21.3 C
São Paulo
23 de dezembro de 2024

Resolução nº 4.658 sobre a política de segurança cibernética

<p>A partir desta resolução, as instituições financeiras e demais organizações autorizadas a funcionar pelo BC passaram a utilizar provedores de nuvem pública no Brasil e no exterior. Para isso, as organizações deverão implementar e manter sua política de segurança cibernética planejada de acordo com os princípios e diretrizes estabelecidos pelo BACEN.</p>
<p>Tal medida lança ao mercado financeiro os pilares para a aquisição, uso, controle, responsabilidade, restrições e, sem dúvida, a conscientização frente a um processo que está cada vez mais globalizado e requer a atenção redobrada quanto aos riscos de segurança. Com certeza se trata de um avanço importante que envolve a proteção das informações do segmento financeiro. Mas como funcionará na prática?</p>
<p><strong>Da Política de Segurança Cibernética</strong></p>
<p>As instituições financeiras e aquelas que estão autorizadas a funcionar, devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.</p>
<p>Por tanto, a Política de Segurança Cibernética deve ser estruturada de modo a ser compatível com:</p>
<p>- O porte, o perfil de risco e o modelo de negócio da instituição</p>
<p>- A natureza das operações e complexidade dos produtos, serviços, atividades e processos da organização</p>
<p>- A sensibilidade dos dados e das informações sob responsabilidade da instituição</p>
<p><strong>Do conteúdo</strong></p>
<p>A Política de Segurança Cibernética deve contemplar, no mínimo, os objetivos de segurança, os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança, além de os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis, o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da organização.</p>
<p>Também terão de contemplar as diretrizes para cenários de testes de continuidade de negócios, procedimentos voltados à prevenção e ao tratamento de incidentes, classificação dos dados e das informações, iniciativas para compartilhamento de informações sobre incidentes com as demais instituições e mecanismos para a disseminação da cultura de segurança cibernética na instituição.</p>
<p>Quanto à implementação, deverá conter um programa de capacitação e de avaliação periódica do pessoal para alcançar aos clientes e usuários a prestação de informações sobre preocupações na utilização de produtos e serviços financeiros e, por fim, o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados à segurança cibernética.</p>
<p><strong>Da melhoria contínua</strong></p>
<p>A política de segurança cibernética, o plano de ação e de resposta a incidentes devem ser documentados e revisados anualmente.</p>
<p>Tendo em vista todos os aspectos considerados na resolução, podemos acreditar que tal iniciativa é pacífica e define claramente a necessidade de investimento e responsabilidades na organização. Além, é claro, de reforçar a conscientização de um processo tão importante que requer que as instituições tenham controles e sistemas cada vez mais robustos, principalmente em relação à resiliência a ataques cibernéticos.<br /><br />&nbsp;<em>(*) Diretor de serviços na Arcon.</em></p>
<p>&nbsp;</p>