Instituições financeiras: Breves comentários sobre a resolução 4.893/21 - Política de segurança cibernética

1. Introdução:

Recentemente publicada, a Resolução do Conselho Monetário Nacional (CMN) 4.893, possui vigência prevista para 1/7/21, revogando as resoluções anteriores 4.658, de 26 de abril de 2018 e 4.752, de 26 de setembro de 2019.

A Resolução dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.

Desde a primeira Resolução de 26 de abril de 2018, o BACEN estabelece os critérios a serem cumpridos e obriga as instituições financeiras a adotar segurança cibernética, permitindo que as instituições reguladas avancem de maneira mais organizada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

Tendo em vista o avanço tecnológico e as inovações no sistema financeiro no país, é notória a preocupação e mudança cultural no âmbito de Governança Cibernética na atuação do Banco Central do Brasil (BCB) e do Conselho Monetário Nacional (CMM), buscando agilizar procedimentos e aprimorar o gerenciamento do risco cibernético nas instituições financeiras reguladas.

No mesmo sentido sobre a importância da temática, vale lembrar que, até mesmo, o Exército estabeleceu um Sistema Militar de Defesa Cibernética (SMDC)¹, com a justificativa de que a dimensão cibernética, como partícipe no tema defesa surge, de modo estruturado, a partir de Estratégia Nacional de Defesa, de 2008, que a definiu como um dos três setores estratégicos, juntamente com o nuclear e o espacial. Na atribuição de cada um desses setores a cada uma das Forças Singulares, coube ao Exército a condução do Setor Estratégico Cibernético na Defesa.

Neste artigo, objetivamos comentar, de forma prática, aspectos principais da Resolução em comento.

2. Objetivos da Política de Segurança Cibernética e Implantação da Governança Cibernética.

O objetivo e o âmbito da Resolução são estabelecer a necessidade da política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil (BCB). A Resolução não se aplica às instituições de pagamento, que devem observar a regulamentação emanada do BCB.

As instituições financeiras reguladas devem implementar e manter a política de segurança cibernética observando as bases e pilares da segurança da informação. A política deve ser compatível com o porte, o perfil de risco e o modelo de negócio da instituição, bem como a natureza das operações e a sensibilidade dos dados e das informações sob responsabilidade da instituição.

No caso de conglomerado prudencial e sistema de cooperativo de crédito, admite-se a adoção de política de segurança cibernética única. As cooperativas ou conglomerados prudenciais que não constituírem política de segurança cibernética própria devem formalizar a opção por essa faculdade em reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição.

2.1- Requisitos mínimos da política de segurança cibernética.

De acordo com o art. 3º da Resolução, a política de segurança cibernética deve contemplar, no mínimo:

I - Os objetivos de segurança cibernética da instituição;

Como, por exemplo, estabelecer as diretrizes necessárias para assegurar a confidencialidade, a integridade e disponibilidade dos sistemas de informação utilizados pela instituição financeira, além de contar com a governança efetiva para a prevenção, detecção e redução de impactos gerados por incidentes relacionados ao ambiente cibernético.

II - Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;

A Instituição deve descrever, em sua Política de Segurança Cibernética, como e quem: avaliará e documentará as vulnerabilidades identificados em sistemas; como se dará a comunicação de incidentes; se haverá equipe de resposta a incidentes; e quem acompanhará a correção das vulnerabilidades identificadas.

III - os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;

A informação deve ser classificada conforme políticas e normas internas. Podem ser estabelecidos controles e procedimentos internos para controle de acessos e identidade de determinadas informações.

IV - o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;

Caso ocorra um incidente, o respectivo registro deve conter a análise da causa, o impacto e os efeitos gerados à operação da instituição financeira.

Vale ressaltar que a política deverá ser divulgada aos empregados da instituição e às empresas prestadoras de serviços, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.

As instituições devem elaborar um plano de ação e de resposta a incidentes, visando à implementação da política de segurança cibernética, observando, no mínimo:

I - As ações a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética;

Segundo Martinelli & Peixoto (2020), em detrimento às diferentes categorias de incidentes que podem surgir, é interessante ter um plano A e um plano B - no mínimo.

Fazem parte da gestão de incidentes as definições no que condizem à disponibilidade da equipe de resposta aos incidentes também. Deve-se analisar se além do horário comercial, haverá: plantões, atendimentos fora do horário, emergenciais ou simplificados; se serão 24 horas por dia/365 dias por ano.

A comunicação e recepção de notificação de um incidente dar-se-á por e-mail? Telefone?

Após essas definições de serviço, consegue-se estimar a quantidade de empregados requeridos da equipe para atender os incidentes, assim como dividir o que cada um estará apto a fazer, conforme seu conhecimento e habilidades.

Um plano de resposta a incidentes deve incluir estas etapas:

1) Fazer uma avaliação inicial.

2) Comunicar o incidente.

3) Conter o dano e minimizar o risco.

4) Identificar o tipo e a gravidade do comprometimento.

5) Proteger a evidência.

6) Notificar as agências externas.

7) Recuperar os sistemas.

8) Compilar e organizar a documentação do incidente.

9) Avaliar o dano e custo do incidente.

10) Rever a resposta e atualizar as diretivas.

II - as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética; e

Vale observar os controles definidos por cada instituição e, em complemento, as melhores práticas internacionais da International Organization of Standardization (ISO) em conjunto com a International Electrotechnical Commission (IEC), como dentre outras diversas:

ISO/IEC 27017, que fornece orientações de implementação em controles de segurança da informação os quais se relacionam especificamente a serviços em nuvem;

ISO/IEC 27018, que se concentra na proteção de dados pessoais na nuvem e fornece orientação para implementação de controles da ISO/IEC 27002 aplicáveis às Informações Pessoais Identificáveis (PII) da nuvem pública.

Convém que a instituição financeira mantenha obtenha os certificados de segurança da informação disponibilizados pelos provedores de computação em nuvem ou os controles equivalentes, se puderem ser disponibilizados pelos prestadores de serviço.

III - a área responsável pelo registro e controle dos efeitos de incidentes relevantes.

Deve-se definir qual área da instituição receberá a notificação de incidentes de segurança da informação pelo provedor do serviço em nuvem, bem como possíveis medidas remediáveis aplicáveis.

As instituições reguladas, devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes. O diretor responsável poderá desempenhar outras funções na instituição, desde que não haja conflito de interesses.

Outro ponto que merece destaque é a preocupação da manutenção e continuidade da política, onde observamos a necessidade da governança cibernética.  A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser documentados e revisados, no mínimo, anualmente.

As financeiras devem assegurar suas políticas, estratégias e estruturas de gerenciamento dos riscos, especificamente na hipótese aos critérios de contratação de serviços de terceirização, no tocante aos serviços de processamento e armazenamento de dados e de computação de nuvem, no Brasil ou no exterior.

A contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, devem adotar procedimentos que contemplem:

I - A adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas; e

II - A verificação da capacidade do potencial prestador de serviço de assegurar:

a) o cumprimento da legislação e da regulamentação em vigor;

b) o acesso da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;

c) a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;

d) a sua aderência a certificações exigidas pela instituição para a prestação do serviço a ser contratado;

e) o acesso da instituição contratante aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;

f) o provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;

g) a identificação e a segregação dos dados dos clientes da instituição por meio de controles físicos ou lógicos; e

h) a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes da instituição.

Os serviços de computação em nuvem previstos na Resolução, são os seguintes: 

I - Processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos;

II - Implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou

III - execução, por meio da internet, de aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.

O Banco Central do Brasil poderá vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a inobservância do disposto nesta Resolução, bem como a limitação à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação dos referidos serviços.

3. Observância do compliance e LGPD nas instituições financeiras.

O setor financeiro precisa acompanhar as inovações tecnológicas e oferecer melhores serviços aos clientes, sendo de máxima importância a adoção de segurança cibernética e proteção de dados.

Para estabelecer uma política de segurança cibernética para prevenção de incidentes e vazamentos de dados, e estar em conformidade com o Bacen- CMN 4.893, necessária observância da Lei Geral de Proteção de Dados Pessoais (lei 13.709/18).

A LGPD, no art. 46, dispõe sobre a necessidade de adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, bem como o dever de indenizar em dano patrimonial, moral, individual ou coletivo, na hipótese de causar violação a LGPD, conforme previsto no art. 42.

Aduz também que o controlador deverá comunicar à Autoridade Nacional de Proteção de Dados Pessoais e ao titular a ocorrência de incidente de segurança que envolva dados pessoais que possa acarretar risco ou dano relevante aos titulares. Vale destacar o prejuízo financeiro que isso pode acarretar, mas também o reputacional.

A disparada de transações online no mundo, bem como o impulso das relações cada vez mais digitais, incluindo transações financeiras em virtude da covid-19, apela ainda mais para fortalecer a segurança cibernética no país, ademais pela intensidade de ataques cibernéticos aumentando acentualmente.

4- Conclusão:

Os serviços de processamento e armazenamento de dados e de computação em nuvem devem cumprir os requisitos de segurança quanto à confidencialidade, integridade e disponibilidade, critérios observados pela segurança da informação, seja para qualquer modalidade de nuvem, bem como os modelos de serviços relacionados.

São essenciais compreender e documentar:

1. Política de Segurança Cibernética;
2. Quem são os provedores de computação em nuvem e quais são os serviços prestados;
3. Onde os serviços de processamento e armazenamento de dados e de computação em nuvem são prestados e os dados serão armazenados, processados e gerenciados, caso a contratação do serviço em nuvem, seja no exterior.

A partir dessas informações, consultar as áreas Jurídica, de Segurança da Informação e de Tecnologia da Informação para analisarem, em conjunto, a necessidade de eventuais ajustes em procedimentos, contratos, fluxos e documentos para conformidade à Resolução CMN 4.893 de 26/2/21, lei Geral de Proteção de Dados Pessoais - LGPD, legislação internacional de proteção de dados pessoais e normas da ISO/IEC.

__________

1. Fonte: Disponível aqui.

__________

Banco Central do Brasil. Resolução CMN 4.893 de 26/2/21. Acesso aqui.

BRASIL. lei 13.709, de 14 de agosto de 2018.  Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF. Acesso aqui.

Diário Oficial da União. Portaria 3.781/Gm-Md, de 17 de Novembro de 2020. Sistema Militar De Defesa Cibernética (Smdc). Acesso aqui.

Martinelli, Anielle. Peixoto, Mário. Correia, Umberto. Alves, Davis. (2020). ANPPD. A Gestão de Incidentes de Segurança de Dados Pessoais.