Anbima lança guia de cibersegurança para instituições financeiras

A Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais (Anbima) acaba de lançar um Guia de Cibersegurança para instituições financeiras. Muitas das práticas reunidas no documento, servem também para qualquer empresa que precise equilibrar niciativas relacionadas à inovação tecnológica dos negócios com maiores controles nas áreas de segurança da informação e de gestão de risco.

O guia oferece exemplos e recomendações para orientar as instituições e contribuir para o aprimoramento da segurança cibernética nos mercados brasileiros. Começa lembrando que as ameaças cibernéticas podem variar de acordo com a natureza, vulnerabilidade e informações/bens de cada organização. “As consequências para as instituições podem ser significativas em termos de risco de imagem, danos financeiros ou perda de vantagem concorrencial, além de possíveis riscos de compliance”, ressalta o texto. Em outras palavras, ataques acada vez mais frequentes ameaçam a confidencialidade, a integridade ou a disponibilidade dos dados e dos sistemas das instituições. Não por acaso, clientes e parceiros têm questionado cada vez mais a segurança das instituições.

Motivos pelos quais o guia recomenda que as instituições implementem programas de segurança cibernética baseados em suas necessidades, elaborando e mantendo rotinas de avaliação de riscos (ou risk assessment) atualizadas, compatíveis com as características e o tamanho de cada instituição, e com os recursos de defesa e respostas proporcionais aos riscos identificados.

Para começar, o guia lembra questões de governança. Entre elas, a de que o comprometimento dos executivos seniores, das linhas de negócios e de outros stakeholders é um fator crítico para que se obtenha avanços em termos de segurança das instituições. E aponta os principais pontos a serem observados nas políticas e nos procedimentos internos específicos de proteção contra ataques cibernéticos:

1 – Definição das responsabilidades dentro do plano de ação nas tomadas de decisão, inclusive no momento da resposta a incidentes

2 – Criação de um comitê, fórum ou grupo específico para tratar segurança cibernética com representação e governança apropriadas;

3 – Realização de auditoria periódica nas medidas e ações definidas pelo organismo responsável

4 – Promoção de uma cultura de segurança dentro da instituição (tone from the top).

Além desses procedimentos de governança, são listados também procedimentos em relação ao controle e conscientização dos usuários, estrutura tecnológica ( incluindo a necessidade de ferramentas como criptografia ou testes de penetração) e procedimentos de segurança física, assim como controles de acesso às instalaçõe de cada empresa.

Os autores do guia ressaltam que esses controles básicos aumentam significativamente o nível de segurança e conseguem evitar boa parte dos ataques mais simples. Mas para que funcionem, necessitam ser objeto de treinamento.

É necessário também ter um bom plano de resposta a incidentes. Segundo os autores do guia, testar e praticar o plano de reposta são elementos importantes para identificar falhas e melhorar as estratégias de mitigação contempladas. Os exercícios ajudam os colaboradores a ficarem mais confortáveis com seus papéis e responsabilidades na hora de um incidente de cibersegurança.

Além disso,é preciso reconhecer que terceiros representam outra fonte de riscos. Razão pela qual as instituições devem avaliar e gerir o risco cibernético ao longo da relação com fornecedores e prestadores de serviços. “Recomenda-se um processo de avaliação e acompanhamento dos riscos representados pelos terceiros, bem como a formalização da aprovação desses terceiros nos organismos internos responsáveis, com revisão de tais aprovações periodicamente.

“Estabelecer relações de confiança e mecanismos de colaboração ajuda a desenvolver uma resposta coletiva ao risco cibernético”, afirmam os autores do dcumento.

Por fim, o guia aconselha que, na medida do possível, as instituições procurarem ter acesso à informações sobre novos ataques e ameaças para que possam incorporá-las sem demora às suas respostas.

A tabela abaixo resume as principais medidas a serem adotadas no combate aos ciberataques:

^{(Abra a imagem em outra janela para ampliar)}

De acordo com a assessoria da Anbima, a versão inicial do guia foi uma iniciativa da área de Supervisão de Mercados da entidade. A equipe selecionou uma amostra das políticas de seguranças registradas pelas instituições participantes dos códigos de autorregulação do setor, usada como ponto de partida. Essa vesrõ inicial passou pela análise e validação do Grupo de Trabalho Guia de Segurança Cibernética, coordenado pela Assessoria Jurídica, com participação de representantes das áreas de TI, Compliance, Segurança da Informação e Negócios das instituições financeiras.