Não é novidade que garantir a segurança dos espaços cibernéticos tornou-se uma constante para o setor privado e uma preocupação para o setor público. Adotar medidas de segurança cibernética adequadas é um dos pressupostos para se garantir o correto tratamento dos dados pessoais nos termos da LGPD, bem como, o cumprimento ao direito à proteção dos dados pessoais, descrito no inciso LXXIX da CF/88.
A regra é aparentemente simples. Medidas adequadas evitam incidentes de segurança, os quais podem acarretar danos reputacionais e financeiros significativos para as empresas. Não por acaso que o receio com esse tipo de dano fez com que, por dois anos seguidos, os riscos relacionados a ausência de um sistema de cibersegurança adequado fossem apontados como uma das principais preocupações pelos donos de empresa brasileiros, segundo levantamento da Allianz, no relatório Allianz Risk Barrometer 2022 e 20231.
No setor financeiro, as preocupações não são diferentes. Em pesquisa realizada pela Delloite, encomendada pela Febrabran, revelou que o orçamento destinado pelos bancos brasileiros para tecnologia tinha a expectativa de atingir R$ 35,5 bilhões em 2022, uma crescente em relação ao levantamento realizado em anos anteriores pela consultoria2.
A regulamentação do setor sobre o tema também não ficou para trás. O Banco Central do Brasil e o Conselho Monetário Nacional, ainda em 2021, editaram duas normas que versam sobre essa questão, a Resolução CMN 4.8933 e a Resolução BCB 854. Ambas tratam sobre os requisitos para as Instituições Financeiras e as Instituições de Pagamento desenvolverem uma política de segurança cibernética, e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. O racional por detrás dessas duas normas é garantir que as instituições autorizadas a funcionar pelo Banco Central realizem o tratamento dos dados dos seus clientes de forma a assegurar a confidencialidade, integridade e disponibilidade das informações.
O que pode ter ficado para trás, no entanto, especialmente para as novas entrantes do mercado, é o cumprimento de algumas das medidas descritas nestas resoluções. Mais precisamente, a necessidade de realizar um Relatório Anual sobre o plano de ação e resposta a incidentes referente as medidas e os incidentes identificados no ano calendário anterior e aprová-lo junto a diretoria ou conselho de administração até o dia 31 de março do ano subsequente, obrigação disposta no art. 8º de ambos os normativos. Para as novas Instituições de Pagamento, Sociedades de Crédito Direto e Sociedade de Empréstimo entre Pessoas, que muitas vezes não estão acostumadas com o regulatório denso e complexo do Banco Central, a obrigação de elaboração e aprovação de um relatório que sequer será enviado a entidade pode passar despercebida, mas nem por isso é menos importante.
Com efeito, para além do fato de que o Banco Central poderá solicitar a vista do relatório para a instituição posteriormente, este é um documento de Compliance relevante para fins de aprimoramento dos sistemas de segurança, da verificação das medidas de cibersegurança adotadas, como também, da identificação de melhorias e aprimoramentos nos sistemas analisados. Em outras palavras, o relatório é um asset poderoso se a instituição deseja investir em cibersegurança de modo eficiente.
Para elaborar o Relatório Anual sobre o plano de ação e resposta a incidentes, a instituição deverá congregar, ao menos, as seguintes informações5: (i) Efetividade da implementação das ações desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética; (ii) O resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes; (iii) Os incidentes relevantes relacionados com o ambiente cibernético ocorridos até o dia 31 de dezembro do ano anterior; e (iv) Os resultados dos testes de continuidade dos serviços prestados;
O relatório poderá ser elaborado pelos times de Segurança da Informação e Privacidade da instituição e deverá ser aprovado pela diretoria ou o conselho de administração da entidade até o dia 31 de março.
----------
1 Allianz Risk Barrometer. Disponível em: < https://www.agcs.allianz.com/news-and-insights/reports/allianz-risk-barometer.html> Acesso em: 30/01/23
2 Pesquisa Febraban de tecnologia bancária. Disponível em: https://febrabantech.febraban.org.br/temas/inovacao/orcamento-dos-bancos-em-tecnologia-chega-a-r-30-1-bilhoes-em-2021-e-pode-atingir-r-35-5-bilhoes-em-2022 Acesso em: 30/01/23
3 Conselho Monetário Nacional. Resolução 4.893/21. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cmn-n-4.893-de-26-de-fevereiro-de-2021-305689973 Acesso em: 30/01/23.
4 Banco Central do Brasil. Resolução 85/2021. Disponível em:< https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=85> Acesso em: 30/01/23.
5 Resolução 4.893/21, art. 8º e Resolução 85/21, art.8º.