Quinta-feira, 22 de Agosto de 2019

Artigos
Sexta-feira, 19 de Julho de 2019, 10h:54

Carlos Macedo

Sua empresa está pronta para a resolução 4.658 do Banco Central do Brasil?

Carlos Macedo

Carlos Macedo

Em 26 de abril de 2018 o Banco Central do Brasil (BACEN) publicou a Resolução 4.658, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Estes serviços serão observados pelas instituições financeiras e demais organizações autorizadas a funcionar pelo Banco Central do Brasil. Todas estas entidades devem implementar e manter uma política de segurança cibernética formulada com base em princípios e diretrizes que assegurem a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados até dia 31 de dezembro de 2021.

Segundo o BACEN, a política de segurança cibernética deve, no mínimo, contemplar:

I. os objetivos de segurança cibernética da instituição;

II. os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;

III. os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;

IV. o registro e a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;

Apesar da resolução do BACEN falar em “Políticas de Segurança”, fica bem claro que para atender a todas as exigências, não estamos falando só de desenvolver ou validar as Políticas de Segurança da Informação. É muito mais que isso, o foco é estabelecer um Plano de Continuidade de Negócios - PCN.

O PCN é a base de toda a documentação de procedimentos e informações que deve ser mantida por uma organização e pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável.

Para se ter um PCN, é muito mais complexo do que apenas estabelecer políticas, é necessário:

1. Um documento de Escopo de Gestão da Continuidade de Negócios bem definido e com aprovação e apoio da Alta Administração.

2. O desenvolvimento de Políticas de Segurança clara e objetivas ou uma boa revisão periodicamente.

3. Designar todos os recursos necessários e competências para a continuidade.

4. Realizar uma profunda e eficaz análise de impacto aos negócios e risco, um dos pontos mais importantes e complexos para execução, pois todos os pontos de risco devem ser criteriosamente analisados e apontados de forma clara.

5. Estabelecer o processo de Gestão de Incidentes (Estratégia de Continuidade e Estrutura de Resposta), mais conhecido como Change Management (ITIL - Information Technology Infrastructure Library).

6. Finalmente, desenvolver o Plano de Continuidade de Negócios, observando todos os pontos, necessidades e validar cuidadosamente todas as ações.

Assim, com um PCN bem estruturado, é possível atender as exigências do BACEN na resolução 4.658. Lembrando que o prazo previsto para adequação não pode ultrapassar 31 de dezembro 2021 e deve ser aprovado pelo BACEN. Caso contrário, sua empresa terá problemas em continuar prestando serviços ao mercado financeiro.

Instituições que já possuem seu PCN

A instituição que já tem suas políticas e planos desenvolvidos deve elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, com data-base de 31 de dezembro.

O relatório anual deve abordar:

I. a efetividade da implementação das ações;

II. o resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes;

III. os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; e

IV. os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes.

O documento deve ser submetido ao comitê de risco, quando existente, e apresentado ao conselho de administração ou à diretoria da instituição até 31 de março do ano seguinte ao da data-base.

A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser aprovados, documentados e revisados anualmente pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição.

E você, já preparou seu PCN – Plano de Continuidade de Negócios?

 

Artigo escrito por: Carlos Macedo – Executivo de Tecnologia da Informação na innovativa Executivos Associados

 

Comentários










COMENTÁRIOS

Preencha o formulário e seja o primeiro a comentar esta notícia

Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião do site. Clique aqui para denunciar um comentário.