Com presença do BC, evento ACREFI debate regulamentação, segurança e riscos cibernéticos em tempos de pandemia

Google+ Pinterest LinkedIn Tumblr +

‘Proteger informação é primordial e há muito trabalho pela frente. A pandemia piorou ainda mais o cenário’, sustentou o CEO da Axur, Fábio Ramos

São Paulo, abril de 2021 – Atualmente, a questão da segurança cibernética é uma preocupação crescente em todo o mundo. Os investimentos e cuidados são indispensáveis, uma vez que evita a ocorrência de incidentes variados que resultam no vazamento de dados e informações e, consequentemente, de prejuízos financeiros. A Associação Nacional das Instituições de Crédito, Financiamento e Investimento (ACREFI) realizou, nesta semana, um amplo debate sobre “Segurança Cibernética: Como garantir experiências digitais mais seguras”. O evento tratou como as empresas, especialmente do mercado financeiro e de menor porte, podem se preparar, aprimorando o processo de prevenção a vazamento de dados e alinhadas as melhores práticas de atuação neste momento.

O Assessor Pleno do Departamento de Regulação do Sistema Financeiro do Banco Central do Brasil, Carlos André de Melo Alves, abordou a nova Resolução CMN 4893/2021, que atualiza a Resolução 4658/2018, principal marco regulatório sob gestão desta autarquia para o tema, que trata sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil. “O BC tem duplo papel, ao mesmo tempo que dita as normas, ele também supervisiona o cumprimento pelas entidades. Nossa missão é assegurar à sociedade a estabilidade do poder de compra da moeda e um sistema financeiro sólido, eficiente e competitivo. Em fevereiro de 2021, o Sistema Financeiro Nacional (SFN) era composto por 1.629 instituições cujos funcionamentos foram autorizados pelo BCB; 883 cooperativas de crédito e 604 instituições (contemplando bancos, outras instituições financeiras e de pagamento). É um amplo universo de segmentos, sendo a norma compatível com o porte, perfil de risco e modelo de negócio de cada instituição”, ponderou.

Melo Alves fez um preâmbulo sobre a abordagem do marco regulatório. “Os principais pontos contemplados na regulamentação são política de segurança cibernética, requisitos (contratação de serviços) e outras disposições. A política de segurança cibernética está baseada em princípios e diretrizes que assegurem a confiabilidade, integridade e a disponibilidade de dados. O conteúdo mínimo deve seguir objetivos de segurança cibernética – com procedimentos e controles que visem reduzir a vulnerabilidade a incidentes”, ressaltou.

Segundo ele, na questão de requisitos para contratação de serviços de processamento, armazenamento de dados e computação em nuvem, as instituições devem adotar práticas de governança corporativa proporcionais à relevância do serviço contratado e aos riscos. “Instituições devem possuir recursos e competências adequados de gestão dos serviços a serem contratados. Em outras disposições normativas, quanto a comunicação ao BCB, as instituições devem comunicar, tempestivamente, os incidentes e as interrupções de serviços relevantes que configurem situações de crise”, destacou.

Em nível internacional, Melo Alves apresentou inciativas regulatórias promovidas pelo BCB relacionadas à resiliência cibernética. “Participamos de discussões que tangenciam o tema promovidas, por exemplo, pelo Comitê de Basileia e pelo Financial Stability Board (FSB). No contexto da pandemia, o emprego do trabalho remoto e o uso de serviços tecnológicos contratados ressaltam a atualidade do tema ‘segurança cibernética’. A preocupação com o tema é continua e permeia outros direcionamentos regulados do SFN, como o open banking”, alertou Melo, informando ainda a vigência da nova norma a partir de 01/07, os ajustes necessários para tratamento e comunicação de incidentes relevantes, bem como o prazo para adequação regulatória dos contratos existentes, até 31/12.

Já o CEO da Axur, Fábio Ramos, apresentou casos práticos e trouxe os ‘vazamentos de dados’ como ponto de atenção. “Há tempos somos impactados, em notícias globais, por falhas em sistemas e vazamento de dados. Hoje, a proteção de dados e o valor de informação, se tornou um ponto permanente de cuidado. Prevíamos que 2020 seria um ano de grandes vazamentos, que acabaram acontecendo. Já em 2021, mudamos o termo: projetamos os ‘megavazamentos de informação’ – com mais de 100 milhões de credenciais expostas. Vimos um vazamento atribuído a uma grande empresa com mais de 200 milhões de dados de cidadãos. Atualmente, os sistemas armazenam mais dados do que até a própria pessoa tem conhecimento: hoje somos cidadãos digitais. E ninguém quer ter sua intimidade exposta”, diz.

Apesar de todos os problemas, Ramos defendeu o uso da nuvem. “É mais confiável armazenar na Amazon, por exemplo, que dispõe de um sistema forte segurança, do que em locais externos. A maioria dos vazamentos de dados não acontece por ação hacker, mas por um descuido da configuração das ferramentas. A exposição não é proposital e acontece por conta de configuração errada, ou um processo malfeito. Proteger informação não está na nossa cultura e há muito trabalho pela frente. A pandemia piorou ainda mais o cenário”, sustentou.

O especialista mencionou que o propósito dos criminosos cibernéticos é monetizar essas informações. “O volume de dados vazados na deep, dark e surface web é de grande relevância – são mais de 3,2 bi arquivos expostos em repositórios da Amazon, Microsoft e Dropbox; mais de 180 mi posts analisados automaticamente através de algoritmos especializados; mais de 15 bilhões (e-mails e senhas) expostos na web; e mais de 500 mil empresas afetadas pelo vazamento de código fonte com chaves de segurança. Ninguém está imune a essas exposições”, completou.

Por fim, Ramos explicou como detectar se a base de dados de fato vazou – usando o Honeytoken (informações falsas, como logins números de cartões de crédito, tabelas de bancos de dados etc). “Trata-se de um e-mail criado para identificar sua propriedade, na base de usuários ou clientes da empresa. Os e-mails usados são discretos e únicos. Caso esse endereço apareça em algum lugar ou receba uma mensagem, é porque a lista de e-mails de clientes ou usuários da empresa vazou. Se a empresa inserir um novo e-mail a cada ‘X’ período de tempo, será possível descobrir quando aproximadamente o vazamento ocorreu. É a antiga passagem do canário na mina de gás: quando os mineradores das minas de carvão usavam canários em gaiolas para checar a existência de gases tóxicos. Basicamente, se o canário morresse, havia vazamentos. Ou seja, todos estão sujeitos e, o mais é importante, é saber lidar e enfrentar essas questões”, ponderou.

Allan Buscarino, Head de Segurança da Informação do Mercado Livre, estava confirmado para participar do evento, mas teve de se ausentar por causa do falecimento de um familiar.

A live foi mediada pelo Consultor de Operações da Acrefi Cleber Martins com participação de Wanderley Vettore, vice-presidente da ACREFI, que agradeceu os presentes e reforçou a importância do papel da entidade em fomentar conhecimento e debates deste nível.

Share.

About Author

Leave A Reply