Deloitte

Soluções de governança corporativa para seus desafios de negócios

Regulamentação para cyber security: instituições financeiras no radar

O ano de 2018 deve trazer desafios e avanços em termos de segurança cibernética, sobretudo às instituições financeiras. O Banco Central do Brasil submeteu à consulta pública, entre os meses de setembro e novembro de 2017, proposta de resolução aplicada ao setor financeiro. A expectativa é que seja publicada no primeiro semestre de 2018.

“As instituições financeiras devem avaliar rapidamente as lacunas de seu ambiente para estarem aderentes à regulamentação e definirem ações priorizadas para sua adequação, quando necessário” explica Eder Abreu, diretor da área de Consultoria em Gestão de Riscos da Deloitte.

“Com o crescente número de ataques cibernéticos nos diversos segmentos empresariais, em especial no setor financeiro, bem como o aumento no uso de meios eletrônicos para a realização de transações, o Bacen julgou necessário estabelecer uma regulamentação que visa estabelecer controles e processos mais robustos, para aumentar a resiliência das instituições financeiras quando da ocorrência de ataques cibernéticos”, diz.

Segundo Eder Abreu, essa é a primeira regulamentação relevante no Brasil para segurança cibernética. “Anteriormente, foi sancionada a Lei 12.965/14, mais conhecida como Marco Civil da Internet, que regula o uso da internet no Brasil e contempla alguns aspectos relacionados a privacidade de dados pessoais, porém, não possui foco em segurança cibernética.”

O que está em discussão?

Os principais aspectos considerados nesta regulamentação são:

  1. A implementação de uma política de segurança cibernética que busque assegurar a confidencialidade, a integridade e a disponibilidade de dados e sistemas de informação, e cujas diretrizes sejam suportadas por processos, procedimentos, tecnologias e controles robustos. Também deve ser designado um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.
  2. Estabelecimento de plano de ação e de resposta a incidentes cibernéticos definindo as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e resposta a incidentes. “Ressalta-se que a proposta de regulação exige, ainda, que incidentes relevantes e interrupções de serviços relevantes sejam comunicados ao Bacen”, ressalta Eder Abreu.
  3. Diretrizes para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo a adoção de práticas de governança corporativa e de gestão, e assegurando a confidencialidade, integridade, a disponibilidade e a recuperação dos dados e informações processados em nuvem. A proposta de regulação veda a contratação de serviços relevantes de processamento e armazenamento de dados em nuvem prestados no exterior.

Novo perfil profissional

Eder Abreu comenta que a segurança cibernética deve ser tratada como um assunto de negócios e não puramente tecnológico, como já foi no passado. É importante que o profissional designado para esta função tenha uma visão clara dos negócios da companhia e consiga alinhar as diretrizes de segurança cibernética com as estratégias corporativas.

“Considerando que os recursos (tanto financeiros quanto de pessoal) são finitos, é importante priorizar a execução das ações mais relevantes em termos de mitigação de riscos e geração de valor ao negócio.”

Desafios para 2018

Entre os principais desafios para as empresas cumprirem essa regulamentação, está a questão associada à proibição de utilização de serviços em nuvem no exterior. “Em nossa perspectiva, a decisão pode trazer um grande desafio para as organizações, uma vez que os grandes players de mercado nesse setor são globais e utilizam suas estruturas internacionais para entrega dos serviços.”

A política de segurança cibernética, segundo a regulamentação, deve ser compatível com o porte da empresa, o que sinaliza também um desafio, sobretudo para as de menor porte.

Organizações financeiras de grande porte, de forma geral, possuem uma maturidade relevante em segurança cibernética e maiores investimentos, sendo assim, tendem a estarem aderentes à regulamentação mais rapidamente. Empresas de menor porte, de acordo com seu nível de maturidade e investimentos anteriores, poderão ter um esforço maior para se adequar à regulamentação.”

Inscreva-se para conhecer mais conteúdos e soluções sobre governança corporativa