Por Thiago Fabrício dos Santos Brito
Com o constante avanço tecnológico no ambiente de negócios no qual as cooperativas de crédito estão inseridas, cresce a preocupação com a segurança dos dados administrados e com as eventuais ocorrências de incidentes cibernéticos que possam afetar a performance, a manutenção da operação e o adequado atendimento aos cooperados e usuários de serviços.
Nesse sentido, conforme determinação da Resolução CMN n° 4.893/2021, as instituições autorizadas a funcionar pelo Banco Central do Brasil devem estabelecer um plano de ação e de resposta a incidentes de segurança da informação (cibernéticos) com o objetivo de implementar a Política de Segurança Cibernética, que deve ser aprovado pelo Conselho de Administração ou, na sua inexistência, pela Diretoria da cooperativa e revisado, no mínimo, anualmente.
Um incidente de segurança da informação é um evento confirmado ou sob suspeita de impactar a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação.
Em geral, toda a situação que coloca em risco uma entidade que administra ou gerencia informações de terceiros na execução de suas atividades operacionais é considerado como um incidente de segurança.
São exemplos de incidentes:
Um plano de resposta a incidentes visa instruir as equipes a tratar tais situações detectadas ou informadas com base nas melhores práticas de mercado, aumentando, assim, a capacidade de resposta frente a ameaças sistêmicas, com rapidez, efetividade e organização.
O parágrafo único do artigo 6º da Resolução CMN nº 4.893/2021 estabelece que o Plano de Resposta a Incidentes deve abranger, no mínimo, os seguintes aspectos:
O artigo 8º da referida resolução determina, ainda, que deve ser elaborado relatório anual sobre a implementação do Plano de Resposta a Incidentes, com data-base em 31 de dezembro, abordando, no mínimo:
Esse relatório deve ser submetido ao Comitê de Risco, quando existente, e apresentado ao Conselho de Administração ou, na sua inexistência, à Diretoria da cooperativa até 31 de março do ano seguinte à data-base.
A implementação efetiva de um Plano de Resposta a Incidentes agrega vários benefícios para uma instituição financeira, entre elas destacam-se:
É importante salientar que as organizações deverão ter um canal apropriado para comunicação e acionamento de incidentes, que deverá ser disponibilizado e divulgado a todos os funcionários e prestadores de serviços a fim de agilizar as ações de mitigação de impactos e identificar a abrangência de um evento cibernético adverso.
Se sua cooperativa está precisando de suporte para a elaboração ou o aperfeiçoamento do Plano de Resposta a Incidentes Cibernéticos, a CNAC tem um serviço que pode atender às suas necessidades e expectativas.
Acesse nosso site e conheça nosso portfólio de serviços de auditoria de TI: https://cnac.coop.br/auditoria-tec-info.aspx
Preencha o seu e-mail no campo abaixo para receber nossas notícias, dicas e informações.
Fique por dentro de tudo o que acontece na CNAC.