Síntese dos principais pontos da Resolução CMN 4.658 sobre política de segurança cibernética e contratação de serviços de processamento, armazenagem de dados e computação em nuvem para instituições financeiras.
7º Encontro de Resseguro do Rio de Janeiro - Marcia CicarelliCNseg
O documento resume os principais aspectos legais e regulatórios relacionados a riscos cibernéticos no Brasil, incluindo a Lei do Marco Civil da Internet, o GDPR da União Europeia, casos concretos de vazamento de dados e a cobertura de seguros cibernéticos.
7º Encontro de Resseguro do Rio de Janeiro - Marcelo MartinezCNseg
O documento discute os riscos cibernéticos enfrentados por corporações no Brasil e globalmente. Apresenta dados de pesquisas mostrando que 89% das empresas brasileiras foram alvo de ataques cibernéticos no ano passado, com phishing e ransomware sendo os principais tipos de ataque. Também discute cyber insurance como uma nova linha de defesa e abordagens consultivas para avaliação e resposta a incidentes de segurança da informação.
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security
Apresentação de Dani Dilkin no Mind The Sec São Paulo de 2020.
A tecnologia da informação está passando pela maior mudança de paradigma desde que migramos dos mainframes para redes Novell.
A tecnologia de nuvem está permitindo que times cada vez menores, usando cada vez menos capital, e de forma mais ágil criem soluções altamente complexas e profissionais. Isso ajuda a explicar a profusão de novas startups e serviços SaaS, tais como FinTechs, MedTechs e outras. A aparente simplicidade da nuvem, a falta de conhecimento detalhado de como implementar sua segurança e o perfil de tomadores de risco dos empreendedores são fatores críticos que podem ser observados em muitas destas empresas.
De outro lado, os reguladores estão atuando de forma cada vez mais ativa para exigir que as organizações sejam responsabilizadas por eventuais incidentes de segurança em sua cadeia de suprimentos. Grandes empresas que estão confiando dados pessoais, financeiros, médicos e outros dados sensíveis a seus fornecedores estão expostas cada vez mais a penalidades regulatórias advindas destas relações.
A combinação destes fatores está criando uma tempestade perfeita de oportunidades e riscos para o mercado. Durante esta palestra vamos abordar de forma objetiva como lidar com as principais regulamentações envolvidas (LGPD/GDPR, PCI DSS, BACEN 3909 e 4658), e indicar estratégias e melhores práticas para lidar com o desafio de conformidade e segurança neste novo cenário tão desafiador.
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a ImplementaçãoMarcelo Veloso
Palestra sobre Cloud Computing e algumas questões críticas para a sua implementação em organizações públicas, apresentada durante o V Congresso Consad de Gestão Pública, realizado em Brasília/DF em Jun/2012.
A Resolução Bacen 4.658/2018 estabelece requisitos de segurança cibernética e para contratação de serviços de nuvem que devem ser observados por instituições financeiras e outras instituições autorizadas pelo Banco Central do Brasil. O webinar discute a implementação dos controles exigidos e a integração da segurança cibernética com melhores práticas e regulamentações.
O documento apresenta os resultados da 30a edição da Pesquisa FEBRABAN de Tecnologia Bancária, que será divulgada em três volumes. Este primeiro volume explora as tendências em tecnologia para o setor bancário em 2022. As principais tendências incluem a inteligência artificial, automação, nuvem, segurança cibernética, Open Finance e transformação da TI, com foco na experiência do cliente, eficiência e oportunidades de negócio. A pesquisa foi realizada com 24 bancos que representam 90% dos ativos bancários
Curso seleção do provedor negociação e governança do contrato de cloud 24-25 ...Alfredo Saad
A implementação de soluções cloud e a efetiva obtenção dos benefícios potenciais preconizados requer uma apurada observação e o adequado tratamento de uma série de fatores, que se mostram críticos ao longo das diversas etapas de sua implantação.
Após o cumprimento das etapas de pré-implementação, que incluem a identificação e a priorização dos business drivers da decisão e a definição da estratégia de implantação, seguem-se as etapas de seleção do(s) provedor(es) a serem contratados, a negociação dos termos e condições contratuais e a governança do contrato.
O seminário busca explorar os fatores a serem considerados, de forma a garantir, tanto para contratantes quanto para contratados, a obtenção de um relacionamento operacional e financeiramente equilibrado e estável, que resultará na maximização da eficácia dos benefícios atingidos pela adoção da alternativa cloud numa organização
7º Encontro de Resseguro do Rio de Janeiro - Marcia CicarelliCNseg
O documento resume os principais aspectos legais e regulatórios relacionados a riscos cibernéticos no Brasil, incluindo a Lei do Marco Civil da Internet, o GDPR da União Europeia, casos concretos de vazamento de dados e a cobertura de seguros cibernéticos.
7º Encontro de Resseguro do Rio de Janeiro - Marcelo MartinezCNseg
O documento discute os riscos cibernéticos enfrentados por corporações no Brasil e globalmente. Apresenta dados de pesquisas mostrando que 89% das empresas brasileiras foram alvo de ataques cibernéticos no ano passado, com phishing e ransomware sendo os principais tipos de ataque. Também discute cyber insurance como uma nova linha de defesa e abordagens consultivas para avaliação e resposta a incidentes de segurança da informação.
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security
Apresentação de Dani Dilkin no Mind The Sec São Paulo de 2020.
A tecnologia da informação está passando pela maior mudança de paradigma desde que migramos dos mainframes para redes Novell.
A tecnologia de nuvem está permitindo que times cada vez menores, usando cada vez menos capital, e de forma mais ágil criem soluções altamente complexas e profissionais. Isso ajuda a explicar a profusão de novas startups e serviços SaaS, tais como FinTechs, MedTechs e outras. A aparente simplicidade da nuvem, a falta de conhecimento detalhado de como implementar sua segurança e o perfil de tomadores de risco dos empreendedores são fatores críticos que podem ser observados em muitas destas empresas.
De outro lado, os reguladores estão atuando de forma cada vez mais ativa para exigir que as organizações sejam responsabilizadas por eventuais incidentes de segurança em sua cadeia de suprimentos. Grandes empresas que estão confiando dados pessoais, financeiros, médicos e outros dados sensíveis a seus fornecedores estão expostas cada vez mais a penalidades regulatórias advindas destas relações.
A combinação destes fatores está criando uma tempestade perfeita de oportunidades e riscos para o mercado. Durante esta palestra vamos abordar de forma objetiva como lidar com as principais regulamentações envolvidas (LGPD/GDPR, PCI DSS, BACEN 3909 e 4658), e indicar estratégias e melhores práticas para lidar com o desafio de conformidade e segurança neste novo cenário tão desafiador.
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a ImplementaçãoMarcelo Veloso
Palestra sobre Cloud Computing e algumas questões críticas para a sua implementação em organizações públicas, apresentada durante o V Congresso Consad de Gestão Pública, realizado em Brasília/DF em Jun/2012.
A Resolução Bacen 4.658/2018 estabelece requisitos de segurança cibernética e para contratação de serviços de nuvem que devem ser observados por instituições financeiras e outras instituições autorizadas pelo Banco Central do Brasil. O webinar discute a implementação dos controles exigidos e a integração da segurança cibernética com melhores práticas e regulamentações.
O documento apresenta os resultados da 30a edição da Pesquisa FEBRABAN de Tecnologia Bancária, que será divulgada em três volumes. Este primeiro volume explora as tendências em tecnologia para o setor bancário em 2022. As principais tendências incluem a inteligência artificial, automação, nuvem, segurança cibernética, Open Finance e transformação da TI, com foco na experiência do cliente, eficiência e oportunidades de negócio. A pesquisa foi realizada com 24 bancos que representam 90% dos ativos bancários
Curso seleção do provedor negociação e governança do contrato de cloud 24-25 ...Alfredo Saad
A implementação de soluções cloud e a efetiva obtenção dos benefícios potenciais preconizados requer uma apurada observação e o adequado tratamento de uma série de fatores, que se mostram críticos ao longo das diversas etapas de sua implantação.
Após o cumprimento das etapas de pré-implementação, que incluem a identificação e a priorização dos business drivers da decisão e a definição da estratégia de implantação, seguem-se as etapas de seleção do(s) provedor(es) a serem contratados, a negociação dos termos e condições contratuais e a governança do contrato.
O seminário busca explorar os fatores a serem considerados, de forma a garantir, tanto para contratantes quanto para contratados, a obtenção de um relacionamento operacional e financeiramente equilibrado e estável, que resultará na maximização da eficácia dos benefícios atingidos pela adoção da alternativa cloud numa organização
O Brasil teve 103 bilhões de tentativas de ataques cibernéticos em 2022, sendo o segundo país mais atingido na América Latina. A cibersegurança é essencial para proteger dados pessoais e empresariais de riscos como danos materiais e vazamentos. O governo brasileiro tem adotado medidas como a Estratégia Nacional de Segurança Cibernética, mas especialistas propõem um Marco Geral adicional. Organizações devem se conscientizar sobre a importância da cibersegurança para adotar medidas robustas
Este documento discute o Plano Nacional de IoT e Segurança Cibernética das Coisas no Brasil. Ele fornece uma visão geral do projeto, discute os desafios de segurança cibernética em IoT, questões de segurança no projeto e considerações finais sobre o tema.
Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...Bernardo Scheinkman
O documento apresenta um plano de ação para o desenvolvimento da Internet das Coisas no Brasil entre 2018 e 2022, com o objetivo de aumentar a competitividade econômica e a qualidade de vida por meio de políticas públicas para a IoT. O plano define quatro ambientes prioritários - saúde, agronegócio, indústria e cidades - e estabelece objetivos estratégicos e iniciativas específicas para cada um. Além disso, propõe projetos mobilizadores e ações em áreas transversais como capital humano
Requisitos da continuidade(dos negócios)na segurança da informaçãoSidney Modenesi, MBCI
O documento discute os requisitos da continuidade de negócios na segurança da informação. Apresenta o sistema de gestão da continuidade de negócios e discute a importância de assegurar que a segurança da informação esteja inserida neste sistema para garantir a continuidade mesmo em situações de contingência. Também aborda exemplos de ameaças potenciais à segurança da informação e a relação entre esta área e a continuidade de negócios.
O documento discute os riscos associados à subcontratação e terceirização de fornecedores, incluindo: 1) impactos econômicos como custos imprevistos e riscos reputacionais; 2) impactos sociais como violação dos direitos dos trabalhadores; 3) impactos na saúde, segurança e meio ambiente como acidentes e vazamentos.
O documento discute o Payment Council Industry Council (PCI Council), que estabelece controles de segurança para transações com cartões de crédito. O PCI Council criou três documentos que definem esses controles para diferentes audiências, cobrindo dados, aplicativos de pagamento e transações PIN. O documento também lista os principais motivadores e requisitos para adoção desses controles de segurança.
Transforme sua rede em um mecanismo de inovaçãoCisco do Brasil
Este documento promove as soluções de rede da Cisco para inovação, segurança e agilidade. Ele descreve como o Hyatt Regency Santa Clara usou a rede Wi-Fi da Cisco para melhorar a experiência do cliente e como o Mondi Group usou o Cisco TrustSec para reforçar a segurança sem aumentar a equipe de TI. Também destaca como a Zitcom e a Lufthansa Systems reduziram o tempo de implantação de aplicações usando soluções de rede definida por software da Cisco.
O documento discute as medidas de segurança que devem ser implementadas para proteger dados de cartões de crédito de acordo com o Padrão de Segurança de Informação da Indústria de Cartões de Pagamento (PCI-DSS). Entre as medidas estão criptografar dados durante transmissão, restringir acesso físico e lógico aos dados, monitorar acessos à rede, manter sistemas atualizados e implementar controles de gerenciamento de chaves. O documento também fornece recomendações sobre como identificar onde os dados estão armazenados e flux
O documento apresenta uma disciplina sobre governança e gestão de TI. Ele descreve a ementa, objetivos gerais e específicos da disciplina, além de apresentar alguns dos principais modelos de melhores práticas como Balanced Scorecard, CobiT e ITIL.
Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...Alfredo Saad
A implementação de soluções cloud e a efetiva obtenção dos benefícios potenciais preconizados requer uma apurada observação e o adequado tratamento de uma série de fatores, que se mostram críticos ao longo das diversas etapas de sua implantação.
Após o cumprimento das etapas de pré-implementação, que incluem a identificação e a priorização dos business drivers da decisão e a definição da estratégia de implantação, seguem-se as etapas de seleção do(s) provedor(es) a serem contratados, a negociação dos termos e condições contratuais e a governança do contrato.
O seminário busca explorar os fatores a serem considerados, de forma a garantir, tanto para contratantes quanto para contratados, a obtenção de um relacionamento operacional e financeiramente equilibrado e estável, que resultará na maximização da eficácia dos benefícios atingidos pela adoção da alternativa cloud numa organização
Analise de riscos e contramedidas em cloud computing Paulo Rodrigues
Este documento apresenta uma análise de riscos e contramedidas para a adoção de cloud computing. Resume os principais tipos de cloud, analisa os riscos em 12 domínios, compara o custo-benefício de diferentes opções e fornece recomendações como estabelecer políticas e SLA para a escolha de fornecedores.
Implantação do SEI no Ministério do Planejamento Colaborativismo
O presente trabalho objetiva descrever de forma sucinta os passos desenvolvidos pelo Ministério do Planejamento, Orçamento e Gestão na implantação da solução de processo administrativo eletrônico denominada Sistema Eletrônico de
Informações (SEI) como parte do projeto Processo Eletrônico Nacional (PEN), com ênfase na implantação dos processos-piloto selecionados: pagamento de faturas do Serpro, capacitação e prestação de contas a órgãos de controle. Saiba mais: Saiba mais: https://goo.gl/IQ1r79
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvemATMOSPHERE .
O documento discute a falta de confiabilidade na computação em nuvem e propõe a plataforma ATMOSPHERE para fornecer serviços confiáveis em ambientes híbridos de nuvem. A plataforma fornecerá métricas e ferramentas para avaliar a confiabilidade de aplicações, além de serviços para processamento, armazenamento e implantação de dados de forma confiável através de provedores de nuvem federados. Uma aplicação de telemedicina será desenvolvida como prova de conceito.
CIO Global Summit Rio - Desmitificando big dataCezar Taurion
Observando as iniciativas de Big data nas empresas, identificamos dois erros comuns. O primeiro é adquirir tecnologia antes de saber claramente o que vai ser feito com ela. E outro, é começar com uma montanha de dados e então tentar descobrir alguma coisa analisando-os. A questão principal é que o sucesso das iniciativas de Big data & Analytics depende primordialmente de uma clara definição da visão e escopo do problema (as perguntas que devem ser respondidas) e o consequente valor gerado, que são as respostas às perguntas e as suas subsequentes ações. Os conhecidos Vs de volume, velocidade, variedade e veracidade são meios para se chegar ao valor da visão proposta.
Este Bootcamp ensina habilidades práticas de segurança cibernética, como realizar testes de intrusão, exploração de vulnerabilidades e auditoria de ativos de TI. O curso abrange fundamentos de segurança da informação, redes, segurança de infraestrutura em nuvem e on-premises, e inclui um desafio final.
O documento discute a importância de indicadores para monitorar a segurança cibernética de uma organização. Ele explica que os indicadores devem fornecer informações úteis para apoiar a tomada de decisão e apresenta exemplos de indicadores baseados nos Controles Básicos de Segurança Cibernética (CIS Controls) e no framework de gestão de riscos da ISO.
O documento discute o uso de big data e data science na precificação de seguros. Apresenta as técnicas tradicionais versus novas técnicas como machine learning. Também aborda desafios como privacidade de dados, habilidades necessárias de atuários e como a internet das coisas pode fornecer novos dados para precificação mais precisa.
O documento fornece uma visão geral sobre o padrão PCI-DSS, que estabelece uma série de controles de segurança para proteger dados de cartões de crédito. Ele descreve os motivos para o crescimento de incidentes de vazamento de dados, os requisitos do padrão PCI-DSS, e as especialidades da empresa Conviso em auxiliar organizações a atenderem os requisitos 6 e 11 do padrão.
Este documento apresenta a disciplina de Governança de TI, definindo sua ementa, objetivos gerais e específicos. Apresenta os principais modelos de melhores práticas utilizados, como Balanced Scorecard, CobiT e ITIL. Discorre sobre os domínios e componentes da governança de TI, incluindo alinhamento estratégico, estrutura, processos e medição de desempenho.
1) O documento discute tendências em segurança da informação para 2012, incluindo aumento da privacidade de dados, complexidade de ataques e foco em gestão de riscos.
2) Apresenta um especialista em segurança da informação, Edson Aguilera, e suas credenciais.
3) Fornece contatos do especialista para aqueles interessados no tópico.
Mais conteúdo relacionado
Semelhante a Resolução CMN 4.658: Segurança Cibernética
O Brasil teve 103 bilhões de tentativas de ataques cibernéticos em 2022, sendo o segundo país mais atingido na América Latina. A cibersegurança é essencial para proteger dados pessoais e empresariais de riscos como danos materiais e vazamentos. O governo brasileiro tem adotado medidas como a Estratégia Nacional de Segurança Cibernética, mas especialistas propõem um Marco Geral adicional. Organizações devem se conscientizar sobre a importância da cibersegurança para adotar medidas robustas
Este documento discute o Plano Nacional de IoT e Segurança Cibernética das Coisas no Brasil. Ele fornece uma visão geral do projeto, discute os desafios de segurança cibernética em IoT, questões de segurança no projeto e considerações finais sobre o tema.
Smart Cities Brazil 2017 - Internet das Coisas: Plano de ação para o Brasil -...Bernardo Scheinkman
O documento apresenta um plano de ação para o desenvolvimento da Internet das Coisas no Brasil entre 2018 e 2022, com o objetivo de aumentar a competitividade econômica e a qualidade de vida por meio de políticas públicas para a IoT. O plano define quatro ambientes prioritários - saúde, agronegócio, indústria e cidades - e estabelece objetivos estratégicos e iniciativas específicas para cada um. Além disso, propõe projetos mobilizadores e ações em áreas transversais como capital humano
Requisitos da continuidade(dos negócios)na segurança da informaçãoSidney Modenesi, MBCI
O documento discute os requisitos da continuidade de negócios na segurança da informação. Apresenta o sistema de gestão da continuidade de negócios e discute a importância de assegurar que a segurança da informação esteja inserida neste sistema para garantir a continuidade mesmo em situações de contingência. Também aborda exemplos de ameaças potenciais à segurança da informação e a relação entre esta área e a continuidade de negócios.
O documento discute os riscos associados à subcontratação e terceirização de fornecedores, incluindo: 1) impactos econômicos como custos imprevistos e riscos reputacionais; 2) impactos sociais como violação dos direitos dos trabalhadores; 3) impactos na saúde, segurança e meio ambiente como acidentes e vazamentos.
O documento discute o Payment Council Industry Council (PCI Council), que estabelece controles de segurança para transações com cartões de crédito. O PCI Council criou três documentos que definem esses controles para diferentes audiências, cobrindo dados, aplicativos de pagamento e transações PIN. O documento também lista os principais motivadores e requisitos para adoção desses controles de segurança.
Transforme sua rede em um mecanismo de inovaçãoCisco do Brasil
Este documento promove as soluções de rede da Cisco para inovação, segurança e agilidade. Ele descreve como o Hyatt Regency Santa Clara usou a rede Wi-Fi da Cisco para melhorar a experiência do cliente e como o Mondi Group usou o Cisco TrustSec para reforçar a segurança sem aumentar a equipe de TI. Também destaca como a Zitcom e a Lufthansa Systems reduziram o tempo de implantação de aplicações usando soluções de rede definida por software da Cisco.
O documento discute as medidas de segurança que devem ser implementadas para proteger dados de cartões de crédito de acordo com o Padrão de Segurança de Informação da Indústria de Cartões de Pagamento (PCI-DSS). Entre as medidas estão criptografar dados durante transmissão, restringir acesso físico e lógico aos dados, monitorar acessos à rede, manter sistemas atualizados e implementar controles de gerenciamento de chaves. O documento também fornece recomendações sobre como identificar onde os dados estão armazenados e flux
O documento apresenta uma disciplina sobre governança e gestão de TI. Ele descreve a ementa, objetivos gerais e específicos da disciplina, além de apresentar alguns dos principais modelos de melhores práticas como Balanced Scorecard, CobiT e ITIL.
Seminário seleção de provedor(es) negociação e governança do contrato_de_clou...Alfredo Saad
A implementação de soluções cloud e a efetiva obtenção dos benefícios potenciais preconizados requer uma apurada observação e o adequado tratamento de uma série de fatores, que se mostram críticos ao longo das diversas etapas de sua implantação.
Após o cumprimento das etapas de pré-implementação, que incluem a identificação e a priorização dos business drivers da decisão e a definição da estratégia de implantação, seguem-se as etapas de seleção do(s) provedor(es) a serem contratados, a negociação dos termos e condições contratuais e a governança do contrato.
O seminário busca explorar os fatores a serem considerados, de forma a garantir, tanto para contratantes quanto para contratados, a obtenção de um relacionamento operacional e financeiramente equilibrado e estável, que resultará na maximização da eficácia dos benefícios atingidos pela adoção da alternativa cloud numa organização
Analise de riscos e contramedidas em cloud computing Paulo Rodrigues
Este documento apresenta uma análise de riscos e contramedidas para a adoção de cloud computing. Resume os principais tipos de cloud, analisa os riscos em 12 domínios, compara o custo-benefício de diferentes opções e fornece recomendações como estabelecer políticas e SLA para a escolha de fornecedores.
Implantação do SEI no Ministério do Planejamento Colaborativismo
O presente trabalho objetiva descrever de forma sucinta os passos desenvolvidos pelo Ministério do Planejamento, Orçamento e Gestão na implantação da solução de processo administrativo eletrônico denominada Sistema Eletrônico de
Informações (SEI) como parte do projeto Processo Eletrônico Nacional (PEN), com ênfase na implantação dos processos-piloto selecionados: pagamento de faturas do Serpro, capacitação e prestação de contas a órgãos de controle. Saiba mais: Saiba mais: https://goo.gl/IQ1r79
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvemATMOSPHERE .
O documento discute a falta de confiabilidade na computação em nuvem e propõe a plataforma ATMOSPHERE para fornecer serviços confiáveis em ambientes híbridos de nuvem. A plataforma fornecerá métricas e ferramentas para avaliar a confiabilidade de aplicações, além de serviços para processamento, armazenamento e implantação de dados de forma confiável através de provedores de nuvem federados. Uma aplicação de telemedicina será desenvolvida como prova de conceito.
CIO Global Summit Rio - Desmitificando big dataCezar Taurion
Observando as iniciativas de Big data nas empresas, identificamos dois erros comuns. O primeiro é adquirir tecnologia antes de saber claramente o que vai ser feito com ela. E outro, é começar com uma montanha de dados e então tentar descobrir alguma coisa analisando-os. A questão principal é que o sucesso das iniciativas de Big data & Analytics depende primordialmente de uma clara definição da visão e escopo do problema (as perguntas que devem ser respondidas) e o consequente valor gerado, que são as respostas às perguntas e as suas subsequentes ações. Os conhecidos Vs de volume, velocidade, variedade e veracidade são meios para se chegar ao valor da visão proposta.
Este Bootcamp ensina habilidades práticas de segurança cibernética, como realizar testes de intrusão, exploração de vulnerabilidades e auditoria de ativos de TI. O curso abrange fundamentos de segurança da informação, redes, segurança de infraestrutura em nuvem e on-premises, e inclui um desafio final.
O documento discute a importância de indicadores para monitorar a segurança cibernética de uma organização. Ele explica que os indicadores devem fornecer informações úteis para apoiar a tomada de decisão e apresenta exemplos de indicadores baseados nos Controles Básicos de Segurança Cibernética (CIS Controls) e no framework de gestão de riscos da ISO.
O documento discute o uso de big data e data science na precificação de seguros. Apresenta as técnicas tradicionais versus novas técnicas como machine learning. Também aborda desafios como privacidade de dados, habilidades necessárias de atuários e como a internet das coisas pode fornecer novos dados para precificação mais precisa.
O documento fornece uma visão geral sobre o padrão PCI-DSS, que estabelece uma série de controles de segurança para proteger dados de cartões de crédito. Ele descreve os motivos para o crescimento de incidentes de vazamento de dados, os requisitos do padrão PCI-DSS, e as especialidades da empresa Conviso em auxiliar organizações a atenderem os requisitos 6 e 11 do padrão.
Este documento apresenta a disciplina de Governança de TI, definindo sua ementa, objetivos gerais e específicos. Apresenta os principais modelos de melhores práticas utilizados, como Balanced Scorecard, CobiT e ITIL. Discorre sobre os domínios e componentes da governança de TI, incluindo alinhamento estratégico, estrutura, processos e medição de desempenho.
1) O documento discute tendências em segurança da informação para 2012, incluindo aumento da privacidade de dados, complexidade de ataques e foco em gestão de riscos.
2) Apresenta um especialista em segurança da informação, Edson Aguilera, e suas credenciais.
3) Fornece contatos do especialista para aqueles interessados no tópico.
Semelhante a Resolução CMN 4.658: Segurança Cibernética (20)
1. Meetup @Torq:
Desafios e oportunidades da Resolução 4.658
do CMN sobre política de segurança cibernética
As decorrências práticas sob o prisma
regulatório dos novos requerimentos
de segurança cibernética
Maio de 2018
2. Um pouco sobre mim
Fausto Ferraz de Arruda
Diretor de Serviços | Senior Solution
Consultoria, Projetos de TI e Outsourcing
Formado em Engenharia Elétrica pela UNICAMP, com pós-graduação em
finanças, MBA em banking e especialização em gestão de negócios:
18 anos de experiência na indústria financeira, com passagem por
ABN AMRO, Conglomerado BB e EY;
12 anos de experiência em consultoria regulatória focada em
instituições financeiras.
3. Sobre nossa conversa de hoje
1. Relevância dos incidentes cibernéticos no Brasil e no mundo
2. Peças fundamentais nos requerimentos de segurança cibernética
3. Evolução da visão do regulador sobre armazenagem de dados
4. Requisitos na contratação de serviços de armazenagem e nuvem
5. Framework sugerido para implantação
6. Timeline de adequação e implementação dos requerimentos
4. Relevância dos incidentes cibernéticos no Brasil e no mundo
US$ 170 bi
em 2020
Estimativa de
gasto global com
segurança cibernética
US$ 2 tri
em 2020
Estimativa de
prejuízo global com
violação de dados
4 vezes mais do
que o registrado
em 2015!
2 vezes mais do
que o registrado
em 2017!
76%
89%
85%
86%
2016
2017
2016
2017
Incidência de crimes cibernéticos
em empresas:
Brasil
Mundo
Fontes: Kroll e Valor Econômico
A indústria de serviços financeiros está entre os 3 setores
mais impactados (abaixo, visão de todos os setores):
5. Peças fundamentais nos requerimentos de segurança cibernética
Diretrizes: confidencialidade, integridade e disponibilidade dos dados e sistemas;
Compatibilidade: porte/perfil/natureza/complexidade da instituição/operação e
sensibilidade das informações (em linha com os princípios de “risk based approach”);
Conteúdo mínimo: [i] objetivos, [ii] procedimentos e controles de redução de vulnerabilida-
des, [iii] controles específicos de segurança/rastreabilidade, [iv] classificação das informa-
ções, [v] registro e avaliação de relevância de incidentes, [vi] cenários de incidentes para
testes de continuidade, [vii] procedimentos e controles para prevenção e tratamento de
incidentes por empresas prestadoras de serviço, [viii] disseminação da cultura de segurança
cibernética, e [ix] compartilhamento de informações sobre incidentes relevantes às demais
instituições;
Divulgação: integral a funcionários e empresas prestadoras de serviço, e resumo ao público;
Revisão e manutenção: no mínimo anualmente, ficando à disposição do BACEN por 5 anos;
Aprovação: conselho de administração (*) ou diretoria executiva;
Responsabilidade: designição no Unicad de diretor estatutário responsável;
Ações adicionais: atualização das políticas de gerenciamento de riscos e do PCN.
1. POLÍTICA
O Banco Central do Brasil definiu 3 peças fundamentais para endereçamento dos requerimentos
regulatórios de segurança cibernética pelas instituições:
6. Peças fundamentais nos requerimentos de segurança cibernética
2. PLANO DE
AÇÃO E RESPOSTA
Diretriz: efetividade na implementação da política de segurança cibernética;
Conteúdo mínimo: [i] conjunto de ações de adequação das estruturas organizacional e
operacional, [ii] rotinas, procedimentos, controles e tecnologias para prevenção e resposta a
incidentes, [iii] área responsável pelo registro e controle de incidentes relevantes;
Revisão e manutenção: no mínimo anualmente, ficando à disposição do BACEN por 5 anos;
Aprovação: conselho de administração (*) ou diretoria executiva;
Responsabilidade: designação no Unicad de diretor estatutário responsável (o mesmo).
3. RELATÓRIO
ANUAL
Diretriz: efetividade na implementação do plano de ação;
Conteúdo mínimo: [i] resumo dos resultados obtidos nas ações de prevenção e resposta a
incidentes, [ii] incidentes relevantes no período, e [iii] resultado dos testes de continuidade
considerando os cenários de incidentes;
Periodicidade e manutenção: anualmente (até 31 de março do ano seguinte ao da data-
base), ficando à disposição do BACEN por 5 anos;
Aprovação: comitê de riscos (*) e conselho de administração (*) ou diretoria executiva.
(*) caso exista
7. Evolução da visão do regulador sobre armazenagem de dados
Foco em cyber security
Comportilhamento de
experiências/incidentes
Fim da “territorialidade”
Adaptação/capacitação
dos provedores
Princípio da “territorialidade”
Fintechs nascendo
“na nuvem” e bancos
migrando dados e
sistemas não críticos
Marco regulatório
de segurança
cibernética
(BACEN)
Adoção de
data centers
terceirizados
2014/2015
Visão orientada a: (i) vedação da contratação de serviços processamento,
armazenamento de dados e computação em nuvem prestados no exterior, e
(ii) manutenção no país das informações armazenados pela empresa
contratada e das cópias de segurança dos dados.
Blockchain???
◦◦◦
Primeiras iniciativas
de regulação
(ANBIMA e CVM)
2016/2017 2018/2019◦◦◦
8. Requisitos na contratação de serviços de armazenagem e nuvem
Na verificação prévia de capacidade do provedor: [i] cumprimento da legislação e da regu-
lamentação vigente, [ii] acesso irrestrito aos dados e informações, [iii] confidencialidade,
integridade, disponibilidade e recuperação, [iv] certificações necessárias, [v] relatório de
auditor independente, [vi] informações sobre monitoramento dos serviços, [vii] controles
para segregação de dados de clientes, e [viii] controles para proteção de dados de clientes;
Na contratação do provedor de serviço: [i] comunicação prévia ao BACEN (60 dias) sobre
nova contratação ou alteração contratual, [ii] em caso de extinção do contrato, obrigação de
tranferência de dados ao novo provedor e posterior exclusão dos mesmos, [iii] acesso irres-
trito da contratante a informações relativas ao cumprimento dos requisitos, [iv] notificação
sobre subcontratação e limitações na prestação de serviços, [v] permissão de acesso ao
BACEN aos dados e informações armazenados, [vi] adoção de novas medidas determinadas
pelo regulador, e [vii] contrato à disposição do BACEN por 5 anos;
Quando os serviços forem prestados no exterior: [i] existência de convênio para troca de in-
formações entre BACEN e autoridades dos países em questão, [ii] definição prévia de países e
regiões onde os serviços poderão ser prestados, [iii] alternativas de continuidade de negócios
no caso de extinção do contrato, [iv] não restrição ao acesso da contratante e BACEN por par-
te da legislação dos países, [v] comprovação documental à disposição do BACEN por 5 anos.
CONTRATAÇÃO
DE SERVIÇOS
9. Framework sugerido para implantação
Assessment dos
riscos cibernéticos
Política de segurança
cibernética
Plano de ação e
resposta
Adequação da política
de riscos e do PCN
Critérios de contratação
de provedores
Implementar
processos/controles
Testar, monitorar e
analisar incidentes
Relatório anual
1
2
3
4
5
“Loop” de
melhoria
contínua
Treinamento e
divulgação
10. Timeline de adequação e implementação dos requerimentos
06/05/2019 31/12/202126/10/201826/04/2018
Marco regulatório
de segurança
cibernética
(BACEN)
Apresentação do
cronograma de
adequação para as
instituições que já
tiverem contratado
serviços relevantes de
processamento,
armazenagem de dados
e computação em
nuvem
Aprovação da política
de segurança
cibernética e do
plano de ação e
resposta pelo
conselho de
administração ou
diretoria executiva
Prazo máximo previsto
em cronograma para
efetiva adequação em
termos de comunicação,
requisitos e contratos
Endereçamento e conclusão das adequações
180 dias
31/03/2020
Prazo máximo para
emissão do primeiro
relatório anual
sobre a efetiva
implementação do
plano de ação e
resposta (*)
Implementação do plano de ação e resposta
(*) se a política não for publicada antes de 2019