A importância de uma política de segurança cibernética para o setor financeiro

*Por Franzvitor Fiorim –A segurança e a confiabilidade em gerenciar informações e dados por parte das empresas tem sido um desafio crescente e uma busca constante nos departamentos de TI das organizações. E nas instituições financeiras isso não só não tem sido diferente, como também vem sendo aplicado de maneira urgente e com extrema responsabilidade pelos agentes envolvidos. Isso é fruto de um trabalho constante das autoridades reguladoras em promover um esforço em conjunto para garantir que haja regras claras no atendimento de requisitos de segurança cibernéticos que beneficiem sobretudo o usuário final.

O Banco Central , a partir da resolução Nº 4.658, estabeleceu a obrigação de uma política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Esse foi o passo inicial para que todas as instituições direta e indiretamente envolvidas com o sistema financeiro brasileiro pudessem implementar os cuidados necessários para atingir esse fim. Em vigor desde de 26 de abril de 2018, a resolução obriga as entidades financeiras e demais autorizadas a funcionar pela autoridade monetária a definir, implementar, divulgar e manter política de segurança cibernética com o objetivo de assegurar a confidencialidade, a integridade e a disponibilidade dos dados e seus sistemas.

Isso é extremamente importante quando falamos em qualquer meio corporativo, mas especialmente no setor financeiro. Os pilares da Segurança da Informação, formados pela tríade disponibilidade, integridade e confidencialidade, são base fundamental de qualquer política de segurança cibernética e de proteção de dados e informações sensíveis. Abrir mão de uma política bem implementada com bases nesses três fundamentos significa consequências gravíssimas, como perdas financeiras, danos operacionais e quebra de confidencialidade.

O conteúdo da resolução do Banco Central estipula que a política de segurança cibernética deve atender, no mínimo, os objetivos de segurança, os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição. Isso significa dizer incidentes, ameaças e risco de fraudes. Ademais, falamos também de controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis, o registro, a análise da causa e do impacto. Isso é importante para promover respostas rápidas e ao atendimento às regras de compliance e governança.

Um recente estudo da Trend Micro abordou os aspectos de fortalecimento da segurança de modo a garantir a conformidade no setor financeiro. Essa pesquisa ressaltou que a tecnologia da informação evoluiu rapidamente e os desafios para manter o parque computacional atualizado são conhecidos pelos profissionais de TI. Pensando em um equilíbrio entre elasticidade e custo, obtido no modelo conhecido como pay-as-you-go, várias instituições aderiram à computação em nuvem. Segundo a empresa de pesquisa Gartner, o uso de nuvem pública deve crescer 17% em 2020 e atingir US﹩ 331 bilhões ao final de 2022 em todo o mundo. Segundo o estudo, o setor financeiro também segue essa tendência, porém os desafios encontrados aí, como confidencialidade, integridade, disponibilidade e conformidade com a legislação e as normas aplicáveis têm suas próprias características.

Com esse cenário posto, encontramos um desafio ainda mais na implementação de uma política de segurança cibernética que consiga ter uma visão em tempo real de todos esses aspectos, encontrando sinergias com a aplicação das operações em ambiente de nuvem. O Banco Central diz que é fundamental que as instituições tenham pleno atendimento aos pontos da regulação, como controles específicos para a rastreabilidade da Informação, autenticação, criptografia, prevenção e tratamento dos incidentes (incluindo vazamento de dados), controle e classificação dos dados e das informações, entre outros aspectos.

Por isso, mais do que nunca, as instituições precisam, de forma mandatória, promover a realização periódica de testes e varreduras para detecção de vulnerabilidades, estabelecer mecanismos de rastreabilidade, controles de acesso e segmentação da rede de computadores e manutenção de cópias de segurança dos dados e das informações, além de criar rotinas, procedimentos, controles e tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética. Isso tudo exige não apenas expertise e know-how, mas um amplo arcabouço de soluções tecnológicas que amparem a sua aplicabilidade.

O que vemos hoje é um ambiente extremamente nocivo do ponto de vista de ameaças que as organizações estão enfrentando, especialmente quando pensamos em ameaças direcionadas aos seus dados corporativos. E para além disso, há uma infinidade de requisitos de compliance de segurança exigidos pelas regulamentações governamentais e do setor. Seja a Resolução 4.658, do Banco Central, a Lei Geral de Proteção de Dados (LGPD) e o Padrão de Segurança de Dados (Data Security Standard, DSS) do Setor de Cartões de Pagamento (Payment Card Industry, PCI), entre outras, ter ampla visibilidade e garantindo que estão em conformidade, isso em ambiente de nuvem, é peça-chave para garantir a segurança dos ambientes corporativos.

Em suma, garantir que a autenticação, a criptografia, a prevenção e a detecção de intrusão e a prevenção de vazamento de informações estejam asseguradas, além de promover a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações. Todos esses pontos são de extrema importância para formar o que chamamos de política de segurança cibernética robusta e que proteja tanto a operação como integridade dos dados dos clientes.

*Franzvitor Fiorim é diretor técnico no Brasil da Trend Micro, líder global em cibersegurança.