O setor financeiro é um dos mais regulados do Brasil e pioneiro em inovação tecnológica. Não é pra menos, são instituições que tratam dados sensíveis de cidadãos e empresas, organizam transações financeiras e estão constantemente na mira de ataques cibernéticos. Claro que precisava contar com um órgão regulador (FEBRABAN), além de seguir regras rígidas do Banco Central.
Ou seja, é um segmento de negócio que já convive com regulamentações. Mas nunca as instituições financeiras passaram por tantos desafios de compliance como nos últimos meses, com a chegada da resolução 4658 do BACEN e a da Lei Geral de Proteção de Dados.
Para entender o tamanho desse desafio diante de um cenário complexo de novas vulnerabilidades e ciberataques, a Conteúdo Editorial, em parceria com a Symantec, reuniu um grupo de CISOs e líderes de Segurança da Informação de várias instituições em São Paulo para uma mesa redonda, o Security Round Table. Estiveram presentes C-Levels de empresas como Bradesco, Itaú-Unibanco, Santander, Citi, Baco Fibra, Banco Votorantim, Banco Carrefour, Tecban, Cateno, Conductor, Alelo, Quod, B3 e Banco CBSS para responder uma importante questão: o Setor financeiro está preparado para atuar diante do atual cenário regulatório?
Ora, se esse segmento de negócio já está acostumado com regras, por que então fazer uma pergunta como essa? Antes da resposta, é importante lembrar que mesmo sendo altamente regulado, os bancos vivem hoje um enorme desafio para se reinventar digitalmente, onde os legados terão que conviver com tecnologias novas, de preferência na nuvem.
Os clientes querem acesso às transações nos smartphones, as agências bancárias também estão com papéis diferentes nessa transformação, sem contar com o surgimento de inúmeras fintechs com modelos de negócio completamente disruptivos. Esse cenário de mudanças radicais somado aos avanços do ciberataques fizeram com que o setor financeiro vivesse hoje essa redescoberta do business, ao mesmo tempo em que precisa gerar lucros e seguir no topo na inovação.
Não é uma tarefa fácil, principalmente quando incluímos nessa jornada as demandas de conformidade atual. Voltando à pergunta inicial, para muitos líderes presentes na mesa redonda, a resolução 4658 e a LGPD chegaram quase juntas, mas a Lei de Proteção de Dados tem demandado mais atenção, virando o principal projeto não comercial das instituições, tamanha é a complexidade.
Isso porque ela exige reformulação das abordagens de atendimento, guarda de informações, compartilhamento, transparência para o cliente, entre outras diretrizes. Na visão dos executivos presentes na Security Round Table, essa história de que o setor financeiro é o mais regulado e por isso não sofre pressão diante das leis, depende muito do porte da instituição, do modelo de negócio, do tempo da empresa e como ela lida com a informação.
Mas respondendo à pergunta de forma mais direta, os bancos estão redesenhando suas estratégias e estruturas internas para atender as demandas regulatórias. Falando de LGPD, o setor financeiro saiu na frente, mas o desafio é enorme, proporcional ao tamanho dessa vertical por conta da grande quantidade de dados tratados diariamente.
Para as instituições que atuam na Europa, a LGPD não está tão complexa, pois antes, veio a GDPR. O principal desafio de grandes bancos é a complexidade em mapear as informações nos mais diversos sistemas legados. Muitos estão trabalhando em parceria com consultorias especializadas nesse processo, mas na visão dos executivos, nem todas as empresas do setor estão prontas para atuar dentro do prazo da vigência da Lei, até então, prevista para agosto de 2020.
Responsabilidade do colegiado
Outro desafio do setor financeiro é encontrar a figura do DPO e fortalecer um trabalho em equipe, envolvendo áreas como recursos humanos, compliance, jurídico, risco e governança, além da Segurança da Informação, departamento que é visto como o principal candidato a assumir a responsabilidade da aplicação da LGPD.
Enquanto o DPO não toma as rédeas, a SI é quem lidera as iniciativas, desde reunir equipes a promover uma jornada de conscientização junto à diretoria da empresa. Até porque, diante de regulamentações, é importante que haja uma grande mobilização interna em que a responsabilidade seja de todos, cada departamento da instituição precisa estar engajado na causa.
Nos grandes bancos, essa estrutura só funciona envolvendo algumas áreas como Segurança da Informação, gestão de informações, jurídico, arquitetura de dados e linha de processos, formando um colegiado de profissionais.
Ecossistema alinhado
O cenário regulatório também exige os mesmos níveis de segurança em todo ecossistema de parceiros. É a hora de rever todos os contratos, pois a responsabilidade em caso de vazamento é da própria instituição financeira. Para as fintechs que não têm o problema dos legados, acaba ficando um pouco mais fácil, pois trabalham essa reestruturação já se adequando à LGPD e resolução 4658.
É uma atuação mais próxima ao parceiro que também tratam dos dados internos das empresas financeiras. Talvez, ao longo do caminho de conformidade, alguns serviços que antes eram terceirizados voltem a ser tratados dentro de casa, sob a gestão da própria instituição. A complexidade veio também mudar essa forma de contratação.
Prevenção e resposta
Sob os olhos da lei, há muito o que fazer. Se somarmos o cenário de ataques cibernéticos, a conta fica ainda mais alta, o que sinaliza investimentos tecnológicos na direção de soluções que ajudem na prevenção e resposta rápida diante dos incidentes. Para conscientizar a diretoria sobre as vulnerabilidades e importância em direcionar parte do budget para as regulamentações, os grandes bancos contam com programas e simulações de ataques. Ao longo desses exercícios, os processos são melhorados e a maturidade na resposta a incidente é elevada.
São atitudes que vão além de leis e regras, pois trata-se de continuidade de negócio em um cenário de gestão de crise diante de um caso de vazamento de dados. Segurança da Informação é feita por camadas e a LGPD obriga as empresas a ter novas camadas. As ferramentas de machine learning e inteligência artificial estão ganhando mais espaço ao auxiliar no mapeamento da informação, além de monitoramento da dark web entregando mais visibilidade.
Mas nem sempre o GAP tecnológico é algo preocupante, nessa corrida pela conformidade, um ponto importante como principal lição de casa é saber se a instituição está, de fato, usando todos os recursos das tecnologias já instaladas. Saber configurar bem uma solução é um ponto básico que muitas empresas erram.
O passo a passo dessa lição está diretamente ligado à pergunta inicial: o setor financeiro está preparado para as regulamentações? Talvez a melhor resposta seja que sim, mas com ressalvas, pois os C-Levels de Segurança da Informação sabem aonde precisam chegar, mas estão nesse momento traçando essa jornada, repensando força de trabalho, tecnologias existentes, soluções a serem adquiridas, conscientização e maturidade. Aqui, a tríade: tecnologia, processos e pessoas nunca fez tanto sentido.
