Autor: Guilherme Borini

Três meses após a publicação, qual tem sido o principal desafio para as empresas do setor?

Banco Central do Brasil publicou no dia 26 de abril a Resolução 4.658, que trata sobre Segurança Cibernética e Gestão de Serviços de Terceiros. A nova determinação, aprovada pelo Conselho Monetário Nacional (CMN), dispõe sobre a política de segurança da informação e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

Em meio aos avanços da tecnologia e crescente utilização de meios eletrônicos, os objetivos gerais da resolução são regulamentar a política de segurança cibernética, além de definir os requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

A partir da nova definição, as instituições financeiras e demais organizações autorizadas a funcionar pelo Bacen passaram a utilizar provedores de nuvem pública no Brasil e no exterior. Para isso, deverão implementar e manter sua política de segurança cibernética planejada de acordo com os princípios e diretrizes estabelecidos pelo Bacen.

Três meses após a publicação, qual tem sido o principal desafio para as empresas do setor?

Bruno Sicchieri, diretor executivo de Cibersegurança da EY no Brasil, aponta que um dos principais obstáculos tem sido no quesito interpretação por instituições financeiras de porte médio.

“Instituições financeiras de grande porte participaram da própria confecção da resolução. Algumas delas já vemos com maturidade mais próxima e em conformidade. Mas quando começa a olhar para instituições de médio porte, percebe que existem dúvidas na própria interpretação. Apesar de a resolução ser fácil de ler – quando comparada com outras do passado -, tem certa flexibilidade de interpretações distintas”, comentou.

Um exemplo de interpretação é a questão da política de segurança cibernética. O especialista explica que a resolução não define quais são os perfis de riscos possíveis de acordo com modelo de negócios, por isso dá margem para flexibilidade para interpretação.

Outro item apontado por Sicchieri é a determinação de designar um gestor responsável por segurança cibernética. “A pessoa precisa ser diretor? Um diretor estatutário? Pode ser um gestor? Surgem dúvidas com relação a isso também”, aponta.

Mesmo com os desafios, Sicchieri acredita firmemente que instituições de pequeno e médio porte têm totais condições de se adequarem.

“Na prática, a resolução dá flexibilidade para que empresas de menor porte e que talvez não disponham de muitos recursos, possam implementar de acordo com seu modelo de negócios.”

Projeto contínuo

Sicchieri comenta que, mais do que uma resolução, a iniciativa do Bacen busca fazer com que instituições financeiras elevem a maturidade da sua segurança como um todo. “É algo muito positivo”, diz.

“O Banco Central quer que a instituição implemente requisitos e controles de segurança necessários para garantir integridade, disponibilidade. Não é somente a publicação de um documento, mas sim a implementação de um controle de segurança necessário.”

Um ponto que, para Sicchieri, mostra a “boa intenção” do Bacen é na forma de fiscalização. A resolução não define uma penalização e diz apenas que o Bacen fará avaliações periódicas.

“O intuito do Bacen é aumentar a segurança, usando a resolução como ferramenta para patrocinar ações para aumentar segurança. Não é simplesmente estar em conformidade com a regulamentação e nem um projeto específico. É algo contínuo.”

Lei de proteção de dados

Sicchieri vê semelhanças entre a Resolução nº 4.658 e a lei de proteção de dados, Projeto de Lei número 53, da Câmara, que disciplina a proteção dos dados pessoais e define as situações em que estes podem ser coletados e tratados tanto por empresas quanto pelo Poder Público. O texto foi aprovado nos termos do conteúdo votado na Câmara dos Deputados no fim de maio.

Por isso, uma instituição que se adequar à Resolução terá dado um grande passo para a nova lei, caso ela de fato entre em vigor.

“O objetivo é proteção e privacidade de dados. Elas são muito similares: controles e requisitos parecidos”, completa.

Prazos

O executivo lembra que o prazo para que instituições financeiras entreguem o cronograma de adequação dos prestadores de serviços atuais é 23 de outubro deste ano.

Já a data limite para aprovação da política de plano de ação é maio de 2019. O prazo para adequação dos prestadores de serviços é 31 de dezembro de 2021.

Fonte: Computer World