CNAC © 2018 - Todos os Direitos Reservados.
Desenvolvido por: 
Por Nestor Ferreira Filho e Rafael Cavalheri Alexandre
Os desafios impostos pelo desenvolvimento e pela evolução do ambiente tecnológico têm levado a uma constante preocupação do Banco Central do Brasil (Bacen) com as políticas de segurança cibernética e com os serviços de processamento, armazenamento de dados e de computação em nuvem das instituições financeiras, o que culminou com a elaboração da Resolução CMN nº 4.893, de 26 de fevereiro de 2021, que trata desse assunto.
Os principais pontos regulamentados por esse normativo referem-se à:
implementação de uma Política de Segurança Cibernética que tenha por objetivo assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados, observando-se, sempre, o porte, perfil de risco, modelo de negócios, natureza das operações, complexidade dos produtos e serviços, atividades e processos da instituição, bem como a sensibilidade dos dados e informações sob sua responsabilidade;
necessidade de adequada divulgação da Política de Segurança Cibernética aos funcionários da instituição e aos prestadores de serviços;
elaboração de Plano de Ação e de Respostas a Incidentes com o objetivo de implementar a política de segurança cibernética, devendo, ainda, haver a designação de diretor responsável por essa política e pela execução do referido plano;
obrigatoriedade de aprovação da Política de Segurança Cibernética e do Plano de Ação e de Resposta a Incidentes pelo Conselho de Administração ou, na sua inexistência, pela Diretoria da Instituição;
necessidade de elaboração de relatório anual sobre a implementação do Plano de Ação e de Resposta a Incidentes, com data-base de 31 de dezembro, que deve ser submetido ao Comitê de Risco, quando existente, e apresentado ao Conselho de Administração ou, na sua inexistência, à Diretoria da instituição até 31 de março do ano seguinte ao da data-base;
adoção de procedimentos, controles e avaliações de risco abrangentes e adequados relativos à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Alinhado ao que estabelece a citada resolução, o Bacen, na definição das análises e avaliações a serem realizadas por ocasião dos trabalhos de auditoria cooperativa para o exercício de 2022, determinou a aplicação de um novo escopo mínimo (escopo 114 - Prudencial - Segurança Cibernética), cujo objetivo é avaliar o atendimento aos principais parâmetros e definições estabelecidos nos normativos vigentes.
O novo escopo contém 7 (sete) questões a serem respondidas pelas empresas de auditoria, voltadas, basicamente, a aspectos de formalização, aprovação, divulgação e acompanhamento da implementação da Política de Segurança Cibernética e do Plano de Ação e de Resposta a Incidentes, conforme definido na Resolução CMN nº 4.893/2021.
Destaca-se, todavia, a necessidade de avaliação mais aprofundada pelas cooperativas de crédito de aspectos estruturais e de controles relativos ao ambiente de Tecnologia da Informação (TI) no intuito de prepará-las às exigências já existentes ou que ainda estão por vir, seja pela ótica de mercado, seja por demanda do próprio Bacen, que vão além das questões abordadas no escopo específico de segurança cibernética definido para o exercício de 2022.
Dessa forma, os órgãos de governança das cooperativas de crédito devem estar atentos à adequada gestão do ambiente de TI, alinhada aos requerimentos e preocupações do Bacen, bem como à avaliação e à obtenção de diagnósticos que os permitam antecipar-se aos riscos aos quais estão expostos.
Importante ressaltar, por fim, que a CNAC, única entidade de auditoria cooperativa do mercado brasileiro, possui serviços de avaliação das estruturas de TI que permitem a elaboração desse diagnóstico mais completo do ambiente de tecnologia das cooperativas de crédito, abrangendo questões de segurança cibernética, de proteção de dados e do processo de contratação de serviços de processamento e armazenamento de dados e de computação em nuvem - aspecto ainda não inserido no âmbito do escopo mínimo de auditoria cooperativa - que podem auxiliar a governança na identificação e adequada gestão desses riscos.
Preencha o seu e-mail no campo abaixo para receber nossas notícias, dicas e informações.
Fique por dentro de tudo o que acontece na CNAC.