SEGURANÇA

CIBERNÉTICA
– RESOLUÇÃO
4658/18
2

SEGURANÇA CIBERNÉTICA – RESOLUÇÃO 4658/18

A presente resolução dispõe sobre a política de segurança cibernética e sobre os requisitos
para a contratação de serviços de processamento e armazenamento de dados e de computação
em nuvem.
Trata-se de uma RESOLUÇÃO TÉCNICA, desse modo, resumirei a circular e seus principais
pontos, para que possa “matar” as questões de prova.
ATENÇÃO – Esta resolução se aplica à Institui às Instituições autorizadas a funcionar pelo Banco Central do
Brasil.

IMPLEMENTAÇÃO DA POLÍTICA DE SEGURANÇA CIBERNÉTICA

A política de segurança deve ser formulada com base em princípios e diretrizes que busquem
assegurar:
» Confidencialidade
» Integridade
» Disponibilidade dos dados e dos sistemas de informação
ATENÇÃO – Esta política deve ser compatível com o porte da instituição, perfil de risco, natureza das operações
e sensibilidade dos dados sobre a responsabilidade da instituição.
IMPORTANTE - Admite-se a adoção de política de segurança cibernética ÚNICA por conglomerado ou sistema
cooperativo. Essa opção deve ser corretamente formalizada.

OBJETIVOS E DIRETRIZES
A política de segurança cibernética deve contemplar, no mínimo:
» Os objetivos de segurança cibernética da instituição;
» Os procedimentos e os controles adotados para reduzir a vulnerabilidade
» Controles específicos que busquem garantir a segurança das informações
» Registro e análise da causa e do impacto
» Diretrizes para Elaboração de Cenários e Definição de Procedimentos, Classificação
dos dados e Definição de Parâmetros
» Implementação de Programas de Capacitação e de Pessoal
» Prestação de Informações a Clientes e Usuários
» Iniciativas para compartilhamento de informações de incidentes relevantes

DIVULGAÇÃO DA POLÍTICA DE SEGURANÇA

» Deve ser divulgada aos funcionários da instituição e às empresas prestadoras de
serviços
» Mediante linguagem clara, acessível
» Em nível de detalhamento compatível com as funções desempenhadas
» Divulgação ao Público de RESUMO, contendo linhas gerais
 plano de ação de resposta a incidentes 3

PLANO DE AÇÃO DE RESPOSTA A INCIDENTES

O plano de resposta deve abranger, no mínimo:
» Ações a serem desenvolvidas pela instituição para adequar suas estruturas aos
princípios e diretrizes de segurança cibernética
» Rotinas, procedimentos, controles e as tecnologias a serem utilizados
» Área responsável pelo registro e controle dos efeitos de incidentes relevantes.
IMPORTANTE - As instituições devem designar diretor responsável pela Política de segurança cibernética e pela
execução do plano de ação e de resposta a incidentes, podendo este diretor DESEMPENHAR OUTRAS funções
dentro da instituição.
IMPORTANTE – As instituições devem elaborar relatório anual, contendo a efetividade, resumo dos resultados
obtidos, entre outros parâmetros.
ATENÇÃO - A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser DOCU-
MENTADOS e REVISADOS, no mínimo, ANUALMENTE.