Resolução 4.658: entenda tudo sobre essa normativa do Bacen

A tecnologia e suas novidades pedem o aumento de estratégias e regras de segurança que garantam a proteção de informações, por isso, entra em cena a Resolução 4.658 para proteger as instituições financeiras.

Cada vez mais são feitas operações bancárias de forma online e, seja digital ou nos próprios bancos, é preciso que os dados dos clientes estejam seguros e o mais livre possível de ataques que podem causar muitos danos.

Dessa forma, o Banco Central (BACEN), que tem o papel de órgão regulador de instituições financeiras e garante que o sistema se mantenha sólido, criou a Resolução 4.658, visando mitigar os riscos cibernéticos e proteger tais instituições.

Você sabe do que se trata a Resolução 4.658 e como ela impacta no setor de segurança da informação? Entenda sobre essa normativa agora mesmo!

O que é a Resolução 4.658? Entenda a normativa!

A Resolução 4.658 foi sancionada em 26 de abril de 2018, pelo Conselho Monetário Nacional e imediatamente entrou em vigor no país.

A resolução regulamenta a criação de uma de segurança cibernética e determinar requisitos e controles para contratação de serviços de processamento e armazenamento de dados e computação em nuvem.

A partir da Resolução 4.658, as instituições financeiras passam a utilizar provedores de nuvem pública no Brasil ou fora dele, implementando e mantendo políticas de segurança de acordo com os princípios e diretrizes estabelecidos pelo BACEN.

Ainda sobre a contratação de serviços de nuvem, a resolução dá especificações sobre as boas práticas de gestão de risco e monitoramento de recursos, tornando a terceirização uma prática mais segura para instituição e seus clientes.

Essa norma dá ao mercado financeiro os pilares para aquisição, uso, controle, responsabilidade, restrições e conscientização de um processo de segurança.

De acordo com a Resolução 4.658, as instituições devem manter políticas com base na segurança da informação, garantindo os princípios de confidencialidade, integridade e disponibilidade das informações utilizadas.

Além da política de proteção, a Resolução 4.658 determina que as instituições desenvolvam planos de ação e procedimentos para detecção e respostas a incidentes de segurança da informação e privacidade, caso ocorram.

A resolução 4.658, criada pelo Banco Central, foi feita baseada em padrões internacionais de cibersegurança, como o família ISO 27000 referente a segurança da informação e a ISO 22301 relacionada a boas práticas de gestão de continuidade do negócio.

Essa norma é pioneira na elaboração de políticas com foco em segurança da informação, abordando processos, tecnologias e pessoas.

Política de Segurança Cibernética

Para entender de fato sobre a Resolução 4.658, é preciso compreender do que se trata a política de cibersegurança. Essas são ações e documentos de planejamento para proteção dos ativos físicos e lógicos de TI.

Esse planejamento deve ser constantemente atualizado e monitorado, afinal, tecnologias mudam a todo o tempo e devem ser acompanhadas de perto.

As políticas de segurança incluem planejamento e treinamento de colaboradores, adoção de medidas e controles de segurança, monitoramento e avaliações contínuas.

A Resolução 4.658 diz que a política de segurança das empresas deve contemplar, no mínimo: 

  • Os objetivos de segurança cibernética;
  • Os procedimentos e controles vigentes para reduzir a vulnerabilidade à possíveis incidentes;
  • Controles que assegurem a segurança das informações sensíveis, a rastreabilidade da informação e seu registro;
  • Análise e causa dos impactos dos incidentes para as atividades da instituição.

Além disso, devem ser criadas diretrizes para elaboração de cenários de incidente, procedimentos de prevenção e tratamento e classificações de dados.

Essa cultura de segurança cibernética deve acontecer através da implementação de programas de conscientização e monitoramento periódico, prestação de informações e comprometimento com a proteção de dados pela alta direção.

Ainda na política de segurança cibernética, a Resolução 4.658 especifica procedimentos e controles tecnológicos a serem utilizados, que são, no mínimo: autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamentos de informações.

Além desses, procedimentos de realização periódica de testes e varreduras para detecção de vulnerabilidades, proteção contra softwares maliciosos, estabelecimento de mecanismos de rastreabilidade e controles de acesso e segmentação da rede de computadores e manutenção de cópias de segurança dos dados e das informações.

Esses procedimentos e controles devem ser aplicados no desenvolvimento de sistemas de informações e adoção de novas tecnologias utilizadas nas instituições.

Nuvem na Resolução 4.658

A Resolução 4.658 não tem restrições quanto à contratação de serviços de nuvem localizados fora do país, porém, é preciso que a instituição contratante comunique ao BACEN informações sobre a empresa contratada e lugar em que os dados estarão armazenados.

Independente do fornecedor, a instituição financeira precisa ter livre acesso aos dados e informações armazenados e é necessário assegurar confidencialidade, integridade e disponibilidade das informações.

A contratação de qualquer serviço terceirizado e referente ao tratamento de dados de computação em nuvem deve ser comunicada previamente ao Banco Central, com pelo menos, 60 dias de antecedência e, caso o fornecedor não cumpra com os requisito da Resolução 4.658, o banco pode vetar, caso seja preciso a contratação do serviço.

Como se adaptar à Resolução 4.658?

Como dissemos, a Resolução 4.658 é uma norma abrangente, que afeta rotinas básicas de procedimentos operacionais até políticas de alto nível estratégico, portanto, é preciso entender como está a companhia e quais normas já são seguidas.

É preciso identificar as regras atuais e entender o que já está em aderência com a Resolução 4.658, para posteriormente direcionar esforços apenas para o que será realmente necessário.

Trace estratégias e planos para que, aos poucos, a instituição passe a utilizar todos os procedimentos necessários para a Resolução 4.658.

A Resolução 4.658 entrou em vigor em abril de 2018 e deu prazo até outubro do mesmo ano para adequação política. Em março de 2020 é sua data para o seu primeiro relatório anual e em 31/12/2021 a data limite para adequação às diretrizes.

As informações e documentos relacionados à política das instituições devem estar disponíveis ao Banco Central por até 5 anos.

A Resolução 4.658 não especifica punições para as instituições que não se enquadrarem na norma, porém é preciso se adequar o mais rápido possível e estar em conformidade com as regras vigentes do país.

A Resolução 4.658, junto com a Lei Geral de Proteção de Dados, é um passo importante para garantir a segurança das informações das empresas e dos clientes pelas redes. Elas auxiliam em políticas mais eficazes, maior segurança e confiança no mercado.

É possível que a Resolução 4.658 passe por atualizações até a sua data limite, mas o passo inicial e fundamental já foi dado e, cabe então as organizações se adequarem o mais rápido possível.

Investir na adequação das normas da Resolução 4.658 para a instituição, além de ser uma regra vigente, é fundamental para realização de novos negócios no mercado.

O que você já conhecia da Resolução 4.658 e o que já está em conformidade em sua instituição? Aproveite o tema e fique ainda mais por dentro de cibersegurança!


Compartilhe com um amigo!