam investimentos em tecnologia proativamente, buscando levar comodidade e segurança para seus clientes. A Resolução 4.658 veio para regular as instituições financeiras quanto a segurança de seu ambiente digital. Os ataques cibernéticos estão cada vez mais sofisticados, logo a segurança cibernética das instituições que lidam com informações tão sensíveis, como dados pessoais e financeiros, precisa ser tão sofisticada quanto.

A iniciativa do BACEN é um grande avanço no cenário de segurança brasileiro, sendo a primeira Resolução a ser abordada com foco em cibersegurança, exigindo que instituições financeiras cuidem do seu cenário tecnológico com a devida segurança.

A Resolução 4.658 passará por atualizações até sua data limite, porém seu ponto inicial já foi dado e cabe agora as instituições financeiras e seus prestadores de serviços terceirizados se adequarem a norma, a fim de evitar possíveis sanções do BACEN.

Portanto, fica a cargo das empresas se adequarem à norma até sua data limite, sob risco de punições vindas do BACEN. Empresas especializadas em cibersegurança podem auxiliar no processo de elaboração da política de segurança, monitoramento, prevenção e respostas à incidentes, conscientização de pessoas e qualquer outro ponto de adaptação a norma. Entre em contato conosco para que nossos consultores possam auxiliar nessa jornada.

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe um comentário

O seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.