Por Daniela Froener e Layon Lopes *
Através da Resolução nº 4.658/2018, o Banco Central do Brasil (Bacen) definiu algumas regras inerentes à política de segurança cibernética e aos requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, a serem adotados pelas instituições financeiras e demais instituições autorizadas a funcionar pela autarquia.
Analisando a referida Resolução, trazemos cinco dicas que podem ser adotadas por qualquer empresa que visa estabelecer boas práticas em segurança cibernética que agradem até o Bacen.
Vamos lá!
Dica 1: crie uma Política de Segurança Cibernética. Esta política deve visar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados pela empresa, porém, deve ser compatível com o porte, o perfil de risco e o modelo de negócio da empresa, levando-se em consideração a natureza das operações e a complexidade dos produtos, serviços, atividades e processos internos e a sensibilidade dos dados e das informações sob responsabilidade da empresa.
Dica 2: crie um Plano de Ação e de Resposta a Incidentes. Este plano deve visar à implementação da Política de Segurança Cibernética, e deve abranger, no mínimo: as ações a serem desenvolvidas pela empresa em relação a sua estrutura organizacional e operacional aos princípios e às diretrizes da Política de Segurança Cibernética; as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da Política de Segurança Cibernética; e, a área responsável pelo registro e controle dos efeitos de incidentes relevantes.
Dica 3: crie Políticas para Gerenciamento de Riscos. Estas políticas deverão abranger o tratamento dos incidentes relevantes para as atividades da empresa; os procedimentos a serem seguidos no caso da interrupção de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem contratados, abrangendo cenários que considerem a substituição da empresa contratada (se for o caso) e o reestabelecimento da operação normal da empresa.
Dica 4: antes de contratar serviços relevantes de processamento e armazenamento de dados e de computação em nuvem verifique se a empresa contratada adota práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas, devendo considerar a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pela empresa contratada, levando em conta, inclusive, a classificação dos dados e das informações quanto à sua relevância.
Dica 5: antes de contratar serviços relevantes de processamento e armazenamento de dados e de computação em nuvem no exterior, verifique se existe algum convênio para troca de informações entre o Bacen e as autoridades supervisoras do país onde os serviços contratados poderão ser prestados. Isto, pois, esta situação é uma das poucas onde o Bacen requer das instituições que seja feito pedido autorizatório para contratação de serviços.
Como pode ser concluído em breve análise das regulamentações do Bacen, esta autarquia estipula princípios a serem seguidos, deixando aberto às empresas criarem as suas próprias regras, de acordo com a sua realidade e capacidade.
Por fim, indicamos que todas as documentações que façam referência aos procedimentos abordados nas dicas, fiquem arquivados na empresa, para possibilitar eventual comprovação da adoção das boas práticas em termo de segurança cibernética!
Ficou com alguma dúvida em relação à segurança cibernética? A equipe do Silva | Lopes Advogados está à disposição para te auxiliar.
*Lopes é CEO do Silva | Lopes Advogados e Froener é integrante da equipe do escritório.