Em 26 de abril de 2018 o Banco Central do Brasil (BACEN) publicou a Resolução 4.658, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Estes serviços serão observados pelas instituições financeiras e demais organizações autorizadas a funcionar pelo Banco Central do Brasil. Todas estas entidades devem implementar e manter uma política de segurança cibernética formulada com base em princípios e diretrizes que assegurem a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados até dia 31 de dezembro de 2021.
Segundo o BACEN, a política de segurança cibernética deve, no mínimo, contemplar:
I. os objetivos de segurança cibernética da instituição;
II. os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;
III. os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;
IV. o registro e a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;
Apesar da resolução do BACEN falar em “Políticas de Segurança”, fica bem claro que para atender a todas as exigências, não estamos falando só de desenvolver ou validar as Políticas de Segurança da Informação. É muito mais que isso, o foco é estabelecer um Plano de Continuidade de Negócios – PCN.
O PCN é a base de toda a documentação de procedimentos e informações que deve ser mantida por uma organização e pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável.
Para se ter um PCN, é muito mais complexo do que apenas estabelecer políticas, é necessário:
1. Um documento de Escopo de Gestão da Continuidade de Negócios bem definido e com aprovação e apoio da Alta Administração.
2. O desenvolvimento de Políticas de Segurança clara e objetivas ou uma boa revisão periodicamente.
3. Designar todos os recursos necessários e competências para a continuidade.
4. Realizar uma profunda e eficaz análise de impacto aos negócios e risco, um dos pontos mais importantes e complexos para execução, pois todos os pontos de risco devem ser criteriosamente analisados e apontados de forma clara.
5. Estabelecer o processo de Gestão de Incidentes (Estratégia de Continuidade e Estrutura de Resposta), mais conhecido como Change Management (ITIL – Information Technology Infrastructure Library).
6. Finalmente, desenvolver o Plano de Continuidade de Negócios, observando todos os pontos, necessidades e validar cuidadosamente todas as ações.
Assim, com um PCN bem estruturado, é possível atender as exigências do BACEN na resolução 4.658. Lembrando que o prazo previsto para adequação não pode ultrapassar 31 de dezembro 2021 e deve ser aprovado pelo BACEN. Caso contrário, sua empresa terá problemas em continuar prestando serviços ao mercado financeiro.
Instituições que já possuem seu PCN
A instituição que já tem suas políticas e planos desenvolvidos deve elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, com data-base de 31 de dezembro.
O relatório anual deve abordar:
I. a efetividade da implementação das ações;
II. o resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes;
III. os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; e
IV. os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes.
O documento deve ser submetido ao comitê de risco, quando existente, e apresentado ao conselho de administração ou à diretoria da instituição até 31 de março do ano seguinte ao da data-base.
A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser aprovados, documentados e revisados anualmente pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição.
E você, já preparou seu PCN – Plano de Continuidade de Negócios?
