Sua empresa está pronta para a resolução 4.658 do Banco Central do Brasil?

Em 26 de abril de 2018 o Banco Central do Brasil (BACEN) publicou a Resolução 4.658, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Estes serviços serão observados pelas instituições financeiras e demais organizações autorizadas a funcionar pelo Banco Central do Brasil. Todas estas entidades devem implementar e manter uma política de segurança cibernética formulada com base em princípios e diretrizes que assegurem a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados até dia 31 de dezembro de 2021.

Segundo o BACEN, a política de segurança cibernética deve, no mínimo, contemplar:

I. os objetivos de segurança cibernética da instituição;

II. os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;

III. os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;

IV. o registro e a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;

Apesar da resolução do BACEN falar em “Políticas de Segurança”, fica bem claro que para atender a todas as exigências, não estamos falando só de desenvolver ou validar as Políticas de Segurança da Informação. É muito mais que isso, o foco é estabelecer um Plano de Continuidade de Negócios - PCN.

O PCN é a base de toda a documentação de procedimentos e informações que deve ser mantida por uma organização e pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável.

Para se ter um PCN, é muito mais complexo do que apenas estabelecer políticas, é necessário:

1. Um documento de Escopo de Gestão da Continuidade de Negócios bem definido e com aprovação e apoio da Alta Administração.

2. O desenvolvimento de Políticas de Segurança clara e objetivas ou uma boa revisão periodicamente.

3. Designar todos os recursos necessários e competências para a continuidade.

4. Realizar uma profunda e eficaz análise de impacto aos negócios e risco, um dos pontos mais importantes e complexos para execução, pois todos os pontos de risco devem ser criteriosamente analisados e apontados de forma clara.

5. Estabelecer o processo de Gestão de Incidentes (Estratégia de Continuidade e Estrutura de Resposta), mais conhecido como Change Management (ITIL - Information Technology Infrastructure Library).

6. Finalmente, desenvolver o Plano de Continuidade de Negócios, observando todos os pontos, necessidades e validar cuidadosamente todas as ações.

Assim, com um PCN bem estruturado, é possível atender as exigências do BACEN na resolução 4.658. Lembrando que o prazo previsto para adequação não pode ultrapassar 31 de dezembro 2021 e deve ser aprovado pelo BACEN. Caso contrário, sua empresa terá problemas em continuar prestando serviços ao mercado financeiro.

Instituições que já possuem seu PCN

A instituição que já tem suas políticas e planos desenvolvidos deve elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, com data-base de 31 de dezembro.

O relatório anual deve abordar:

I. a efetividade da implementação das ações;

II. o resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes;

III. os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; e

IV. os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes.

O documento deve ser submetido ao comitê de risco, quando existente, e apresentado ao conselho de administração ou à diretoria da instituição até 31 de março do ano seguinte ao da data-base.

A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser aprovados, documentados e revisados anualmente pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição.

E você, já preparou seu PCN – Plano de Continuidade de Negócios?

Carlos Macedo

Artigo escrito pelo nosso Executivo Carlos Macedo, de TI & Risco, sobre a resolução 4.658 do Banco Central do Brasil, para os seguintes portais:

I. Revista Empresários, Santos - SP – 16 de setembro de 2019 http://revistaempresarios.net/site/sua-empresa-esta-pronta-para-a-resolucao-4-658-do-banco-central-do-brasil-por-carlos-macedo-executivo-de-tecnologia-da-informacao-na-innovativa-executivos-associados II. Paraíba Total, PB – 05 de setembro de 2019 http://www.paraibatotal.com.br/noticias/2019/09/05/27392-sua-empresa-esta-pronta-para-a-resolucao-4.658-do-banco-central-do-brasil III. SBC Brasil, Várzea Grande - MT – 04 de setembro de 2019 http://www.sbcbrasil.com.br/noticias/conteudo/sua-empresa-esta-pronta-para-a-resolucao-4658-do-banco-central-do-brasil/51562?fbclid=IwAR15h5ERH59r3h54d7GmCr3P6CkLV8XjPX3NvrCnqgUfYNBOAOo_hYAQaNk IV. Brasil Notícia – 19 de julho de 2019 http://www.brasilnoticia.com.br/artigos/sua-empresa-est-pronta-para-a-resoluo-4-658-do-banco-central-do-brasil/8233 V. Segs – Portal Nacional de Seguros – 18 de julho de 2019 https://www.segs.com.br/mais/economia/181491-sua-empresa-esta-pronta-para-a-resolucao-4-658-do-banco-central-do-brasil