fala pessoal sejam bem-vindos para mais uma aula nessa a gente vai estudar a segurança cibernética que tá expressa na resolução CMN 4893 de 2021 Então essa resolução ela dispõe sobre a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados de computação em nuo Então as instituições financeiras por exemplo Elas têm que lidar com dados de seus e é importante né nesse contexto digital que a gente tá que essas instituições Elas têm uma política de segurança cibernética ou seja uma política para a segurança dessas informações que estão
lá na instituição financeira os requisitos eles devem ser observados dessa resolução pelas instituições autorizadas a funcionar pelo banco central exceção a resolução ela não se aplica às instituições de pagamento que devem observar a regulamentação emanada no banco central do no exercício de sua suas atribuições legais então a resolução ela não se aplica às instituições de pagamento que devem observar a regulamentação que o banco central né estipulou aqui a resolução do Conselho monetário Nacional bom as instituições autorizadas pelo banco central devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que
busquem assegurar aos dados aos dados que estão lá nas instituições então confidencialidade integridade e disponibilidade confidencialidade né é garantir que esses dados eles sejam que eles só sejam acessíveis às pessoas que realmente T que ter acesso integridade que esses dados estejam completos e disponibilidade que esses dados estejam disponíveis sempre que for necessário então a política ela tem que ser formulada com base nesses princípios admite-se a adoção de política de segurança cibernética única se a gente estiver falando de um conglomerado ou então de um sistema cooperativo de crédito aí né né se são se é um
conglomerado onde a gente tem várias instituições não precisa cada instituição ter a sua política pode adotar uma política de segurança cibernética única Lembrando que política de segurança cibernética vai ser essas esses essas ações que a instituição financeira ela vai ter que colocar em prática para garantir a segurança das informações que tem lá a política ela deve ser compatível com o porte o perfil de risco e o modelo de negócio da instituição então quanto maior o porte da instituição quanto maior o risco ou dependendo da complexidade do negócio a política ela vai ter que ser também
né vai ter que ser complexo suficiente para lidar com com essas características a natureza das operações e a complexidade dos produtos serviços atividades de processos da instituição e também a sensibilidade dos dados e das informações sob responsabilizar sobre responsabilidade da instituição então quanto mais sensível a informação também a política ela vai ter que ser mais encorpada a política de segurança cibernética deve contemplar no mínimo que que tem que ter lá então nessa política de segurança os objetivos da segurança cibernética da instituição os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes
e atender tá os controles específicos incluindo os voltados para a rastreabilidade da informação que busquem garantir a segurança das informações sensíveis Tá tira esse atender daqui então política de segurança os objetivos da segurança cibernética da instituição deve est contemplado na política os procedimentos e controles para reduzir vulnerabilidade da instituição a incidentes tá E aí pode ser por exemplo inudação tem que ter lá procedimentos e controles adotados para reduzir esse tipo de vulnerabilidade controles específicos incluídos voltados para rastreabilidade da informação o registro A análise da causa e do impacto bem como o controle dos efeitos de
incid entes relevantes para atividades da instituição registro análise e causa do impacto as iniciativas para compartilhamento de informações sobre os incidentes relevantes e tem mais Olha só além disso a política de segurança ela deve contemplar no mínimo as diretrizes para então diretrizes para o quê a elaboração de cenários de incidentes considerados nos testes de continuidade de negócio então ela vai ter que elaborar cenários de incidentes para que eles sejam considerados Quando ela for fazer testes de continuidade né para ver como é que ela responde a esse a esses incidentes a definição de procedimentos de controles
voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição então definição de procedimentos e de controles voltados à prevenção ao tratamento dos incidentes que vão ser adotados por empresas prestadoras a classificação dos dados e das informações quanto a relevância a definição dos parâmetros a serem utilizados na avaliação de relevância dos incidentes Tá além disso também tem que contemplar a política de segurança os mecanismos para disseminação da cultura de segurança cibernética
na Instituição Ou seja que é passar essa cultura de preocupação com a seguranç dos dados dentro da instituição então lá na política tem que contemplar a implementação de programas de capacitação e de avaliação Periódica do pessoal que trabalha na Instituição a prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros e o comprometimento da alta administração com a melhoria contínua de procedimentos relacionados com a segurança cibernética e agora em relação à divulgação porque a gente acabou de ver né O que que a política de segurança cibernética ela deve contemplar
a gente viu aí né que tem que ter as diretrizes tem que ter os mecanismos de Cultura dentro da da organização e mesmo fora né com os clientes e além disso né tem que ter também Eh esses esses essas ações aqui também né o objetivo os procedimentos de controle os controles Beleza agora a gente vai ver em relação à divulgação a política da segurança cibernética ela deve ser divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros mediante linguagem Clara acessível e em nível de detalhamento compatível com as funções desempenhadas e com
a sensibilidade de informações em resumo né a política de segurança ela vai ter que ser divulgada aos funcionários da empresa tá então o que foi definido a gente já viu o que que tem que conter na política agora essa política vai ter que ser divulgada aos funcionários e também às empresas que são prestadoras de serviços a terceiros e a linguagem vai ter que ser Clara acessível e em nível de detalhamento compatível As instituições elas devem divulgar ao público também um resumo contendo as linhas gerais da política de segurança Então se a gente for procurar por
exemplo no Google eh política de segurança cibernética de uma determinada empresa de uma autorizada pelo banco central vai aparecer lá um resumo né da das Linhas Gerais em relação à política de segurança adotada As instituições também devem estabelecer Olha só um plano de ação e de resposta a incidentes visando a implementação da política de segurança cibernética abrangendo no mínimo então plano de ação e de resposta incidente Contec ser algum tipo de incidente a instituição Ela já tem que ter um plano de ação de como ela vai resolver esse tipo de incidente esse plano de ação
ele deve ter as ações a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e as diretrizes da política de segurança cibernética as rotinas procedimentos e controles e tecnologias a serem utilizados na Prevenção ou seja prevenir que aconteça os acidentes mas se acontecerem as respostas a esses incidentes a área responsável pelo registro e controle dos efeitos de incidentes relevantes As instituições devem designar um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes o qual vai poder desempenhar outras funções Desde que não
haja conflito de interesse sei me parece questão de prova isso né tenho essa impressão então marca um asterisco aí vai ter que ter um diretor que vai ser designado né para executar o plano de ação e de resposta incidentes e ele pode Esse é o detalhe desempenhar outras funções ele não precisa ficar exclusivo nessa função desde que não aconteça conflito de interesse As instituições elas devem elaborar um relatório anual sobre a implementação do plano de ação e de resposta a incidentes que deve abordar no mínimo ou seja né tem que ter um relatório anual sobre
a implementação desse plano de ação e resposta e esse relatório deve abordar No mínimo a efetividade da implementação das ações o resumo dos result resultados obtidos na implementação das rotinas dos procedimentos controles e das tecnologias a serem utilizadas os incidentes relevantes relacionados com ambiente cibernético corrido no período e os resultados dos Testes de continuidade dos negócios considerando cenários de indisponibilidade ocasionadas por incidentes tá então tudo isso daqui tem que tá onde no relatório que é anual a política de segurança cibernética e plano de ação e de resposta a incidentes devem ser documentados e revisados no
mínimo anualmente tá então além disso a política e o plano de ação eu não tô falando do relatório tá tô falando da política de segurança e o plano de ação de resposta incidentes eles vão ter que ser documentados e vão ter que ser revisados no mínimo de forma anual bom agora a gente vai falar sobre a contratação de serviços de processamento e armazenamento porque lembrem que esse essa resolução do CMN também trata sobre isso e diz o seguinte as instituições devem assegurar que suas políticas estratégias e estruturas para gerenciamento de riscos especificamente no tocante ao
critério de decisão quanto a terceirização de serviço então se ela vai fazer a terceirização de serviço de processamento e armazenamento em nuvem que esses serviços contemplem a contratação de serviços relevante de processamento e armamento de dados e de computação em nuvem seja no país ou no exterior mas antes de fazer a contratação desse serviço as instituições elas devem adotar procedimentos que contemplem a a adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos que estejam expostos isso tem que fazer antes da contratação do serviço de
processamento e ar amamento em nuvem E além disso a verificação da capacidade do potencial prestador de serviço de assegurar Ou seja aquele prestador de serviço que vai ser contratado vamos lá então ele vai ter que ser capaz de assegurar o cumprimento da legislação e da regulamentação o acesso da instituição aos dados e às informações serem processados Ou seja a instituição que tá terceirizando ela vai ter que ter acesso aos dados Além disso ele tem que ser capaz de assegurar a confidencialidade integridade e disponibilidade e a recuperação dos dados e informações processados a sua aderência às
certificações exigidas pela instituição para a prestação do serviço contratado o acesso da instituição contratante aos relatórios elaborados por empresa de auditoria especializado Então se tem uma auditoria que vai tem a auditoria independente que vai fazer né a instituição ela vai ter que ter acesso a esses relatórios provimento de informações de recursos de gestão adequados ao monitoramento de serviço a identificação e segregação dos dados dos clientes da instituição e a qualidade dos controles de acesso voltados à proteção de dados em resumo Tá o que que a gente tem que lembrar não precisa decorar todos esses pontos
né mas tem que lembrar que quando a empresa a instituição ela for fazer a terceirização do serviço de contratação e desculpa quando ela for fazer a terceirização mediante contratação do serviço de process oramento e armazenamento de dados em computação em nuvem ela tem que tomar algumas ações primeiro ele tem que ser serviços relevantes segundo antes de fazer a contratação ela vai ter que adotar procedimentos que vão a adoção de práticas de governança corporativa e vai ter que assegurar a capacidade do potencial prestador né em na verdade a verificação da capacidade do potencial prestador serviço em
assegurar aí esses pontos aqui isso é importante parecer em prova uma vez esse essa resolução né Tá aí a resolução CMN 4893 dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e imputação em nú a serem observados pelas instituições autorizadas a funcionar pelo Banco Central essa resolução determina que a política de segurança cibernética e o plano de ação de resposta Ou seja que a política de segurança cibernética e o plano de ação de resposta incidentes devem ser no mínimo documentados e revisados de
forma anual tá Essa era a questão a resposta tá aqui né acho importante lembrar do relatório anual né já que caiu aqui então marca um asterisco aí no relatório anual também que tem que ter né sobre a implementação do plano de ação e respostas ele deve ser anual e ele deve conter justamente esses pontos aqui bom pessoal sobre essa aula de segurança cibernética era isso aí que a gente tinha
