(*) Mário Sérgio Ribeiro
No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Já não era sem tempo, uma resolução como essa expõe a necessidade das IFs e seus parceiros a agirem contra ameaças reais que já prejudicaram diversas empresas e podem vir a continuar com o seu intento no futuro.
Detalhada em três capítulos, o BACEN procurou trazer à tona a preocupação com a crescente utilização de meios eletrônicos e de inovações tecnológicas no setor financeiro. Segundo o BACEN, isso requer que as IFs tenham controles e sistemas de segurança cibernética cada vez mais robusta, especialmente quanto à resiliência a ataques cibernéticos.
Demonstrando preocupação, o Fórum Econômico Mundial divulgou um estudo recente em que calcula em US$ 500 bilhões por ano os prejuízos anuais, em todo o planeta, com os crimes cibernéticos. Uma estimativa de uma consultoria internacional estima que os crimes virtuais possam chegar a US$ 6 trilhões em 2021. É muita coisa…
Claro que o alvo principal dos criminosos virtuais ainda são as empresas do setor financeiro, mas aqui vai um alerta de sinal amarelo, meio avermelhado: diversos outros setores têm experimentado o gosto amargo desses crimes virtuais. Um bom exemplo é o setor da Saúde, aqui composto por hospitais, laboratórios, clínicas, planos de saúde, operadoras de plano de saúde, etc. Esse setor é um dos principais alvos do ataque de, por exemplo, ransomware (deixa seus dados e informações indisponíveis e pede um resgate em bitcoin).
Dessa forma quero salientar que esse artigo interessa não somente aos leitores, que de uma forma ou de outra estão sob a égide do BACEN, mas a todo mercado; uns com maior, outros com menor ênfase, mas ninguém está livre e o interesse deveria ser geral.
A Segurança Cibernética deve ser vista como um braço da segurança tecnológica que faz parte de algo bem maior que é a Segurança da Informação. Lembrando que a segurança da informação tem em pessoas, processos, TI e infraestrutura física o escopo de seu trabalho. A segurança cibernética compreende tecnologias, processos e controles que são projetados para proteger sistemas, redes e dados de ataques em um mundo não físico. Esse grifo é importante para entendermos que estaremos tratando em um local sem rosto. Qualquer uma dessas seguranças que estamos falando trabalha na proteção de três pilares básicos de dados e informações: Confidencialidade, Disponibilidade e Integridade.
Algo que caracteriza a Segurança Cibernética é que o seu agente de ameaça, isto é, aquele que perpetra os ataques virtuais, é única e exclusivamente alguém fora do ambiente da empresa, alguém que não tem rosto, identidade e nem está presente na folha de pagamento. Lembrando que quando tratamos a segurança da informação, incluímos o agente de ameaça interno, representado entre outros por funcionários.
Pois bem, voltemos a 4658. Vou me ater nesse artigo, aos itens que tem um prazo curto (até 06/05/2019) para ter Aprovação do Conselho de Administração ou, na inexistência, a Diretoria da IF. São eles: Política de Segurança Cibernética e o Plano de Ação e Resposta a Incidentes. Não pretendo detalhar O COMO fazer, pois, seria um desrespeito àqueles que já contrataram meus serviços de consultor para auxiliar no cumprimento dos requisitos. Vou pinçar o que acredito ser extremamente importante e que os responsáveis pelo tema nas empresas devam abrir os olhos e “arregaçar as mangas”. Vamos lá então.
POLÍTICA DE SEGURANÇA CIBERNÉTICA
- Redução da Vulnerabilidade a Incidentes Cibernéticos
Aqui estamos falando na gestão de riscos, onde a vulnerabilidade é um de seus componentes. O propósito desse item é claramente atuar de forma preventiva, o que é a ação mais barata e correta a se fazer.
A redução da vulnerabilidade é obtida por meio da implantação de controles/mecanismos/procedimentos que reduzem a chance de ocorrência (probabilidade) de um dado evento.
A resolução cita um baseline de controles mínimos, mas pode ser que ele seja insuficiente para a IF. É necessário definir o escopo dos ativos tangíveis e intangíveis e aplicar, no mínimo, uma análise de vulnerabilidades. Fica a sugestão de fazer algo mais ampliado, como a análise do risco.
- Cenários de Incidentes nos Testes de Continuidade de Negócios
Na segurança da informação é comum elaborar os mais variados cenários em função do acontecimento de determinados eventos. É possível simular cenários catastróficos, como um incêndio total, ou cenários menores que acionem um PCN, como uma greve.
Na segurança cibernética os cenários são mais específicos e levam em conta as tentativas de interrupção de serviços, provocadas, por exemplo, para uma tentativa de invasão aos sistemas da IF. Esses vários cenários devem ser colocados em uma lista e um Planejamento de Testes deve ser elaborado contemplando um a um dos cenários. Ao longo do ano é aconselhável fazer pelo menos dois testes desses, com dois cenários diferentes. Um relatório detalhado deve ser produzido, salientando principalmente os pontos fracos para posterior correção.
Vale salientar nesse caso a necessidade de reavaliar o seu PCN em todas as etapas: análise de risco, BIA, estratégias de continuidade e planos. Isso porque o seu plano pode não ter sido preparado vislumbrando as ameaças do cyber espaço.
- Procedimentos e Controles preventivos e de tratamento de incidentes por prestadores e terceiros
Os prestadores de serviços e terceiros que manuseiam, armazenam, enfim, que trabalhem com a informação da IF dentro do ciclo de vida de uma informação, deverão elaborar e levar ao conhecimento da IF o seu plano de tratamento de incidentes para com os dados e informações da IF. Nesse plano deverão constar procedimentos e controles preventivos e de tratamento de incidentes. A IF deverá evidenciar, onde for possível, a implantação dos procedimentos e controles elaborados. Essa etapa pode ser bem trabalhosa para a IF em função da quantidade possível de prestadores e terceiros que trabalhem com dados e informações da IF.
- Classificação dos dados e das informações
A classificação dos dados e informações é uma disciplina de extrema importância na segurança. A resolução fala em classificar quanto à sua relevância, o que quer dizer, classificar pela importância aos negócios da IF. Os dados e informações cumprem seu ciclo de vida nos sistemas e bancos de dados das empresas. Deve ser estabelecido um critério para categorizar esses dados e informações para atender a relevância solicitada. É uma outra etapa trabalhosa da resolução que pede experiência quando for executar o trabalho, notadamente na inteligência para definir a categorização.
- Mecanismos de disseminação da cultura de segurança cibernética
- Implementação de programas de capacitação e de avaliação periódica de pessoal
Aqui deve ser elaborado e implantado um programa educacional junto ao corpo de colaboradores da empresa, com o intuito de prevenir riscos provocados por pessoas em relação à segurança cibernética. Quando falamos pessoas nos referimos a todos os colaboradores, de todas as áreas, inclusive as de TI. Lembrando sempre que pessoas são consideradas o elo fraco da segurança, haja visto que a engenharia social tecnológica é fartamente utilizada pelos criminosos virtuais, e com grande eficácia.
- Prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros.
Várias IFs há algum tempo demonstram sua preocupação com a questão e investem em comunicação a seus clientes sobre e principalmente a utilização do principal canal que é o Internet Banking. Um Plano deve ser elaborado, levando-se em conta uma avaliação minuciosa, por exemplo, dos canais de atendimento, para definir como conscientizar e educar seus clientes e usuários acerca dos riscos com o cyber espaço. Uma estatística de incidentes pode ajudar na questão. A IF não deve poupar esforços nesse sentido, pois essa ação é altamente recomendável em função do tamanho do risco operacional.
PLANO DE AÇÃO E DE RESPOSTA A INCIDENTES
- Adequação da estrutura organizacional e operacional
A resolução fala em um diretor para segurança cibernética. Algumas IFs já tem esse cargo, só que chamam de diretor de segurança da informação. Aqui é importante avaliar qual o escopo da área e as atribuições desse diretor. A segurança dos dados e informações está baseada em pessoas, processo, infraestrutura física e TI. A segurança cibernética se diferencia pelo seu agente de ameaça ser exclusivamente externo e o ambiente de “luta” não é físico, é virtual, é o cyber espaço. Nas empresas onde não existe a figura de um diretor para o tema, e o cargo, seja de gerencia ou de coordenação, deve ser avaliado e pensado. Toda a adequação deve ser elaborada levando-se em conta a conformidade com a resolução sem esquecer, entretanto, o tamanho e a complexidade das operações da IF.
- Plano de Ação e de Resposta a Incidentes
Antes de um Plano vem o processo de resposta a incidentes atrelado a uma metodologia e/ou a norma internacional que rege o tema, a 27.035. Algumas IFs já tem o processo, a metodologia, só não sei se dentro do que trata a norma. Nós da consultoria aplicamos a metodologia abaixo em conjunto com a norma internacional citada. A metodologia elenca seis passos:
Passo 1 – PREPARAÇÃO
Passo 2 – DETECÇÃO
Passo 3 – CONTENÇÃO
Passo 4 – ERRADICAÇÃO
Passo 5 – RECUPERAÇÃO
Passo 6 – ACOMPANHAMENTO
Uma política deve ser elaborada para apoiar uma estrutura a ser montada. Ter recursos humanos e materiais de acordo com o tamanho e a complexidade da IF, é uma tarefa que o gestor da área deve decidir com o apoio da Alta Administração. De toda forma, há também um trabalho espinhoso a ser executado para esse item.
A resolução ainda tem uma outra seção que diz respeito à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Em um outro artigo comentarei sobre esse capítulo da resolução.
Sugiro às IFs que promovam uma análise de gap diante dessa resolução. Ela permitirá à IF entender de forma analítica onde está conforme, onde não está ou até, onde tem alguma coisa encaminhada. Essa análise possibilita à IF entender de forma mais profunda como se encontra para com o tema e colocar dinheiro realmente onde precisa.
Como um recado final que quero deixar e usei no título do artigo, é que esta resolução pode ajudar outros segmentos de mercado que não são regulados, mas que são alvos de ataques do cyber espaço. Dessa forma acho extremamente importante que os responsáveis nesses setores vejam como podem usar a resolução em seu proveito.
Outra, parceiros, fornecedores e terceiros de uma IF tem na resolução uma ótima oportunidade de aumentar o nível de maturidade de sua empresa para com um tema tão importante para os dias de hoje. Podem, e no meu entender deveriam aproveitar o momento e aumentar sua resiliência na questão. Além de mitigarem um importante risco operacional, podem propagandear pelo mercado o profissionalismo que tratam tão importante questão.
Era isso!
Até a próxima.
_______________________________________________________________
(*) 59 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br
