Banco Central: proposta de resolução da política cibernética e requisitos de contratação de computação em nuvem

É importante que os profissionais responsáveis pela Gestão da Segurança da Informação comecem a ler detalhadamente o que o Banco Central vai exigir.

O Banco Central do Brasil emitiu em 19 de setembro o Edital de Consulta Pública da Resolução que dispõe sobre a Política de Segurança Cibernética e sobre os Requisitos de Contratação de Serviços de Computação em Nuvem. Sugestões e comentários poderão ser feitos até 21 de novembro de 2017.

Com certeza serão realizadas várias sugestões, porém, acredito que a estrutura e os controles da resolução serão mantidos. Sendo assim, é importante que os profissionais responsáveis pela Gestão da Segurança da Informação comecem a ler detalhadamente o que o Banco Central vai exigir. Destaco abaixo as principais diretrizes, no meu entendimento, desta futura resolução do Banco Central.

Se aplica à sua organização?
Evidentemente estas regras devem ser “observadas pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central”. Aqui começa um primeiro cuidado que devemos ter. As organizações que são instituições financeiras, sem dúvida, bem como as que são autorizadas pelo BC. Mas, existem muitas organizações que estão neste limite, ou prestam serviços para instituições financeiras. Ou desejam prestar. Ou existe uma empresa no Grupo Corporativo que é instituição financeira e as outras não são, mas existe prestação de serviço interno de serviço e este fato faz “contaminar” a necessidade de proteção dos dados pelo maior rigor existente.

Sendo assim, verifique se sua organização precisará seguir esta resolução. Hoje ou no futuro de curto/médio prazo.

Política de Segurança Cibernética
De maneira forte e explícita é exigido a existência do regulamento direcionado para o ambiente cibernético. Devem ser definidos a existência de controles tipo:
– redução de vulnerabilidades de incidentes;
– rastreabilidade da informação;
– análise de causa e impacto de incidentes;
– cenários de incidentes para testes de continuidade de negócios;
– controles por empresas prestadoras de serviço;
– classificação da informação em relação à relevância;
– classificação do incidente em relação à relevância;
– contra intrusão;
– contra vazamento de dados;
– atualização de hardware w software;
– varreduras periódicas;
– contra softwares maliciosos;
– controle de acesso;
– segmentação de rede.

Digamos que as boas práticas, agora serão boas práticas oficialmente exigidas.

Plano de Ação e de Registro de Incidentes
A leitura da futura resolução do apresenta claramente a máxima importância que o Banco Central está depositando na gestão de incidentes.

O plano a ser definido deve no mínimo ter definido:
– as ações a serem desenvolvidas, e;
– as rotinas, os procedimentos, os controles e as tecnologias a serem utilizadas.

A organização deverá emitir um relatório anual descrevendo a efetividade da implementação do plano de ação, os incidentes relacionados, os resultados dos testes de continuidade de negócio considerando cenários de indisponibilidade gerados por incidentes.

Outra questão que o Banco Central prioriza e o compartilhamento de informações de incidentes. Oficializa que as organizações devem se preparar para este compartilhamento.

Responsabilização por um Diretor da Organização
As organizações designarão “um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes”. Este diretor pode desempenhar outras funções desde que não haja conflito de interesse.

Claramente a segurança e incidentes chegou formalmente no Corpo Diretivo da organização.

Contratação de Serviços de Computação em Nuvem
Quando da contratação de serviços de processamento e armazenamento de dados de computação em nuvem, são citados no regulamento várias responsabilidades da empresa contratada que evidentemente devem estar exigidas em contrato.

São vários controles com ênfase na confidencialidade da informação, garantia de que a empresa contratada cumpre os controles acordados, sustentabilidade da empresa prestadora contratada e no caso de encerramento das atividades como será o repasse da informação para outra, bem como a eliminação das informações originais.

Entendo que este bloco de controles deve ser referência não somente para as instituições financeiras, as para todas as organizações, que tomando por base a Norma NBR ISO/IEC 27017:2016 – Tecnologia da Informação – Código de prática para controles de segurança da informação com base ABNT NBR 27002 para serviços em nuvem, em conjunto com este futuro regulamento dará uma excelente referência para contratação de computação na nuvem.

Uma definição que encerra uma série de dúvidas: Art.11 – É vedada a contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem prestados no exterior.

São boas práticas que tomam a forma de controles formais para as organizações que estão obrigadas a seguir este futuro regulamento.

Conclusão
O objetivo deste curto comentário é resumir os principais controles e a abordagem prioritária dada pelo Banco Central nesta sua futura resolução. Com certeza posso ter deixado de fora algum controle. Afinal ainda estou nas primeiras leituras.

É bom que os profissionais de segurança da informação já comecem a debater internamente o impacto desta medida. Mesmo que aparentemente existindo um tempo para a implementação, entendo que esta futura resolução exigirá das organizações uma postura mais formal e rígida para controles que antes eram convenientes serem cumpridos.

E vamos compartilhar as ações que possam ajudar as outras empresas.