AllEasy

LGPD

Segurança cibernética: conheça a Resolução 4.658 do Banco Central

O Brasil caminha para fazer parte do grupo de países com legislações específicas de segurança cibernética para a proteção de dados online. A sanção da nova Lei Geral de Proteção de Dados (LGPD) pelo Presidente Michel Temer foi um dos marcos mais importantes dessa caminhada.

Agora, instituições de todos os setores da economia precisam adequar seus processos para proteger os dados pessoais que circulam pela empresa. Contudo, isso é ainda mais importante para instituições financeiras.

Empresas do mercado financeiro lidam com informações pessoais extremamente sensíveis. Preocupado em fiscalizar as medidas de segurança cibernética que essas organizações tomam com os dados que detém, o Banco Central anunciou a Resolução 4.658.

Mas o que exatamente ela diz e o que sua instituição financeira precisa saber para se adequar? Continue lendo e descubra!

O que é a Resolução 4.658 do Banco Central?

Resolução 4.658 do Banco Central dispõe sobre a implantação política de segurança cibernética das instituições financeiras, com o objetivo de proteger os dados dos correntistas e acionistas.

Ela segue as premissas da LGPS, que marca o reconhecimento do direito dos cidadãos de saber como os dados que informam às empresas pela internet estão sendo tratados.

Segundo a nova lei, essas organizações devem criar suas Políticas de Segurança Cibernética de acordo com o porte da empresa, a natureza e a complexidade das operações. Também deve ser considerada a sensibilidade dos dados com os quais a instituição lida.

A Resolução ainda estipula os requisitos para as instituições financeiras e demais organizações reguladas pelo Banco Central contratem serviços de processamento e armazenamento de dados em nuvem.

O que é preciso saber para se adequar?

O Banco Central estabeleceu prazos para as empresas se adequarem. Primeiro, em outubro agora elas devem apresentar o cronograma de adequação dos serviços em nuvem contratados. Segundo, será preciso apresentar até maio de 2019 a documentação indicada e planos definidos de como as exigências da nova Resolução serão cumpridas.

Alguns dos procedimentos envolvidos incluem:

  • Criação de uma Política de Segurança Cibernética e plano de recuperação de desastres em casos de incidentes, que devem ser revisados anualmente;
  • Criação de um Conselho de Administração e/ou Diretor responsável por garantir a relevância e aprovação da Política de Segurança Cibernética e pela execução do plano de ação;
  • Definição dos critérios para a classificação dos dados e das informações;
  • Elaboração de um relatório que acompanhe o desempenho das ações de implementação e controle já implementados;
  • Implementação de controles que assegurem a confidencialidade, integridade e a disponibilidade dos dados e sistemas que suportam as operações regulares.

Vale lembrar que essas são apenas algumas das tarefas. A lista completa é extensa e pode ser encontrada no texto da Resolução 4.658. Também é importante dizer que a nova Resolução foi influenciada pela LGPD mas as duas leis trabalham em paralelo, ou seja, as instituições financeiras devem estar atenta às duas regulações.

Como garantir a segurança cibernética?

Para garantir a segurança cibernética e conformidade com as novas diretrizes, as organizações financeiras devem adotar procedimentos e controles que reduzam o nível de exposição a possíveis incidentes. Isso inclui:

  • Procedimentos de autenticação de acesso aos dados e criptografia;
  • Prevenção, detecção de intrusão e possíveis vazamentos de dados;
  • Manutenção de cópias de segurança dos dados e das informações;
  • Realização periódica de testes e varreduras de vulnerabilidades;
  • Estabelecimento de mecanismos de rastreabilidade;
  • Controles de acesso e de segmentação da rede;
  • Proteção contra softwares maliciosos;
  • Desenvolvimento de sistemas seguros.

Além de medidas de controle e da adoção de ferramentas de proteção, as instituições deverão adotar programas de capacitação e conscientização em segurança da informação.

Isso porque não basta ter a tecnologia, é preciso educar a força de trabalho sobre a prevenção de riscos, visto que muitos dos incidentes de vazamentos envolvem falhas comportamentais.

Durante esse processo, é importante que as empresas procurem seus atuais parceiros de TI ou busquem por novos que possam apoiar o processo de adequação e assegurar total conformidade com as novas leis de segurança cibernética.

Como está seu processo de adequação? Tem dúvidas? Está tendo dificuldades? Entre em contato conosco e converse com um dos nossos consultores! Estamos sempre prontos para ajudá-lo.

Matérias relacionadas