Fórum discutiu implementação da Regulamentação 4658 do Bacen

LGPD é ainda mais complexa que a 4658 e requer atenção imediata!

Fórum discutiu implementação da Regulamentação 4658 do Bacen. Fórum de debates e apresentações, com a presença marcante de representantes do BACEN, foi discutido os desafios da implementação da Regulamentação 4658 do Banco Central e os efeitos da LGPD – Lei de Privacidade de Dados do Brasil, sancionada pelo presidente Temer em 14 de agosto de 2018.

O Novo Marco Regulatório de Cibersegurança Bancária – recém regulamentado pelo Banco Central – foi o tema central do Fórum Nacional Segurança Cibernética nas Instituições Financeiras: Impactos da Resolução nº 4.658, dia 23 de Agosto, em São Paulo, que reuniu mais de 150 especialistas de 12 estados brasileiros.

Foi o principal e maior evento de negócios sobre o tema que terá como foco esclarecer com Governo e Líderes as principais dúvidas do mercado sobre a Resolução nº 4.658, que institui a implementação de política de segurança cibernética e estabelece requisitos para contratação de serviços de processamento e armazenamento de dados e computação em nuvem.

Importante frisar que em 16 de agosto o Bacen divulgou a circular Circular 3.909 que endereça a Política Cibernética e Cloud para Instituições de Pagamento com os mesmo objetivos de proteção da 4658 para as instituições de pagamentos e deverá, segundo o seu Art. 29, entrar em vigor em 1º de Setembro de 2019, com isto as instituições de pagamento até 1º de dezembro de 2019 para se adaptarem, conforme seu Art. 25 “aprovação da política de segurança cibernética e do plano de ação e de resposta a incidentes, referida no art. 9º, deve ser realizada até noventa dias contados da data de entrada em vigor desta Circular“.

Na prática, como funcionará a Nova Política de Segurança Cibernética? Como cumprir as exigências? Essas e outras questões foram amplamente discutidas nesse encontro exclusivo de conteúdo e negócios.

Especialistas do setor financeiro discutiram mudanças urgentes e o futuro da proteção de dados no setor bancário, os desafios atuais e quais soluções podem ser adotadas com eficiência para atender as exigências e ao cronograma já estipulado pelo Governo.

Como o mercado se prepara para antecipar, minimizar riscos e atualizar suas equipes à nova infraestrutura tecnológica. Foram debatidas as principais dúvidas de prevenção, enfrentamento de ameaças, fraudes e ataques. Saiba como proteger o consumidor e assumir as responsabilidades previstas na nova regulamentação.

Esse encontro esclareceu as perspectivas do novo modelo de segurança para instituições financeiras!

Fonte: Conceito Seminários Corporativos

Na Prática:

Ainda existem muitas dúvidas pelos integrantes do Sistema Financeiro Nacional e do próprio Bacen quanto à implementação da regulamentação. Em sua apresentação os representantes do Bacen deixaram claro que alguns aspectos mais operacionais da regulamentação ainda necessitam ser mais amadurecidos pelo próprio mercado financeiro, por exemplo a forma de compartilhamento de informações de incidentes entre as instituições e a forma de comunicação ao Bacen dos Incidentes de Segurança ainda precisam ser melhor compreendidos e trabalhados até que se tenha um padrão entre as instituições.

Os principais pontos da resolução segundo o Bacen são:

  • Política de Segurança Cibernética
  • Requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem

Foi esclarecido que no contexto da regulamentação, o Bacen, não se limita ao serviço tradicionalmente chamado de Cloud, ou Nuvem, mas sim a todo o tipo de terceirização de processamento, armazenamento ou computação, desde o chamado Colocation até as aplicações SaaS e ambinetes IaaS, PaaS, etc… Desta forma, podemos dizer que se você tem um prestador de serviço de computação externo à sua instituição existe 99% de certeza que você é afetado e necessita se adequar aos requisitos relacionados ao que o Bacen está olhando. O 1% eu deixo para o caso deste serviço não ser classificado como relevante e não possuir dados sensíveis de clientes da sua organização.

Para o caso de contratação de serviços de processamento e armazenamento de dados e de computação em nuvem no exterior, o Bacen divulgou o link  https://www.bcb.gov.br/fis/supervisao/memsupervisao.asp?idpai=SUPERVISAOSFN com a relação de países com acordos bilaterais. Informação que até o momento não era de todos conhecida.

Em relação as datas o Banco Central esclareceu que a dada de 23 de outubro refere-se ao planejamento de adequação dos contratos de serviços com as empresas prestadoras de serviços, já no que se refere à Política de Segurança Cibernética, a reportes e Gestão de Incidentes e divulgação das políticas ao público externo, o Bacen afirma que a regulamentação já está em vigor, mas não deixa claro como e quando iniciará a fiscalização. Na prática é melhor já ter um plano de ajuste e estar trabalhando para que quando o Bacen chegar já tenhamos um plano de ajuste e melhoria para ser apresentado.

Outro item que inicialmente gerou dúvidas é a questão da divulgação da Política de Segurança Cibernética ao publico externo. Neste caso o Bacen deixa claro que, por questões de segurança, não é necessário divulgar toda a política cibernética, mas sim um resumo consolidado, de fácil interpretação e esclarecimento sobre a preocupação da organização quanto à segurança, as medidas tomadas e recomendadas ao público, como forma de conscientização e educação do público em geral.

Recomendações

Segundo os especialistas presentes e palestrantes, é consenso que não basta se concentrar nos ajustes reativos aos contratos e serviços de processamento, armazenamento e computação em nuvem, é necessário a realização de um Assessment de segurança que possa apontar de forma mais ampla os riscos cibernéticos, bem como o risco de terceiros para a instituição.

A Dra Milena Fório do escritório Opice Blum recomendada o tratamento de forma mais holística, iniciando por um assessment de segurança e evoluindo para os planos de adequações até entrar em processo contínuo com a produçao dos relatórios anuais.

Segundo Gustavo Kruel da Anbima, é importante considerar o risco de terceiro como um todo, olhar somente no contexto de processamento deixará a avaliação incompleta, portanto a instituição não endereçará todos os riscos que poderia ou deveria.

A Dra Patrícia Peck concorda com a Dra Milena no que diz respeito ao Assessment de identificação e estabelecimento do GAP de segurança em relação à regulamentação, mas da Dra Patrícia adiciona a importância do mapeamento e ajustes contratuais.

Assim, respeitando as datas alvo definidas pelo Bacen e consolidando as recomendações dos especialistas temos o seguinte infográfico abaixo como um possível framework de implementação:

Para o ajuste de contratos e serviços o framework recomendado seria:

 

Para para a criação/ajuste da Política de Segurança Cibernética recomendamos o seguinte framework:

 

Ao final do dia, discutiu-se bastante a relação da regulamentação do Bacen e a nova LGPD – Lei de Proteção de Dados do Brasil, sendo recomendado que os esforços das instituições devam de alguma maneira serem consolidados para endereçar os dois requisitos. Tendo em mente que a LGPD é muito mais extensa que a regulamentação do Bacen e que, mesmo tendo dois anos para adequação à GDPR, muitas empresas Européias ainda não se adequaram completamente, reforça-se a premente posição de início imediato do mapeamento e ações de adequação também a LGPD.

A MINDSEC pode auxiliar você e sua empresa na realização do Assessment de Segurança, Desenvolvimento de Políticas, planos de Gestão de Incientes e planos continuidade de negócios, entre em contato conosco e saiba mais.

 

Algumas das Empresas Presentes no Fórum, segundo publicação da Conceito Seminários Corporativos:

MINDSEC, ABN AMRO | AMAZON | AMAZÔNIA CORRETORA DE CÂMBIO | ARRUDA ALVIM, ARAGÃO, LINS E SATO ADVOGADOS | B&T CORRETORA DE CÂMBIO | BANCO CENTRAL | BANCO DLL | BANCO KOMATSU | BANCO MERCEDES-BENZ | BANCO MUFG| BANCO VOLVO | BANRISUL | BNDES | BNP PARIBAS | BRADESCO | BTG PACTUAL | CLEARSALE | CONFIDENCE CÂMBIO | HSBC | ICATU SEGUROS | ITAU | LOBO DE RIZZO ADVOGADOS | PINHEIRO GUIMARÃES ADVOGADOS | RENASCENÇA DTVM | SANTANDER TECNOLOGIA | SOFISA | UOL | ZEMA FINANCEIRA

 

Veja também:

Sobre mindsecblog 1767 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

6 Trackbacks / Pingbacks

  1. Quase um terço das organizações ainda não está preparado para o GDPR
  2. Cyber Security, Cloud e LGPD
  3. NETSCOUT destaca evolução das ameaças em escala internet. - Minuto da Segurança da Informação
  4. C&A é atacada e vaza dados de 2 milhões de clientes
  5. Vulnerabilidade permite elevação de privilégios no Windows 10
  6. CPO e CSO: Unidos pelas novas regulamentações

Deixe sua opinião!