Regulamentação da Segurança Cibernética e dos Serviços de Nuvem no Setor Financeiro

A Resolução BACEN, 4658, datada em abril de 2018 “Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e  armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.”

Seus tópicos abordam as ações que as instituições financeiras devem tomar para a criação / manutenção de política de segurança cibernética que garantam a segurança dos sistemas de informação usados por elas.

Temas associados à linha de treinamento da Ventura Academy são abordados por esta resolução (ex: análise de vulnerabilidades, incidentes de segurança contemplados em testes de continuidade de negócios, classificação da informação, promoção de campanhas de conscientização e extensão disto para prestadores de serviços em nuvem).

Há uma seção da política que descreve, especialmente, como deve ser criado e mantido um plano de ação de resposta a incidentes, com as áreas envolvidas, controles de efeitos, apresentação de relatórios a comitês seniores da empresa e adequação de estrutura organizacional e operacional, a fim de não haver conflitos de interesse (a resposta ao incidente cibernético deve ser processual e não pode sofrer interferências por conta da estrutura organizacional a qual o diretor responsável está vinculado).

Outro assunto interessante que a resolução aborda e a prestação de serviços de processamento, armazenamento de dados e computação em nuvem. O capítulo fala de governança corporativa e gestão associada a exposição dos riscos associados a esta prestação de serviço, inclusive define temas de legislação associada a países e regiões de cada país onde a informação poderá ser armazenada, processada ou gerenciada. Temas sobre falhas de segurança por conta de novas versões de software também estão listados neste mesmo capítulo.

A Ventura Academy, com a moderação de nosso professor Alexandre Medea, recebeu com orgulho os palestrantes Carlos Alberto Iglesia Bernardo e Rafael Batista para a apresentação dos capítulos desta resolução. Veja abaixo um breve descritivo sobre os 05 capítulos que foram discutidos pelos palestrantes:

Capítulo 1 – A resolução se aplica às instituições autorizadas a funcionar pelo Banco Central do Brasil.

Capítulo 2 – Como se implementa e divulga uma política de segurança cibernética nas IF´s, com adequação ao porte e ao perfil de risco de cada uma. Destaca-se a importância de um plano de resposta a incidentes adequado e a nomeação de um diretor responsável.

Capítulo 3 – Descrição dos requisitos para a contratação de serviços de processamento e armazenamento de dados na nuvem, com destaque a territorialidade de hospedagem de informações e o acesso a ela por terceiros.

Capítulo 4 – Disposições gerais sobre Gestão de risco e continuidade dos negócios.

Capítulo 5 – Exigência do BACEN sobre a aplicação dos itens da resolução e guarda de evidências por 05 anos.

Assista na íntegra: