Implementar uma polÃtica de segurança cibernética não é tarefa simples. O mercado financeiro atual conta com as facilidades tecnológicas disponibilizadas pelas fintechs para agilizar seus processos de pagamento. Com o surgimento das ameaças de cibersegurança e novos casos de vazamento de dados, a continuidade de negócios dessas instituições financeiras se transformou em uma grande preocupação para todos, especialmente para o Banco Central.
Muitas empresas comumente terceirizam os serviços de infraestrutura visando reduzir custos operacionais, mas não costumam realizar todos os controles necessários para gerenciar os riscos relacionados à essa prática.
Como uma forma de contornar o cenário, o BACEN criou a resolução 4.658 e a circular 3.909 com o objetivo de esclarecer à s responsabilidades dos fornecedores de tecnologia que lidam com dados de clientes de instituições financeiras e instituições de pagamento através de controles da polÃtica de segurança cibernética.
A resolução 4.658 / 3.909 do BACEN dispõe de controles da polÃtica de segurança cibernética e requisitos para a contratação de serviços de processamento, serviços de armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e instituições de pagamento.
Uma vez que o mercado financeiro precisa estar em conformidade com a resolução e empresas desse segmento são altamente dependentes de tecnologia, as empresas que não se adequarem à s normas podem perder oportunidades e correr riscos desnecessários pela ausência dos controles da polÃtica de segurança cibernética.
Continue a leitura do artigo e descubra como atender aos controles da polÃtica de segurança cibernética estabelecidos pela resolução BACEN 4.658 / 3.909 de forma ágil e eficiente através da nossa plataforma de gestão de conformidade. Aproveite e baixe o nosso checklist de conformidade com o BACEN 4.658 / 3.909 e comece hoje mesmo o processo de conformidade da sua empresa.
Nesse artigo falamos sobre:
A resolução orienta que as instituições devem implementar e manter controles da polÃtica de segurança cibernética formulada com base em princÃpios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados dos sistemas de informação utilizados. A polÃtica deve considerar o porte, o perfil de risco, modelo de negócio, natureza das operações e complexidade de produtos e serviços das empresas.
Para estabelecer uma polÃtica de segurança cibernética e estar em conformidade com o BACEN 4.658 / 3.909, é necessário desenvolver controles de gestão da segurança da informação em toda a estrutura da empresa, fazendo uso principalmente dessas atividades:
A resolução BACEN 4.658 / 3.909 define vários processos e controles da polÃtica de segurança cibernética. As empresas costumam possuir dificuldades em quais itens devem ser priorizados inicialmente e como acompanhar a evolução da conformidade da empresa em relação a legislação.
A seguir demonstramos como realizar o gerenciamento dos controles da polÃtica de segurança cibernética utilizando a nossa plataforma GAT – Get Ahead of Threats. Continue a leitura do artigo e veja como isso pode tornar seu processo de conformidade mais eficiente.
O GAT possui uma das mais completas bases de conhecimento relacionadas à segurança da informação dentro de sua plataforma. É fácil criar novos controles utilizando nossa base de conhecimento e adequar para as suas necessidades especÃficas. O checklist de controles da resolução 4.658 / 3.909 do BACEN está disponÃvel em nossa base de conhecimento junto com outros checklists como PCI-DSS, ISO 27001, ISO 27701 e avaliação de fornecedores.
Ao gerenciar os controles da polÃtica de segurança cibernética a serem implementados, temos diversas questões relacionadas à gestão de segurança da informação que precisam ser verificadas com o devido questionamento à s áreas responsáveis. Veja como adereçar e acompanhar esses itens para os responsáveis através de um projeto dentro da plataforma.
A segregação do projeto de conformidade com a resolução do BACEN em pacotes menores para o melhor gerenciamento das atividades é recomendada como uma boa prática de gerenciamento do projeto. Isso permite desenvolver o projeto de acordo com a necessidade de priorização e criticidade dos controles para a empresa.
A implementação de controles crÃticos pode ser atribuÃda a um determinado setor. Com a plataforma é possÃvel descrever o escopo da entrega, indicar responsáveis e definir prazos.
Como o projeto de conformidade foi dividido em etapas menores e cada etapa possui um responsável junto com a data de entrega, é possÃvel visualizar de forma integrada o andamento do projeto e envolver colaborativamente todos os participantes do projeto. Essa visão é ideal para reuniões de acompanhamento do projeto e para identificar prontamente os impedimentos.
O uso de checklists é recomendado quando for necessário a implementação dos controles internos desenvolvidos para a conformidade com a resolução do BACEN. Os checklists dentro do GAT são recursos poderosos da plataforma e são usados para acompanhar a evolução dos controles definidos de forma automatizada e integrada.
Para iniciar a avaliação de uma aplicação com base no checklist BACEN é necessário criar um projeto e associar esse checklist ao ativo do tipo aplicação que irá ser avaliado. Nossa documentação descreve esse processo em mais detalhes.
Uma vez criado, o analista de segurança ou security champion utiliza sua conta para acessar o projeto dentro do GAT e responder ao checklist.
Para a avaliação de fornecedores externos, podemos usar o recurso de avaliação disponibilizado pela plataforma. Esse recurso avalia o nÃvel de conformidade dos fornecedores de serviço em relação a resolução do BACEN e outros controles regulatórios.
É possÃvel acompanhar o preenchimento da avaliação dos controles em tempo real, fazer comentários e anexar documentos de evidências que servem para comprovar a conformidade, criando um histórico de atividades para os controles da polÃtica de segurança cibernética.
Quando o fornecedor apresentar algum requisito em não conformidade, podemos criar uma automação para que de forma automática tenhamos conhecimento dessa informação. Assim, podemos solicitar uma tratativa para o fornecedor imediatamente, evitando uma janela maior de exposição à esse risco. Uma das vantagens em utilizar a plataforma para a avaliação de fornecedores é que as pessoas externas receberão um formulário web onde é possÃvel descrever os controles existentes, anexar arquivos e esclarecer dúvidas em tempo real, sem precisarmos conceder acesso ao GAT. Isso já estará integrado e trazendo dados ao nosso processo de gestão de segurança na plataforma de forma ágil e eficiente.
Enquanto isso, a área interna responsável pelo envio do controle pode acompanhar a evolução do preenchimento em tempo real e receber alertas quando sua atenção é solicitada. Essa dinâmica cria um processo colaborativo e ágil para a resolução de pequenas burocracias referentes aos controles da polÃtica de segurança cibernética.
Esse artigo explica em mais detalhes como funciona o processo de avaliação dentro da plataforma caso você queira saber mais detalhes.
Os apontamentos são na plataforma GAT o modo que disponibilizamos as informações referentes aos diversos itens de Segurança da Informação a serem gerenciados, tais como vulnerabilidades tecnológicas, vazamento de e-mails, controles referente a implementação de conformidades, entre outras possibilidades.
No caso dos controles do BACEN, cada item dos controles corresponde a um apontamento. O estado do apontamento não conforme será sempre “pendente”, enquanto o controle que estiver em conformidade terá o status de “corrigido”. Você pode alterar isso manualmente nos seus controles internos ou enviando um novo questionário para um fornecedor.
Podemos criar uma observação ou tag, definir um plano de ação para um controle, adicionar evidências sobre a conclusão de alguma implementação, fazer comentários e visualizar um histórico de todas as ações realizadas sobre o controle, conforme demonstrado neste artigo.
A plataforma GAT é excelente para visualização de métricas especÃficas referente a implementação de controles de conformidade. Os dashboards são usados para verificar quais controles devem ser priorizados e qual a situação de cada controle de forma rápida e atualizada. É possÃvel customizar novos gráficos, definir métricas e determinar a severidade dos controles relacionados à conformidade de acordo com o ativo, por exemplo.
Estas métricas auxiliam áreas do negócio nas ações que devem ser tomadas diante destas implementações de controle.
Nesse artigo exploramos como a plataforma GAT contribui com a sua conformidade em relação à s leis e regulamentações vigentes, particularmente com a resolução 4.658 e 3.909 do BACEN para a criação de controles da polÃtica de segurança cibernética. Muitas empresas ainda fazem uso de sistemas ineficientes ou planilhas desconexas para o gerenciamento dos seus controles de segurança e conformidade. Esses recursos não apresentam de forma clara a evolução dos projetos e não possuem histórico de alterações importantes para apresentação a auditorias.
O GAT foi construÃdo para automatizar processos, realizar a comunicação e rastreabilidade dos apontamentos. Contribui com uma visão ágil das informações para priorização na tomada de decisão e gerenciamento dos processos de conformidade com visibilidade centralizada. Seus recursos tornam a implementação de controles dentro da empresa muito mais eficiente e menos custosa, proporcionando uma economia de tempo através do ganho de eficiência e de dinheiro já que com GAT não é necessário uma consultoria externa ou recurso extra para avaliar a conformidade de terceiros.
Nossa base de conhecimento está em constante atualização e expansão com as principais leis e regulamentos relacionados à segurança cibernética pelo mundo. Aproveite e baixe o nosso checklist de conformidade com o BACEN 4.658 / 3.909. Agende uma demonstração e saiba como desenvolver um processo de conformidade eficiente e seguro.