Recentemente, o BCB (Banco Central do Brasil) lançou um edital e uma consulta pública para tratar das instruções normativas a serem seguidas por IFs (Instituições Financeiras) no país, no que tange a Segurança da Informação e contratação de serviços de Computação em Nuvem para propósito de conduzir serviços bancários. O edital é relativamente curto (11 páginas) e, quando da confecção deste post, havia 22 sugestões. A última é pertencente ao autor deste blog.
O prazo de consulta é vai até 21 de novembro de 2017 e permite a participação de qualquer pessoa física. Basta um CPF, um e-mail (e uma ótima ideia). Parafraseio o saudoso Glauber Rocha com sua máxima “Uma câmera na mão e uma ideia na cabeça”. 😉
Regulamentações bancárias, especialmente voltadas à segurança da informação não são novas. Durante muito tempo, as empresas se basearam em acordos denominados Basileia (nome nacionalizado da cidade onde ocorreu a assinatura do acordo: Basel). Foram lançados alguns destes acordos. O próprio Banco Central os usa há muito tempo. Algumas informações gerais podem ser obtidas aqui.
Contudo, outras regulamentações mais recentes foram lançadas para tornar o tema mais abrangente e atual à necessidade de proteção dos dados dos clientes, bem como detecção e prevenção de fraudes bancárias. Algumas merecem menções:
- FISMA (Federal Information Security Management Act): legislação norte-americana que prevê diversos controles de segurança para agências governamentais. É parte integrante do Electronic Government Act, ambos de 2002;
- GDPR (General Data Protection Regulation): regulamentação da União Europeia que é regida pela ENISA, agência comum entre os países-membro para tratar de assuntos ligados a segurança da informação do bloco.
No Brasil, a ASEGI (Associação Brasileira de Profissionais e Empresas de Segurança da Informação) imprimiu esforço em criar uma norma própria chamada de NBSI (Norma Brasileira de Segurança da Informação) que, como a própria associação afirma, trata-se de uma regulamentação voltada para a realidade brasileira.
A NBR, instituição mais antiga no cenário de regulamentação do país, publicou três normas específicas para o tema: 27001, 27002 e 27003, que tratam, respectivamente, de Sistemas de Gestão da Segurança da Informação, Código de Prática para Controles de Segurança da Informação e Diretrizes para Implantação de um Sistema de Segurança da Informação.
Material legislatório para tratar do tema não falta. O que pode ser feito por parte do BC é inspirar-se nessas recomendações (umas mais, outras menos profundas) e sugestões, com o intuito de tentar abordar todos os possíveis riscos inerentes à condução de serviços bancários por meios digitais e saber como corretamente tratá-los. O que particularmente incomoda o autor deste blog é a ausência de tópicos específicos relacionados ao usuário (cliente) dos serviços bancários. É notório que, excetuando-se ataques de negação distribuída de serviço (ou DDoS), como o perpetrado pelo grupo cracker Anonymous em sua Op PayDay, que tirou do ar sistemas de Internet Banking de grandes bancos públicos e privados, o elemento mais frágil da cadeia é e sempre será o usuário (elemento humano).
É o computador do cliente que se encontra menos protegido. É ele quem acessa sites de origem duvidosa. É nele que mídias procedentes de outros computadores são inseridas e têm, por diversas vezes, códigos executados diretamente a partir das mesmas. Ou seja, em minha sincera opinião, toda a parte legislatória é fundamental, mas não substitui a aplicação de políticas de conscientização, de treinamento e da auditoria contínua no lado do usuário.
Preocupar-se com criptografia do dado em trânsito e em repouso, prevenção contra vazamento de dados, identificação do local físico que armazena os dados, autenticação de dois fatores, atualização contínua contra falhas; tudo isso é fundamental, mas tão ou mais importante é a aderência do usuário dos serviços ao seu correto uso.
Até a próxima!
1 comentário
Outubro Rosa, mas também Seguro! | Blog itHarley · 2017-10-04 às 18:16
[…] interessante escrever sobre isto, principalmente depois do post anterior, em que exprimo minha opinião quanto à importância da conscientização pelo uso seguro de […]