fala pessoal bem-vindos a mais uma aula pro concurso do Banco do Brasil e só para lembrar quem quiser ter acesso ao curso completo com a apostila em PDF com todos os slides que eu utilizo nas aulas com material de resumo direcionado paraa revisão e um banco com questões comentadas primeiro link aqui na descrição e no mais peço aí para vocês deixarem o like nesse vídeo e desejo a todos vocês uma excelente aula pessoal agora a gente vai estudar aqui a resolução CMN 4893 de 2021 que vai falar sobre a política de segurança cibernética e os
requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuven que vão ser levados em consideração pelas instituições autorizadas a funcionar pelo banco central que que é segurança cibernética basicamente né é o a política que a instituição ela vai adotar para proteger os dados que ela tem né fazer ali a proteção contra-ataques que podem vi aí de de criminosos tentando acessar o ambiente a rede da instituição financeira isso que vai ser a política de segurança cibernética e além disso né também vai dispor aqui né dos requisitos para quando as
instituições forem fazer a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem né quando não ficar em servidor físico Então a gente vai ter esses requisitos aqui também bom esses requisitos devem ser observados pelas instituições autorizadas a funcionar pelo Conselho monetário Nacional não autorizadas a funcionar pelo banco central exceção por que que eu destaquei isso né porque As bancas elas gostam de trocar eh Banco Central e Conselho monetário Nacional nessas resoluções autorizadas a funcionar pelo banco central exceção a resolução ela não se aplica às instituições de pagamento que devem observar
a regulamentação emanada do Banco Central no exercício de suas atribuições legais essa é uma resolução do Conselho monetário Nacional então instituições autorizadas a funcionar pelo banco central seguem a resolução do Conselho monetário Nacional instituições de pagamento seguem a regulamentação do Banco Central tá então cuidado com esses pontos aqui em relação a essa política de segurança cibernética as instituições autorizadas pelo banco central devem implementar e manter uma política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar aos dados né dados então que estão lá nas instituições tem que assegurar a confidencialidade a
integridade e a disponibilidade desses dados que que significa confidencialidade refere-se à proteção dos dados contra acessos não autorizados As instituições devem garantir que apenas indivíduos ou sistemas autorizados possam acessar informações sensíveis evitando vazamentos ou uso indevido de dados então a política ela vai trazer uma série de medidas que vão ter que garantir a confidencialidade desses dados evitar o acesso dos dados A aquelas pessoas que não estão autorizadas além disso a integridade envolve a precisão e a consistência dos dados ao longo do seu ciclo de vida As instituições precisam assegurar que as informações não sejam alteradas
ou corrompidas de maneira indevida o dado ele tem que ser íntegro e a política Ela também tem que garantir aos dados a disponibilidade que diz respeito à garantia de que os dados e sistemas estarão acessíveis e funcionais quando necessário né a pessoa que precisa e que está autorizada a ter acesso aos dados quando ela precisar ela tem que conseguir ter acesso a esses dados é isso que a disponibilidade ela significa bom em relação também à política tá admite-se a adoção de uma política de segurança cibernética única por conglomerado prudencial ou sistema cooperativo de crédito tá
então eu tenho um conglomerado aqui de várias instituições financeiras que todas elas né formam um conglomerado aqui esse conglomerado ele pode adotar uma única política de segurança cibernética para todas essas instituições financeiras não precisa cada instituição financeira ter a sua tá pode pode tá mas a resolução ela admite que instituições no mesmo conglomerado adotem aqui uma única política para todas elas ou então né Por sistema cooperativo de crédito aí eu vou ter várias cooperativas que também podem utilizar uma única política e isso né Se eu tiver falando de um sistema cooperativo tá não é cooperativas
que não fazem parte do mesmo sistema essa política ela tem que ser compatível com o porte o perfil de risco e o modelo de negócio da instituição tá então se é uma instituição que tem dados que são muito sensíveis por exemplo perfil de risco alto a política ela vai ter que trazer medidas que consigam garantir a proteção desses dados também tem que ser compatível com a natureza das operações e a complexidade dos produtos serviços atividades e processos da instituição a sensibilidade dos dados e das informações sobre responsabilidade da instituição tá política tem que ser compatível
com tudo isso em relação à divulgação dessa política a política de segurança cibernética deve ser divulgada aos funcionários da instituição e as empresas prestadoras de serviços a terceiros mediante linguagem Clara acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações tá como é que a questão de prova poderia abordar isso que a instituição ela estabelece uma política e deixa essa política sigilosa tá errado porque tem que acontecer a divulgação aos funcionários às empresas prestadoras de serviços a terceiros tá e a linguagem tem que ser Clara e acessível a
essas pessoas e também né Essa política ela tem que ser divulgada ao público em geral né só que com um resumo contendo as linhas gerais da política de segurança cibernética então para o público em geral eu trago um resumo contendo aí as linhas Gerais pro restante aqui né eu trago então a política as diretrizes em uma linguagem Clara acessível e com detalhamento que é compatível com as funções desempenhadas conteúdo mínimo da política de segurança eu falei né que essa política ela vai trazer uma série de medidas que vão ter que assegurar os dados confidencialidade integridade
e disponibilidade né mas o que que a gente vai ter efetivamente dentro dessa política a resolução el estabelece um conteúdo mínimo tá da política de segurança Então lá vai ter que ter os objetivos de segurança cibernética da instituição Quais são os objetivos da instituição em relação à segurança os procedimentos controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender também tá os controles específicos incluindo os voltados para a rastreabilidade da informação que busquem garantir segurança das informações sensíveis Então a gente tem procedimentos a gente tem controles a gente tem os objetivos o registro
A análise da causa e do impacto bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição as iniciativas para compartilhamento de informações sobre os incidentes relevantes e as diretrizes para aí a gente tem bastante coisa tá a a elaboração dos cenários de incidentes considerados nos testes de continuidade de negócio então é a instituição ela vai elaborar cenários de incidentes que vão ser utilizados em testes de continuidade de negócio para ver se o negócio ele consegue continuar mesmo quando a gente tem um cenário de incidente daqui a pouco um ataque tá acontecendo
vai continuar com o negócio o o sistema da instituição continua funcionando tá lá na política de segurança vai ter que ter então no conteúdo dela justamente as diretrizes para elaboração D cenários de incidentes definição de procedimentos e controles de novo tá procedimentos e controles voltados à prevenção e ao tratamento de incidentes a serem adotados por empresa prestador de serviços a terceiros que manusi dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição a classificação dos dados e das informações quanto à relevância tá vai ter que classificar os dados informações
quanto a relevância desses dados essas informações a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes mecanismos para a disseminação da cultura de segurança cibernética da instituição incluindo a implementação de programas de capacitação de avaliação Periódica do pessoal né isso de novo para disseminação da cultura de segurança cibernética a prestação de informações a cliente e usuário sobre precauções na utilização de produtos serviços financeiros e o compromisso da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética Então esse é um conteúdo mínimo se restringe é só isso não né
até porque a política ela tem que ser compatível com perfil de risco com complexidade dos produtos sensibilidade das informações mas isso daqui pelo menos vai ter que conter na política de segurança cibernética em relação ao plano de ação também olha só as instituições também devem estabelecer um plano de ação e de respostas à incidentes visando a implementação da política de segurança cibernética abrangendo no mínimo plano de ação e de resposta é um incidente que aconteceu né ataque e nas redes da instituição tentar acessar dados não autorizados a instituição vai ter que ter um plano de
ação e de resposta abrangendo no mínimo as ações a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e Opera ional aos princípios e diretrizes da política da segurança as rotinas procedimentos controles e as tecnologias a serem utilizados na prevenção e na resposta de incidentes e a área responsável pelo registro e controle dos efeitos de incidentes relevantes As instituições também devem designar um diretor responsável pela política de segurança cibernética e pela execução do plano de ação de resposta incidentes o qual né esse diretor então a além de ser responsável aqui pela política e pela execução
do plano de ação e de resposta ele também pode desempenhar outras funções desde que essas outras funções não gerem conflito de interesse com a função de diretor As instituições devem elaborar um relatório anual sobre a implementação do plano de ação e de resposta a incidentes e que deve abordar No mínimo a efetividade da implementação dessas ações que estão previstas aqui o resumo dos resultados obtidos da impl a das rutinas procedimentos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes os incidentes relevantes relacionados com ambiente cibernético ocorridos num período e o
resultado os resultados dos Testes de continuidade de negócio considerandoos cenários de indisponibilidade ocasionado por incidentes né que é aquela situação de ver se a instituição vai continuar vai conseguir continuar operando a política de segurança cibernética e o plano de ação de resposta incidente devem ser documentados e revisados o mínimo anualmente Então pelo menos uma vez por ano tem que revisar aqui tanto a política de segurança quanto também ao plano de ação e de resposta a incidentes além de documentar bom a gente viu que essa resolução aqui além né de trazer a implementação da política de
segurança cibernética ela também traz requisitos para a contratação de serviço de processamento e armazenamento de dados e nuvem O que que a gente tem sobre isso as instituições devem assegurar que suas políticas estratégias e estruturas para gerenciamento de riscos especificamente no tocante aos critérios de decisão quanto a terceirização de serviços né quando ela não for utilizar por exemplo servidor físico né for fazer essa contratação então de armazenamento em nuvem contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem seja aqui no país ou no exterior então Quais são
os requisitos para acontecer essa terceirização aqui essa contratação de dados em nuvem previamente antes da contratação As instituições devem adotar procedimentos que contemplem a adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos que estejam expostos e a verificação da capacidade do potencial prestador de serviço Ou seja aquela empresa né que vai armazenar esses dados Então esse prestador de serviço ele tem que assegurar o cumprimento da legislação e da regulamentação em vigor até porque pode ser uma empresa no exterior né então ela do exterior ela
consegue garantir que a legislação aqui brasileira vai ser cumprida tem que garantir isso antes da contratação o acesso da instituição aos dados e as informações a serem processados ou armazenados a instituição tem que ter esse acesso aqui aos dados a confidencialidade a integridade a dispon unidade a recuperação dos dados e das informações processadas ou armazenadas pelo prestador de serviço tem que garantir então né esses requisitos aqui confidencialidade integridade disponibilidade a sua aderência à certificações exigidas pela instituição para aprestação desse serviço a ser contratado o acesso da instituição contratante aos relatórios elaborados por empresa de auditoria
especializada independente contratada pelo prestador de serviço então né se o prestador de serviço ele fizer aqui o eh contratar uma empresa de auditoria que vai auditar vai verificar aí como é que estão esses controles a instituição que contratou a prestador de serviço tem que ter acesso a esses relatórios até para saber né se o serviço tá realmente Seguindo os padrões aí de exigência provimento de informações de recursos de gestão adequados ao monitoramento dos serviços a serem prestados a identificação e a segregação dos dados dos clientes da instituição por meio de contr físicos lógicos e a
qualidade dos controles de acesso voltados à proteção dos dados então n em relação aqui a esse serviço de contratação ou melhor né a essa contratação de serviço de processamento e armazenamento de dados em nuvem São esses os requisitos que as instituições Elas têm que verificar se o prestador de serviço ele consegue realmente garantir
![Productivity Boost 📖 Lofi Study Music for Deep Concentration ~ Lofi Study Room [study/work/relax]](https://img.youtube.com/vi/amfWIRasxtI/maxresdefault.jpg)
