Resolução 4.893 do Banco Central e Segurança de Nuvem
Publicada em fevereiro, substitui a 4.658 mas não altera o prazo de adequação até 31 de dezembro de 2021.
A resolução 4.658 do Banco Central, publicada em 26/4/2018, causou um impacto positivo na melhoria da maturidade das Instituições financeiras em disciplinas importantes como a segurança cibernética, a computação em nuvem e a gestão de riscos de terceiros. Ela já havia sofrido um complemento em 26/9/2019 na forma da resolução 4.752. Mas agora ambas serão revogadas e substituídas pela nova resolução 4.893, que entrará em vigor em 1/7/2021.
O blog Minuto da Segurança publicou uma lista detalhada das mudanças trazidas pela nova resolução em comparação às anteriores, que são de fato menores. Uma correção, porém, é que a mudança ao art. 15 creditada à 4.893 já havia na verdade sido trazida pela 4.752. O prazo final para adequação para as instituições financeiras não mudou, e continua sendo 31/12/2021 para as instituições afetadas.
Vamos fazer a seguir um breve resumo dos principais requisitos da nova resolução que entendemos impactar o uso de tecnologias de nuvem pelas instituições financeiras do Brasil.
Política de Segurança Cibernética e Controles Mínimos de Segurança
Na seção 1 do capítulo II, são abordados os aspectos mínimos que devem ser considerados na política de segurança cibernética. Uma boa referência para criar ou revisar a sua política de segurança cibernética é o código de prática (anexo A.5) da ISO 27002. Mas obviamente o restante do capítulo II deixa claro que além de ser escrita, a política precisa ser colocada em prática, mensurada e melhorada continuamente.
A resolução deixa claro que é preciso implementar uma política que seja compatível com o porte, perfil de risco, modelo de negócio, complexidade dos produtos e serviços e a sensibilidade dos dados e das informações sob a responsabilidade da instituição financeira. Desta forma, o seu nível de controle depende principalmente do tipo das informações que você trata dentro de seu modelo de negócio e não do porte da instituição financeira.
A resolução também define explicitamente os controles mínimos a serem implementados: autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações, realização periódica de testes e varreduras para detecção de vulnerabilidades, proteção contra softwares maliciosos, estabelecimento de mecanismos de rastreabilidade, controle de acesso e de segmentação da rede de computadores e manutenção de cópias de segurança dos dados e das informações.
A implementação destes controles é algo muito familiar ao mercado de segurança para ambientes on premises. Mas é muito provável que as tecnologias atualmente utilizadas pelas instituições não possuam plena efetividade ou, mesmo quando tenham, que não estejam ainda plenamente integradas aos seus ambientes de nuvem.
E certamente será necessária a adoção segura de serviços nativos oferecidos pelo provedor de serviços de nuvem, que deverão ser contratados e integrados aos processos e plataformas de segurança da informação da instituição. Serviços de autenticação e controle de acesso, controle de tráfego de rede, criptografia de dados em ofertas serverless, e geração de logs de acessos ao control plane da nuvem são alguns exemplos do tipo de serviço que deverá ser considerado.
Em termos de priorização, vale orientar os investimentos para aqueles controles que causam incidentes com mais freqüência. Em um blog post do ano passado, mencionamos que o DBIR de 2020 indica que 77% dos incidentes de nuvem com vazamentos de dados envolviam o abuso de credenciais. E no caso de provedores de nuvem ou orquestradores de containers, os riscos associados ao mau uso do control plane devem ser prioridade na análise por serem uma superfície de ataque relativamente nova.
Gestão de Risco de Terceiros
A discussão pública ao redor das resoluções desde 2019 poderia dar a entender que seus requisitos são aplicáveis somente a serviços de nuvem. Mas isto é uma falácia, eles também são aplicáveis a toda prestação de serviços relevantes da instituição que processe ou armazene dados considerados críticos para o mercado financeiro. Exemplos incluem data centers tradicionais, outsourcing, e o que está mais explícito nas resoluções, também os serviços de computação em nuvem (IaaS, PaaS e SaaS).
Estes requisitos estão concentrados no capítulo III da resolução. Ele requer que as instituições financeiras planejem previamente e gerenciem os riscos à continuidade de negócio e segurança da informação trazidos pela adoção dos serviços descritos acima. Além disso, exige que os contratos estabelecidos com estes terceiros incluam uma série de restrições e exigências bastante específicos (artigo 15).
Uma restrição importante determinada pela resolução é de onde geograficamente podem ser processados e armazenados os dados críticos. É responsabilidade da instituição financeira definir contratualmente onde isso irá ocorrer. Mais que isso, a resolução estabelece um requisito de que isto seja restrito ao Brasil ou a países que possuem convênio para troca de informações entre o Banco Central do Brasil e suas autoridades supervisoras. No caso de outras localidades, o artigo 16 exige que a instituição financeira solicite aprovação prévia do Banco Central pelo menos 60 dias antes da contratação.
No caso de serviços IaaS e PaaS em especial, isto traz implicações sobre o desenho de quais regiões geográficas serão utilizadas, e ainda de quais guard rails serão usados para evitar o uso acidential de regiões não permitidas. Seguem referências relevantes dos principais provedores de nuvem sobre este tema:
- AWS: Guia do usuário AWS sobre regulamentações dos serviços financeiros no Brasil – Conselho Monetário Nacional, Resolução 4.658
- Microsoft: Computação em nuvem no segmento financeiro – Regulação Geral
Além disso, o artigo 12 também estabelece que é responsabilidade da instituição financeira garantir que o prestador de serviços possua controles de segurança adequados, e a verificar que este seja o caso ao longo da vigência do contrato. Há também a exigência de que o terceiro permita acesso e compartilhe evidências (como relatórios de auditorias por terceiros) que permitam que isto seja validado. Isso é bastante adequado, em especial dada a prevalência histórica e recente de supply chain attacks.
Quando se fala de ambientes de nuvem, isto nos parece ainda mais relevante. Tecnologia de nuvem é algo relativamente novo. Apesar do grande potencial de segurança mais automatizada, completa e escalável, a realidade que vemos no campo é que o nível de maturidade médio de segurança em nuvem ainda é inferior ao observado em ambientes on premises.
Gerenciamento de Continuidade de Negócios
O capítulo IV da resolução cobre a clara preocupação do Banco Central com a continuidade do funcionamento das instituições financeiras, e que eventuais riscos à sua continuidade sejam adequadamente geridos.
Vimos bastante discussão pública em especial sobre o inciso II do artigo 19 da resolução como um requisito para a adoção de ambientes multi-cloud. Nós discordamos que esta seja a única ou mesmo a melhor forma de atender aos requisitos ali colocados, e uma análise criteriosa deve ser realizada em cada caso para definir a melhor abordagem. Cabe aqui referenciar a palestra de nosso sócio Dani Dilkin no Mind The Sec São Paulo de 2020 entitulada Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organização ou Terceiros na Nuvem que discute este tema de forma mais direta e completa.
Conclusão
Esta nova resolução traz poucas mudanças com relação às suas antecessoras, mas nenhuma mudança profunda. As instituições financeiras devem estar atentas à sua implementação adequada até o final deste ano.
E mesmo não sendo novidade, nos parece especialmente relevante a gestão de riscos à sua segurança e continuidade de negócios trazidos por terceiros que lidem com dados críticos, sejam eles provedores de nuvem ou não. Enquanto a implementação de controles e mudanças de processos em seus próprios ambientes está dentro do controle exclusivo de cada instituição, este conforto não existe nas negociações com terceiros. Entendemos que a adequação dos contratos e inspeção de que há um nível adequado de controles em uma grande quantidade de terceiros tenderá a ser o caminho crítico para a conformidade na maioria das instituições financeiras.
Bruno Cavalhero é Service Delivery Leader de projetos de segurança, privacidade e compliance em ambientes de nuvem da Tenchi Security. Tem mais de 15 anos de experiência em segurança da informação, privacidade e compliance em grandes empresas do setor financeiro. Anteriormente, liderou times de consultoria na Kroll e na Deloitte. Possui certificados PCI QSA e ISO 27001 Lead Auditor e implementer.
Alexandre Sieira é o Fundador da Tenchi Security, e anteriormente foi Gerente Sênior e líder global de Gerenciamento de Produtos de Managed Security Services Analytics na torre de Detecção e Resposta da Verizon.