Go back Data Leakage

Vazamento de dados: a política do Banco Central pode impactar empresas

Por Rodrigo Dutra em 7 de Fevereiro de 2019

Quando você vai a uma agência bancária, logo percebe o quanto a segurança é importante para as instituições financeiras. Portas giratórias, detectores de metais e câmeras por todos os lados são apenas algumas das soluções usadas. Mas, no ambiente digital, os recursos que protegem os usuários não são tão óbvios: senhas e tokens têm um papel importante, mas o que mais impede o acesso indevido às suas informações?

credential stuffing

Com a revolução da internet, as organizações financeiras tiveram que pensar em formas de garantir a proteção dos clientes, que se tornaram usuários de aplicativos, plataformas de internet banking, home brokers e outras ferramentas. Mas sem um padrão ou protocolo a ser seguido, cada empresa definia e implementava seus próprios sistemas de segurança digital.

Essa situação mudou em abril de 2018, quando o Banco Central publicou a resolução nº 4658. Nela, estão definidas uma série de diretrizes para que as instituições financeiras garantam proteção para suas operações on-line. Um dos pontos de destaque é justamente o que trata da contratação de serviços de processamento e armazenamento de dados, tema crítico para o monitoramento de riscos digitais.

 

Afinal, o que diz a resolução do BACEN?

Essencialmente, a resolução diz como bancos, fintechs e demais instituições reguladas pelo Banco Central precisam agir em situações-chave das suas operações digitais. O documento, aprovado pelo Conselho Monetário Nacional (CMN), define as normas que devem guiar a criação, a prática e a divulgação das políticas de segurança cibernética. Mais do que isso, a ideia é estabelecer critérios claros para a contratação de serviços de processamento e armazenamento de dados, principalmente soluções de computação na nuvem.

Mas como empresas tão diversas quanto as que atuam no mercado financeiro podem compartilhar as mesmas diretrizes? Para resolver isso, o BACEN deixa claro que a definição das políticas de segurança deve atender às características e necessidades específicas de cada negócio, levando em consideração seu tamanho, modelo de atuação e até os tipos de dados processados e armazenados.

Ainda assim, existem princípios básicos que todas as organizações precisam observar. Por exemplo, é fundamental encontrar os meios necessários para garantir a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação usados.

Depois de apresentar os conceitos gerais, a resolução apresenta as orientações para que as empresas desenvolvam a área de segurança digital em sua estrutura organizacional. São informações que detalham o processo de criação dos mecanismos que vão proteger a operação. Por exemplo, o BACEN recomenda que um membro da diretoria seja designado para liderar o planejamento, a implementação e a atualização dessas políticas.


Outro ponto importante está na divulgação para colaboradores e parceiros, fundamental para que as iniciativas dêem certo. Afinal, todos os envolvidos precisam ter clareza do seu papel e de como cumprir as regras. Iniciativas como treinamentos e avaliações periódicas devem ser adotadas pelas empresas para minimizar falhas humanas e manter todos na mesma página.

Por fim, o documento define como elaborar planos de ação em caso de incidentes. Isso evidencia como o Banco Central está dando importância não só para a prevenção, mas também para a agilidade na resposta a possíveis ataques. Esses pontos devem passar por revisões anuais, buscando sempre a melhoria contínua de todos processos.


Desdobramentos para outros mercados

A elaboração de diretrizes e procedimentos de segurança digital claros mostram a preocupação cada vez maior com o tema. O Banco Central, ao publicar a resolução nº 4658, abriu um precedente no mercado. Agora, órgãos regulatórios podem se inspirar na iniciativa e criar seus próprios guias de boas práticas.

A ideia de que a proteção dos dados é fundamental no cenário atual já é um consenso: ela direcionou as iniciativas de empresas de todos os tipos. A questão é que essas práticas nunca haviam sido consolidadas em um documento como o do BACEN, de modo a gerar impacto em todo o setor. Espera-se que, com isso, movimentos similares comecem a surgir em outros ramos da economia, que lidam diariamente com uma grande quantidade de informações dos usuários (como empresas de telecomunicações, varejo e serviços digitais).

Mas sua empresa não precisa esperar as ações de uma agência regulatória ou entidade de classe para definir suas políticas de segurança digital. Você pode se adiantar e usar a resolução do Banco Central como base, fazendo as adaptações necessárias.

O mais importante é criar a estrutura e os processos adequados para que sua empresa consiga garantir a proteção certa para os dados dos seus clientes, o monitoramento constante das ameaças à sua marca e o plano de ação para o caso de incidentes. E, com a ajuda das soluções de monitoramento e remoção de riscos digitais da Axur, você pode focar na definição e aperfeiçoamento dessas boas práticas e mitigar riscos de vazamento de dados.

Conheça mais sobre a Axur e como podemos manter sua marca e seus clientes protegidos das ameaças da web.

Identify and eliminate digital risks. Understand how