SlideShare uma empresa Scribd logo
1 de 18
Baixar para ler offline
Agosto/2016
Guia de
Cibersegurança
2
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
Sumário
INTRODUÇÃO................................................................................................................................................3
OBJETIVO DESTE GUIA ..................................................................................................................................3
O RISCO CIBERNÉTICO ...................................................................................................................................4
IMPLEMENTANDO UM PROGRAMA DE SEGURANÇA CIBERNÉTICA............................................................6
COMO COMEÇAR .........................................................................................................................................6
AVALIAÇÃO DE RISCOS (RISK ASSESSMENT).......................................................................................................6
COMPONENTES DE UM PROGRAMA DE SEGURANÇA CIBERNÉTICA.........................................................................7
ELEMENTOS DE UM PROGRAMA DE SEGURANÇA CIBERNÉTICA EFETIVO..................................................................8
GOVERNANÇA ........................................................................................................................................8
CONTROLE E CONSCIENTIZAÇÃO DOS USUÁRIOS ...........................................................................................8
CONTROLES TECNOLÓGICOS......................................................................................................................10
CONTROLES FÍSICOS.................................................................................................................................11
PLANO DE RESPOSTA A INCIDENTES ............................................................................................................11
PROCESSO DE INVESTIGAÇÃO ....................................................................................................................12
DIÁLOGO COM PARTES EXTERNAS ..............................................................................................................13
PREVENÇÃO DOS ATAQUES INTERNOS.........................................................................................................14
ACESSO À INFORMAÇÃO...........................................................................................................................14
DIVULGAÇÃO DO PROGRAMA DE SEGURANÇA CIBERNÉTICA .................................................................................15
TRATATIVAS BÁSICAS ....................................................................................................................................16
APÊNDICE......................................................................................................................................................17
3
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
Introdução
Objetivo deste Guia
As organizações e seus representantes são dependentes de recursos tecnológicos e da internet
para realizar suas principais atividades. Tanto o ambiente físico com celulares, computadores,
smartphones, tablets, como o ambiente lógico com sistemas computacionais, e-mails,
conectividade telecom, empresas de BPO (business process outsourcing), transferência de dados
“intercompany”, “cloud” etc. são potencialmente vulneráveis a ataques cibernéticos.
Estudos comprovam1
que esses ataques vêm crescendo exponencialmente em volume e
sofisticação, resultando em um aumento dos riscos e prejuízos potenciais e de custos para as
empresas. As instituições que atuam nos mercados financeiros e de capitais, particularmente,
são alvos atraentes, devido ao montante financeiro transacionado e à sensibilidade das
informações que possuem, destacando-se, entre outros:
 Base de informações dos clientes (atuais e potenciais);
 Banco de dados (incluindo informações históricas);
 Plano de negócios e estratégias confidenciais/investimentos;
 Propriedade intelectual (por exemplo, trading algorithms);
 Carteira proprietária;
 Posição de carteiras de clientes;
 Lista de usuários e senhas; e
 Sistemas de negociações.
Reguladores e autorreguladores têm voltado maior atenção para assuntos relacionados a riscos
cibernéticos com o objetivo de orientar as instituições em seus respectivos mercados e verificar
se suas estruturas estão preparadas para identificar e mitigar esses riscos e para se recuperar de
possíveis ataques.
Para auxiliar as instituições participantes dos Códigos de Regulação e Melhores Práticas, a
ANBIMA apresenta este Guia, tendo como principal objetivo descrever práticas efetivas para
orientar a implantação de um programa de segurança cibernética e, com isso, contribuir para o
aprimoramento da segurança cibernética nos mercados financeiro e de capitais do Brasil. As
práticas descritas neste Guia não constituem uma lista única e exaustiva das iniciativas que as
instituições podem tomar para reforçar a sua cibersegurança. Existem várias fontes e recursos
disponíveis que podem também auxiliar as instituições, à medida que elas progridam na
implementação do programa de segurança cibernética.
1
Conferir Apêndice, p. 15.
4
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
Por fim, vale ressaltar que as ameaças, bem como as práticas e soluções de cibersegurança,
evoluem rapidamente, o que exige constante adaptação das instituições. Esse guia também
poderá ser reavaliado e atualizado no futuro ou complementado por diretrizes e matérias
adicionais.
O risco cibernético
Os avanços tecnológicos criam facilidades e possibilitam o uso de novas ferramentas para a
atuação das instituições, permitindo agilidade na construção e disponibilização de serviços,
ampliação dos meios de comunicação, entre outros avanços. Por outro lado, o aumento do uso
de tais ferramentas potencializa os riscos de ataques cibernéticos, ameaçando a
confidencialidade, a integridade e a disponibilidade dos dados ou dos sistemas das instituições.
Existem diversas razões para que esses ataques sejam realizados por vários agentes
(organizações criminosas ou hackers individuais, organismos de Estado, terroristas,
colaboradores, competidores etc.). Os principais motivos identificados são:
 Obter ganho financeiro;
 Roubar, manipular ou adulterar informações;
 Obter vantagens competitivas e informações confidenciais de empresas concorrentes;
 Fraudar, sabotar ou expor a instituição invadida, podendo ter como motivo acessório a
vingança;
 Promover ideias políticas e/ou sociais;
 Praticar o terror e disseminar pânico e caos; e
 Enfrentar desafios e/ou ter adoração por hackers famosos.
Os invasores podem utilizar vários métodos para os ataques cibernéticos. Destacam-se abaixo os
mais comuns2
:
 Malware – softwares desenvolvidos para corromper os computadores e redes:
o Vírus: software que causa danos à máquina, rede, softwares e Banco de Dados;
o Cavalo de Troia: aparece dentro de outro software criando uma porta para a
invasão do computador;
2
Ver SANS Glossary of Terms para definições dos termos mais usados. Disponível em:
https://www.sans.org/security-resources/glossary-of-terms
 O Guia oferece exemplos e recomendações para orientar as instituições e contribuir para o
aprimoramento da segurança cibernética nos mercados brasileiros.
 Não se trata de padrões máximos ou mínimos.
 A implementação das recomendações depende das características e das necessidades de cada
instituição.
5
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
o Spyware: software malicioso para coletar e monitorar o uso de informações; e
o Ransomware: software malicioso que bloqueia o acesso aos sistemas e base de
dados, solicitando um resgate para que o acesso seja reestabelecido.
 Engenharia social – métodos de manipulação para obter informações confidenciais, como
senhas, dados pessoais e número de cartão de crédito:
o Pharming: direciona o usuário para um site fraudulento, sem o seu conhecimento;
o Phishing: links vinculados por e-mails, simulando ser uma pessoa ou empresa
confiável que envia comunicação eletrônica oficial para obter informações
confidenciais;
o Vishing: simula ser uma pessoa ou empresa confiável e, por meio de ligações
telefônicas, tenta obter informações confidenciais;
o Smishing: simula ser uma pessoa ou empresa confiável e, por meio de mensagens
de texto, tenta obter informações confidenciais; e
o Acesso pessoal: pessoas localizadas em lugares públicos como bares, cafés e
restaurantes, a fim de captar qualquer tipo de informação que possa ser utilizada
posteriormente para um ataque.
 Ataques de DDoS (distributed denial of services) e botnets – ataques visando negar ou
atrasar o acesso aos serviços ou sistemas da instituição; no caso dos botnets, o ataque vem
de um grande número de computadores infectados utilizados para criar e mandar spam ou
viroses, ou inundar uma rede com mensagens resultando em uma negação de serviços.
 Invasões (advanced persistent threats) – ataques realizados por invasores sofisticados,
utilizando conhecimentos e ferramentas para detectar e explorar fragilidades específicas
em um ambiente tecnológico.
As ameaças cibernéticas podem variar de acordo com a natureza, vulnerabilidade e
informações/bens de cada organização. As consequências para as instituições podem ser
significativas em termos de risco de imagem, danos financeiros ou perda de vantagem
concorrencial, além de possíveis riscos de compliance. Os possíveis impactos dependem também
da rápida detecção e resposta após a identificação do ataque3
. Tanto instituições grandes como
pequenas podem ser impactadas.
3
De acordo com FireEye, por exemplo, em 2014, cibercriminosos permaneceram dentro das redes das empresas
vítimas por uma média de 205 dias antes de serem detectados.
 Instituições financeiras não podem ignorar o risco cibernético.
 Ataques ameaçam a confidencialidade, a integridade ou a disponibilidade dos dados e dos
sistemas das instituições.
 Reguladores estão focando na identificação de pontos fracos em segurança cibernética nos
mercados de capital.
 Clientes e parceiros têm questionado cada vez mais a segurança das instituições.
6
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
Implementando um programa de segurança cibernética
Como começar
Uma vez que os ataques cibernéticos vêm se tornando cada vez mais recorrentes e sofisticados,
a ANBIMA entende que é de extrema importância que as instituições estruturem programas de
segurança cibernética para se proteger e reduzir os riscos e potenciais consequências desses
ataques (cyber threats). Tais programas podem, a critério de cada instituição, ser incluídos na
política de segurança da informação, documento exigido por alguns dos Códigos de Regulação e
Melhores Práticas da ANBIMA4
.
Instituições podem basear-se em padrões internacionais ou nacionais existentes para
desenvolver seus programas de segurança cibernética. Esses padrões podem focar em
cibersegurança ou tratar de um modo mais abrangente da governança e do gerenciamento das
tecnologias de informação dentro das instituições. Eles podem servir como pontos de referência
e ajudar as instituições a avaliarem suas práticas e definirem elementos relevantes na construção
e no desenvolvimento do programa, visando o aprimoramento da segurança cibernética da
instituição.
Avaliação de riscos (Risk assessment)
É recomendado que as instituições implementem um programa de segurança cibernética
baseado em suas necessidades, elaborando e mantendo uma avaliação de riscos (ou risk
assessment) atualizada. Os esforços devem ser compatíveis com as características e o tamanho
da instituição, e os recursos de defesa e respostas, proporcionais aos riscos identificados.
A avaliação deve levar em conta o ambiente da instituição, seus objetivos, seus stakeholders e
suas atividades. Recomenda-se que o risk assessment contenha, no mínimo:
 Identificação dos ativos críticos da instituição (sejam sistemas, dados ou processos) e das
potenciais vulnerabilidades;
 Identificação recorrente de ameaças cibernéticas em âmbito global, mantendo-as em
base de conhecimento;
 Avaliação dos possíveis impactos financeiros, operacionais e reputacionais, e das
probabilidades de ocorrência;
4
Código ANBIMA de Regulação e Melhores Práticas da ANBIMA para o Mercado de FIP e FIEE; Código ANBIMA de
Regulação e Melhores Práticas da ANBIMA de Fundos de Investimento; Código ANBIMA de Regulação e Melhores
Práticas da ANBIMA para a Atividade de Private Banking no Mercado Doméstico; e Código ANBIMA de Regulação e
Melhores Práticas dos Serviços Qualificados ao Mercado de Capitais.
7
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
 Mensuração dos riscos internos e externos, incluindo os riscos dos sistemas, sejam eles
críticos ou não, a partir da análise das vulnerabilidades, das ameaças, e dos possíveis
impactos; e
 Definição e priorização das respostas e ações necessárias frente aos riscos identificados.
Um aspecto importante do risk assessment é a identificação dos riscos residuais, ou seja, os
riscos que foram identificados e para os quais não existem estratégias de mitigação apropriadas.
Para esses riscos, mecanismos adequados de escalação devem ser contemplados, bem como
considerações para reduzir esses riscos no futuro.
Componentes de um programa de segurança cibernética
Um programa eficiente contra ataques cibernéticos deve conter ao menos seis funções bem
definidas:
 Identificação – identificar os riscos internos e externos e os ativos e processos que
precisam de proteção, conforme abordado no risk assessment descrito acima;
 Prevenção – estabelecer um conjunto de medidas cujo objetivo é mitigar a concretização
de ameaças, ou seja, impedir previamente a ocorrência de um ataque cibernético, por
meio da aplicação do dever de diligência, seja pela conscientização dos diversos
stakeholders ou pela pesquisa, investigação e análise de comunicações e informações
sobre ataques;
 Detecção – detectar as ameaças em tempo hábil, reforçando os controles, caso
necessário, e identificar possíveis anomalias no ambiente tecnológico, incluindo a
presença de usuários, componentes ou dispositivos não autorizados;
 Proteção – programar e implementar os controles necessários para combater as ameaças
e ataques detectados;
 Resposta – ter um plano de resposta, tratamento e recuperação de incidentes, incluindo
um plano de comunicação interna e externa, caso necessário; e
 Reciclagem – manter o programa de segurança cibernética continuamente testado e
atualizado.
Fonte: ANBIMA, GT Cibersegurança.
 O programa de cibersegurança baseia-se na análise dos riscos específicos da instituição.
 A implementação do programa pode levar vários anos.
 Instituições podem inspirar-se em padrões existentes.
8
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
Elementos de um programa de segurança cibernética efetivo
Inspirada em guias de segurança cibernética publicados recentemente5
, a ANBIMA destaca
abaixo alguns itens que dão sustentação e complementam os componentes listados na seção
anterior e que são considerados elementos importantes para a efetividade dos programas em
todas as instituições.
Governança
Estabelecer governança interna a respeito de segurança cibernética é elemento essencial do
programa. A esse respeito, os principais pontos a serem observados nas políticas e nos
procedimentos internos específicos de proteção contra ataques cibernéticos são:
 Definição das responsabilidades dentro do plano de ação nas tomadas de decisão,
inclusive no momento da resposta a incidentes;
 Criação de um comitê, fórum ou grupo específico para tratar segurança cibernética com
representação e governança apropriadas;
 Realização de auditoria periódica nas medidas e ações definidas pelo organismo
responsável; e
 Promoção de uma cultura de segurança dentro da instituição (tone from the top).
O comprometimento dos executivos seniores, das linhas de negócios e de outros stakeholders é
um fator crítico para que se obtenham avanços em termos de segurança das instituições.
Iniciativas como a definição e manutenção de indicadores de desempenho (key performance
indicators) podem corroborar a conscientização e o envolvimento da alta administração e demais
órgãos da instituição.
5
Conferir Apêndice, p. 16.
 Um dos grandes obstáculos ainda é a questão cultural.
 Executivos seniores têm um papel importante no sentido de promover avanços na maturidade
da estrutura.
9
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
Controle e conscientização dos usuários
Provavelmente os trabalhadores vinculados à instituição participante (“colaboradores”) são o elo
mais delicado em um programa de segurança cibernética. A efetividade do programa depende
não somente dos equipamentos e soluções de segurança, mas também da conscientização dos
colaboradores da instituição quanto à importância das práticas de segurança. Para tanto, é
importante adotar os seguintes procedimentos e controles:
 Regras mínimas a respeito da definição das senhas de acesso aos dispositivos
corporativos, sistemas e rede;
 Troca periódica de senhas de acesso e revisão de permissão de administradores de redes
e administradores de estações;
 Definição do perfil de acesso dos colaboradores e administradores de rede, limitando o
acesso dos colaboradores às informações confidenciais e sistemas críticos, e revisão
periódica desses acessos – usuários com privilégios "normais" devem também ser
impedidos de instalar ou desabilitar qualquer software ou serviço em execução no
sistema;
 Controle rigoroso do uso de contas privilegiadas, inclusive para garantir que esse tipo de
conta não seja utilizado para atividades de alto risco do usuário, por exemplo, para ter
acesso ao e-mail externo ou navegar na internet;
 Controles visando impedir a instalação e execução de software e aplicações não
autorizadas por meio de controles de execução de processos (por exemplo, whitelisting
aplicação);
 Definição do perfil de acesso dos prestadores de serviços, limitando-se o acesso às
informações confidenciais e sistemas críticos (como, por exemplo, datawarehouse ou
outros relacionados com business intelligence ou auxiliares à tomada de decisão
estratégica);
 Gerenciamento e controle dos acessos privilegiados, incluindo medidas para a anulação
rápida dos acessos aos sistemas e informações quando não forem mais necessários;
 Políticas de controles de acesso para trabalhos fora do escritório, por meio do uso de
celulares e demais dispositivos pessoais e corporativos, determinando regras e limites
para a concessão do referido acesso;
 Treinamento relativo à segurança cibernética para os executivos e colaboradores em
geral (incluindo treinamento dos novos colaboradores e ao longo do tempo),
observando-se que tais esforços ganham efetividade se complementados com
simulações (por exemplo, testes de phishing destinados aos colaboradores da instituição)
que auxiliem mudanças culturais nas equipes; e
 Estabelecimento de canais de comunicação e de divulgação das políticas e
procedimentos internos que contribuam para sua disseminação e para a fixação de
práticas e procedimentos, inclusive novas orientações.
10
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
Controles tecnológicos
Para se proteger das ameaças cibernéticas, as instituições devem possuir ao menos uma
estrutura básica de tecnologia que preveja itens como:
 Proteção dos dados armazenados ou em trânsito, contendo ferramentas seguras de
backup e criptografia, conforme necessário; bancos de dados e dispositivos de rede
devem ser enviados para um sistema de segurança dedicado que seja rigorosamente
controlado para preservar a integridade, a confidencialidade e a disponibilidade do
conteúdo;
 Uso de assinaturas digitais para processos/colaboradores críticos;
 Inventários atualizados dos hardwares e softwares;
 Atualização dos sistemas, infraestruturas e softwares utilizados nas instituições;
 Prevenção de ameaças com firewalls, antivírus, perfis de acesso específico para os
administradores das máquinas, filtros de spam, controle para uso de periféricos
(pendrives, CDs e HDs), testes de penetração de invasores e filtros de uso de internet;
 Controles para uso de periférico contra cópias não autorizadas de dados (como, por
exemplo, pendrives, CDs e HDs) e monitoramento de impressão de dados confidenciais;
 Detecção de ameaças, monitoramento de anomalias (por exemplo, por meio de logs de
atividade de sistemas operacionais, análise de logins errados ou de downloads incomuns)
e usuários não autorizados nas redes da instituição;
 Inclusão das preocupações de segurança durante as fases de desenvolvimento de novos
sistemas, softwares ou aplicações;
 Controles de auditoria, tais como sistemas de gerenciamento de senhas, logs e trilhas de
acesso;
 Utilização de dados fictícios (mascaramento de dados críticos) em ambientes não
produtivos, ou outras medidas visando à segurança dos ambientes não produtivos e a
proteção dos dados;
 Segregação física e lógica dos ambientes de desenvolvimento, teste e produção; e
 Estabelecimento do mesmo nível de segurança e proteção às aplicações que se utilizem
de informações críticas.
As instituições devem definir os controles adequados para o acesso dos clientes aos seus serviços
on-line e para a comunicação recorrente (por exemplo, disponibilização dos extratos) ou pontual
entre elas e seus clientes.
Evoluções recentes, como o uso da nuvem, podem criar riscos adicionais ao estabelecer
porosidades entre os sistemas internos e externos das instituições. Apesar do uso da nuvem
poder trazer certos benefícios em termos de cibersegurança, em particular para as instituições
menores, essa evolução pede uma atenção particular, inclusive a respeito do gerenciamento dos
acessos.
11
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
Controles físicos
É importante que as instituições possuam procedimentos de segurança física, assim como
controles de acesso às instalações, devendo prever:
 Perfis de acesso às instalações do escritório;
 Gerenciamento e controle dos acessos;
 Espaço físico adequado e seguro para a guarda dos equipamentos;
 Restrição de acesso físico das áreas com informações críticas/sensíveis;
 Segurança e controles de acesso nas instalações de contingência;
 Acesso remoto por usuários devidamente identificados e autenticados, bem como,
conforme necessário, utilização de conexão criptografada, para acesso ao ambiente da
empresa de fora desta;
 Uso exclusivo de equipamentos homologados pela área de arquitetura e tecnologia da
informação.
Plano de resposta a incidentes
As instituições devem ser capazes de reagir tempestivamente em caso de incidentes, possuindo
um plano de escalonamento e respostas. Para isso, é importante a definição de:
 Critérios para classificação do incidente, por severidade;
 Lista de ativos críticos, de acordo com avaliação de risco (risk assessment) já efetuada
pela instituição;
 Procedimentos de detecção e investigação (incluindo, na medida do possível, os
procedimentos para a coleta de evidências – ver abaixo) para agilizar a identificação e a
correção do problema;
 Plano de acionamento dos colaboradores-chaves e contatos externos relevantes;
 Tomada de decisões e ações técnicas de acordo com vários cenários possíveis de ataques
(perda de dados de clientes, ataque DDoS, infecção, intrusão etc.);
 Plano de comunicação envolvendo, de acordo com os riscos concretos inerentes ao
incidente, clientes e outros parceiros, órgãos reguladores e, se necessário, a imprensa;
 Medidas de remediação; e
 Controles básicos aumentam significativamente o nível de segurança e conseguem evitar boa
parte dos ataques mais simples.
 Esses controles devem ser objeto de treinamento.
 A seleção dos controles específicos depende das circunstâncias de cada instituição.
 Instituições devem avaliar a necessidade de ferramentas como criptografia ou testes de
penetração.
12
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
 Plano de continuidade dos negócios6
e processos de recuperação, incluindo, conforme o
caso, a restauração, reconstrução ou substituição dos sistemas e bases de dados
impactados.
O processo de gerenciamento de incidentes deve ser desenvolvido em linha com as atividades de
negócio para abordar toda a gama de incidentes cibernéticos que possam ocorrer em sua
infraestrutura corporativa.
As documentações relacionadas ao gerenciamento dos incidentes devem ser devidamente
arquivadas para servir como evidência em eventuais questionamentos.
É importante que o plano de resposta considere que os sistemas, redes e bases de dados podem
não ser acessíveis ou podem estar corrompidos, bem como a estrutura física da instituição. Além
disso, é recomendável que as instituições atualizem e testem regularmente o seu plano de
resposta.
Recomenda-se o envolvimento de várias áreas da instituição na elaboração do plano, além da
área de segurança tecnológica, como departamentos jurídicos, de compliance e de comunicação.
Processo de investigação
As investigações de cibersegurança incluem a coleta, a análise e a preservação de dados
(conforme aplicável) com o objetivo de identificar a origem e as características de uma invasão
ou ataque cibernético. Para êxito nas investigações, é recomendável definir o protocolo que
direcione a análise com a interrupção ou não do ataque e utilizar técnicas forenses que suportem
a preservação das provas em caso de requerimentos legais.
É recomendável manter o histórico das análises com o objetivo de obter indicadores que
permitam identificar, de forma preditiva, tendências e comportamentos.
6
Alguns Códigos de Regulação e Melhores Práticas da ANBIMA já exigem que as instituições participantes possuam
um PCN.
 Testar e praticar o plano de reposta são elementos importantes para identificar falhas e
melhorar as estratégias de mitigação contempladas.
 Exercícios ajudam os colaboradores a ficarem mais confortáveis com seus papéis e
responsabilidades na hora de um incidente de cibersegurança.
13
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
Diálogo com partes externas
Fornecedores, prestadores de serviços e parceiros (“partes externas”) podem representar uma
fonte significativa de riscos para as instituições. Recomenda-se que as instituições discutam com
as partes externas os controles estabelecidos por eles a respeito da cibersegurança antes de
celebrar um contrato de prestação de serviços e durante sua execução. Em geral, o nível de
diligência desejável depende do risco que a relação com o fornecedor pode criar para a
instituição. Cuidados específicos podem também ser necessários na conclusão da relação com as
partes externas (anulação dos acessos aos sistemas etc.). Especial atenção deve ser dada a
fornecedores que recebem e/ou tratam dados considerados confidenciais ou de clientes, bem
como para aqueles que possuem conexões lógicas (links) com a instituição.
É importante que as instituições tenham políticas7
de verificação dos procedimentos de
segurança cibernética de terceiros contratados, avaliando e monitorando a capacidade desses de
evitar ataques cibernéticos. Recomenda-se um processo de avaliação e acompanhamento dos
riscos representados pelos terceiros, bem como a formalização da aprovação desses terceiros
nos organismos internos responsáveis, com revisão de tais aprovações periodicamente.
Conforme necessário e dependendo da avaliação dos riscos, verificação de políticas e
procedimentos internos, além de visita às instalações das Partes Externas poderão ser realizadas
dentro do processo de due diligence. Em certos casos, a verificação poderá abranger eventuais
subcontratações.
Como parte do diálogo com fornecedores e prestadores de serviços, as instituições podem
considerar a inclusão de disposições específicas relacionadas ao risco cibernético nos contratos
de serviços.
7
Alguns Códigos de Regulação e Melhores Práticas da ANBIMA exigem, em determinadas situações, que a
instituição mantenha política interna que descreva seus processos de seleção, contratação e monitoramento de
prestadores de determinados serviços.
 Terceiros representam outra fonte de riscos.
 Instituições devem avaliar e gerir o risco cibernético ao longo da relação com o terceiro.
14
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
Prevenção dos ataques internos
Boas práticas8
na prevenção dos ataques internos combinam ferramentas tecnológicas (por
exemplo, de monitoramento das redes) ao conhecimento interno dos fatores humanos das
instituições. Alguns indicadores podem revelar comportamentos duvidosos (fracassos repetidos
no login, downloads massivos de dados etc., mas, também, conflitos entre colaboradores ou
ameaças).
As instituições podem considerar várias iniciativas para ajudar a prevenção dos ataques internos,
como controles dos usuários e controles físicos (ver acima), sensibilização dos colaboradores (por
exemplo, usando casos concretos), canais de denúncia e ouvidoria para compartilhar indicações
de comportamento duvidoso, incluindo, em certos casos, a criação de uma equipe específica,
bem como quaisquer outras práticas que auxiliem a detecção de vazamento de dados e/ou
fraudes a partir de colaboradores ou prestadores de serviços e fornecedores da instituição.
Aspectos jurídicos (privacidade da informação e confidencialidade, entre outros) devem ser
considerados.
Acesso à informação
Devido ao ritmo de mudanças das ameaças, é importante definir ferramentas de acesso à
inteligência de ameaças na mídia, internet e baixa internet (underground), bem como por meio
de mecanismos de compartilhamento de informações ou via fornecedores especializados
disponibilizando inteligência sobre a evolução das ameaças.
As instituições se beneficiam também da participação em grupos ou fóruns para trocar
experiências e informações, inclusive com a finalidade de manter o programa de segurança
cibernética sempre atualizado, atendendo a novas necessidades e incorporando os avanços mais
recentes da indústria no enfrentamento do risco cibernético.
8
Por exemplo, ver: SIFMA, Best Practices for Insider Threats. Disponível em:
http://www.sifma.org/uploadedFiles/Issues/Technology_and_Operations/Cyber_Security/insider-threat-best-
practices-guide.pdf?n=45727.
 Estabelecer relações de confiança e mecanismos de colaboração ajuda a desenvolver uma
resposta coletiva ao risco cibernético.
 Na medida do possível, instituições devem procurar acesso à informação e incorporá-la às
suas respostas.
15
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
Divulgação do programa de segurança cibernética
Conforme já mencionado, uma das maiores dificuldades para implementar um programa de
segurança cibernética é educar os executivos e colaboradores para que se habituem às rotinas e
controles como, por exemplo, as restrições à utilização da internet, de acesso aos e-mails
pessoais e mídias sociais. Parte dos ataques cibernéticos pode ser originada internamente caso
um colaborador utilize dispositivos, aplicativos, sites e mídias sociais não autorizadas pela
instituição ou não compatíveis com seus protocolos de segurança. O programa deve incentivar
que executivos e colaboradores adotem boas práticas (por exemplo, na definição das suas
senhas) e se tornem sensíveis às possíveis ameaças (por exemplo, no caso de phishing).
Dessa forma, recomenda-se a criação de canais de comunicação internos, que sejam eficientes
para divulgar o programa de segurança cibernética, assim como a conscientização sobre os riscos
e as práticas de segurança e o recebimento de eventuais denúncias sobre descumprimentos do
programa.
Recomendamos que as instituições realizem treinamentos periódicos com os colaboradores
sobre o assunto, além de manter canais abertos para o esclarecimento de dúvidas e recebimento
de sugestões ou alertas sobre o tema. A realização de exercícios simulados periódicos com as
principais áreas envolvidas, considerando os cenários de ataque mais prováveis, fortalece o
processo de conscientização e permite o constante aprimoramento do programa. Por fim,
destaca-se novamente a importância de ressaltar a responsabilidade dos colaboradores perante
os riscos de cibersegurança e assegurar o envolvimento da alta administração da instituição e
indicar um diretor como responsável pelo programa de segurança cibernética, de forma a
garantir que recursos (financeiros e humanos) suficientes sejam alocados para a eficiente
implementação do programa e difusão de uma cultura de segurança na instituição.
16
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
Tratativas básicas
Em termos gerais, a ANBIMA entende ser possível adotar tratativas básicas e de baixo custo, por
meio da adoção das medidas a seguir.
Função Descrição
Definição de papéis e
responsabilidades
Indicação do executivo e área responsável pela implementação do programa de
segurança cibernética, assim como pela tratativa de incidentes.
Definição de perfis de
acesso aos sistemas, rede,
base de dados e servidores
Matriz de perfis de acesso, segregando claramente responsabilidades e funções,
de forma a evitar acessos indevidos e possibilitar o monitoramento dos acessos.
Regras para a definição de
senha
Regras mínimas sobre quantidade e tipos de caracteres utilizados nas senhas e
periodicidade de troca.
Monitoramento do uso de
internet
Regras para a utilização da internet, bloqueio de sites que podem gerar riscos
adicionais e monitoramento do uso dos colaboradores.
Regras para download
Definir regras de download, evitando que ocorram downloads de arquivos de
fonte duvidosa, assim como itens desnecessários.
Regras para upload
Restringir a permissão de upload em sites de internet somente a usuários
autorizados por alçada competente, com procedimentos de revisão periódica.
Controles para utilização de
e-mails, mídias e periféricos
Regras para a permissão do uso e monitoramento de tais ferramentas, de forma a
evitar a entrada de itens lesivos e/ou a saída de informações
confidenciais/sensíveis. Monitoramento e concessão de envio de e-mails externos,
bem como a proibição do uso de serviços de e-mails externos (ex.: gmail, hotmail,
yahoo etc.).
Trilhas de auditoria e guarda
dos logs
Arquivar trilhas de auditoria e logs, permitindo a verificação de comandos
suspeitos e acessos indevidos. Definir também o tempo de guarda dos logs.
Regras de backup
Prever periodicidade para a realização dos backups, forma de armazenamento e
controle de acesso, garantindo que todas as informações tenham fonte de dados
secundária e segura.
Controle de entrada e saída
de equipamentos
Controlar a movimentação dos equipamentos para garantir que não sejam
alterados.
Controle de prestadores de
serviço
Regras para controle do acesso físico e lógico dos prestadores de serviço, além de
cláusulas de confidencialidade na contratação desses terceiros.
Softwares de segurança Utilização de softwares de segurança como firewalls, antivírus e outros.
Atualização dos sistemas,
infraestruturas e softwares
Manter os sistemas, infraestruturas e softwares sempre atualizados.
Classificação da informação
Regras para a classificação das informações, impedindo o acesso ou divulgação
indevida ou exigindo a sua criptografia.
Ciclo de vida da informação
Processos seguros para o devido manuseio, armazenamento, transporte e
descarte das informações.
Disseminação da cultura de
segurança
Mecanismos adotados para divulgar o programa contra ataques cibernéticos, tais
como realização de treinamentos, criação de canais de comunicação interna ou
simulações.
17
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
Apêndice
Segue abaixo a lista, não exaustiva, dos principais relatórios e fontes consultados:
 Alternative Investment Management Association (AIMA), Guide to Sound Practices for
Cybersecurity (disponível para membros da AIMA), out. 2015.
 BM&FBovespa, Programa de Qualificação Operacional, Roteiro básico. Disponível em:
http://www.bmfbovespa.com.br/pt_br/regulacao/programa-de-qualificacao-operacional-
pqo/roteiros/
 Commodities and Futures Trading Commission (CFTC), Recommended Best Practices for
the Protection of Customer Records and Informations, fev. 2014. Disponível em:
http://www.cftc.gov/idc/groups/public/@lrlettergeneral/documents/letter/14-21.pdf
 Central Bank of Ireland, Review of the Management of Operational Risk Around
Cybersecurity within the Investment Firm and Fund Service Industry, set. 2015. Disponível
em: https://www.centralbank.ie/regulation/industry-sectors/investment-firms/mifid-
firms/Documents/Industry%20Letter%20-%20Thematic%20Review%20of%20Cyber-
Security%20and%20Operational%20Risk.pdf.
 Comissão Parlamentar de Inquérito dos Crimes Cibernéticos, Relatório final, maio 2016.
Disponível em: http://www2.camara.leg.br/atividade-legislativa/comissoes/comissoes-
temporarias/parlamentar-de-inquerito/55a-legislatura/cpi-crimes-ciberneticos
 Financial Industry Regulatory Authority (FINRA), Report on Cybersecurity Practices, jan.
2015. Disponível em:
https://www.finra.org/sites/default/files/p602363%20Report%20on%20Cybersecurity%2
0Practices_0.pdf
 Hedge Fund Standards Board (HSFB), Cybersecurity Toolbox for Hedge Funds Managers,
out. 2015. Disponível em:
http://www.hfsb.org/sites/10377/files/regulators_on_cybersecurity.pdf
 Investment Company Institute (ICI), Information Security Resource Center. Disponível em:
https://www.ici.org/info_security.
 Investment Industry Regulatory Organization of Canada (IIROC), Cybersecurity Best
Practices Guide for IIROC Dealers Members, mar. 2016. Disponível em:
http://www.iiroc.ca/industry/Documents/CybersecurityBestPracticesGuide_en.pdf.
 Investment Industry Regulatory Organization of Canada (IIROC), Cybersecurity Incident
Management Planning Guide, mar. 2016. Disponível em:
http://www.iiroc.ca/industry/Documents/CyberIncidentManagementPlanningGuide_en.pdf
18
Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas
de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte
única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.
 International Organization of Securities Commissions (IOSCO), Cyber Security in Securities
Markets - An International Perspective, Disponível em:
http://www.iosco.org/library/pubdocs/pdf/IOSCOPD528.pdf
 National Futures Association (NFA), Information Security Programs, out. 2015. Disponível
em: http://www.nfa.futures.org/nfamanual/NFAManual.aspx?RuleID=9070&Section=9.
 National Institute of Standards and technology (NIST) Cybersecurity Framework.
Disponível em: http://www.nist.gov/cyberframework.
 SANS Institute. Disponível em: http://www.sans.org.
 Securities Industry and Financial Markets Association (SIFMA), Cybersecurity Resource
Center. Disponível em: http://www.sifma.org/issues/operations-and-
technology/cybersecurity/resources.
o SIFMA, Guidance for small firms, jul. 2014;
o SIFMA, Best practices for insider threat, jul. 2014; e
o SIFMA, Third Party Management Program Implementation Tips.
 US Securities and Exchange Commission (SEC), Investment Management Cybersecurity
Guidance, abr. 2015. Disponível em: https://www.sec.gov/investment/im-guidance-
2015-02.pdf.

Mais conteúdo relacionado

Semelhante a Guia Cibersegurança Mercados Financeiros

OAB - SEGURANÇA CORPORATIVA - Guia de Referência
OAB - SEGURANÇA CORPORATIVA - Guia de ReferênciaOAB - SEGURANÇA CORPORATIVA - Guia de Referência
OAB - SEGURANÇA CORPORATIVA - Guia de ReferênciaSymantec Brasil
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos   04082014 - apresentação de af...VI congresso fecomercio de crimes eletrônicos   04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...FecomercioSP
 
Indicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoIndicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoMarcelo Martins
 
7 Tendências de Tecnologia para o Mercado Segurador
7 Tendências de Tecnologia para o Mercado Segurador7 Tendências de Tecnologia para o Mercado Segurador
7 Tendências de Tecnologia para o Mercado SeguradorEbix Latin America
 
Circular 3978 2020 BACEN: Procedimentos de Compliance Anticorrupção versus LGPD
Circular 3978 2020 BACEN: Procedimentos de Compliance Anticorrupção versus LGPDCircular 3978 2020 BACEN: Procedimentos de Compliance Anticorrupção versus LGPD
Circular 3978 2020 BACEN: Procedimentos de Compliance Anticorrupção versus LGPDGraziela Brandão
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Leonardo Couto
 
Segurança da informação (2)
Segurança da informação (2)Segurança da informação (2)
Segurança da informação (2)israellfelipe
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
White paper - Relatório sobre Segurança Cisco
White paper - Relatório sobre Segurança Cisco White paper - Relatório sobre Segurança Cisco
White paper - Relatório sobre Segurança Cisco Cisco do Brasil
 
Tecnologia analítica para a indústria de crédito e cobrança
Tecnologia analítica para a indústria de crédito e cobrançaTecnologia analítica para a indústria de crédito e cobrança
Tecnologia analítica para a indústria de crédito e cobrançaLeonardo Couto
 
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕESA IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕESCarla Ferreira
 

Semelhante a Guia Cibersegurança Mercados Financeiros (17)

Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
OAB - SEGURANÇA CORPORATIVA - Guia de Referência
OAB - SEGURANÇA CORPORATIVA - Guia de ReferênciaOAB - SEGURANÇA CORPORATIVA - Guia de Referência
OAB - SEGURANÇA CORPORATIVA - Guia de Referência
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abipti
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abipti
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos   04082014 - apresentação de af...VI congresso fecomercio de crimes eletrônicos   04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
 
Indicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoIndicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da Informação
 
7 Tendências de Tecnologia para o Mercado Segurador
7 Tendências de Tecnologia para o Mercado Segurador7 Tendências de Tecnologia para o Mercado Segurador
7 Tendências de Tecnologia para o Mercado Segurador
 
Marketing
MarketingMarketing
Marketing
 
Circular 3978 2020 BACEN: Procedimentos de Compliance Anticorrupção versus LGPD
Circular 3978 2020 BACEN: Procedimentos de Compliance Anticorrupção versus LGPDCircular 3978 2020 BACEN: Procedimentos de Compliance Anticorrupção versus LGPD
Circular 3978 2020 BACEN: Procedimentos de Compliance Anticorrupção versus LGPD
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...
 
GV-executivo VOLUME 17, NÚMERO 5 SET/OUT 2018
GV-executivo VOLUME 17, NÚMERO 5 SET/OUT 2018GV-executivo VOLUME 17, NÚMERO 5 SET/OUT 2018
GV-executivo VOLUME 17, NÚMERO 5 SET/OUT 2018
 
Segurança da informação (2)
Segurança da informação (2)Segurança da informação (2)
Segurança da informação (2)
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
White paper - Relatório sobre Segurança Cisco
White paper - Relatório sobre Segurança Cisco White paper - Relatório sobre Segurança Cisco
White paper - Relatório sobre Segurança Cisco
 
Tecnologia analítica para a indústria de crédito e cobrança
Tecnologia analítica para a indústria de crédito e cobrançaTecnologia analítica para a indústria de crédito e cobrança
Tecnologia analítica para a indústria de crédito e cobrança
 
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕESA IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
 
0000015309.pdf
0000015309.pdf0000015309.pdf
0000015309.pdf
 

Mais de GRUPO DE ORAÇÃO ANJO RAFAEL

Programação Semana Santa 2023 - Paróquia São Rafael.pdf
Programação Semana Santa 2023 - Paróquia São Rafael.pdfProgramação Semana Santa 2023 - Paróquia São Rafael.pdf
Programação Semana Santa 2023 - Paróquia São Rafael.pdfGRUPO DE ORAÇÃO ANJO RAFAEL
 
Carta Aberta explicando a inflação acima do limite superior do intervalo de t...
Carta Aberta explicando a inflação acima do limite superior do intervalo de t...Carta Aberta explicando a inflação acima do limite superior do intervalo de t...
Carta Aberta explicando a inflação acima do limite superior do intervalo de t...GRUPO DE ORAÇÃO ANJO RAFAEL
 

Mais de GRUPO DE ORAÇÃO ANJO RAFAEL (20)

PIR2024 Coletiva imprensa Final.pdf
PIR2024      Coletiva imprensa Final.pdfPIR2024      Coletiva imprensa Final.pdf
PIR2024 Coletiva imprensa Final.pdf
 
I RENDA PF REGRAS E PRAZOS AB2023/EF2024
I RENDA PF REGRAS E PRAZOS AB2023/EF2024I RENDA PF REGRAS E PRAZOS AB2023/EF2024
I RENDA PF REGRAS E PRAZOS AB2023/EF2024
 
SANTA MISSA
SANTA MISSASANTA MISSA
SANTA MISSA
 
QUARESMA- São Tomás de AQUINO
QUARESMA- São Tomás de AQUINOQUARESMA- São Tomás de AQUINO
QUARESMA- São Tomás de AQUINO
 
RFB-23-FAQ
RFB-23-FAQRFB-23-FAQ
RFB-23-FAQ
 
COPOM02AUG23
COPOM02AUG23COPOM02AUG23
COPOM02AUG23
 
Brisa Refrigeração
Brisa RefrigeraçãoBrisa Refrigeração
Brisa Refrigeração
 
Programação Semana Santa 2023 - Paróquia São Rafael.pdf
Programação Semana Santa 2023 - Paróquia São Rafael.pdfProgramação Semana Santa 2023 - Paróquia São Rafael.pdf
Programação Semana Santa 2023 - Paróquia São Rafael.pdf
 
CARTA-PASTORAL-PROPOSTAS SINODAIS-2023.pdf
CARTA-PASTORAL-PROPOSTAS SINODAIS-2023.pdfCARTA-PASTORAL-PROPOSTAS SINODAIS-2023.pdf
CARTA-PASTORAL-PROPOSTAS SINODAIS-2023.pdf
 
REGRAS FUTEBOL MESA - BOTÃO
REGRAS FUTEBOL MESA - BOTÃOREGRAS FUTEBOL MESA - BOTÃO
REGRAS FUTEBOL MESA - BOTÃO
 
ORAR PELO BRASIL
ORAR PELO BRASILORAR PELO BRASIL
ORAR PELO BRASIL
 
CPC SUMÁRIO
CPC SUMÁRIO CPC SUMÁRIO
CPC SUMÁRIO
 
NOVENA DE NATAL 2022
NOVENA DE NATAL 2022NOVENA DE NATAL 2022
NOVENA DE NATAL 2022
 
PLANOSAFRA22/23
PLANOSAFRA22/23PLANOSAFRA22/23
PLANOSAFRA22/23
 
SRAFAEL87.pdf
SRAFAEL87.pdfSRAFAEL87.pdf
SRAFAEL87.pdf
 
Carta Aberta explicando a inflação acima do limite superior do intervalo de t...
Carta Aberta explicando a inflação acima do limite superior do intervalo de t...Carta Aberta explicando a inflação acima do limite superior do intervalo de t...
Carta Aberta explicando a inflação acima do limite superior do intervalo de t...
 
ATA-MINUTES COPOM - NOV3RD
ATA-MINUTES COPOM - NOV3RDATA-MINUTES COPOM - NOV3RD
ATA-MINUTES COPOM - NOV3RD
 
COPOM 27OUT 2021
COPOM 27OUT 2021COPOM 27OUT 2021
COPOM 27OUT 2021
 
MILAGRES EUCARÍSTICOS NO MUNDO - CARLO ACUTIS
MILAGRES EUCARÍSTICOS NO MUNDO - CARLO ACUTISMILAGRES EUCARÍSTICOS NO MUNDO - CARLO ACUTIS
MILAGRES EUCARÍSTICOS NO MUNDO - CARLO ACUTIS
 
DON ABEL ANCELLOTTA 2017
DON ABEL ANCELLOTTA 2017DON ABEL ANCELLOTTA 2017
DON ABEL ANCELLOTTA 2017
 

Guia Cibersegurança Mercados Financeiros

  • 2. 2 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. Sumário INTRODUÇÃO................................................................................................................................................3 OBJETIVO DESTE GUIA ..................................................................................................................................3 O RISCO CIBERNÉTICO ...................................................................................................................................4 IMPLEMENTANDO UM PROGRAMA DE SEGURANÇA CIBERNÉTICA............................................................6 COMO COMEÇAR .........................................................................................................................................6 AVALIAÇÃO DE RISCOS (RISK ASSESSMENT).......................................................................................................6 COMPONENTES DE UM PROGRAMA DE SEGURANÇA CIBERNÉTICA.........................................................................7 ELEMENTOS DE UM PROGRAMA DE SEGURANÇA CIBERNÉTICA EFETIVO..................................................................8 GOVERNANÇA ........................................................................................................................................8 CONTROLE E CONSCIENTIZAÇÃO DOS USUÁRIOS ...........................................................................................8 CONTROLES TECNOLÓGICOS......................................................................................................................10 CONTROLES FÍSICOS.................................................................................................................................11 PLANO DE RESPOSTA A INCIDENTES ............................................................................................................11 PROCESSO DE INVESTIGAÇÃO ....................................................................................................................12 DIÁLOGO COM PARTES EXTERNAS ..............................................................................................................13 PREVENÇÃO DOS ATAQUES INTERNOS.........................................................................................................14 ACESSO À INFORMAÇÃO...........................................................................................................................14 DIVULGAÇÃO DO PROGRAMA DE SEGURANÇA CIBERNÉTICA .................................................................................15 TRATATIVAS BÁSICAS ....................................................................................................................................16 APÊNDICE......................................................................................................................................................17
  • 3. 3 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. Introdução Objetivo deste Guia As organizações e seus representantes são dependentes de recursos tecnológicos e da internet para realizar suas principais atividades. Tanto o ambiente físico com celulares, computadores, smartphones, tablets, como o ambiente lógico com sistemas computacionais, e-mails, conectividade telecom, empresas de BPO (business process outsourcing), transferência de dados “intercompany”, “cloud” etc. são potencialmente vulneráveis a ataques cibernéticos. Estudos comprovam1 que esses ataques vêm crescendo exponencialmente em volume e sofisticação, resultando em um aumento dos riscos e prejuízos potenciais e de custos para as empresas. As instituições que atuam nos mercados financeiros e de capitais, particularmente, são alvos atraentes, devido ao montante financeiro transacionado e à sensibilidade das informações que possuem, destacando-se, entre outros:  Base de informações dos clientes (atuais e potenciais);  Banco de dados (incluindo informações históricas);  Plano de negócios e estratégias confidenciais/investimentos;  Propriedade intelectual (por exemplo, trading algorithms);  Carteira proprietária;  Posição de carteiras de clientes;  Lista de usuários e senhas; e  Sistemas de negociações. Reguladores e autorreguladores têm voltado maior atenção para assuntos relacionados a riscos cibernéticos com o objetivo de orientar as instituições em seus respectivos mercados e verificar se suas estruturas estão preparadas para identificar e mitigar esses riscos e para se recuperar de possíveis ataques. Para auxiliar as instituições participantes dos Códigos de Regulação e Melhores Práticas, a ANBIMA apresenta este Guia, tendo como principal objetivo descrever práticas efetivas para orientar a implantação de um programa de segurança cibernética e, com isso, contribuir para o aprimoramento da segurança cibernética nos mercados financeiro e de capitais do Brasil. As práticas descritas neste Guia não constituem uma lista única e exaustiva das iniciativas que as instituições podem tomar para reforçar a sua cibersegurança. Existem várias fontes e recursos disponíveis que podem também auxiliar as instituições, à medida que elas progridam na implementação do programa de segurança cibernética. 1 Conferir Apêndice, p. 15.
  • 4. 4 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. Por fim, vale ressaltar que as ameaças, bem como as práticas e soluções de cibersegurança, evoluem rapidamente, o que exige constante adaptação das instituições. Esse guia também poderá ser reavaliado e atualizado no futuro ou complementado por diretrizes e matérias adicionais. O risco cibernético Os avanços tecnológicos criam facilidades e possibilitam o uso de novas ferramentas para a atuação das instituições, permitindo agilidade na construção e disponibilização de serviços, ampliação dos meios de comunicação, entre outros avanços. Por outro lado, o aumento do uso de tais ferramentas potencializa os riscos de ataques cibernéticos, ameaçando a confidencialidade, a integridade e a disponibilidade dos dados ou dos sistemas das instituições. Existem diversas razões para que esses ataques sejam realizados por vários agentes (organizações criminosas ou hackers individuais, organismos de Estado, terroristas, colaboradores, competidores etc.). Os principais motivos identificados são:  Obter ganho financeiro;  Roubar, manipular ou adulterar informações;  Obter vantagens competitivas e informações confidenciais de empresas concorrentes;  Fraudar, sabotar ou expor a instituição invadida, podendo ter como motivo acessório a vingança;  Promover ideias políticas e/ou sociais;  Praticar o terror e disseminar pânico e caos; e  Enfrentar desafios e/ou ter adoração por hackers famosos. Os invasores podem utilizar vários métodos para os ataques cibernéticos. Destacam-se abaixo os mais comuns2 :  Malware – softwares desenvolvidos para corromper os computadores e redes: o Vírus: software que causa danos à máquina, rede, softwares e Banco de Dados; o Cavalo de Troia: aparece dentro de outro software criando uma porta para a invasão do computador; 2 Ver SANS Glossary of Terms para definições dos termos mais usados. Disponível em: https://www.sans.org/security-resources/glossary-of-terms  O Guia oferece exemplos e recomendações para orientar as instituições e contribuir para o aprimoramento da segurança cibernética nos mercados brasileiros.  Não se trata de padrões máximos ou mínimos.  A implementação das recomendações depende das características e das necessidades de cada instituição.
  • 5. 5 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. o Spyware: software malicioso para coletar e monitorar o uso de informações; e o Ransomware: software malicioso que bloqueia o acesso aos sistemas e base de dados, solicitando um resgate para que o acesso seja reestabelecido.  Engenharia social – métodos de manipulação para obter informações confidenciais, como senhas, dados pessoais e número de cartão de crédito: o Pharming: direciona o usuário para um site fraudulento, sem o seu conhecimento; o Phishing: links vinculados por e-mails, simulando ser uma pessoa ou empresa confiável que envia comunicação eletrônica oficial para obter informações confidenciais; o Vishing: simula ser uma pessoa ou empresa confiável e, por meio de ligações telefônicas, tenta obter informações confidenciais; o Smishing: simula ser uma pessoa ou empresa confiável e, por meio de mensagens de texto, tenta obter informações confidenciais; e o Acesso pessoal: pessoas localizadas em lugares públicos como bares, cafés e restaurantes, a fim de captar qualquer tipo de informação que possa ser utilizada posteriormente para um ataque.  Ataques de DDoS (distributed denial of services) e botnets – ataques visando negar ou atrasar o acesso aos serviços ou sistemas da instituição; no caso dos botnets, o ataque vem de um grande número de computadores infectados utilizados para criar e mandar spam ou viroses, ou inundar uma rede com mensagens resultando em uma negação de serviços.  Invasões (advanced persistent threats) – ataques realizados por invasores sofisticados, utilizando conhecimentos e ferramentas para detectar e explorar fragilidades específicas em um ambiente tecnológico. As ameaças cibernéticas podem variar de acordo com a natureza, vulnerabilidade e informações/bens de cada organização. As consequências para as instituições podem ser significativas em termos de risco de imagem, danos financeiros ou perda de vantagem concorrencial, além de possíveis riscos de compliance. Os possíveis impactos dependem também da rápida detecção e resposta após a identificação do ataque3 . Tanto instituições grandes como pequenas podem ser impactadas. 3 De acordo com FireEye, por exemplo, em 2014, cibercriminosos permaneceram dentro das redes das empresas vítimas por uma média de 205 dias antes de serem detectados.  Instituições financeiras não podem ignorar o risco cibernético.  Ataques ameaçam a confidencialidade, a integridade ou a disponibilidade dos dados e dos sistemas das instituições.  Reguladores estão focando na identificação de pontos fracos em segurança cibernética nos mercados de capital.  Clientes e parceiros têm questionado cada vez mais a segurança das instituições.
  • 6. 6 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. Implementando um programa de segurança cibernética Como começar Uma vez que os ataques cibernéticos vêm se tornando cada vez mais recorrentes e sofisticados, a ANBIMA entende que é de extrema importância que as instituições estruturem programas de segurança cibernética para se proteger e reduzir os riscos e potenciais consequências desses ataques (cyber threats). Tais programas podem, a critério de cada instituição, ser incluídos na política de segurança da informação, documento exigido por alguns dos Códigos de Regulação e Melhores Práticas da ANBIMA4 . Instituições podem basear-se em padrões internacionais ou nacionais existentes para desenvolver seus programas de segurança cibernética. Esses padrões podem focar em cibersegurança ou tratar de um modo mais abrangente da governança e do gerenciamento das tecnologias de informação dentro das instituições. Eles podem servir como pontos de referência e ajudar as instituições a avaliarem suas práticas e definirem elementos relevantes na construção e no desenvolvimento do programa, visando o aprimoramento da segurança cibernética da instituição. Avaliação de riscos (Risk assessment) É recomendado que as instituições implementem um programa de segurança cibernética baseado em suas necessidades, elaborando e mantendo uma avaliação de riscos (ou risk assessment) atualizada. Os esforços devem ser compatíveis com as características e o tamanho da instituição, e os recursos de defesa e respostas, proporcionais aos riscos identificados. A avaliação deve levar em conta o ambiente da instituição, seus objetivos, seus stakeholders e suas atividades. Recomenda-se que o risk assessment contenha, no mínimo:  Identificação dos ativos críticos da instituição (sejam sistemas, dados ou processos) e das potenciais vulnerabilidades;  Identificação recorrente de ameaças cibernéticas em âmbito global, mantendo-as em base de conhecimento;  Avaliação dos possíveis impactos financeiros, operacionais e reputacionais, e das probabilidades de ocorrência; 4 Código ANBIMA de Regulação e Melhores Práticas da ANBIMA para o Mercado de FIP e FIEE; Código ANBIMA de Regulação e Melhores Práticas da ANBIMA de Fundos de Investimento; Código ANBIMA de Regulação e Melhores Práticas da ANBIMA para a Atividade de Private Banking no Mercado Doméstico; e Código ANBIMA de Regulação e Melhores Práticas dos Serviços Qualificados ao Mercado de Capitais.
  • 7. 7 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.  Mensuração dos riscos internos e externos, incluindo os riscos dos sistemas, sejam eles críticos ou não, a partir da análise das vulnerabilidades, das ameaças, e dos possíveis impactos; e  Definição e priorização das respostas e ações necessárias frente aos riscos identificados. Um aspecto importante do risk assessment é a identificação dos riscos residuais, ou seja, os riscos que foram identificados e para os quais não existem estratégias de mitigação apropriadas. Para esses riscos, mecanismos adequados de escalação devem ser contemplados, bem como considerações para reduzir esses riscos no futuro. Componentes de um programa de segurança cibernética Um programa eficiente contra ataques cibernéticos deve conter ao menos seis funções bem definidas:  Identificação – identificar os riscos internos e externos e os ativos e processos que precisam de proteção, conforme abordado no risk assessment descrito acima;  Prevenção – estabelecer um conjunto de medidas cujo objetivo é mitigar a concretização de ameaças, ou seja, impedir previamente a ocorrência de um ataque cibernético, por meio da aplicação do dever de diligência, seja pela conscientização dos diversos stakeholders ou pela pesquisa, investigação e análise de comunicações e informações sobre ataques;  Detecção – detectar as ameaças em tempo hábil, reforçando os controles, caso necessário, e identificar possíveis anomalias no ambiente tecnológico, incluindo a presença de usuários, componentes ou dispositivos não autorizados;  Proteção – programar e implementar os controles necessários para combater as ameaças e ataques detectados;  Resposta – ter um plano de resposta, tratamento e recuperação de incidentes, incluindo um plano de comunicação interna e externa, caso necessário; e  Reciclagem – manter o programa de segurança cibernética continuamente testado e atualizado. Fonte: ANBIMA, GT Cibersegurança.  O programa de cibersegurança baseia-se na análise dos riscos específicos da instituição.  A implementação do programa pode levar vários anos.  Instituições podem inspirar-se em padrões existentes.
  • 8. 8 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. Elementos de um programa de segurança cibernética efetivo Inspirada em guias de segurança cibernética publicados recentemente5 , a ANBIMA destaca abaixo alguns itens que dão sustentação e complementam os componentes listados na seção anterior e que são considerados elementos importantes para a efetividade dos programas em todas as instituições. Governança Estabelecer governança interna a respeito de segurança cibernética é elemento essencial do programa. A esse respeito, os principais pontos a serem observados nas políticas e nos procedimentos internos específicos de proteção contra ataques cibernéticos são:  Definição das responsabilidades dentro do plano de ação nas tomadas de decisão, inclusive no momento da resposta a incidentes;  Criação de um comitê, fórum ou grupo específico para tratar segurança cibernética com representação e governança apropriadas;  Realização de auditoria periódica nas medidas e ações definidas pelo organismo responsável; e  Promoção de uma cultura de segurança dentro da instituição (tone from the top). O comprometimento dos executivos seniores, das linhas de negócios e de outros stakeholders é um fator crítico para que se obtenham avanços em termos de segurança das instituições. Iniciativas como a definição e manutenção de indicadores de desempenho (key performance indicators) podem corroborar a conscientização e o envolvimento da alta administração e demais órgãos da instituição. 5 Conferir Apêndice, p. 16.  Um dos grandes obstáculos ainda é a questão cultural.  Executivos seniores têm um papel importante no sentido de promover avanços na maturidade da estrutura.
  • 9. 9 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. Controle e conscientização dos usuários Provavelmente os trabalhadores vinculados à instituição participante (“colaboradores”) são o elo mais delicado em um programa de segurança cibernética. A efetividade do programa depende não somente dos equipamentos e soluções de segurança, mas também da conscientização dos colaboradores da instituição quanto à importância das práticas de segurança. Para tanto, é importante adotar os seguintes procedimentos e controles:  Regras mínimas a respeito da definição das senhas de acesso aos dispositivos corporativos, sistemas e rede;  Troca periódica de senhas de acesso e revisão de permissão de administradores de redes e administradores de estações;  Definição do perfil de acesso dos colaboradores e administradores de rede, limitando o acesso dos colaboradores às informações confidenciais e sistemas críticos, e revisão periódica desses acessos – usuários com privilégios "normais" devem também ser impedidos de instalar ou desabilitar qualquer software ou serviço em execução no sistema;  Controle rigoroso do uso de contas privilegiadas, inclusive para garantir que esse tipo de conta não seja utilizado para atividades de alto risco do usuário, por exemplo, para ter acesso ao e-mail externo ou navegar na internet;  Controles visando impedir a instalação e execução de software e aplicações não autorizadas por meio de controles de execução de processos (por exemplo, whitelisting aplicação);  Definição do perfil de acesso dos prestadores de serviços, limitando-se o acesso às informações confidenciais e sistemas críticos (como, por exemplo, datawarehouse ou outros relacionados com business intelligence ou auxiliares à tomada de decisão estratégica);  Gerenciamento e controle dos acessos privilegiados, incluindo medidas para a anulação rápida dos acessos aos sistemas e informações quando não forem mais necessários;  Políticas de controles de acesso para trabalhos fora do escritório, por meio do uso de celulares e demais dispositivos pessoais e corporativos, determinando regras e limites para a concessão do referido acesso;  Treinamento relativo à segurança cibernética para os executivos e colaboradores em geral (incluindo treinamento dos novos colaboradores e ao longo do tempo), observando-se que tais esforços ganham efetividade se complementados com simulações (por exemplo, testes de phishing destinados aos colaboradores da instituição) que auxiliem mudanças culturais nas equipes; e  Estabelecimento de canais de comunicação e de divulgação das políticas e procedimentos internos que contribuam para sua disseminação e para a fixação de práticas e procedimentos, inclusive novas orientações.
  • 10. 10 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. Controles tecnológicos Para se proteger das ameaças cibernéticas, as instituições devem possuir ao menos uma estrutura básica de tecnologia que preveja itens como:  Proteção dos dados armazenados ou em trânsito, contendo ferramentas seguras de backup e criptografia, conforme necessário; bancos de dados e dispositivos de rede devem ser enviados para um sistema de segurança dedicado que seja rigorosamente controlado para preservar a integridade, a confidencialidade e a disponibilidade do conteúdo;  Uso de assinaturas digitais para processos/colaboradores críticos;  Inventários atualizados dos hardwares e softwares;  Atualização dos sistemas, infraestruturas e softwares utilizados nas instituições;  Prevenção de ameaças com firewalls, antivírus, perfis de acesso específico para os administradores das máquinas, filtros de spam, controle para uso de periféricos (pendrives, CDs e HDs), testes de penetração de invasores e filtros de uso de internet;  Controles para uso de periférico contra cópias não autorizadas de dados (como, por exemplo, pendrives, CDs e HDs) e monitoramento de impressão de dados confidenciais;  Detecção de ameaças, monitoramento de anomalias (por exemplo, por meio de logs de atividade de sistemas operacionais, análise de logins errados ou de downloads incomuns) e usuários não autorizados nas redes da instituição;  Inclusão das preocupações de segurança durante as fases de desenvolvimento de novos sistemas, softwares ou aplicações;  Controles de auditoria, tais como sistemas de gerenciamento de senhas, logs e trilhas de acesso;  Utilização de dados fictícios (mascaramento de dados críticos) em ambientes não produtivos, ou outras medidas visando à segurança dos ambientes não produtivos e a proteção dos dados;  Segregação física e lógica dos ambientes de desenvolvimento, teste e produção; e  Estabelecimento do mesmo nível de segurança e proteção às aplicações que se utilizem de informações críticas. As instituições devem definir os controles adequados para o acesso dos clientes aos seus serviços on-line e para a comunicação recorrente (por exemplo, disponibilização dos extratos) ou pontual entre elas e seus clientes. Evoluções recentes, como o uso da nuvem, podem criar riscos adicionais ao estabelecer porosidades entre os sistemas internos e externos das instituições. Apesar do uso da nuvem poder trazer certos benefícios em termos de cibersegurança, em particular para as instituições menores, essa evolução pede uma atenção particular, inclusive a respeito do gerenciamento dos acessos.
  • 11. 11 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. Controles físicos É importante que as instituições possuam procedimentos de segurança física, assim como controles de acesso às instalações, devendo prever:  Perfis de acesso às instalações do escritório;  Gerenciamento e controle dos acessos;  Espaço físico adequado e seguro para a guarda dos equipamentos;  Restrição de acesso físico das áreas com informações críticas/sensíveis;  Segurança e controles de acesso nas instalações de contingência;  Acesso remoto por usuários devidamente identificados e autenticados, bem como, conforme necessário, utilização de conexão criptografada, para acesso ao ambiente da empresa de fora desta;  Uso exclusivo de equipamentos homologados pela área de arquitetura e tecnologia da informação. Plano de resposta a incidentes As instituições devem ser capazes de reagir tempestivamente em caso de incidentes, possuindo um plano de escalonamento e respostas. Para isso, é importante a definição de:  Critérios para classificação do incidente, por severidade;  Lista de ativos críticos, de acordo com avaliação de risco (risk assessment) já efetuada pela instituição;  Procedimentos de detecção e investigação (incluindo, na medida do possível, os procedimentos para a coleta de evidências – ver abaixo) para agilizar a identificação e a correção do problema;  Plano de acionamento dos colaboradores-chaves e contatos externos relevantes;  Tomada de decisões e ações técnicas de acordo com vários cenários possíveis de ataques (perda de dados de clientes, ataque DDoS, infecção, intrusão etc.);  Plano de comunicação envolvendo, de acordo com os riscos concretos inerentes ao incidente, clientes e outros parceiros, órgãos reguladores e, se necessário, a imprensa;  Medidas de remediação; e  Controles básicos aumentam significativamente o nível de segurança e conseguem evitar boa parte dos ataques mais simples.  Esses controles devem ser objeto de treinamento.  A seleção dos controles específicos depende das circunstâncias de cada instituição.  Instituições devem avaliar a necessidade de ferramentas como criptografia ou testes de penetração.
  • 12. 12 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.  Plano de continuidade dos negócios6 e processos de recuperação, incluindo, conforme o caso, a restauração, reconstrução ou substituição dos sistemas e bases de dados impactados. O processo de gerenciamento de incidentes deve ser desenvolvido em linha com as atividades de negócio para abordar toda a gama de incidentes cibernéticos que possam ocorrer em sua infraestrutura corporativa. As documentações relacionadas ao gerenciamento dos incidentes devem ser devidamente arquivadas para servir como evidência em eventuais questionamentos. É importante que o plano de resposta considere que os sistemas, redes e bases de dados podem não ser acessíveis ou podem estar corrompidos, bem como a estrutura física da instituição. Além disso, é recomendável que as instituições atualizem e testem regularmente o seu plano de resposta. Recomenda-se o envolvimento de várias áreas da instituição na elaboração do plano, além da área de segurança tecnológica, como departamentos jurídicos, de compliance e de comunicação. Processo de investigação As investigações de cibersegurança incluem a coleta, a análise e a preservação de dados (conforme aplicável) com o objetivo de identificar a origem e as características de uma invasão ou ataque cibernético. Para êxito nas investigações, é recomendável definir o protocolo que direcione a análise com a interrupção ou não do ataque e utilizar técnicas forenses que suportem a preservação das provas em caso de requerimentos legais. É recomendável manter o histórico das análises com o objetivo de obter indicadores que permitam identificar, de forma preditiva, tendências e comportamentos. 6 Alguns Códigos de Regulação e Melhores Práticas da ANBIMA já exigem que as instituições participantes possuam um PCN.  Testar e praticar o plano de reposta são elementos importantes para identificar falhas e melhorar as estratégias de mitigação contempladas.  Exercícios ajudam os colaboradores a ficarem mais confortáveis com seus papéis e responsabilidades na hora de um incidente de cibersegurança.
  • 13. 13 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. Diálogo com partes externas Fornecedores, prestadores de serviços e parceiros (“partes externas”) podem representar uma fonte significativa de riscos para as instituições. Recomenda-se que as instituições discutam com as partes externas os controles estabelecidos por eles a respeito da cibersegurança antes de celebrar um contrato de prestação de serviços e durante sua execução. Em geral, o nível de diligência desejável depende do risco que a relação com o fornecedor pode criar para a instituição. Cuidados específicos podem também ser necessários na conclusão da relação com as partes externas (anulação dos acessos aos sistemas etc.). Especial atenção deve ser dada a fornecedores que recebem e/ou tratam dados considerados confidenciais ou de clientes, bem como para aqueles que possuem conexões lógicas (links) com a instituição. É importante que as instituições tenham políticas7 de verificação dos procedimentos de segurança cibernética de terceiros contratados, avaliando e monitorando a capacidade desses de evitar ataques cibernéticos. Recomenda-se um processo de avaliação e acompanhamento dos riscos representados pelos terceiros, bem como a formalização da aprovação desses terceiros nos organismos internos responsáveis, com revisão de tais aprovações periodicamente. Conforme necessário e dependendo da avaliação dos riscos, verificação de políticas e procedimentos internos, além de visita às instalações das Partes Externas poderão ser realizadas dentro do processo de due diligence. Em certos casos, a verificação poderá abranger eventuais subcontratações. Como parte do diálogo com fornecedores e prestadores de serviços, as instituições podem considerar a inclusão de disposições específicas relacionadas ao risco cibernético nos contratos de serviços. 7 Alguns Códigos de Regulação e Melhores Práticas da ANBIMA exigem, em determinadas situações, que a instituição mantenha política interna que descreva seus processos de seleção, contratação e monitoramento de prestadores de determinados serviços.  Terceiros representam outra fonte de riscos.  Instituições devem avaliar e gerir o risco cibernético ao longo da relação com o terceiro.
  • 14. 14 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. Prevenção dos ataques internos Boas práticas8 na prevenção dos ataques internos combinam ferramentas tecnológicas (por exemplo, de monitoramento das redes) ao conhecimento interno dos fatores humanos das instituições. Alguns indicadores podem revelar comportamentos duvidosos (fracassos repetidos no login, downloads massivos de dados etc., mas, também, conflitos entre colaboradores ou ameaças). As instituições podem considerar várias iniciativas para ajudar a prevenção dos ataques internos, como controles dos usuários e controles físicos (ver acima), sensibilização dos colaboradores (por exemplo, usando casos concretos), canais de denúncia e ouvidoria para compartilhar indicações de comportamento duvidoso, incluindo, em certos casos, a criação de uma equipe específica, bem como quaisquer outras práticas que auxiliem a detecção de vazamento de dados e/ou fraudes a partir de colaboradores ou prestadores de serviços e fornecedores da instituição. Aspectos jurídicos (privacidade da informação e confidencialidade, entre outros) devem ser considerados. Acesso à informação Devido ao ritmo de mudanças das ameaças, é importante definir ferramentas de acesso à inteligência de ameaças na mídia, internet e baixa internet (underground), bem como por meio de mecanismos de compartilhamento de informações ou via fornecedores especializados disponibilizando inteligência sobre a evolução das ameaças. As instituições se beneficiam também da participação em grupos ou fóruns para trocar experiências e informações, inclusive com a finalidade de manter o programa de segurança cibernética sempre atualizado, atendendo a novas necessidades e incorporando os avanços mais recentes da indústria no enfrentamento do risco cibernético. 8 Por exemplo, ver: SIFMA, Best Practices for Insider Threats. Disponível em: http://www.sifma.org/uploadedFiles/Issues/Technology_and_Operations/Cyber_Security/insider-threat-best- practices-guide.pdf?n=45727.  Estabelecer relações de confiança e mecanismos de colaboração ajuda a desenvolver uma resposta coletiva ao risco cibernético.  Na medida do possível, instituições devem procurar acesso à informação e incorporá-la às suas respostas.
  • 15. 15 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. Divulgação do programa de segurança cibernética Conforme já mencionado, uma das maiores dificuldades para implementar um programa de segurança cibernética é educar os executivos e colaboradores para que se habituem às rotinas e controles como, por exemplo, as restrições à utilização da internet, de acesso aos e-mails pessoais e mídias sociais. Parte dos ataques cibernéticos pode ser originada internamente caso um colaborador utilize dispositivos, aplicativos, sites e mídias sociais não autorizadas pela instituição ou não compatíveis com seus protocolos de segurança. O programa deve incentivar que executivos e colaboradores adotem boas práticas (por exemplo, na definição das suas senhas) e se tornem sensíveis às possíveis ameaças (por exemplo, no caso de phishing). Dessa forma, recomenda-se a criação de canais de comunicação internos, que sejam eficientes para divulgar o programa de segurança cibernética, assim como a conscientização sobre os riscos e as práticas de segurança e o recebimento de eventuais denúncias sobre descumprimentos do programa. Recomendamos que as instituições realizem treinamentos periódicos com os colaboradores sobre o assunto, além de manter canais abertos para o esclarecimento de dúvidas e recebimento de sugestões ou alertas sobre o tema. A realização de exercícios simulados periódicos com as principais áreas envolvidas, considerando os cenários de ataque mais prováveis, fortalece o processo de conscientização e permite o constante aprimoramento do programa. Por fim, destaca-se novamente a importância de ressaltar a responsabilidade dos colaboradores perante os riscos de cibersegurança e assegurar o envolvimento da alta administração da instituição e indicar um diretor como responsável pelo programa de segurança cibernética, de forma a garantir que recursos (financeiros e humanos) suficientes sejam alocados para a eficiente implementação do programa e difusão de uma cultura de segurança na instituição.
  • 16. 16 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. Tratativas básicas Em termos gerais, a ANBIMA entende ser possível adotar tratativas básicas e de baixo custo, por meio da adoção das medidas a seguir. Função Descrição Definição de papéis e responsabilidades Indicação do executivo e área responsável pela implementação do programa de segurança cibernética, assim como pela tratativa de incidentes. Definição de perfis de acesso aos sistemas, rede, base de dados e servidores Matriz de perfis de acesso, segregando claramente responsabilidades e funções, de forma a evitar acessos indevidos e possibilitar o monitoramento dos acessos. Regras para a definição de senha Regras mínimas sobre quantidade e tipos de caracteres utilizados nas senhas e periodicidade de troca. Monitoramento do uso de internet Regras para a utilização da internet, bloqueio de sites que podem gerar riscos adicionais e monitoramento do uso dos colaboradores. Regras para download Definir regras de download, evitando que ocorram downloads de arquivos de fonte duvidosa, assim como itens desnecessários. Regras para upload Restringir a permissão de upload em sites de internet somente a usuários autorizados por alçada competente, com procedimentos de revisão periódica. Controles para utilização de e-mails, mídias e periféricos Regras para a permissão do uso e monitoramento de tais ferramentas, de forma a evitar a entrada de itens lesivos e/ou a saída de informações confidenciais/sensíveis. Monitoramento e concessão de envio de e-mails externos, bem como a proibição do uso de serviços de e-mails externos (ex.: gmail, hotmail, yahoo etc.). Trilhas de auditoria e guarda dos logs Arquivar trilhas de auditoria e logs, permitindo a verificação de comandos suspeitos e acessos indevidos. Definir também o tempo de guarda dos logs. Regras de backup Prever periodicidade para a realização dos backups, forma de armazenamento e controle de acesso, garantindo que todas as informações tenham fonte de dados secundária e segura. Controle de entrada e saída de equipamentos Controlar a movimentação dos equipamentos para garantir que não sejam alterados. Controle de prestadores de serviço Regras para controle do acesso físico e lógico dos prestadores de serviço, além de cláusulas de confidencialidade na contratação desses terceiros. Softwares de segurança Utilização de softwares de segurança como firewalls, antivírus e outros. Atualização dos sistemas, infraestruturas e softwares Manter os sistemas, infraestruturas e softwares sempre atualizados. Classificação da informação Regras para a classificação das informações, impedindo o acesso ou divulgação indevida ou exigindo a sua criptografia. Ciclo de vida da informação Processos seguros para o devido manuseio, armazenamento, transporte e descarte das informações. Disseminação da cultura de segurança Mecanismos adotados para divulgar o programa contra ataques cibernéticos, tais como realização de treinamentos, criação de canais de comunicação interna ou simulações.
  • 17. 17 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes. Apêndice Segue abaixo a lista, não exaustiva, dos principais relatórios e fontes consultados:  Alternative Investment Management Association (AIMA), Guide to Sound Practices for Cybersecurity (disponível para membros da AIMA), out. 2015.  BM&FBovespa, Programa de Qualificação Operacional, Roteiro básico. Disponível em: http://www.bmfbovespa.com.br/pt_br/regulacao/programa-de-qualificacao-operacional- pqo/roteiros/  Commodities and Futures Trading Commission (CFTC), Recommended Best Practices for the Protection of Customer Records and Informations, fev. 2014. Disponível em: http://www.cftc.gov/idc/groups/public/@lrlettergeneral/documents/letter/14-21.pdf  Central Bank of Ireland, Review of the Management of Operational Risk Around Cybersecurity within the Investment Firm and Fund Service Industry, set. 2015. Disponível em: https://www.centralbank.ie/regulation/industry-sectors/investment-firms/mifid- firms/Documents/Industry%20Letter%20-%20Thematic%20Review%20of%20Cyber- Security%20and%20Operational%20Risk.pdf.  Comissão Parlamentar de Inquérito dos Crimes Cibernéticos, Relatório final, maio 2016. Disponível em: http://www2.camara.leg.br/atividade-legislativa/comissoes/comissoes- temporarias/parlamentar-de-inquerito/55a-legislatura/cpi-crimes-ciberneticos  Financial Industry Regulatory Authority (FINRA), Report on Cybersecurity Practices, jan. 2015. Disponível em: https://www.finra.org/sites/default/files/p602363%20Report%20on%20Cybersecurity%2 0Practices_0.pdf  Hedge Fund Standards Board (HSFB), Cybersecurity Toolbox for Hedge Funds Managers, out. 2015. Disponível em: http://www.hfsb.org/sites/10377/files/regulators_on_cybersecurity.pdf  Investment Company Institute (ICI), Information Security Resource Center. Disponível em: https://www.ici.org/info_security.  Investment Industry Regulatory Organization of Canada (IIROC), Cybersecurity Best Practices Guide for IIROC Dealers Members, mar. 2016. Disponível em: http://www.iiroc.ca/industry/Documents/CybersecurityBestPracticesGuide_en.pdf.  Investment Industry Regulatory Organization of Canada (IIROC), Cybersecurity Incident Management Planning Guide, mar. 2016. Disponível em: http://www.iiroc.ca/industry/Documents/CyberIncidentManagementPlanningGuide_en.pdf
  • 18. 18 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.  International Organization of Securities Commissions (IOSCO), Cyber Security in Securities Markets - An International Perspective, Disponível em: http://www.iosco.org/library/pubdocs/pdf/IOSCOPD528.pdf  National Futures Association (NFA), Information Security Programs, out. 2015. Disponível em: http://www.nfa.futures.org/nfamanual/NFAManual.aspx?RuleID=9070&Section=9.  National Institute of Standards and technology (NIST) Cybersecurity Framework. Disponível em: http://www.nist.gov/cyberframework.  SANS Institute. Disponível em: http://www.sans.org.  Securities Industry and Financial Markets Association (SIFMA), Cybersecurity Resource Center. Disponível em: http://www.sifma.org/issues/operations-and- technology/cybersecurity/resources. o SIFMA, Guidance for small firms, jul. 2014; o SIFMA, Best practices for insider threat, jul. 2014; e o SIFMA, Third Party Management Program Implementation Tips.  US Securities and Exchange Commission (SEC), Investment Management Cybersecurity Guidance, abr. 2015. Disponível em: https://www.sec.gov/investment/im-guidance- 2015-02.pdf.