Páginas

maio 02, 2018

[Segurança] Nova regulamentação do Banco Central sobre Política de Segurança e Computação em Nuvem

No dia 26 de Abril, o Banco Central do Brasil (BCB) divulgou uma nova regulamentação para as instituições financeiras que aborda exigências sobre a política de segurança cibernética, com grande destaque ao tratamento de incidentes, e também os requisitos de segurança para a contratação de serviços de computação em nuvem.

Essa norma define o conteúdo mínimo da política de segurança cibernética das instituições financeiras, a necessidade de treinamento e conscientização, e que ela deve ser compartilhada com o Banco Central e revisada periodicamente. A norma dá muita importância para as exigências contratuais mínimas para serviços de computação em nuvem e sua adequação as políticas de riscos e segurança da instituição, além de que essa contratação deve ser previamente  aprovada pelo BCB. Além disso, há uma seção específica para diversas exigências relativas ao tratamento dos incidentes de segurança, incluindo ações para o compartilhamento de informações sobre esses incidentes.

Resolução nº 4.658, de 26/4/2018 foi fruto de uma consulta pública realizada em Setembro de 2017. A norma merece ser lida e consultada, e acredito que a regulamentação sobre contratação de serviços em nuvem foi o aspecto mais importante e esperado da norma.

Em geral, os principais pontos são os seguintes:
  • Seção I - "Da Implementação da Política de Segurança Cibernética" (Artigos 2º ao 3º): Define que as instituições financeiras devem implementar e manter uma Política de Segurança Cibernética que dite os princípios, diretrizes, procedimentos e contoles para assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas, de informação utilizados. Aqui ela não traz nenhuma novidade, pois essas exigências já são práticas de mercado. Mesmo assim, destaco os seguintes pontos:
    • Art. 3º, inciso VI (caput), item a) - a implementação de programas de capacitação e de avaliação periódica de pessoal;
    • Art. 3º, inciso VII (caput) - as iniciativas para compartilhamento de informações sobre os incidentes relevantes, mencionados no inciso IV, com as demais instituições referidas no art. 1º.
    • Art. 3º, § 2º - Os procedimentos e os controles de que trata o inciso II do caput devem abranger, no mínimo, a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.
  • Seção II - "Da Divulgação da Política de Segurança Cibernética" (Art. 4º e 5º) - Dita que a política de segurança cibernética deve ser divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros, além de ter um resumo divulgado ao público;
  • Seção III - "Do Plano de Ação e de Resposta a Incidentes" (Art. 6º ao 10º) - Seção relativamente longa, em minha opinião, para detalhar essa que deveria ser apenas uma das diversas práticas dentro da área de segurança, mostrando a importância que as instituições financeiras devem dar ao tratamento de incidente. Aqui, o BCB define que devem existir rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, sob responsabilidade de um diretor:
    • Art. 7º - As instituições (...) devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.
  • Capítulo III - "Da Contratação de Serviços de Processamento e Armazenamento de Dados de Computação em Nuvem" (Art. 11 ao 18) - Este é o capítulo que define as exigências de segurança e riscos para serviços em nuvem, no Brasil ou no exterior. Em linhas gerais, diz que as políticas, estratégias, procedimentos e ferramentas que se aplicam a terceirização de serviços também se aplicam a Nuvem. Os pontos mais importantes desse capítulo, na minha opinião, são:
    • Art. 11. - As instituições referidas no art. 1º devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.
    • Art. 12, § 3º - No caso da execução de aplicativos por meio da internet, referidos no inciso III do art. 13, a instituição deve assegurar que o potencial prestador dos serviços adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.
    • Art. 14. - A instituição contratante dos serviços mencionados no art. 12 é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.
    • Art. 15. - A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser previamente comunicada pelas instituições referidas no art. 1º ao Banco Central do Brasil.
    • Art. 16. - A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior deve observar os seguintes requisitos:
      I - a existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados;
      II - a instituição contratante deve assegurar que a prestação dos serviços referidos no caput não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central do Brasil;
      III - a instituição contratante deve definir, previamente à contratação, os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;
    • Art. 16, § 2º - Para atendimento aos incisos II e III do caput, as instituições deverão assegurar que a legislação e a regulamentação nos países e nas regiões em cada país onde os serviços poderão ser prestados não restringem nem impedem o acesso das instituições contratantes e do Banco Central do Brasil aos dados e às informações.
    • Art. 17. - Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever:
      (...)
      VII - a permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações;
      VIII - a adoção de medidas pela instituição contratante, em decorrência de determinação do Banco Central do Brasil;
  • Capítulo IV - Disposições Gerais
    • Art. 20. Os procedimentos adotados pelas instituições para gerenciamento de riscos previstos na regulamentação em vigor devem contemplar, no tocante à continuidade de negócios:
      (...)
      III - a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes, citados no inciso I, que configurem uma situação de crise pela instituição financeira, bem como das providências para o reinício das suas atividades.
    • Art. 22. Sem prejuízo do dever de sigilo e da livre concorrência, as instituições mencionadas no art. 1º devem desenvolver iniciativas para o compartilhamento de informações sobre os incidentes relevantes de que trata o art. 3º, inciso IV.
      § 1º O compartilhamento de que trata o caput deve abranger informações sobre incidentes relevantes recebidas de empresas prestadoras de serviços a terceiros.
  • Capítulo V - Disposições Finais
    • Art. 23. - Ele determina que todas as informações sobre a política de segurança e sobre as exigências desta regulamentação devem ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos.
    • Art. 25. - O prazo máximo para as instituições financeiras adequarem seus serviços existentes de processamento, armazenamento de dados e de computação em nuvem é 31 de dezembro 2021.
    • Art. 26. - A aprovação da política de segurança cibernética, referida no art. 2º, e do plano de ação e de resposta a incidentes, referido no art. 6º, deve ser realizada, na forma do art. 9º, até 6 de maio de 2019.

Uma grande diferença entre a regulamentação e a versão da consulta pública é a retirada da limitação de que os serviços em Nuvem só poderiam ser baseados no Brasil. Em vez de restringir, o Banco Central optou por exigir que a contratação de serviços em nuvem no exterior seja previamente comunicada pela instituição financeira (Art. 16) e que o BCB tenha os devidos acessos as informações armazenadas na nuvem, quando necessário (Art. 16 e 17).

Um ponto preocupante para o mercado de segurança, e que pode passar desapercebido, é o § 1º do Artigo 22, pois diz que as instituições financeiras devem compartilhar entre si informações sobre incidentes relevantes que tenham sido recebidas de empresas prestadoras de serviços a terceiros. Ou seja, se um banco contratar uma empresa de inteligência e esta lhe fornecer alguma informação relevante sobre um novo ataque, por exemplo, ese banco deve compartilhar a informação com os demais. Ou seja, um banco mais "preguiçoso" não precisa investir em capacidade própria de inteligência: basta ele ficar sentado esperando que os demais bancos lhes envie as informacões que obtiver.

Nenhum comentário:

Postar um comentário