Carlos Borella (*)
Vimos nos últimos anos várias resoluções e circulares publicadas pelo Banco Central do Brasil (BCB), que comprovam a preocupação do órgão regulador com o nível de maturidade do ecossistema financeiro nacional.
Algumas dessas regulamentações eram focadas em temas específicos, como o caso da BC 4.658 (substituída pela BC 4.898) – foco em Segurança da Informação, outras voltadas mais a operação em si do sistema (funcionamento do Sistema de Pagamentos Brasileiro), como é o caso da BCB 304.
Quando se fala de risco operacional, entre outros temas que devem ser comtemplados, a resolução é clara e estabelece que as Instituições Operadoras de Sistema de Mercado Financeiro (IOSMF) devem tratar questões
como gestão de fraudes, gestão da terceirização de serviços (gestão de fornecedores), continuidade de negócios, gestão de serviços de tecnologia da informação e segurança da informação e cibernética, devendo estas serem projetadas de modo a alcançar o objetivo de resiliência operacional do sistema.
Tais diretrizes refletem – e reforçam - a necessidade de uma abordagem abrangente para proteger as instituições financeiras contra ameaças cada vez mais sofisticadas.
A resolução ainda apresenta de modo direto que as IOSMF devem estabelecer mecanismos de acompanhamento e de controle, de modo a assegurar a implementação e a efetividade da política de segurança da informação e cibernética, do plano diretor de segurança da informação, do plano de resposta a incidentes e dos requisitos para contratação de serviços, em especial de processamento e armazenamento de dados e de computação em nuvem.
Ainda sobre a preocupação com resiliência operacional, a resolução apresenta atividades que devem ser estabelecidas para a gestão de continuidade de negócios, citando: realização de análise de impacto de negócios (AIN, conhecido em inglês como Business Impact Analysis (BIA)), definição de estratégias para limitação de perdas, planos de continuidade de negócios com procedimentos que estabeleçam prazos de recuperação e plano de comunicação, testes e revisões do plano em periodicidade adequada.
Do ponto de vista de segurança da informação e cibernética, a resolução não apresenta muitas novidades em relação aos temas que devem ser priorizados pelas IOSMF, além de reforçar a necessidade de ações focadas nos três pilares (processos, tecnologia e pessoas). Alguns destes temas são bastante conhecidos, tais como: prevenção, detecção, redução de vulnerabilidade, resposta e recuperação; monitoramento e rastreabilidade das informações e análise da causa e do impacto; continuidade de negócios, gestão de incidentes (compartilhamento de incidentes relevantes ao BCB), programa de conscientização, classificação da informação, testes periódicos dos sistemas, acompanhamento anual de evolução/implementação do plano diretor de segurança da informação.
Vale ressaltar que a BCB 304, assim como outras resoluções ou circulares do BCB, menciona a necessidade de controles e proteções em níveis mais estratégicos e táticos, como, por exemplo, para o tema de continuidade de negócios. Porém, não direciona ou detalha suas implementações (nível operacional). De modo resumido, apresenta “o que” aplicar, mas não “como” aplicar. Desta forma a utilização de referências e boas práticas de cibersegurança - ISO 27.002, ISO 22.301, NIST, SANS, entre outros - devem continuar sendo utilizadas.
De modo geral, a BCB 304 disciplina, no âmbito do Sistema de Pagamentos Brasileiro, o funcionamento dos sistemas, e desta forma trata de temas sensíveis ao negócio (liquidação, registro e depósito de ativos financeiros). Neste artigo, focamos em apresentar os principais controles ligados a segurança da informação e cibernética. Neste sentido, para as instituições que já possuem uma estratégia de segurança da informação e cibernética, e governança já estabelecida, por exemplo, para atender a um Sistema de Gestão, é importante que esta revise e incorpore-a dentro de seu sistema. Adicionalmente, esta ação proporcionará que as iniciativas de segurança da informação e cibernética, convirjam e evitando assim que haja sobreposição de controles para a cobertura e mitigação dos riscos já mapeados.
(*) Carlos Borella é sócio e líder da área de Cyber da Safeway, empresa da plataforma de cibersegurança do Grupo Stefanini.