Acesso Restrito

Recuperar senha de acesso


Artigos

Home Publicações Notícias

Artigos

30 / Jun / 2022

Conselheiros e Diretores: Saibam quais são as principais obrigações frente a implementações voltadas para a segurança cibernética e a proteção de dados pessoais em Cooperativas de Crédito

Por Rui de Assis Vasconcelos

A principal finalidade dos órgãos da governança é preservar e otimizar o valor econômico de longo prazo da instituição – com integridade, liderança e transparência.

Desenvolver e aprovar planejamento estratégico baseado em pilares como ampliação dos negócios e apetite a riscos se torna fundamental para a sustentabilidade da cooperativa. Na prática, ao definir o apetite a riscos, a governança da cooperativa está assumindo o compromisso com o gerenciamento de riscos.

Quando da implementação da estrutura de gerenciamento contínuo e integrado de riscos, particularmente no que se refere ao gerenciamento do risco operacional, deve-se considerar os requisitos necessários para mitigar os riscos da segurança cibernética e da proteção de dados pessoais.

A ocorrência de incidentes cibernéticos e/ou de vazamento de dados pessoais se classifica como risco operacional, podendo dele decorrer alguma perda financeira para a cooperativa ou outros prejuízos aos associados e, no pior cenário, em risco reputacional.

Um eventual dano reputacional à cooperativa pode implicar imediata perda de negócios e a dificuldade em mensurá-lo e quantificá-lo de forma tempestiva pode representar um potencial desafio na gestão da continuidade dos negócios. Além disso, não se pode descartar um efeito sistêmico negativo pelo contágio, em decorrência da falta de confiança dos associados em executar transações e manter seus dados confidenciais custodiados no cooperativismo.

E, neste cenário, impõe-se a responsabilidade dos conselheiros e diretores quanto ao cumprimento de seu papel sobre as questões da segurança cibernética e da proteção de dados pessoais, previstas na Resolução BC nº 4.893/21 e na Lei nº 13.709/18 - Lei Geral de Proteção de Dados Pessoais (LGPD).

Tanto para os conselheiros quanto para os diretores, a suficiência e a efetividade da atuação nas questões relacionadas à segurança cibernética e à proteção de dados pessoais somente se darão a partir de ações contínuas que se iniciam com as elaborações e aprovações das políticas e do plano de ação de resposta a incidentes.

É preciso acompanhar, por exemplo, a evolução da maturidade do ambiente de segurança cibernética da cooperativa e assegurar que essa cultura de segurança seja disseminada internamente e divulgada ao público externo e aos parceiros prestadores de serviços.

Alcançar o engajamento por parte de todos os funcionários e atingir consistência na integração das áreas. Com esse procedimento, pode-se implementar rotinas e alterar processos e práticas que eventualmente não se alinhem às necessidades da segurança cibernética e da proteção de dados pessoais, o que pode representar um desafio para os órgãos de governança.

A nomeação do Encarregado de Dados Pessoais (DPO) e a definição do diretor responsável pela segurança cibernética somente produzirão efeito se forem antecedidas por avaliações da capacidade técnica das pessoas indicadas e pelo contínuo investimento em atualizações e desenvolvimento profissional.

A criação de comitê interno específico para esses temas ou a revisão do papel e da composição de comitês atualmente existentes, pode se constituir em melhor prática para o alcance dos objetivos.

No que se refere à implementação de requisitos para proteção de dados pessoais, por exemplo, os pilares são: jurídico, para dar maior segurança na relação com terceiros mediante revisão dos contratos e avaliação dos impactos que cada negócio tem em relação à LGPD; TI, para implementar melhorias no ambiente tecnológico, como em infraestrutura, implantação de sistemas adequados e segurança/proteção; e, processos, para mapear e revisar as rotinas e atividades, além de contribuir com a formação de funcionários com conhecimentos multidisciplinares e conscientização sobre os temas.

 

 

Sobre segurança cibernética, há um conjunto de documentações que devem permanecer à disposição do Banco Central do Brasil, por no mínimo 5 anos, sendo:

  • Documento relativo à política de segurança cibernética.

  • Documento relativo ao plano de ação e de resposta a incidentes.

  • Documento com os critérios que configurem uma situação de crise relacionada a riscos cibernéticos.

  • Ata do CA com registro da opção por política de segurança cibernética única por conglomerado prudencial – se for o caso.

  • Relatório anual sobre a implementação do plano de ação e de resposta a incidentes.

  • Contratos com terceiros relacionados a serviços relevantes de processamento de dados e de computação em nuvem – inclusive no exterior.

  • Dados, registros e informações relativos aos mecanismos de acompanhamento e de controle com vistas a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

Há, portanto, uma oportunidade de salto de qualidade na incorporação de boas práticas de governança corporativa que se relaciona à comunicação, transparência, segurança jurídica e eficiência operacional.

Por fim, o tom da alta administração (conselho de administração e diretoria) no sentido de compreender, divulgar internamente e acompanhar as implementações dos planos é preponderante para mitigar os riscos no ambiente digital.

INSCREVA-SE EM NOSSA NEWSLETTER

Preencha o seu e-mail no campo abaixo para receber nossas notícias, dicas e informações.
Fique por dentro de tudo o que acontece na CNAC.

CNAC © 2018 - Todos os Direitos Reservados.
Desenvolvido por: Crivos | Criação de Sites