Você está em: Assessoria Econômica > ABBC Destaca

Assessoria Econômica

ABBC Destaca

Risco Cibernético e Armazenamento de dados

Cresce a importância do risco cibernético no processo de gestão das instituições financeiras (IFs), cuja materialização pode causar prejuízos milionários que se mostram subestimados nas divulgações públicas. Adicionalmente, podem trazer danos à reputação das corporações e, no limite, trazer impactos sistêmicos.  
No cenário de forte expansão da utilização de meios eletrônicos e das inovações tecnológicas na indústria financeira, o CMN editou recentemente a Resolução nº 4.658 que prevê a obrigatoriedade de implementação da política de segurança cibernética (PSC) e do estabelecimento de requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. A expectativa é de que com o aperfeiçoamento dos requisitos prudenciais e de governança, as IFs possam desfrutar dos benefícios propiciados pelas inovações tecnológicas.
De forma a subsidiar a discussão dessa temática, a Deloitte debateu com profissionais da área de tecnologia da informação das IFs associadas à ABBC as implicações do normativo nas atividades cotidianas das instituições, assinalando não só a necessidade de que sejam estabelecidos controles e sistemas robustos, mas também da importância da resiliência aos ataques cibernéticos.
Ainda que de forma compatível com as suas especificidades, a norma define o conteúdo mínimo da PSC e obriga a implementação de um plano de ação, contemplando os procedimentos e os controles adotados na resposta a incidentes relacionados ao ambiente cibernético. Estabelece, ainda, requisitos para a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, com procedimentos prévios às contratações e cláusulas contratuais mínimas a serem estabelecidas entre as instituições financeiras e os prestadores desses serviços.
Assim, de acordo com a Deloitte, para que estejam em conformidade com as diretrizes da resolução, as IFs deverão trabalhar:
  1. (1) Política e Procedimentos: Desenvolvimento e divulgação de políticas e procedimentos de segurança cibernética para funcionários, prestadores de serviços e público em geral.
  2.  
  3. (2) Exercícios de Simulação de Ataques: Realização de exercícios para simulação de ataques, utilizando os resultados para aprimorar os planos de ação e de resposta.
  4.  
  5. (3) Plano de Ação e de Resposta a Incidentes: Elaboração de plano de ação com rotinas, procedimentos, controles e tecnologias a serem utilizados na prevenção e na resposta a incidentes.
  6.  
  7. (4) Contratação e Terceirização de Serviços: Revisão de contratos e adoção de medidas para gerenciamento de riscos na contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
A regulamentação que já está em vigor prevê que as instituições implementem a política de segurança até 06/05/2019. As que já tiverem contratado a prestação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deverão apresentar ao Banco Central até 23/10/2018 o cronograma para adequação que não poderá ultrapassar 31/12/2021.
Para ver a apresentação na íntegra, clique aqui.

 


Endereço:
Av. Paulista, 1.842 - 15º andar - conj. 156
Edifício Cetenco Plaza - Torre Norte Cerqueira César - CEP: 01310-923
São Paulo - SP
Telefone: (5511) 3288-1688
Fax: (5511) 3288-3390