Resolução 4.568: prazo para criar política de segurança cibernética está perto do fim

Em vigor desde 26 de abril de 2018, a Resolução 4.568 determina a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e computação em nuvem pelas instituições financeiras e demais organizações autorizadas pelo Bacen.

O objetivo principal da Resolução 4.568 do Bacen é assegurar a confidencialidade, integridade e disponibilidade dos dados e sistemas de informação utilizados, principalmente em um período onde transações bancárias e comerciais são uma forte característica da chamada economia digital.

Após a publicação da resolução, o Bacen definiu como data limite o dia 6 de maio de 2019 para que as instituições financeiras aprovem a política de segurança cibernética e o plano de ação e resposta a incidentes.

Resolução 4.568: medidas práticas para garantir a proteção de dados

Além de exigir a política de segurança cibernética e as exigências para a contratação de serviços de computação em nuvem, o Bacen define que as instituições financeiras devem instituir mecanismos de acompanhamento e controle, visando assegurar a implementação e efetividade do plano de ação e resposta a incidentes e os requisitos para o processamento e armazenamento de dados.

Diante da Resolução 4.568, as instituições financeiras autorizadas pelo Bacen devem apresentar nas políticas de segurança cibernética itens como:

• definição de processos, testes de validação e trilhas de auditoria;
• métricas e indicadores de desempenho;
• identificação e correção de eventuais deficiências.

A documentação exigida por meio da Resolução 4.568 deve ficar à disposição do Bacen pelo prazo de cinco anos. Ela é composta por:

• o documento relativo à política de segurança cibernética;
• a ata de reunião do conselho de administração ou da diretoria da instituição, aprovando a política de segurança;
• o documento relativo ao plano de ação e de resposta a incidentes;
• o relatório anual sobre a implementação do plano de ação e de resposta a incidentes;
• a documentação sobre os procedimentos de verificação junto ao prestador de serviços na nuvem quanto à capacidade de cumprimento da legislação e garantia de confidencialidade, integridade, disponibilidade e recuperação das informações e dos dados processados ou armazenados;
• a documentação relativa à contratação de serviços na nuvem prestados no exterior, garantindo o atendimento dos requisitos previstos pela legislação;
• os contratos de que trata a prestação de serviços relevantes para processamento, armazenamento de dados e computação em nuvem;
• os dados, registros e as informações relativas aos mecanismos de acompanhamento e controle, contado o prazo a partir da implementação dos requisitos definidos pela legislação.

Vale destacar que o Bacen define que as instituições financeiras que já tiverem contratado a prestação de serviços de processamento, armazenamento de dados e computação em nuvem na data que a Resolução 4.568 entrar em vigor devem apresentar, em até 180 dias, o cronograma de adequação. O prazo máximo para isso é 31 de dezembro de 2021.

O que ela garante

A resolução do Bacen visa garantir políticas para gerenciamento de riscos referentes à continuidade de negócios, proteção e privacidade de dados, definindo:

• o tratamento dos incidentes relevantes relacionados ao ambiente
  cibernético;
• os procedimentos a serem seguidos no caso da interrupção de serviços
  relevantes de processamento e armazenamento de dados e de computação em nuvem contratados;
• os cenários que devem ser considerados, a substituição da empresa contratada e o
  reestabelecimento da operação normal da instituição;
• os cenários de incidentes considerados na realização dos testes de continuidade de negócios.

As definições e os requisitos previstos pela Resolução 4.586 acontecem em um momento muito importante. Com a economia digital em rápido crescimento, a inovação tecnológica e o surgimento das Fintechs, é fundamental estabelecer parâmetros com fortes políticas, visando a proteção de dados e segurança cibernética.

O desafio das políticas de segurança para instituições financeiras

Uma política de segurança da informação fornece a base para a definição e construção de um programa bem-sucedido de proteção de dados, ajuda a preparar e se adaptar às condições de ameaças, a resistir e se recuperar rapidamente de interrupções.

Quando alinhadas de forma estratégica, as políticas de segurança funcionam como um importante elemento para potencializar negócios que agregam valor. Porém, sua implantação não acontece magicamente.

Para que isso aconteça, é preciso uma liderança que reconheça o valor da segurança cibernética para as instituições financeiras, invista em pessoas e processos, estimule a discussão e o debate e trate o assunto da mesma maneira que todos os outros requisitos de negócios.

Também exige que os profissionais reconheçam que o verdadeiro valor da segurança cibernética é proteger os negócios contra danos e alcançar objetivos organizacionais. O suporte técnico associado a essa política formaliza e comunica o comprometimento organizacional com as transações financeiras, assim como a proteção e privacidade de dados.

Para finalizar, é importante destacar que o Bacen poderá vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, que os requisitos apresentados pela Resolução 4.568 não foram atendidos, bem como definir procedimentos para adequação.

Reprodução de: https://cryptoid.com.br/protecao-de-dados/resolucao-4-568-prazo-para-criar-politica-de-seguranca-cibernetica-esta-perto-do-fim-ouca/