Entrará em vigor a partir de 1º de julho de 2021 a Resolução de número 4893. Ela, não apenas revoga as 4658:2018 e 4752:2019, mas, impacta diretamente o funcionamento de instituições financeiras. Também, no que diz respeito à gestão de continuidade do negócio e adoção de políticas de segurança da informação.
Ao determinar que tais organizações desenvolvam e promovam a Política de Segurança Cibernética e do Plano de Ação e Resposta a Incidentes, o BACEN busca progressivo alinhamento com as demandas atuais e elevada segurança na execução de transações financeiras.
A seguir, veremos alguns dos pontos mais importantes neste decreto e, também, a necessidade de um programa de disseminação da cultura de segurança cibernética. Pretende-se, assim, disseminar o conhecimento acerca de procedimentos e controles de proteção ao longo de toda a cadeia envolvendo usuários.
Ainda que seja importante uma leitura completa da resolução, separamos alguns pontos que consideramos mais sensíveis às questões envolvendo conscientização sobre cibersegurança.
Saiba como podemos ajudar sua empresa a cumprir as exigências da Resolução 4893. Solicite o contato de um de nossos especialistas.
Segurança cibernética
No artigo terceiro, é determinado que a política de segurança cibernética deve contemplar, no mínimo, os mecanismos para disseminação da cultura de segurança cibernética na instituição, sendo especificado:
a) a implementação de programas de capacitação e de avaliação periódica de pessoal;
b) a prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros;
c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética.
Na sequência, a Seção II da Divulgação da Política de Segurança Cibernética, os artigos quarto e quinto estabelecem, respectivamente:
a) a política de segurança cibernética deve ser divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros. Mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações;
b) as instituições devem transmitir ao público, um resumo contendo as linhas gerais da política de segurança cibernética.
Sabendo de tais pontos, podemos esclarecê-los, ampliando e aprofundando o entendimento das medidas cruciais à conjuntura atual e à dinâmica tão ágil.
Não apenas por conta da regulamentação do Banco Central, mas, anterior a ela, essas medidas representam uma adaptação que poderão definir a qualidade e sobrevivência das instituições financeiras. Bem como, dos serviços e produtos que oferecem. Então, sobre os tópicos que poderão auxiliar na conformação das instituições, apresentamos:
1. Disseminando a Política de Segurança
Especificamente, a Resolução 4893 dispõe sobre a política de segurança cibernética e os requisitos à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Dessa forma, instituições financeiras autorizadas pelo Banco Central a funcionarem, observarão e adotarão mecanismos que transmitam a cultura de segurança cibernética em todos os níveis e setores da instituição. Tal medida, inclui a implementação de programas de capacitação e a periódica avaliação de pessoal.
2. Difundindo o Plano de Ação e Resposta a Incidentes
A implementação de ações realmente coordenadas e efetivas começa antes da ocorrência de incidentes. Preservar e assegurar dados e informações, primeiro, exige que entendamos sobre sua importância hoje em dia e, só então, partiremos para o processo em que todos estejam devidamente treinados, cientes dos protocolos, procedimentos e de suas responsabilidades frente às ameaças. Para o desenvolvimento do programa de conscientização, recomendamos segmentar o conteúdo em duas partes: diretrizes e procedimentos.
Diretrizes: são duradouras e relacionam-se com procedimentos de treinamento e conscientização de longo prazo. Sua estrutura deve basear-se em padrões que orientem os usuários em sua tomada de decisão. Esclarecem, não apenas funções, responsabilidades e atividades compondo o plano, mas, também, os objetivos.
Procedimentos: funcionam sob uma lógica menos rígida, já que precisam mudar conforme evolui o amadurecimento analítico dos usuários, colaboradores, instituições e o próprio plano. Os procedimentos devem abranger e detalhar rotinas, normas, ações de controle e medidas utilizadas, tanto na prevenção de incidentes, quanto em suas respostas quando estes acontecem. Tudo isso, além de considerar as especificidades dos destinatários.
3. O suporte da alta gestão
Antes de ser elaborado qualquer relatório, é fundamental que a alta gestão esteja conscientizada acerca da segurança cibernética e do quanto este item é importante para os negócios. É decisivo que executivos valorizem e deem suporte a um modelo de negócio que priorize a Segurança da Informação. Somente um programa amplo e bem orquestrado poderá dar-lhes tal nível de conhecimento. Considerando as exigências da resolução, a produção de um relatório anual começa a ser obrigatória, sendo entregue ao conselho administrativo, ou à diretoria, até dia 31 de março do ano seguinte.
Nele, deverá constar o detalhamento acerca das informações sobre a Política de Segurança Cibernética. Além de incidentes e os resultados das ações implementadas na instituição, bem como, os testes de continuidade dos negócios.
4. Conscientizando terceiros
Orientações, ensinamentos e mecanismos que reduzam a vulnerabilidade no comportamento de usuários, vêm para o conhecimento com base nos planos e estratégias alinhados às exigências da Resolução 4893. A implementando de forma recorrente, reavaliando a eficiência, abrangência e o quanto são compreendidas.
Por meio de sua qualificação e educação na cadeia da cibersegurança, elevam-se os níveis de proteção e a qualidade da prevenção.
Uma das exigências atuais situa-se justamente no grau de transparência adotado e praticado pelas instituições financeiras e a Resolução 4893 representa mais um esforço nesse sentido.
Em um contexto de escalada das ameaças, em que técnicas e métodos ganham sofisticação conforme avançam e melhoram as tecnologias, resoluções e medidas que promovam maior cooperação entre órgãos, empresas e usuários, além do compartilhamento de dados e inteligência, visam o benefício geral do mercado.
Os desafios evoluem conforme evoluem as tecnologias e estão em conformidade com o que é definido pela legislação. É básico para a preservação de dados e informações, e essencial à manutenção de condições favoráveis aos negócios e às tomadas de decisão e transações.
As instituições devem, não apenas adicionar esse hábito, mas, também, certificar-se de que seus usuários estejam em contínua qualificação que os habilite a implementar e seguir protocolos preventivos e responsivos. Tornando assim, a Resolução 4893, uma realidade conforme é bem executada e praticada constantemente a Segurança da Informação.