A Resolução do Banco Central do Brasil No. 4.658 de 26 de abril de 2018, dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
INTRODUÇÃO
Após uma consulta pública que terminou em novembro de 2017, o Banco Central do Brasil divulgou a Resolução 4658 em 26 de abril de 2018. Foram poucas as alterações para o texto final em vigor.
Esta resolução afeta as instituições financeiras e as demais instituições autorizadas a funcionar. Porém, afeta outras organizações como citado no artigo 3º, V.b: Empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição.
A Resolução BC 4658:2018, tem claramente os seguintes direcionadores:
a. Existência de regulamentos aprovados pela direção ou conselho.
b. Existência de controles para a implementação dos regulamentos.
c. Obrigatoriedade de implementação específicas de boas práticas.
d. Responsabilização de gestor em nível de diretoria.
e. Gestão de incidentes com aprovação pela direção ou conselho.
f. Continuidade do negócio.
g. Contratação de serviços de computação em nuvem.
Os controles de segurança da informação considerados na Resolução BC 4658:2018, seja como diretriz ou seja como uma regra detalhada, estão baseados em diversos normativos e em decisão específica do Banco Central.
Como normativos, podemos destacar os que estão diretamente conectados com os controles da resolução do BC:
- Norma NBR ISO 22301:2013 – Segurança da sociedade – Sistemas de Gestão de continuidade de negócio – Requisitos.
- Norma NBR ISO/IEC 27001:2013 – Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos.
- Norma NBR ISO/IEC 27002:2013 – Tecnologia da Informação – Técnicas de segurança – Código de prática para controles de segurança da informação.
- Norma NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação.
- Norma NBR ISO/IEC 27014:2013 – Tecnologia da Informação – Técnicas de segurança – Governança de segurança da informação.
- Norma NBR ISO/IEC 27017:2016 – Tecnologia da Informação – Técnicas de segurança – Código de prática controles segurança da informação para serviços em nuvem.
A Resolução BC 4658:2018 considerou as orientações destes e outros normativos, porém para alguns deles concretizou em controles bem específicos. Exemplo: “… tem que ser aprovado pelo Conselho de Administração, e na falta dele pela Diretoria da Instituição”.
Entendo que as instituições que possuem um Processo Organizacional de Segurança da Informação, terão mais facilidade para implementar o detalhamento dos controles exigidos pelo Banco Central. Elas já possuem a estrutura, a arquitetura.
DIRETRIZES E CONTROLES
Relaciono a seguir as diretrizes e os principais controles da resolução. O objetivo deste item é transmitir para o leitor, de uma forma simples, o que contempla esta resolução. Agrupei em tópicos para atender a este objetivo.
1. Controles Básicos (art. 2º, 3º, 9º.)
São exigidos alguns controles básicos de segurança da informação:
a. Política de Segurança Cibernética e Plano de Ação que precisam ser aprovados pelo Conselho de Administração ou Diretoria.
b. Confidencialidade, a integridade e a disponibilidade dos dados e sistemas de informação utilizados.
c. Controles que considerem o porte da instituição, seu perfil de risco, seu modelo de negócio, seus produtos e a sensibilidade dos dados.
d. Controles e procedimentos com rastreabilidade para a garantia da proteção de informações sensíveis.
e. Classificação de dados ou de informações.
2. Gestão de Incidentes (art. 3º)
A Gestão de Incidentes toma uma importância muito grande na resolução do BC. É exigido a existência e formalização dos seguintes controles relacionados à Gestão de Incidentes:
a. Identificação da causa e impactos dos incidentes.
b. Planos de ação e planos de resposta para incidentes.
c. Área específica para os registros de incidentes.
d. Plano de Continuidade de Negócio.
e. Relatório anual – Andamento plano de ação e resposta para incidentes.
f. Revisão anual pela direção ou conselho administração.
g. Tem que ser adotada por empresas prestadoras de serviços para a instituição, que manuseiem informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição.
3. Cultura em Segurança (art. 3º)
Um aspecto que a resolução exige é o tratamento para as pessoas que fazem a instituição ter vida. São obrigatórios os seguintes controles:
a. Implementação de programas de capacitação em segurança.
b. Comunicação para clientes e usuários.
c. Comprometimento da alta administração.
4. Controles Técnicos Mínimos (3º)
A resolução do BC descreve os controles técnicos mínimos que devem ser implementados. Ela não descreve o como implementar. Esta será uma responsabilidade dos profissionais de segurança da instituição que deverão implementar o melhor controle possível considerando a organização específica. Este fato também exige dos profissionais o entendimento de outros regulamentos. A resolução exige pelo menos os seguintes controles de tecnologia:
a. Autenticação.
b. Criptografia.
c. Prevenção e detecção de intrusão.
d. Prevenção de vazamento de informações.
e. Realização periódica de testes e varreduras.
f. Proteção contra software malicioso.
g. Mecanismos de rastreabilidade.
h. Segmentação de redes de computadores.
i. Cópias de segurança de informações.
j. Desenvolvimento de sistemas de informação seguros.
5. Computação em Nuvem (art. 10º ao 17º)
A contratação de serviços de processamento e armazenamento de dados e computação na nuvem deve obrigatoriamente:
a. Ser considerado nas políticas, estratégias e estruturas para o gerenciamento de riscos.
b. Verificar a capacidade da empresa prestadora de serviço (competência, recursos) e aderência as exigências da instituição.
c. Cumprir a legislação em vigor.
d. Ter acesso da instituição aos relatórios de auditorias recebidas pelo prestador de serviço.
e. Monitorar os serviços prestados.
f. Garantir de controles físicos e lógicos pela empresa prestadora de serviço para a proteção dos dados dos clientes da instituição.
g. Avaliar a criticidade do serviço e a sensibilidade dos dados que serão processados e armazenados pelo prestador de serviço.
h. Possibilitar o processamento dos serviços da instituição de maneira adequada à necessidade da instituição.
i. Garantir que a instituição é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.
j. Ser comunicada com sessenta dias de antecedência ao Banco Central do Brasil, indicando a empresa, os serviços, os países e regiões onde os dados serão processados e armazenados. Alterações contratuais também devem ser comunicadas.
k. A contratação dos serviços prestados no exterior deve ter como requisitos:- Existência de convênio BC com autoridades dos países.- Definição país e região onde os dados serão processados e armazenados.- Continuidade de negócio caso impossibilidade da prestação de serviço.- Autorização do BC caso não exista convênio com os países.- Legislação dos países permitam acesso das instituições e do BC.- Medidas para garantir a segurança da transmissão e armazenamento da informação.
l. Quando da extinção do contrato, obrigatoriedade de transferência de dados para o novo prestador de serviço de maneira a garantir a continuidade do serviço.
m. Diversos controles para garantir o efetivo cumprimento do contrato.
CONCLUSÃO
O Processo Organizacional da Segurança da Informação, baseado nas Normas da Família 27000 e outras complementares facilita o atendimento aos requisitos da Resolução BC 4658:2018.
O Processo Organizacional de Segurança da Informação é a base para que a instituição tenha condições de cumprir os controles definidos pela Resolução BC 4658:2018 e outros regulamentos.
A Arquitetura da Segurança da Informação contempla a Segurança Cibernética! Entendo que em médio prazo a grande maioria das organizações estarão obrigadas a seguir controles como esta resolução do BC. Seja porque a organização começou a prestar (direta ou indiretamente) serviços para instituições financeiras ou outros órgãos de controle emitiram resoluções similares ao BC. Uma questão é certa: cada vez mais os controles de segurança da informação serão mais rígidos e atingirão um maior número de tipos de organizações.