Banco Central discute Segurança Cibernética

Recentemente, o BCB (Banco Central do Brasil) lançou um edital e uma consulta pública para tratar das instruções normativas a serem seguidas por IFs (Instituições Financeiras) no país, no que tange a Segurança da Informação e contratação de serviços de Computação em Nuvem para propósito de conduzir serviços bancários. O edital é relativamente curto (11 páginas) e, quando da confecção deste post, havia 22 sugestões.  A última é pertencente ao autor deste blog.

O prazo de consulta é vai até 21 de novembro de 2017 e permite a participação de qualquer pessoa física.  Basta um CPF, um e-mail (e uma ótima ideia).  Parafraseio o saudoso Glauber Rocha com sua máxima “Uma câmera na mão e uma ideia na cabeça”. 😉

Regulamentações bancárias, especialmente voltadas à segurança da informação não são novas.  Durante muito tempo, as empresas se basearam em acordos denominados Basileia (nome nacionalizado da cidade onde ocorreu a assinatura do acordo:  Basel).  Foram lançados alguns destes acordos.  O próprio Banco Central os usa há muito tempo.  Algumas informações gerais podem ser obtidas aqui.

Contudo, outras regulamentações mais recentes foram lançadas para tornar o tema mais abrangente e atual à necessidade de proteção dos dados dos clientes, bem como detecção e prevenção de fraudes bancárias.  Algumas merecem menções:

• FISMA (Federal Information Security Management Act):  legislação norte-americana que prevê diversos controles de segurança para agências governamentais.  É parte integrante do Electronic Government Act, ambos de 2002;
• GDPR (General Data Protection Regulation):  regulamentação da União Europeia que é regida pela ENISA, agência comum entre os países-membro para tratar de assuntos ligados a segurança da informação do bloco.

No Brasil, a ASEGI (Associação Brasileira de Profissionais e Empresas de Segurança da Informação) imprimiu esforço em criar uma norma própria chamada de NBSI (Norma Brasileira de Segurança da Informação) que, como a própria associação afirma, trata-se de uma regulamentação voltada para a realidade brasileira.

A NBR, instituição mais antiga no cenário de regulamentação do país, publicou três normas específicas para o tema:  27001, 27002 e 27003, que tratam, respectivamente, de Sistemas de Gestão da Segurança da Informação, Código de Prática para Controles de Segurança da Informação e Diretrizes para Implantação de um Sistema de Segurança da Informação.

Material legislatório para tratar do tema não falta.  O que pode ser feito por parte do BC é inspirar-se nessas recomendações (umas mais, outras menos profundas) e sugestões, com o intuito de tentar abordar todos os possíveis riscos inerentes à condução de serviços bancários por meios digitais e saber como corretamente tratá-los.  O que particularmente incomoda o autor deste blog é a ausência de tópicos específicos relacionados ao usuário (cliente) dos serviços bancários.  É notório que, excetuando-se ataques de negação distribuída de serviço (ou DDoS), como o perpetrado pelo grupo cracker Anonymous em sua Op PayDay, que tirou do ar sistemas de Internet Banking de grandes bancos públicos e privados, o elemento mais frágil da cadeia é e sempre será o usuário (elemento humano).

É o computador do cliente que se encontra menos protegido. É ele quem acessa sites de origem duvidosa. É nele que mídias procedentes de outros computadores são inseridas e têm, por diversas vezes, códigos executados diretamente a partir das mesmas.  Ou seja, em minha sincera opinião, toda a parte legislatória é fundamental, mas não substitui a aplicação de políticas de conscientização, de treinamento e da auditoria contínua no lado do usuário.

Preocupar-se com criptografia do dado em trânsito e em repouso, prevenção contra vazamento de dados, identificação do local físico que armazena os dados, autenticação de dois fatores, atualização contínua contra falhas; tudo isso é fundamental, mas tão ou mais importante é a aderência do usuário dos serviços ao seu correto uso.

Até a próxima!