fbpx
Política de segurança cibernética

Implementação de controles da política de Segurança Cibernética do BACEN 4.658/3.909

Tempo de leitura: 6 minutos

Implementar uma política de segurança cibernética não é tarefa simples. O mercado financeiro atual conta com as facilidades tecnológicas disponibilizadas pelas fintechs para agilizar seus processos de pagamento. Com o surgimento das ameaças de cibersegurança e novos casos de vazamento de dados, a continuidade de negócios dessas instituições financeiras se transformou em uma grande preocupação para todos, especialmente para o Banco Central.

Muitas empresas comumente terceirizam os serviços de infraestrutura visando reduzir custos operacionais, mas não costumam realizar todos os controles necessários para gerenciar os riscos relacionados à essa prática. 

Como uma forma de contornar o cenário, o BACEN criou a resolução 4.658 e a circular 3.909 com o objetivo de esclarecer às responsabilidades dos fornecedores de tecnologia que lidam com dados de clientes de instituições financeiras e instituições de pagamento através de controles da política de segurança cibernética

A resolução 4.658 / 3.909 do BACEN dispõe de controles da política de segurança cibernética e requisitos para a contratação de serviços de processamento, serviços de armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e instituições de pagamento.

Uma vez que o mercado financeiro precisa estar em conformidade com a resolução e empresas desse segmento são altamente dependentes de tecnologia, as empresas que não se adequarem às normas podem perder oportunidades e correr riscos desnecessários pela ausência dos controles da política de segurança cibernética.

Continue a leitura do artigo e descubra como atender aos controles da política de segurança cibernética estabelecidos pela resolução BACEN 4.658 / 3.909 de forma ágil e eficiente através da nossa plataforma de gestão de conformidade. Aproveite e baixe o nosso checklist de conformidade com o BACEN 4.658 / 3.909 e comece hoje mesmo o processo de conformidade da sua empresa.

Sobre o BACEN 4.658 / 3.909 

A resolução orienta que as instituições devem implementar e manter controles da política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados dos sistemas de informação utilizados. A política deve considerar o porte, o perfil de risco, modelo de negócio, natureza das operações e complexidade de produtos e serviços das empresas.

Para estabelecer uma política de segurança cibernética e estar em conformidade com o BACEN 4.658 / 3.909, é necessário desenvolver controles de gestão da segurança da informação em toda a estrutura da empresa, fazendo uso principalmente dessas atividades:

  • Os processos de gestão de vulnerabilidades, como testes de vulnerabilidade e gerenciamento de patches são cruciais para atenuar as novas ameaças à segurança cibernética.
  • Uma boa estratégia de monitoramento atua no combate de alertas falsos positivos e apoia a resposta aos incidentes de forma eficaz. 
  • Um plano de resposta à incidentes de segurança da informação bem planejado é indicado para gerenciar a reação da empresa após um ataque cibernético ou violação de segurança.
  • A gestão de risco de fornecedores é uma atividade importante para esse cenário regulatório. Os prestadores de serviço devem apresentar recursos e competências necessários para a adequada gestão dos serviços contratados.

A resolução BACEN 4.658 / 3.909 define vários processos e controles da política de segurança cibernética. As empresas costumam possuir dificuldades em quais itens devem ser priorizados inicialmente e como acompanhar a evolução da conformidade da empresa em relação a legislação.

A seguir demonstramos como realizar o gerenciamento dos controles da política de segurança cibernética utilizando a nossa plataforma GAT – Get Ahead of Threats. Continue a leitura do artigo e veja como isso pode tornar seu processo de conformidade mais eficiente.

Base de conhecimento

O GAT possui uma das mais completas bases de conhecimento relacionadas à segurança da informação dentro de sua plataforma. É fácil criar novos controles utilizando nossa base de conhecimento e adequar para as suas necessidades específicas. O checklist de controles da resolução 4.658 / 3.909 do BACEN está disponível em nossa base de conhecimento junto com outros checklists como PCI-DSS, ISO 27001, ISO 27701 e avaliação de fornecedores.

Ao gerenciar os controles da política de segurança cibernética a serem implementados, temos diversas questões relacionadas à gestão de segurança da informação que precisam ser verificadas com o devido questionamento às áreas responsáveis. Veja como adereçar e acompanhar esses itens para os responsáveis através de um projeto dentro da plataforma.

Gerenciamento de Projetos

A segregação do projeto de conformidade com a resolução do BACEN em pacotes menores para o melhor gerenciamento das atividades é recomendada como uma boa prática de gerenciamento do projeto. Isso permite desenvolver o projeto de acordo com a necessidade de priorização e criticidade dos controles para a empresa.

A implementação de controles críticos pode ser atribuída a um determinado setor. Com a plataforma é possível descrever o escopo da entrega, indicar responsáveis e definir prazos.

Como o projeto de conformidade foi dividido em etapas menores e cada etapa possui um responsável junto com a data de entrega, é possível visualizar de forma integrada o andamento do projeto e envolver colaborativamente todos os participantes do projeto. Essa visão é ideal para reuniões de acompanhamento do projeto e para identificar prontamente os impedimentos.

Checklist BACEN

O uso de checklists é recomendado quando for necessário a implementação dos controles internos desenvolvidos para a conformidade com a resolução do BACEN. Os checklists dentro do GAT são recursos poderosos da plataforma e são usados para acompanhar a evolução dos controles definidos de forma automatizada e integrada. 

Para iniciar a avaliação de uma aplicação com base no checklist BACEN é necessário criar  um projeto e associar esse checklist ao ativo do tipo aplicação que irá ser avaliado. Nossa documentação descreve esse processo em mais detalhes.

Uma vez criado, o analista de segurança ou security champion utiliza sua conta para acessar o projeto dentro do GAT e responder ao checklist.

Avaliação de fornecedores externos

Para a avaliação de fornecedores externos, podemos usar o recurso de avaliação disponibilizado pela plataforma. Esse recurso avalia o nível de conformidade dos fornecedores de serviço em relação a resolução do BACEN e outros controles regulatórios.

É possível acompanhar o preenchimento da avaliação dos controles em tempo real, fazer comentários e anexar documentos de evidências que servem para comprovar a conformidade, criando um histórico de atividades para os controles da política de segurança cibernética.

Quando o fornecedor apresentar algum requisito em não conformidade, podemos criar uma automação para que de forma automática tenhamos conhecimento dessa informação. Assim, podemos solicitar uma tratativa para o fornecedor imediatamente, evitando uma janela maior de exposição à esse risco. Uma das vantagens em utilizar a plataforma para a avaliação de fornecedores é que as pessoas externas receberão um formulário web onde é possível descrever os controles existentes, anexar arquivos e esclarecer dúvidas em tempo real, sem precisarmos conceder acesso ao GAT. Isso já estará integrado e trazendo dados ao nosso processo de gestão de segurança na plataforma de forma ágil e eficiente. 

Enquanto isso, a área interna responsável pelo envio do controle pode acompanhar a evolução do preenchimento em tempo real e receber alertas quando sua atenção é solicitada. Essa dinâmica cria um processo colaborativo e ágil para a resolução de pequenas burocracias referentes aos controles da política de segurança cibernética.

Esse artigo explica em mais detalhes como funciona o processo de avaliação dentro da plataforma caso você queira saber mais detalhes.

Apontamentos

Os apontamentos são na plataforma GAT o modo que disponibilizamos as informações referentes aos diversos itens de Segurança da Informação a serem gerenciados, tais como vulnerabilidades tecnológicas, vazamento de e-mails, controles referente a implementação de conformidades, entre outras possibilidades. 

No caso dos controles do BACEN, cada item dos controles corresponde a um apontamento. O estado do apontamento não conforme será sempre “pendente”, enquanto o controle que estiver em conformidade terá o status de “corrigido”. Você pode alterar isso manualmente nos seus controles internos ou enviando um novo questionário para um fornecedor.  

dashboard política de segurança cibernética

Podemos criar uma observação ou tag, definir um plano de ação para um controle, adicionar evidências sobre a conclusão de alguma implementação, fazer comentários e visualizar um histórico de todas as ações realizadas sobre o controle, conforme demonstrado neste artigo.

Dashboards e métricas

A plataforma GAT é excelente para visualização de métricas específicas referente a implementação de controles de conformidade. Os dashboards são usados para verificar quais controles devem ser priorizados e qual a situação de cada controle de forma rápida e atualizada. É possível customizar novos gráficos, definir métricas e determinar a severidade dos controles relacionados à conformidade de acordo com o ativo, por exemplo.

dashboard política de segurança cibernética BACEN

Estas métricas auxiliam áreas do negócio nas ações que devem ser tomadas diante destas implementações de controle. 

Conclusão

Nesse artigo exploramos como a plataforma GAT contribui com a sua conformidade em relação às leis e regulamentações vigentes, particularmente com a resolução 4.658 e 3.909 do BACEN para a criação de controles da política de segurança cibernética. Muitas empresas ainda fazem uso de sistemas ineficientes ou planilhas desconexas para o gerenciamento dos seus controles de segurança e conformidade. Esses recursos não apresentam de forma clara a evolução dos projetos e não possuem histórico de alterações importantes para apresentação a auditorias.

O GAT foi construído para automatizar processos, realizar a comunicação e rastreabilidade dos apontamentos. Contribui com uma visão ágil das informações para priorização na tomada de decisão e gerenciamento dos processos de conformidade com visibilidade centralizada. Seus recursos tornam a implementação de controles dentro da empresa muito mais eficiente e menos custosa, proporcionando uma economia de tempo através do ganho de eficiência e de dinheiro já que com GAT não é necessário uma consultoria externa ou recurso extra para avaliar a conformidade de terceiros. 
Nossa base de conhecimento está em constante atualização e expansão com as principais leis e regulamentos relacionados à segurança cibernética pelo mundo. Aproveite e baixe o nosso checklist de conformidade com o BACEN 4.658 / 3.909. Agende uma demonstração e saiba como desenvolver um processo de conformidade eficiente e seguro.

Você também pode curtir isso:

+55 11 4450 0996

Av. Angélica, 2582 – 2 andar – São Paulo – SP, 01228-200

Copyright © 2019-2020

Newsletter