Nova regulação aprovada pelo CMN obriga bancos a apresentarem política de segurança cibernética
Maio | 2018
Aprovada dia 26/04 pelo Conselho Monetário Nacional – CMN, a nova resolução 4.658 dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Confira quais são as exigências e mudanças.
Tendo em vista que os ataques cibernéticos são cada vez mais sofisticados, profissionalizados e representam o risco de maior magnitude do século XXI, a resolução prevê que as instituições financeiras cumpram algumas providências de segurança cibernética e armazenamento de dados até 2021. As instituições financeiras têm 180 dias para apresentar o cronograma.
Diversos controles específicos passarão a ser exigidos, como a organização de um plano de política cibernética, o tratamento de incidentes e uma definição de como a instituição deve se comportar diante desses eventuais incidentes.
As instituições financeiras ganharão resiliência e terão mais preparo para encarar possíveis ataques cibernéticos com a nova regulação. Dentre as principais ações a serem cumpridas estão:
-
Definir um diretor responsável pela segurança cibernética.
-
Apresentar as políticas de segurança cibernética para o Banco Central.
-
Estabelecer requisitos para a contratação de serviços de processamento e armazenamento de dados.
-
Implementar "plano de ação" para prevenir e combater crimes cibernéticos.
As instituições deverão informar, com antecedência mínima de 60 dias, ao Banco Central quando houver contratação de terceirizadas para operar estes serviços de segurança, a empresa e os serviços que serão contratados devem estar especificados.
Clique --> Confira o artigo do Prof. Dr. Antonio C. R. Brasiliano sobre a resolução 4.658
Em caso de contratação de empresas no exterior, a legislação do país onde será feita a contratação não pode restringir o acesso aos dados à instituição financeira e ao Banco Central. As instituições podem contratar serviços em países que tenham firmado o Memorando de Entendimento entre Bancos Centrais – MOU e caso não haja este acordo, cabe ao Banco Central autorizar ou vetar a contratação.