Isto é um grande avanço, pois coloca as instituições financeiras, que muitas eram refratárias a utilização de nuvem, em um patamar da Revolução 4.0 e da Cloud 3.0, onde plataformas de inteligência artificial, data analytics e computação cognitiva serão oferecidas como serviço para agilizar tomada de decisões e inovação. As instituições ainda podem contratar serviços não apenas no Brasil, mas também no exterior. Mas existe uma restrição que exige uma comunicação prévia ao BACEN do nome da empresa que será contratada, o país em que os dados ficarão armazenados e deve haver um convênio entre aquela empresa bem como com as autoridades supervisoras do país de localização com o BACEN para troca de informações.

Ponto negativo que entendo é o poder de veto do BACEN na contratação do serviço na nuvem, artigo 27. Este, prevê o crivo do BACEN que passa a ter o poder de decidir se pode ou não ocorrer a contratação. O que afetará as empresas que ofertam estes serviços. Um ponto que talvez gere polêmica e demandas judiciais.

Também institui obrigatoriamente, a Política de Segurança Cibernética, para as instituições financeiras, conforme dispõe o artigo 2, e ela deve ser compatível com o porte da instituição, a natureza e complexidade das suas operações e a sensibilidade dos dados que realiza tratamento.

Além de medidas de controle e adoção de ferramentas de proteção, as instituições financeiras deverão adotar programas de conscientização em segurança da informação, com avaliação periódica, conforme o artigo 3°, inciso VI, letra a.  Essa exigência vem de encontro ao quesito que o elo mais fraco da corrente da segurança da informação sempre será o Fator Humano, portanto não basta ter a tecnologia, é preciso sensibilizar que os riscos existem e podem ser materializados. Não esquecendo que os últimos incidentes de vazamentos de informações foram todos envolvendo falhas comportamentais. Por esta razão a importância de disseminação a cultura de segurança da segurança da informação.

Há também a exigência do comprometimento da alta administração, com o apoio e suporte na melhoria dos procedimentos de segurança cibernética, tendo que ter uma participação efetiva.  

Outro ponto mais importante é que a política de segurança cibernética deve ser divulgada também para os prestadores de serviço e terceirizados. Há um dever maior de prestar esclarecimentos para usuários e clientes sobre o tema. As instituições financeiras deverão realizar as campanhas não só mais para dentro mais também para fora, com amplo espectro.

A nova Resolução 4.658 traz a necessidade das instituições financeiras estruturarem Planos de Ação e de Resposta a Incidentes, com ligação direta ao Comitê de Riscos, e um dever tanto de documentação como de revisão anual.

A Resolução 4.658, trouxe o dever, por parte das instituições financeiras, de reportar e compartilhar as informações sobre incidentes de segurança cibernética, conforme artigo 22. Ou seja, o report passa a ser regulatório, e não mais colaborativo. A questão será o discernimento sobre o que será considerado como “incidente relevante”, como não foi definido e classificado, ficará a cargo das instituições e dependerá do porte e do tipo de dado sensível vazado.

O dever de guarda documental é de 5 anos, com disponibilidade completa para acesso ao BACEN e entre as Instituições Financeiras e as empresas de prestação de serviços de computação na nuvem. Existe uma interconectividade entre o fornecedor e instituição financeira, devendo para isso haver colaboração e apresentação de provas.

O prazo para a apresentação da Política de Segurança Cibernética é até o dia 06 de Maio de 2019 e a adequação de contratos em andamento é de 180 dias junto ao BACEN.

É um grande passo em termos de avanço tecnológico, pois com isso obriga também o mercado a estar em paralelo com a velocidade da Revolução 4.0.