Banrisul: A Segurança Cibernética na Resolução CMN 4.893/21

Confira neste artigo uma análise sobre a Segurança Cibernética, presente na Resolução CMN nº 4.893/2021, para o concurso do Banrisul.

Olá, pessoal! Tudo bem com vocês?

Foi publicado o edital do concurso para o cargo de Escriturário do Banrisul, com a oferta de impressionantes 824 vagas.

Desse modo, como o objetivo de auxiliá-los para esta prova, iremos realizar uma análise sobre a Segurança Cibernética, presente na Resolução CMN nº 4.893/2021, para o concurso do Banrisul.

Vamos lá?

A Resolução CMN 4.893/2021

A Resolução do Conselho Monetário Nacional nº 4.893/2021 dispõe, principalmente, sobre a política de segurança cibernética.

Além disso, ela trata dos requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.

FIQUE ATENTO: É importante destacar que esta resolução não se aplica às instituições de pagamento.

A segurança cibernética para o Banrisul

O avanço da tecnologia traz, além de grandes vantagens, grandes riscos, principalmente na área bancária, na qual há grandes movimentações financeiras.

Dessa maneira, as instituições citadas acima devem implementar e manter uma política de segurança cibernética, a qual deve ser formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

Contudo, a política não será a mesma para todas as instituições, devendo ser compatível com:

o porte, o perfil de risco e o modelo de negócio da instituição;
a natureza das operações e a complexidade dos produtos, serviços, atividades e processos da instituição; e
a sensibilidade dos dados e das informações sob responsabilidade da instituição.

A SABER: Porém, vale salientar que é admitida a adoção de política de segurança cibernética única por:

conglomerado prudencial;
sistema cooperativo de crédito.

Bom, mas o que esta política de segurança cibernética deve contemplar? A resolução, objeto de nosso estudo neste artigo, traz alguns requisitos mínimos que devem estar presentes na política da empresa, como os objetivos de segurança cibernética da instituição; os procedimentos adotados para reduzir a vulnerabilidade da instituição a incidentes; os controles específicos que busquem garantir a segurança das informações sensíveis; análise da causa e do impacto de incidentes relevantes para as atividades da instituição; entre outros.

Os procedimentos e os controles citado acima devem abranger, no mínimo:

a autenticação;
a criptografia;
a prevenção e a detecção de intrusão;
a prevenção de vazamento de informações;
a realização periódica de testes e varreduras para detecção de vulnerabilidades;
a proteção contra softwares maliciosos;
o estabelecimento de mecanismos de rastreabilidade;
os controles de acesso e de segmentação da rede de computadores; e
a manutenção de cópias de segurança dos dados e das informações.

É importante ainda que a política de segurança cibernética seja divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros, de modo claro, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.

Resposta aos incidentes

Como citado acima, as instituições abrangidas pela resolução em estudo devem estabelecer um plano de ação e de resposta a incidentes cibernéticos.

Tal plano deve abranger, no mínimo:

as ações a serem desenvolvidas para adequar suas estruturas às diretrizes da política de segurança cibernética;
as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes;
a área responsável pelo registro e controle dos efeitos de incidentes relevantes.

Vale ressaltar que é também necessário que as instituições designem diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes. Este diretor pode desempenhar outras funções na instituição, desde que não haja conflito de interesses.

Este plano de ação e de resposta a incidentes, bem como a política de segurança cibernética, devem ser documentados e revisados, no mínimo, a cada ano.

Processamento e armazenamento de dados– Banrisul

Como citado no começo deste artigo, a resolução em estudo dispõe, além da política de segurança cibernética, sobre os serviços de processamento e armazenamento de dados e de computação em nuvem.

Este tópico é importante devido à relevância da segurança dos dados da empresa. Dessa maneira, a instituição deve ser cuidadosa na contração dos prestadores de serviços de processamento e armazenamento dos seus dados.

Desse modo, na avaliação da relevância do serviço a ser contratado, a instituição contratante deve considerar alguns critérios, como a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados.

Outra situação que merece uma atenção especial é em caso de execução de aplicativos por meio da internet. Assim, a instituição deve assegurar que o potencial prestador dos serviços adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.

É importante ressaltar que toda e qualquer contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser comunicada pelas instituições ao Banco Central do Brasil.

Dentre as informações que devem ser comunicadas, estão a denominação da empresa contratada; os serviços relevantes contratados; bem como a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados, no caso de contratação no exterior.

PRAZO: A comunicação ao Banco Central deve ser realizada em até 10 dias, a contar da data da contratação. Este prazo é também válido para as alterações realizadas no contrato de serviços.

Computação em nuvem

Os serviços de computação em nuvem também devem ter devida atenção, na questão da segurança dos serviços prestados.

Vamos aprender agora alguns dos possíveis serviços de computação em nuvem, os quais são prestados de maneira virtual:

processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos;
implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou
execução, por meio da internet, de aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.

Serviços prestados no exterior

Para que seja realizada a contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior, é necessário que haja a observância de alguns requisitos, como:

a existência de convênio para troca de informações entre o Banco Central do Brasil e às autoridades supervisoras dos países onde os serviços poderão ser prestados;
a instituição contratante deve assegurar que a prestação dos serviços não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central do Brasil;
a instituição contratante deve definir, previamente à contratação, os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados; e
a instituição contratante deve prever alternativas para a continuidade dos negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.

FIQUE ATENTO: Caso não haja o convênio citado acima, a instituição contratante deverá solicitar autorização do Banco Central do Brasil para a contratação do serviço, em até 60 dias antes da contratação. Este prazo é também válido em caso de alterações contratuais que impliquem modificação de informações.

Disposições Gerais– Segurança Cibernética para o Banrisul

Finalizando o nosso artigo sobre a Segurança Cibernética, para o concurso Banrisul, vamos agora analisar algumas disposições gerais da resolução.

As instituições abrangidas pela resolução em estudo devem desenvolver iniciativas para o compartilhamento de informações sobre os incidentes cibernéticos relevantes, sem prejuízo do dever de sigilo e da livre concorrência.

Tal compartilhamento deve também abranger informações sobre incidentes relevantes recebidas de empresas prestadoras de serviços a terceiros.

Importante ressaltar que as informações compartilhadas devem estar disponíveis também ao Banco Central do Brasil.

Por fim, o Banco Central do Brasil possui autonomia para vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando for verificada, a qualquer tempo, a inobservância do disposto na resolução em estudo neste artigo, bem como quando houver limitação à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação dos referidos serviços.

Finalizando

Pessoal, finalizamos a nossa análise sobre a Segurança Cibernética, presente na Resolução CMN nº 4.893/2021, para o concurso do Banrisul. Esperamos que tenham gostado.

Contudo, ressaltamos a importância da leitura na íntegra desta Resolução, para a sua aprovação. Esse artigo é apenas uma análise simplificada desta norma.

Caso queira se preparar para chegar competitivo nesta prova, invista nos cursos para Banrisul do Estratégia Concursos.

Lá você encontrará aulas completas e detalhadas, com os melhores professores do mercado, de todos os tópicos exigidos no edital deste concurso.

Conheça também o Sistema de Questões do Estratégia. Afinal, a única maneira de consolidar o conteúdo de maneira satisfatória é através da resolução de questões.

Bons estudos a todos e até a próxima!