HPE Simplivity
Navigation
Topo

Segurança da informação: os novos requisitos para bancos

Por Renato Leite*

Instituições financeiras terão de se adequar a uma série de novidades no Brasil. Isso porque o Banco Central anunciou consulta pública sobre políticas de segurança da informação para o setor. O escopo abrange também os requisitos para contratação de serviços de computação em nuvem. As principais exigências levarão em conta o modelo de negócio de cada instituição e seu perfil de risco. Também serão consideradas a complexidade de seus produtos/serviços e a sensibilidade dos dados com os quais lida. Segundo a proposta, a política implementada deverá prever, no mínimo, o seguinte:

  • os controles e as tecnologias adotadas pela instituição para evitar incidentes de segurança da informação;
  • os controles voltados à rastreabilidade das informações, sobretudo as de natureza sensível, durante todo o seu ciclo de vida;
  • medidas para analisar a causa e o impacto de eventuais incidentes, além de planos para garantir a continuidade dos negócios.

Para implementar tais medidas, as instituições terão de empregar, no mínimo, tecnologias para autenticação, criptografia, prevenção e detecção de intrusão; prevenção de vazamento de informações; e controle de atualizações de hardware e software. Sem falar na realização periódica de testes e varreduras para detecção de vulnerabilidades, proteção contra softwares maliciosos e controles de acesso e de segmentação da rede.

Incidentes recentes deixam claro que tais tecnologias são indispensáveis ao funcionamento contínuo de estruturas essenciais como as das instituições financeiras. Tome-se como exemplo o caso do ransomware “WannaCry”, que atingiu diversos setores nacionais e internacionais, paralisando sistemas inteiros.

 

SERVIÇOS DE NUVEM E A SEGURANÇA DA INFORMAÇÃO

As instituições ficarão proibidas de terceirizar serviços relevantes de processamento e armazenamento de dados com empresas contratadas no exterior. Esta medida, a propósito, deve provocar impacto tanto financeiro quanto operacional no cotidiano das instituições. Afinal, é comum que elas utilizem serviços estrangeiros de data storage (armazenamento/custódia de dados) e data processing (processamento de dados). A preferência por estruturas montadas inteiramente em outros países decorre, principalmente, dos custos mais atraentes que são oferecidos. Pela proposta, as instituições financeiras que utilizam serviços no exterior deverão apresentar ao Bacen um plano de nacionalização das operações.

A consulta pública anunciada pelo Banco Central evidencia a importância que tem sido dada ao tema de segurança cibernética nesta era de grandes vazamentos de dados e incidentes de segurança da informação. Seu principal objetivo, evidentemente, é viabilizar a construção de uma política mais robusta, aplicável e condizente com a realidade. E que, assim, garanta mais segurança para todos os agentes atuantes no mercado financeiro.

 

*Renato Leite é especialista em Proteção de Dados e Privacidade na Baptista Luz Advogados e professor de Direito Digital e Internacional na Universidade Mackenzie (São Paulo/SP). Possui mestrado em Direito Constitucional (Universidade Federal do Ceará) e em Direito e Tecnologia (New York University e National University of Singapore). É doutorando em Engenharia da Computação pela Universidade de São Paulo (USP) e study visitor no Departamento de Proteção de Dados Pessoais do Conselho da Europa.

 

Ilustração: iStock/suphakit73
Categorias Opinion