SlideShare uma empresa Scribd logo

Resolução CMN 4.658: Segurança Cibernética

F
Fausto Ferraz de Arruda

Síntese dos principais pontos da Resolução CMN 4.658 sobre política de segurança cibernética e contratação de serviços de processamento, armazenagem de dados e computação em nuvem para instituições financeiras.

Economia e finanças
1 de 11
Baixar para ler offline
Meetup @Torq: Desafios e oportunidades da Resolução 4.658 do CMN sobre política de segurança cibernética As decorrências práticas sob o prisma regulatório dos novos requerimentos de segurança cibernética Maio de 2018
Um pouco sobre mim Fausto Ferraz de Arruda Diretor de Serviços | Senior Solution Consultoria, Projetos de TI e Outsourcing Formado em Engenharia Elétrica pela UNICAMP, com pós-graduação em finanças, MBA em banking e especialização em gestão de negócios: 18 anos de experiência na indústria financeira, com passagem por ABN AMRO, Conglomerado BB e EY; 12 anos de experiência em consultoria regulatória focada em instituições financeiras.
Sobre nossa conversa de hoje 1. Relevância dos incidentes cibernéticos no Brasil e no mundo 2. Peças fundamentais nos requerimentos de segurança cibernética 3. Evolução da visão do regulador sobre armazenagem de dados 4. Requisitos na contratação de serviços de armazenagem e nuvem 5. Framework sugerido para implantação 6. Timeline de adequação e implementação dos requerimentos
Relevância dos incidentes cibernéticos no Brasil e no mundo US$ 170 bi em 2020 Estimativa de gasto global com segurança cibernética US$ 2 tri em 2020 Estimativa de prejuízo global com violação de dados 4 vezes mais do que o registrado em 2015! 2 vezes mais do que o registrado em 2017! 76% 89% 85% 86% 2016 2017 2016 2017 Incidência de crimes cibernéticos em empresas: Brasil Mundo Fontes: Kroll e Valor Econômico A indústria de serviços financeiros está entre os 3 setores mais impactados (abaixo, visão de todos os setores):
Peças fundamentais nos requerimentos de segurança cibernética Diretrizes: confidencialidade, integridade e disponibilidade dos dados e sistemas; Compatibilidade: porte/perfil/natureza/complexidade da instituição/operação e sensibilidade das informações (em linha com os princípios de “risk based approach”); Conteúdo mínimo: [i] objetivos, [ii] procedimentos e controles de redução de vulnerabilida- des, [iii] controles específicos de segurança/rastreabilidade, [iv] classificação das informa- ções, [v] registro e avaliação de relevância de incidentes, [vi] cenários de incidentes para testes de continuidade, [vii] procedimentos e controles para prevenção e tratamento de incidentes por empresas prestadoras de serviço, [viii] disseminação da cultura de segurança cibernética, e [ix] compartilhamento de informações sobre incidentes relevantes às demais instituições; Divulgação: integral a funcionários e empresas prestadoras de serviço, e resumo ao público; Revisão e manutenção: no mínimo anualmente, ficando à disposição do BACEN por 5 anos; Aprovação: conselho de administração (*) ou diretoria executiva; Responsabilidade: designição no Unicad de diretor estatutário responsável; Ações adicionais: atualização das políticas de gerenciamento de riscos e do PCN. 1. POLÍTICA O Banco Central do Brasil definiu 3 peças fundamentais para endereçamento dos requerimentos regulatórios de segurança cibernética pelas instituições:
Peças fundamentais nos requerimentos de segurança cibernética 2. PLANO DE AÇÃO E RESPOSTA Diretriz: efetividade na implementação da política de segurança cibernética; Conteúdo mínimo: [i] conjunto de ações de adequação das estruturas organizacional e operacional, [ii] rotinas, procedimentos, controles e tecnologias para prevenção e resposta a incidentes, [iii] área responsável pelo registro e controle de incidentes relevantes; Revisão e manutenção: no mínimo anualmente, ficando à disposição do BACEN por 5 anos; Aprovação: conselho de administração (*) ou diretoria executiva; Responsabilidade: designação no Unicad de diretor estatutário responsável (o mesmo). 3. RELATÓRIO ANUAL Diretriz: efetividade na implementação do plano de ação; Conteúdo mínimo: [i] resumo dos resultados obtidos nas ações de prevenção e resposta a incidentes, [ii] incidentes relevantes no período, e [iii] resultado dos testes de continuidade considerando os cenários de incidentes; Periodicidade e manutenção: anualmente (até 31 de março do ano seguinte ao da data- base), ficando à disposição do BACEN por 5 anos; Aprovação: comitê de riscos (*) e conselho de administração (*) ou diretoria executiva. (*) caso exista
Evolução da visão do regulador sobre armazenagem de dados Foco em cyber security Comportilhamento de experiências/incidentes Fim da “territorialidade” Adaptação/capacitação dos provedores Princípio da “territorialidade” Fintechs nascendo “na nuvem” e bancos migrando dados e sistemas não críticos Marco regulatório de segurança cibernética (BACEN) Adoção de data centers terceirizados 2014/2015 Visão orientada a: (i) vedação da contratação de serviços processamento, armazenamento de dados e computação em nuvem prestados no exterior, e (ii) manutenção no país das informações armazenados pela empresa contratada e das cópias de segurança dos dados. Blockchain??? ◦◦◦ Primeiras iniciativas de regulação (ANBIMA e CVM) 2016/2017 2018/2019◦◦◦
Requisitos na contratação de serviços de armazenagem e nuvem Na verificação prévia de capacidade do provedor: [i] cumprimento da legislação e da regu- lamentação vigente, [ii] acesso irrestrito aos dados e informações, [iii] confidencialidade, integridade, disponibilidade e recuperação, [iv] certificações necessárias, [v] relatório de auditor independente, [vi] informações sobre monitoramento dos serviços, [vii] controles para segregação de dados de clientes, e [viii] controles para proteção de dados de clientes; Na contratação do provedor de serviço: [i] comunicação prévia ao BACEN (60 dias) sobre nova contratação ou alteração contratual, [ii] em caso de extinção do contrato, obrigação de tranferência de dados ao novo provedor e posterior exclusão dos mesmos, [iii] acesso irres- trito da contratante a informações relativas ao cumprimento dos requisitos, [iv] notificação sobre subcontratação e limitações na prestação de serviços, [v] permissão de acesso ao BACEN aos dados e informações armazenados, [vi] adoção de novas medidas determinadas pelo regulador, e [vii] contrato à disposição do BACEN por 5 anos; Quando os serviços forem prestados no exterior: [i] existência de convênio para troca de in- formações entre BACEN e autoridades dos países em questão, [ii] definição prévia de países e regiões onde os serviços poderão ser prestados, [iii] alternativas de continuidade de negócios no caso de extinção do contrato, [iv] não restrição ao acesso da contratante e BACEN por par- te da legislação dos países, [v] comprovação documental à disposição do BACEN por 5 anos. CONTRATAÇÃO DE SERVIÇOS
Framework sugerido para implantação Assessment dos riscos cibernéticos Política de segurança cibernética Plano de ação e resposta Adequação da política de riscos e do PCN Critérios de contratação de provedores Implementar processos/controles Testar, monitorar e analisar incidentes Relatório anual 1 2 3 4 5 “Loop” de melhoria contínua Treinamento e divulgação
Timeline de adequação e implementação dos requerimentos 06/05/2019 31/12/202126/10/201826/04/2018 Marco regulatório de segurança cibernética (BACEN) Apresentação do cronograma de adequação para as instituições que já tiverem contratado serviços relevantes de processamento, armazenagem de dados e computação em nuvem Aprovação da política de segurança cibernética e do plano de ação e resposta pelo conselho de administração ou diretoria executiva Prazo máximo previsto em cronograma para efetiva adequação em termos de comunicação, requisitos e contratos Endereçamento e conclusão das adequações 180 dias 31/03/2020 Prazo máximo para emissão do primeiro relatório anual sobre a efetiva implementação do plano de ação e resposta (*) Implementação do plano de ação e resposta (*) se a política não for publicada antes de 2019
OBRIGADO!

Recomendados

7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
CNseg
 
7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez
7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez
7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez
CNseg
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Tenchi Security
 
Agir webinar bacen 4658 f nery 18mai2018
Agir webinar bacen 4658 f nery 18mai2018Agir webinar bacen 4658 f nery 18mai2018
Agir webinar bacen 4658 f nery 18mai2018
Fernando Nery
 
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a ImplementaçãoPalestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Marcelo Veloso
 
Agir webinar res 4658 f nery 04mai2018
Agir webinar res 4658 f nery 04mai2018Agir webinar res 4658 f nery 04mai2018
Agir webinar res 4658 f nery 04mai2018
Fernando Nery
 
pesquisa-febraban-2022-vol-1_SE.pdf
pesquisa-febraban-2022-vol-1_SE.pdfpesquisa-febraban-2022-vol-1_SE.pdf
pesquisa-febraban-2022-vol-1_SE.pdf
LuanesbarretoSantos
 
Curso seleção do provedor negociação e governança do contrato de cloud 24-25 ...
Curso seleção do provedor negociação e governança do contrato de cloud 24-25 ...Curso seleção do provedor negociação e governança do contrato de cloud 24-25 ...
Curso seleção do provedor negociação e governança do contrato de cloud 24-25 ...
Alfredo Saad
 

Recomendados

7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
CNseg
 
7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez
7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez
7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez
CNseg
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Tenchi Security
 
Agir webinar bacen 4658 f nery 18mai2018
Agir webinar bacen 4658 f nery 18mai2018Agir webinar bacen 4658 f nery 18mai2018
Agir webinar bacen 4658 f nery 18mai2018
Fernando Nery
 
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a ImplementaçãoPalestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Marcelo Veloso
 
Agir webinar res 4658 f nery 04mai2018
Agir webinar res 4658 f nery 04mai2018Agir webinar res 4658 f nery 04mai2018
Agir webinar res 4658 f nery 04mai2018
Fernando Nery
 
pesquisa-febraban-2022-vol-1_SE.pdf
pesquisa-febraban-2022-vol-1_SE.pdfpesquisa-febraban-2022-vol-1_SE.pdf
pesquisa-febraban-2022-vol-1_SE.pdf
LuanesbarretoSantos
 
Curso seleção do provedor negociação e governança do contrato de cloud 24-25 ...
Curso seleção do provedor negociação e governança do contrato de cloud 24-25 ...Curso seleção do provedor negociação e governança do contrato de cloud 24-25 ...
Curso seleção do provedor negociação e governança do contrato de cloud 24-25 ...
Alfredo Saad
 
Segurança Cibernética - PCN Latin America
Segurança Cibernética - PCN Latin AmericaSegurança Cibernética - PCN Latin America
Segurança Cibernética - PCN Latin America
MarinaBitencourt6
 
Plano Nacional de IoT e a Segurança Cibernética das Coisas
Plano Nacional de IoT e a Segurança Cibernética das CoisasPlano Nacional de IoT e a Segurança Cibernética das Coisas
Plano Nacional de IoT e a Segurança Cibernética das Coisas
José Reynaldo Formigoni Filho, MSc
 
Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...
Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...
Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...
Bernardo Scheinkman
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
Sidney Modenesi, MBCI
 
CLEVER - Webnar - Gestão de riscos.pptx
CLEVER - Webnar - Gestão de riscos.pptxCLEVER - Webnar - Gestão de riscos.pptx
CLEVER - Webnar - Gestão de riscos.pptx
OtvioPepe
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS Overview
Ulisses Castro
 
Transforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovaçãoTransforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovação
Cisco do Brasil
 
Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800
Natalia Fernandes
 
Governança de TI.pptx
Governança de TI.pptxGovernança de TI.pptx
Governança de TI.pptx
ssusera0a510
 
Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...
Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...
Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...
Alfredo Saad
 
Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing
Paulo Rodrigues
 
Implantação do SEI no Ministério do Planejamento
Implantação do SEI no Ministério do Planejamento Implantação do SEI no Ministério do Planejamento
Implantação do SEI no Ministério do Planejamento
Colaborativismo
 
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvemATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
ATMOSPHERE .
 
CIO Global Summit Rio - Desmitificando big data
CIO Global Summit Rio - Desmitificando big dataCIO Global Summit Rio - Desmitificando big data
CIO Global Summit Rio - Desmitificando big data
Cezar Taurion
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdf
LucianoDejesus15
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
Eduardo Poggi
 
8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina Mano8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina Mano
CNseg
 
Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
Conviso Application Security
 
governanc3a7a-de-ti.pptx
governanc3a7a-de-ti.pptxgovernanc3a7a-de-ti.pptx
governanc3a7a-de-ti.pptx
ValbertoSilva5
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
Edson Aguilera-Fernandes
 

Mais conteúdo relacionado

Semelhante a Resolução CMN 4.658: Segurança Cibernética

Segurança Cibernética - PCN Latin America
Segurança Cibernética - PCN Latin AmericaSegurança Cibernética - PCN Latin America
Segurança Cibernética - PCN Latin America
MarinaBitencourt6
 
Plano Nacional de IoT e a Segurança Cibernética das Coisas
Plano Nacional de IoT e a Segurança Cibernética das CoisasPlano Nacional de IoT e a Segurança Cibernética das Coisas
Plano Nacional de IoT e a Segurança Cibernética das Coisas
José Reynaldo Formigoni Filho, MSc
 
Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...
Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...
Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...
Bernardo Scheinkman
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
Sidney Modenesi, MBCI
 
CLEVER - Webnar - Gestão de riscos.pptx
CLEVER - Webnar - Gestão de riscos.pptxCLEVER - Webnar - Gestão de riscos.pptx
CLEVER - Webnar - Gestão de riscos.pptx
OtvioPepe
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS Overview
Ulisses Castro
 
Transforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovaçãoTransforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovação
Cisco do Brasil
 
Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800
Natalia Fernandes
 
Governança de TI.pptx
Governança de TI.pptxGovernança de TI.pptx
Governança de TI.pptx
ssusera0a510
 
Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...
Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...
Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...
Alfredo Saad
 
Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing
Paulo Rodrigues
 
Implantação do SEI no Ministério do Planejamento
Implantação do SEI no Ministério do Planejamento Implantação do SEI no Ministério do Planejamento
Implantação do SEI no Ministério do Planejamento
Colaborativismo
 
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvemATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
ATMOSPHERE .
 
CIO Global Summit Rio - Desmitificando big data
CIO Global Summit Rio - Desmitificando big dataCIO Global Summit Rio - Desmitificando big data
CIO Global Summit Rio - Desmitificando big data
Cezar Taurion
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdf
LucianoDejesus15
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
Eduardo Poggi
 
8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina Mano8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina Mano
CNseg
 
Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
Conviso Application Security
 
governanc3a7a-de-ti.pptx
governanc3a7a-de-ti.pptxgovernanc3a7a-de-ti.pptx
governanc3a7a-de-ti.pptx
ValbertoSilva5
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
Edson Aguilera-Fernandes
 

Semelhante a Resolução CMN 4.658: Segurança Cibernética (20)

Segurança Cibernética - PCN Latin America
Segurança Cibernética - PCN Latin AmericaSegurança Cibernética - PCN Latin America
Segurança Cibernética - PCN Latin America
 
Plano Nacional de IoT e a Segurança Cibernética das Coisas
Plano Nacional de IoT e a Segurança Cibernética das CoisasPlano Nacional de IoT e a Segurança Cibernética das Coisas
Plano Nacional de IoT e a Segurança Cibernética das Coisas
 
Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...
Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...
Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
CLEVER - Webnar - Gestão de riscos.pptx
CLEVER - Webnar - Gestão de riscos.pptxCLEVER - Webnar - Gestão de riscos.pptx
CLEVER - Webnar - Gestão de riscos.pptx
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS Overview
 
Transforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovaçãoTransforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovação
 
Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800
 
Governança de TI.pptx
Governança de TI.pptxGovernança de TI.pptx
Governança de TI.pptx
 
Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...
Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...
Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...
 
Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing
 
Implantação do SEI no Ministério do Planejamento
Implantação do SEI no Ministério do Planejamento Implantação do SEI no Ministério do Planejamento
Implantação do SEI no Ministério do Planejamento
 
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvemATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
 
CIO Global Summit Rio - Desmitificando big data
CIO Global Summit Rio - Desmitificando big dataCIO Global Summit Rio - Desmitificando big data
CIO Global Summit Rio - Desmitificando big data
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdf
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina Mano8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina Mano
 
Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
governanc3a7a-de-ti.pptx
governanc3a7a-de-ti.pptxgovernanc3a7a-de-ti.pptx
governanc3a7a-de-ti.pptx
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
 

Resolução CMN 4.658: Segurança Cibernética

  • 1. Meetup @Torq: Desafios e oportunidades da Resolução 4.658 do CMN sobre política de segurança cibernética As decorrências práticas sob o prisma regulatório dos novos requerimentos de segurança cibernética Maio de 2018
  • 2. Um pouco sobre mim Fausto Ferraz de Arruda Diretor de Serviços | Senior Solution Consultoria, Projetos de TI e Outsourcing Formado em Engenharia Elétrica pela UNICAMP, com pós-graduação em finanças, MBA em banking e especialização em gestão de negócios: 18 anos de experiência na indústria financeira, com passagem por ABN AMRO, Conglomerado BB e EY; 12 anos de experiência em consultoria regulatória focada em instituições financeiras.
  • 3. Sobre nossa conversa de hoje 1. Relevância dos incidentes cibernéticos no Brasil e no mundo 2. Peças fundamentais nos requerimentos de segurança cibernética 3. Evolução da visão do regulador sobre armazenagem de dados 4. Requisitos na contratação de serviços de armazenagem e nuvem 5. Framework sugerido para implantação 6. Timeline de adequação e implementação dos requerimentos
  • 4. Relevância dos incidentes cibernéticos no Brasil e no mundo US$ 170 bi em 2020 Estimativa de gasto global com segurança cibernética US$ 2 tri em 2020 Estimativa de prejuízo global com violação de dados 4 vezes mais do que o registrado em 2015! 2 vezes mais do que o registrado em 2017! 76% 89% 85% 86% 2016 2017 2016 2017 Incidência de crimes cibernéticos em empresas: Brasil Mundo Fontes: Kroll e Valor Econômico A indústria de serviços financeiros está entre os 3 setores mais impactados (abaixo, visão de todos os setores):
  • 5. Peças fundamentais nos requerimentos de segurança cibernética Diretrizes: confidencialidade, integridade e disponibilidade dos dados e sistemas; Compatibilidade: porte/perfil/natureza/complexidade da instituição/operação e sensibilidade das informações (em linha com os princípios de “risk based approach”); Conteúdo mínimo: [i] objetivos, [ii] procedimentos e controles de redução de vulnerabilida- des, [iii] controles específicos de segurança/rastreabilidade, [iv] classificação das informa- ções, [v] registro e avaliação de relevância de incidentes, [vi] cenários de incidentes para testes de continuidade, [vii] procedimentos e controles para prevenção e tratamento de incidentes por empresas prestadoras de serviço, [viii] disseminação da cultura de segurança cibernética, e [ix] compartilhamento de informações sobre incidentes relevantes às demais instituições; Divulgação: integral a funcionários e empresas prestadoras de serviço, e resumo ao público; Revisão e manutenção: no mínimo anualmente, ficando à disposição do BACEN por 5 anos; Aprovação: conselho de administração (*) ou diretoria executiva; Responsabilidade: designição no Unicad de diretor estatutário responsável; Ações adicionais: atualização das políticas de gerenciamento de riscos e do PCN. 1. POLÍTICA O Banco Central do Brasil definiu 3 peças fundamentais para endereçamento dos requerimentos regulatórios de segurança cibernética pelas instituições:
  • 6. Peças fundamentais nos requerimentos de segurança cibernética 2. PLANO DE AÇÃO E RESPOSTA Diretriz: efetividade na implementação da política de segurança cibernética; Conteúdo mínimo: [i] conjunto de ações de adequação das estruturas organizacional e operacional, [ii] rotinas, procedimentos, controles e tecnologias para prevenção e resposta a incidentes, [iii] área responsável pelo registro e controle de incidentes relevantes; Revisão e manutenção: no mínimo anualmente, ficando à disposição do BACEN por 5 anos; Aprovação: conselho de administração (*) ou diretoria executiva; Responsabilidade: designação no Unicad de diretor estatutário responsável (o mesmo). 3. RELATÓRIO ANUAL Diretriz: efetividade na implementação do plano de ação; Conteúdo mínimo: [i] resumo dos resultados obtidos nas ações de prevenção e resposta a incidentes, [ii] incidentes relevantes no período, e [iii] resultado dos testes de continuidade considerando os cenários de incidentes; Periodicidade e manutenção: anualmente (até 31 de março do ano seguinte ao da data- base), ficando à disposição do BACEN por 5 anos; Aprovação: comitê de riscos (*) e conselho de administração (*) ou diretoria executiva. (*) caso exista
  • 7. Evolução da visão do regulador sobre armazenagem de dados Foco em cyber security Comportilhamento de experiências/incidentes Fim da “territorialidade” Adaptação/capacitação dos provedores Princípio da “territorialidade” Fintechs nascendo “na nuvem” e bancos migrando dados e sistemas não críticos Marco regulatório de segurança cibernética (BACEN) Adoção de data centers terceirizados 2014/2015 Visão orientada a: (i) vedação da contratação de serviços processamento, armazenamento de dados e computação em nuvem prestados no exterior, e (ii) manutenção no país das informações armazenados pela empresa contratada e das cópias de segurança dos dados. Blockchain??? ◦◦◦ Primeiras iniciativas de regulação (ANBIMA e CVM) 2016/2017 2018/2019◦◦◦
  • 8. Requisitos na contratação de serviços de armazenagem e nuvem Na verificação prévia de capacidade do provedor: [i] cumprimento da legislação e da regu- lamentação vigente, [ii] acesso irrestrito aos dados e informações, [iii] confidencialidade, integridade, disponibilidade e recuperação, [iv] certificações necessárias, [v] relatório de auditor independente, [vi] informações sobre monitoramento dos serviços, [vii] controles para segregação de dados de clientes, e [viii] controles para proteção de dados de clientes; Na contratação do provedor de serviço: [i] comunicação prévia ao BACEN (60 dias) sobre nova contratação ou alteração contratual, [ii] em caso de extinção do contrato, obrigação de tranferência de dados ao novo provedor e posterior exclusão dos mesmos, [iii] acesso irres- trito da contratante a informações relativas ao cumprimento dos requisitos, [iv] notificação sobre subcontratação e limitações na prestação de serviços, [v] permissão de acesso ao BACEN aos dados e informações armazenados, [vi] adoção de novas medidas determinadas pelo regulador, e [vii] contrato à disposição do BACEN por 5 anos; Quando os serviços forem prestados no exterior: [i] existência de convênio para troca de in- formações entre BACEN e autoridades dos países em questão, [ii] definição prévia de países e regiões onde os serviços poderão ser prestados, [iii] alternativas de continuidade de negócios no caso de extinção do contrato, [iv] não restrição ao acesso da contratante e BACEN por par- te da legislação dos países, [v] comprovação documental à disposição do BACEN por 5 anos. CONTRATAÇÃO DE SERVIÇOS
  • 9. Framework sugerido para implantação Assessment dos riscos cibernéticos Política de segurança cibernética Plano de ação e resposta Adequação da política de riscos e do PCN Critérios de contratação de provedores Implementar processos/controles Testar, monitorar e analisar incidentes Relatório anual 1 2 3 4 5 “Loop” de melhoria contínua Treinamento e divulgação
  • 10. Timeline de adequação e implementação dos requerimentos 06/05/2019 31/12/202126/10/201826/04/2018 Marco regulatório de segurança cibernética (BACEN) Apresentação do cronograma de adequação para as instituições que já tiverem contratado serviços relevantes de processamento, armazenagem de dados e computação em nuvem Aprovação da política de segurança cibernética e do plano de ação e resposta pelo conselho de administração ou diretoria executiva Prazo máximo previsto em cronograma para efetiva adequação em termos de comunicação, requisitos e contratos Endereçamento e conclusão das adequações 180 dias 31/03/2020 Prazo máximo para emissão do primeiro relatório anual sobre a efetiva implementação do plano de ação e resposta (*) Implementação do plano de ação e resposta (*) se a política não for publicada antes de 2019