Resolução 4.658 do BACEN

Resolução 4.658 do BACENResolução 4.658 do BACEN – No dia 26/04/18 o Banco Central do Brasil divulgou a resolução 4.658 que “dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil”.

São 3 as datas importantes na resolução 4.658 do BACEN: final de outubro/18, maio/19 e dezembro/21.

Além dos aspectos de segurança cibernética e da utilização de serviços em nuvem que deixaremos para os especialistas comentarem, esta resolução também inclui vários artigos que referenciam diretamente a continuidade de negócios:

  • 3º, parágrafo V, alínea a) a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios;
  • 8º, inciso § 1º, parágrafo IV, os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes;
  • 16, parágrafo IV, a instituição contratante deve prever alternativas para a continuidade dos negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.
  • 19, as instituições referidas no art. 1º devem assegurar que suas políticas para gerenciamento de riscos previstas na regulamentação em vigor disponham, no tocante à continuidade de negócios, sobre: …
    • III – os cenários de incidentes considerados nos testes de continuidade de negócios de que trata o art. 3º, inciso V, alínea “a”.
  • 20. Os procedimentos adotados pelas instituições para gerenciamento de riscos previstos na regulamentação em vigor devem contemplar, no tocante à continuidade de negócios: …

Ou seja, além dos cenários tradicionais de Continuidade de Negócios e de Recuperação de Desastres (DRP) também deverão ser desenhados cenários decorrentes de incidentes de segurança cibernética e de processamento e armazenamento de dados e de computação em nuvem aumentando, ainda mais, a complexidade do sistema corporativo de gestão da continuidade de negócios.

Os passos tradicionais da continuidade de negócios necessitarão de adaptações para poderem ser utilizados nestes cenários:

  • Análise de riscos: especificamente no contexto de segurança cibernética não poderá ser feita em intervalos longos como as tradicionais, uma vez que as ameaças conhecidas e protegidas sempre estarão defasadas em relação às novas ameaças desprotegidas;
  • Análise de impacto nos negócios: teremos que adicionar novos cenários, como os descritos acima que podem incluir a rede corporativa estar inacessível externamente, a rede corporativa estar inacessível internamente, arquivos vitais comprometidos etc. e sempre relacionando estes impactos aos produtos, serviços e processos da organização;
  • Estratégia de recuperação: teremos que considerar nas nossas estratégias a eventual necessidade de restaurar a rede corporativa, ou pelo menos uma parte dela, com a rede potencialmente comprometida. Não podemos descartar, também, a eventual necessidade da restauração de arquivos a partir de backups.   Sabemos que restaurar muitos terabytes de dados é uma atividade que leva muito tempo, assim como restaurar ou reconfigurar centenas ou milhares de estações de trabalho potencialmente infectadas por vírus do tipo Wanna Cry ou similar.   Veja também nosso post https://strohlbrasil.com.br/2018/05/22/wanna-cry-3-0-prevenir-ou-chorar/
    Lembramos, ainda, que estas estratégias devem estar alinhadas com o apetite a risco da organização, portanto, alinhadas ao gerenciamento corporativo de riscos, como citado na resolução;
  • Procedimentos (ou planos) de recuperação: nos cenários de incidentes de segurança cibernética e de processamento e armazenamento de dados e de computação em nuvem considerados, os procedimentos de recuperação deverão estar devidamente documentados e, é claro, em pelo menos um lugar protegido das ameaças consideradas;
  • Exercícios, testes e melhoria contínua: uma vez desenvolvidos, todos estes procedimentos, desde a resposta a um incidente até a recuperação completa das operações deverão ser exercitadas, testadas e devidamente aperfeiçoadas num processo de melhoria contínua, como solicitado em vários artigos da resolução.

É muita coisa a ser feita no contexto da Resolução 4.658 do BACEN, num ano onde o orçamento previsto já está comprometido pela metade, possivelmente novos investimentos serão necessários, além dos projetos em andamento, desenvolvimento de novas políticas, integrações entre o risco corporativo, segurança da informação, continuidade de negócios etc.

Assista também ao webinar onde os especialistas em Segurança Cibernética e Serviços em Nuvem Fernando Correia e Kleber Melo debateram com nosso consultor líder Sidney R. Modenesi a abrangência e os impactos desta resolução em https://youtu.be/SoOfv8NODCo

1 Trackbacks & Pingbacks

  1. BS 31111:2018 - Guidance for the governing body and executive management -

Comments are closed.