Sua empresa está pronta para a resolução 4.658 do Banco Central do Brasil?
Sua empresa está pronta para a resolução 4.658 do Banco Central do Brasil?
Sua empresa está pronta para a resolução 4.658 do Banco Central do Brasil? - Em 26 de abril de 2018 o Banco Central do Brasil (BACEN) publicou a Resolução 4.658, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Estes serviços serão observados pelas instituições financeiras e demais organizações autorizadas a funcionar pelo Banco Central do Brasil. Todas estas entidades devem implementar e manter uma política de segurança cibernética formulada com base em princípios e diretrizes que assegurem a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados até dia 31 de dezembro de 2021. Segundo o BACEN, a política de segurança cibernética deve, no mínimo, contemplar: I. os objetivos de segurança cibernética da instituição; II. os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética; III. os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis; IV. o registro e a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição; Apesar da resolução do BACEN falar em “Políticas de Segurança”, fica bem claro que para atender a todas as exigências, não estamos falando só de desenvolver ou validar as Políticas de Segurança da Informação. É muito mais que isso, o foco é estabelecer um Plano de Continuidade de Negócios - PCN. O PCN é a base de toda a documentação de procedimentos e informações que deve ser mantida por uma organização e pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável. Leia também: https://www.i9treinamentos.com/banco-central-quer-projeto-de-lei-para-simplificar-legislacao-cambial/ Para se ter um PCN, é muito mais complexo do que apenas estabelecer políticas, é necessário: 1. Um documento de Escopo de Gestão da Continuidade de Negócios bem definido e com aprovação e apoio da Alta Administração. 2. O desenvolvimento de Políticas de Segurança clara e objetivas ou uma boa revisão periodicamente. 3. Designar todos os recursos necessários e competências para a continuidade. 4. Realizar uma profunda e eficaz análise de impacto aos negócios e risco, um dos pontos mais importantes e complexos para execução, pois todos os pontos de risco devem ser criteriosamente analisados e apontados de forma clara. 5. Estabelecer o processo de Gestão de Incidentes (Estratégia de Continuidade e Estrutura de Resposta), mais conhecido como Change Management (ITIL - Information Technology Infrastructure Library). 6. Finalmente, desenvolver o Plano de Continuidade de Negócios, observando todos os pontos, necessidades e validar cuidadosamente todas as ações. Assim, com um PCN bem estruturado, é possível atender as exigências do BACEN na resolução 4.658. Lembrando que o prazo previsto para adequação não pode ultrapassar 31 de dezembro 2021 e deve ser aprovado pelo BACEN. Caso contrário, sua empresa terá problemas em continuar prestando serviços ao mercado financeiro. Instituições que já possuem seu PCN A instituição que já tem suas políticas e planos desenvolvidos deve elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, com data-base de 31 de dezembro. Sua empresa está pronta para a resolução 4.658 do Banco Central do Brasil? O relatório anual deve abordar: I. a efetividade da implementação das ações; II. o resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes; III. os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; e IV. os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes. O documento deve ser submetido ao comitê de risco, quando existente, e apresentado ao conselho de administração ou à diretoria da instituição até 31 de março do ano seguinte ao da data-base. Sua empresa está pronta para a resolução 4.658 do Banco Central do Brasil? A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser aprovados, documentados e revisados anualmente pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição. Fonte Conheça o calendário de cursos da I9 Treinamentos para o ano de 2019. Novos cursos e professores renomados. Clique na imagem abaixo e fique sabendo muito mais... Read the full article









