Recentemente, o Banco Central do Brasil (Bacen) tornou pública a Resolução Nº 4.658 que estabelece a obrigação de uma política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Ela aborda questões objetivas e subjetivas, exigindo visão analítica em sua interpretação e discussões internas de entendimento para sua aplicação. Tópicos relevantes como serviços em nuvem no exterior, prontidão e transparência em casos de incidentes de segurança cibernética, compartilhamento de informações, envolvimento do conselho de administração, controle de informações sensíveis, classificação de dados e responsabilização por vazamento de informações sensíveis, que eram objeto de permanente discussão no mercado, são tratados na resolução, permitindo às instituições direcionarem suas decisões estratégicas, táticas e operacionais a este respeito.
Em vigor desde de 26 de abril de 2018, a resolução obriga as instituições financeiras e demais instituições autorizadas a funcionar pelo Bacen a definir, implementar, divulgar e manter política de segurança cibernética formulada a partir de princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizado. Desta forma, se introduz a relatividade sobre o aspecto da sensibilidade dos dados e informações dentro da visão associada aos riscos operacionais e de imagem, e a privacidade de dados, imputando responsabilidade às instituições. Nesse sentido, agora é necessária a designação de um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.
Além disso, a política deve contemplar a capacidade de prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados ao ambiente cibernético, demandando reavaliação de procedimentos e controles internos sob à luz dos objetivos definidos. Considerando os avanços da tecnologia digital, a natureza das operações e a complexidade dos produtos, serviços, atividades e processos, o atendimento pleno desta exigência regulatória será um grande desafio. Sabemos que os procedimentos e controles existentes, bem como aqueles a serem construídos, estão apoiados em pessoas, o que vai requerer change management e conscientização, em processos e mecanismos de segurança. Vai implicar também em reavaliação da arquitetura tecnológica de segurança e novos investimentos.
Também passa a ser exigido um plano de ação e de resposta a incidentes instaurados e iniciativas para compartilhamento de informações sobre os incidentes relevantes com as demais instituições. Isso é uma novidade para esse setor e dará forma ao que já acontece de maneira informal, abrindo possibilidades de usar benchmarks internacionais, principalmente do mercado americano que é muito avançado neste tema.
Por fim, a Resolução determina que as instituições devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos especifiquem critérios de decisão e sigam requisitos do regulador quanto à contratação de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior. O contrato entre instituição financeira e prestador de serviços em nuvem terá cláusulas mínimas e estabelecerá adoção de procedimentos que englobem práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas.
Como era de se esperar, a resolução define prazos para ações de designação, aprovação, adequação, comunicação, assim como de emissão regular de relatório anual. As instituições devem estabelecer de imediato uma força tarefa para identificar as lacunas existentes em relação às exigências e definir os planos de ação para o cumprimento dos prazos.
Dessa forma, o Bacen estabelece o posicionamento do regulador e os critérios a serem cumpridos em segurança cibernética, permitindo que as instituições reguladas avancem de maneira estruturada em um mundo cada vez mais digital, melhorem a relação de confiança com o mercado e sejam efetivas na gestão de riscos, no compliance e controles internos, enfim, na governança cibernética.
* Edgar D’Andrea é sócio da PwC Brasil e líder de Ciber Segurança e Privacidade
