Artigos

Artigos

Plano de Resposta a Incidentes Cibernéticos - Resolução CMN nº 4.893/2021

Por Thiago Fabrício dos Santos Brito

Com o constante avanço tecnológico no ambiente de negócios no qual as cooperativas de crédito estão inseridas, cresce a preocupação com a segurança dos dados administrados e com as eventuais ocorrências de incidentes cibernéticos que possam afetar a performance, a manutenção da operação e o adequado atendimento aos cooperados e usuários de serviços.

Nesse sentido, conforme determinação da Resolução CMN n° 4.893/2021, as instituições autorizadas a funcionar pelo Banco Central do Brasil devem estabelecer um plano de ação e de resposta a incidentes de segurança da informação (cibernéticos) com o objetivo de implementar a Política de Segurança Cibernética, que deve ser aprovado pelo Conselho de Administração ou, na sua inexistência, pela Diretoria da cooperativa e revisado, no mínimo, anualmente.

Um incidente de segurança da informação é um evento confirmado ou sob suspeita de impactar a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação.

Em geral, toda a situação que coloca em risco uma entidade que administra ou gerencia informações de terceiros na execução de suas atividades operacionais é considerado como um incidente de segurança.

São exemplos de incidentes:

• alterações indevidas em configurações de hardware ou software;
• violação de políticas ou normas institucionais;
• acesso não autorizado a sistemas;
• indisponibilidade de elementos de rede devido a intervenções mal-intencionadas;
• negação de serviços (indisponibilidade);
• contaminações por malwares (vírus, worms, trojans, ransonwares etc).

Um plano de resposta a incidentes visa instruir as equipes a tratar tais situações detectadas ou informadas com base nas melhores práticas de mercado, aumentando, assim, a capacidade de resposta frente a ameaças sistêmicas, com rapidez, efetividade e organização.

O parágrafo único do artigo 6º da Resolução CMN nº 4.893/2021 estabelece que o Plano de Resposta a Incidentes deve abranger, no mínimo, os seguintes aspectos:

• as ações a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e diretrizes da Política de Segurança Cibernética;
• as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da Política de Segurança Cibernética;
• a área responsável pelo registro e controle dos efeitos de incidentes relevantes.

O artigo 8º da referida resolução determina, ainda, que deve ser elaborado relatório anual sobre a implementação do Plano de Resposta a Incidentes, com data-base em 31 de dezembro, abordando, no mínimo:

• efetividade da implementação das ações previstas no referido plano;
• resumo dos resultados obtidos na implementação das rotinas, procedimentos, controles e tecnologias utilizadas na prevenção e na resposta a incidentes;
• incidentes relevantes relacionados com o ambiente cibernético ocorridos no período;
• resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes.

Esse relatório deve ser submetido ao Comitê de Risco, quando existente, e apresentado ao Conselho de Administração ou, na sua inexistência, à Diretoria da cooperativa até 31 de março do ano seguinte à data-base.

A implementação efetiva de um Plano de Resposta a Incidentes agrega vários benefícios para uma instituição financeira, entre elas destacam-se:

• redução do tempo e dos custos de recuperação de dados e informações;
• preservação da confiabilidade da organização;
• coordenação de ações entre os vários atores, departamentos, prestadores de serviços etc., envolvidos;
• demonstração de conformidade e geração de documentação e subsídios objetivos para comunicação aos órgãos de governança;
• preparação da organização para eventuais emergências;
• redução do impacto e da recorrência de incidentes cibernéticos.

É importante salientar que as organizações deverão ter um canal apropriado para comunicação e acionamento de incidentes, que deverá ser disponibilizado e divulgado a todos os funcionários e prestadores de serviços a fim de agilizar as ações de mitigação de impactos e identificar a abrangência de um evento cibernético adverso.

Se sua cooperativa está precisando de suporte para a elaboração ou o aperfeiçoamento do Plano de Resposta a Incidentes Cibernéticos, a CNAC tem um serviço que pode atender às suas necessidades e expectativas.

Acesse nosso site e conheça nosso portfólio de serviços de auditoria de TI: https://cnac.coop.br/auditoria-tec-info.aspx