Estratégia em Segurança

Como atender os requisitos do BACEN 4.658?

Em 26 de Abril de 2018, entrou em vigor pelo Banco Central a resolução do BACEN 4.658 que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e instituições de pagamento.

Ou seja, os grandes bancos e também startups e fintechs precisarão adotar um programa de segurança da informação para reduzir fraudes e garantir a privacidade de seus clientes.

Neste artigo, vamos focar em como estabelecer a política de segurança cibernética e atender aos requisitos exigidos pela resolução BACEN 4.658.

resolução bacen 4.658

Estabelecer e Manter Política de Segurança Cibernética

A resolução BACEN 4.658 determina que a política de segurança cibernética:

  • Contemple critérios que assegure confidencialidade, integridade e disponibilidade dos dados e sistemas utilizados
  • Reduza o risco de vazamento de informações
  • Seja compatível com porte, perfil de risco e modelo de negócio da instituição
  • Defina os objetivos da segurança cibernética
  • Seja apoiada pela alta administração com a melhoria contínua dos procedimentos

A política de segurança cibernética deve considerar todo ambiente organizacional, considerando todos envolvidos na operação da empresa, principalmente os colaboradores, os processos, as tecnologias em uso (ativos de rede, estações de trabalho, servidores, aplicações, Cloud, API, apps, WiFi, IoT, entre outros) e fornecedores.

resolução bacen 4.658 IBLISS

Quais os controles exigidos?

Para estabelecer a política de segurança cibernética e assim atender a BACEN 4.658, é necessária a adoção de um atividades recorrentes de gestão de segurança sobre todo o ambiente organizacional, por meio dos seguintes processos:

Gestão de Vulnerabilidades

Testes manuais (pentest e red team) e varreduras de vulnerabilidade automatizadas e periódicas. Essa atividade permite atuar de forma preventiva na visibilidade das ameaças do ambiente organizacional e corrigir as vulnerabilidades por ordem de criticidade e impacto aos processos de negócio.

Monitoramento contínuo

Identificação contínua das tentativas de intrusão, comportamentos anômalos, acessos não autorizados, presença de novos dispositivos na rede, além de prover inteligência de ameaças (threat intelligence) com o objetivo de identificar ameaças e reduzir incidentes.

Plano de Resposta à incidentes de segurança da informação

Definição do plano de ação, procedimentos, tecnologias, responsáveis e plano de comunicação para cada tipo de incidente. Isso é de extrema importância para permitir a resposta rápida em situações emergenciais e conter possíveis perdas e danos. Além disso, deve ser elaborado relatório anual contendo incidentes relevantes, rotinas e tecnologias utilizadas, efetividade das contenções e resultado dos testes de continuidade executados por exercícios Red Team.

Gestão de Risco de Fornecedores

Definição e implementação de procedimentos de auditoria para avaliação da postura e maturidade em segurança cibernética dos parceiros, por meio de checklists e verificações automatizadas (Security ratings). Com isso, é possível definir uma linha de base para a escolha dos parceiros estratégicos e gerenciar as conformidades exigidas à eles.

Segurança em aplicações

Adoção de práticas de segurança durante o ciclo de desenvolvimento de forma garantir o desenvolvimento de software seguro, reduzir o custo de manutenção ao antecipar bugs e vulnerabilidades, identificar e mitigar o risco de segurança em novos projetos.

Disseminação da cultura

Divulgação da Política de Segurança Cibernética, com linguagem clara, acessível e com detalhamento compatível com as funções e sensibilidade das informações. A empresa desenvolver cartilhas, promover a capacitação e avaliação periódica de colaboradores através de um programa de conscientização, além de contemplar o aculturamento do cliente, por meio de dicas e alertas.

 

Qual o prazo para adequação à resolução BACEN 4.658?

A resolução define prazos para seu pleno estabelecimento conforme o tipo da instituição. O primeiro prazo requer uma atenção especial das instituições para análise do ambiente atual e definição do plano de ação para atendimento aos requisitos em seus devidos prazos:

Cronograma
Instituições Financeiras e demais autorizadas
Instituições de Pagamento
Entrada em vigor 26.04.2018 01.09.2019
Adequação Política 03.10.2018
(180 dias após vigor)
29.11.2019
(90 dias após vigor)
Aprovação da Política, Plano, Incidentes 06.05.2019
(1 ano após vigor)
29.11.2018
(90 dias após vigor)
Data Limite de adequação às diretrizes 31.12.2021 31.12.2021

Como a IBLISS pode ajudar?

A IBLISS oferece a plataforma de gestão e programas de segurança customizados para empresas de todos tamanhos, que aceleram a adoção dos controles exigidos pela resolução BACEN 4.658:

Plataforma GAT

  • Gestão dos processos de segurança
  • Catalogação de riscos e vulnerabilidades de forma integrada
  • Gestão de auditoria de fornecedores
  • Gestão da conformidade com a regulamentação
  • Criação de planos de ação e acompanhamento
  • Visibilidade centralizada de indicadores

Risk & Compliance

  • Assessment do atendimento aos requisitos da resolução
  • Análise do nível de maturidade da organização em segurança da informação
  • Elaboração dos planos de ação para correção e mitigação dos riscos
  • Definição da política de segurança cibernética, do plano de resposta à incidentes, do processo de gestão de vulnerabilidade, entre outros.

Cyber-protection

  • Gestão de Vulnerabilidades: identificação recorrente de vulnerabilidades, triagem, classificação e priorização das correções
  • Gestão de baseline: homologação de procedimento de configuração segura para ativos e sistemas, e identificação recorrente
  • Monitoramento contínuo de ameaças e threat intelligence

Hacker as a Service

  • Testes de invasão para identificar vulnerabilidades no ambiente organizacional
  • Auditoria de fornecedores
  • Exercícios Red Team para validar o processo de monitoração e plano de resposta à incidentes

Application Security

  • Revisão de maturidade do processo de desenvolvimento em segurança
  • Revisão dos controles da aplicação
  • Automatização de testes de segurança
  • Definição de requisitos de segurança para desenvolvimento e contratação de software
  • Adoção do ciclo de desenvolvimento seguro de software

Education

  • Definição do programa de conscientização
  • Criação de campanhas: cartilha, gincana, pílulas de segurança
  • Avaliação periódica de colaboradores por disparos de phishing e quiz
  • Auditoria de senhas
  • Testes de engenharia social para validar a efetividade do programa
  • Palestras e Workshops de conscientização por níveis de conhecimento

Conte com a IBLISS para apoiar na conformidade com a resolução BACEN 4.658.