\u201cTransforma\u00e7\u00e3o digital\u201d j\u00e1 \u00e9 basicamente um termo do passado. Afinal, faz tanto tempo que estamos vivendo crescentes cont\u00ednuos de tecnologia, que j\u00e1 n\u00e3o se trata mais de um processo de transi\u00e7\u00e3o, e sim de uma realidade que veio para ficar. <\/p>\n\n\n\n
No mercado financeiro<\/a>, novas necessidades pedem novas leis<\/strong> \u2014 e \u00e9 por isso que a seguran\u00e7a cibern\u00e9tica n\u00e3o somente \u00e9 amparada pela legisla\u00e7\u00e3o, como tamb\u00e9m se tornou em um dos assuntos mais relevantes para os profissionais do setor.<\/p>\n\n\n\n Neste artigo, vim para descomplicar a resolu\u00e7\u00e3o CMN n\u00ba 4893<\/strong>, que trata das pol\u00edticas de seguran\u00e7a cibern\u00e9tica. Ent\u00e3o, fica comigo na leitura para entender:<\/p>\n\n\n\n Vamos l\u00e1?<\/p>\n\n\n\n A <\/strong>Resolu\u00e7\u00e3o CMN n\u00ba 4.893\/2021<\/strong><\/a> estabelece que as <\/strong>institui\u00e7\u00f5es financeiras<\/strong><\/a> autorizadas pelo <\/strong>Banco Central do Brasil<\/strong><\/a> devem adotar uma pol\u00edtica de seguran\u00e7a cibern\u00e9tica<\/strong> e, consequentemente, seguir requisitos espec\u00edficos na hora de contratar servi\u00e7os de processamento, armazenamento de dados e computa\u00e7\u00e3o em nuvem.<\/p>\n\n\n\n Entre os procedimentos de controle que essas institui\u00e7\u00f5es precisam implementar, temos:<\/p>\n\n\n\n Al\u00e9m de tudo isso, tamb\u00e9m \u00e9 norma a documenta\u00e7\u00e3o de planos de a\u00e7\u00e3o e respostas a incidentes<\/strong>.<\/p>\n\n\n\n O conceito de seguran\u00e7a cibern\u00e9tica envolve proteger dados, sistemas e redes contra acesso n\u00e3o autorizado, danos, interrup\u00e7\u00f5es ou uso indevido<\/strong>. Todos esses processos t\u00eam como finalidade <\/strong>confidencialidade, integridade, disponibilidade, entre outros princ\u00edpios.<\/p>\n\n\n\n Abaixo, explico um por um para voc\u00ea entender melhor.<\/p>\n\n\n\n A confidencialidade significa que dados e informa\u00e7\u00f5es devem permanecer acess\u00edveis apenas a pessoas autorizadas<\/strong>. <\/p>\n\n\n\n \u00c9 o que acontece quando um banco, por exemplo<\/strong>, impede que dados sens\u00edveis de clientes sejam visualizados por funcion\u00e1rios que n\u00e3o t\u00eam o grau de autoriza\u00e7\u00e3o necess\u00e1ria para tal. <\/p>\n\n\n\n Na pr\u00e1tica, esse princ\u00edpio exige controles de acesso e sistemas que limitem quem pode ver, modificar ou remover dados \u2014 al\u00e9m de registros de quem acessou o qu\u00ea e quando. <\/p>\n\n\n\n A integridade define que as informa\u00e7\u00f5es s\u00e3o mantidas corretas, completas e confi\u00e1veis durante todo o ciclo de vida<\/strong>. Olha s\u00f3 um exemplo: se um relat\u00f3rio de transa\u00e7\u00f5es banc\u00e1rias for alterado sem rastreio, ou for corrompido, isso fere a integridade.<\/p>\n\n\n\n Quanto \u00e0s ferramentas, a integridade requer t\u00e9cnicas como assinaturas digitais, logs<\/em> de auditoria, valida\u00e7\u00e3o de hashes<\/em> e controle de vers\u00f5es. Tudo isso serve para que se possa ter certeza de que um dado n\u00e3o foi alterado, seja por m\u00e1-f\u00e9 ou acidentalmente. Afinal, um erro desse tipo facilmente se configura como fraude.<\/p>\n\n\n\n Sistemas e dados devem estar acess\u00edveis e funcionando sempre que for necess\u00e1rio<\/strong>, dentro dos limites planejados. Quando um sistema de internet banking<\/em> sai do ar por horas seguidas, est\u00e1 violando o princ\u00edpio da disponibilidade. Aqui, a consequ\u00eancia \u00e9 em grande escala \u2014 os clientes n\u00e3o v\u00e3o conseguir realizar suas opera\u00e7\u00f5es.<\/p>\n\n\n\n Controles como redund\u00e2ncia de servidores, planos de recupera\u00e7\u00e3o de desastre, backups <\/em>atualizados e monitoramento de performance s\u00e3o alguns dos recursos que ajudam a manter a disponibilidade.<\/p>\n\n\n\n A segrega\u00e7\u00e3o, \u00e0s vezes chamada tamb\u00e9m de separa\u00e7\u00e3o de fun\u00e7\u00f5es ou \u201csegregation of duties<\/em>\u201d, significa separar tarefas e responsabilidades para evitar que uma \u00fanica pessoa ou sistema controle todo o ciclo de uma opera\u00e7\u00e3o<\/strong>. Em um banco, quem aprova uma transfer\u00eancia n\u00e3o deveria ser o mesmo que revisa ou executa essa transfer\u00eancia.<\/p>\n\n\n\n Essa separa\u00e7\u00e3o vem para reduzir o risco de fraude, erro ou conflito de interesse, afinal, cria \u201cmuralhas\u201d entre quem faz, quem supervisiona e quem audita. <\/p>\n\n\n\n Para isso, sistemas de TI s\u00e3o ideais para implementar essa segrega\u00e7\u00e3o por meio de perfis de acesso diferentes, logs <\/em>distintos, e monitoramento de atividades suspeitas quando fun\u00e7\u00f5es cr\u00edticas ficam concentradas.<\/p>\n\n\n\n Os principais elementos da governan\u00e7a de seguran\u00e7a cibern\u00e9tica <\/strong>incluem:<\/p>\n\n\n\n Todos esses elementos se conectam para formar um ciclo cont\u00ednuo de preven\u00e7\u00e3o, detec\u00e7\u00e3o, resposta e aprimoramento. Assim, a governan\u00e7a de seguran\u00e7a cibern\u00e9tica se torna mais um sistema vivo do que apenas um conjunto de regras.<\/p>\n\n\n\n Proteger sistemas e dados exige um conjunto coordenado de medidas que v\u00e3o desde autentica\u00e7\u00e3o e criptografia at\u00e9 backups, segmenta\u00e7\u00e3o de rede e programas de conscientiza\u00e7\u00e3o<\/strong>. <\/p>\n\n\n\n A seguir, detalho cada item para voc\u00ea entend\u00ea-los melhor.<\/p>\n\n\n\n A autentica\u00e7\u00e3o serve para assegurar que quem est\u00e1 tentando acessar o sistema \u00e9 realmente quem diz ser<\/strong> \u2014 por meio de senhas, tokens<\/em>, biometria ou m\u00faltiplos fatores. \u00c9 por isso, por exemplo<\/strong>, que voc\u00ea precisa digitar sua senha e fazer reconhecimento facial se quiser realizar uma opera\u00e7\u00e3o em algum banco digital.<\/p>\n\n\n\n A criptografia<\/strong>, por sua vez, protege a informa\u00e7\u00e3o durante o armazenamento ou transmiss\u00e3o. Ela basicamente torna os dados ileg\u00edveis para quem n\u00e3o tem chave de decripta\u00e7\u00e3o. Acontece bastante com dados de cart\u00e3o de cr\u00e9dito<\/a> armazenados em servidores criptografados, que ficam protegidos mesmo se houver acesso indevido.<\/p>\n\n\n\n A preven\u00e7\u00e3o de vazamento \u00e9 o ato de adotar controles para evitar que dados sens\u00edveis saiam de forma n\u00e3o autorizada<\/strong>. Isso inclui monitoramento de e-mails, bloqueio de c\u00f3pia\/cola, restri\u00e7\u00e3o de USB ou uso de pol\u00edticas de sa\u00edda de dados.<\/p>\n\n\n\n No contexto banc\u00e1rio, se um funcion\u00e1rio tenta enviar planilha com CPFs de clientes para um e-mail pessoal, isso viola essa prote\u00e7\u00e3o \u2014 pol\u00edticas e ferramentas devem impedir ou alertar tais a\u00e7\u00f5es.<\/p>\n\n\n\n Esses testes envolvem varreduras de rede, <\/strong>pen-tests<\/em><\/strong> (testes de penetra\u00e7\u00e3o) ou simula\u00e7\u00f5es de ataque <\/strong>para identificar falhas antes que invasores as encontrem. Eles verificam, por exemplo, se um sistema aceita a senha padr\u00e3o \u201cadmin123\u201d ou se h\u00e1 portas abertas indevidamente.<\/p>\n\n\n\n Aqui, \u00e9 preciso detec\u00e7\u00e3o cont\u00ednua para ter certeza de que uma falha vai ser corrigida antes que o estrago seja feito. Relat\u00f3rios desses testes ajudam a priorizar corre\u00e7\u00f5es e, muito importante, demonstram conformidade com regulamentos como a Resolu\u00e7\u00e3o CMN 4.893\/2021.<\/p>\n\n\n\n Essa medida se refere ao uso de antiv\u00edrus, anti-<\/strong>malware<\/em><\/strong>, <\/strong>firewalls<\/em><\/strong>, sistemas de <\/strong>sandboxing <\/em><\/strong>e atualiza\u00e7\u00f5es regulares <\/strong>para impedir que v\u00edrus, trojans <\/em>ou ransomwares <\/em>comprometam sistemas \u2014 quando um banco bloqueia que clientes instalem aplicativos n\u00e3o autorizados nos terminais de autoatendimento, por exemplo.<\/p>\n\n\n\n Na pr\u00e1tica, isso significa realizar monitoramento cont\u00ednuo de logs <\/em>e comportamento de sistema para detectar padr\u00f5es an\u00f4malos t\u00edpicos de malware <\/em>\u2014 como criptografia de massa de arquivos ou comunica\u00e7\u00e3o com servidores de comando e controle.<\/p>\n\n\n\n Rastreabilidade \u00e9 sobre manter registros detalhados de quem acessou o que, quando e de onde<\/strong> \u2014 em caso de incidentes, fica mais f\u00e1cil fazer auditorias e identificar causas.<\/p>\n\n\n\n Esses mecanismos ajudam a investigar incidentes, atribuir responsabilidades e demonstrar o devido cuidado \u00e0 autoridade reguladora (como o Banco Central). Levando em conta a Resolu\u00e7\u00e3o CMN 4.893\/2021, a rastreabilidade \u00e9 requisito m\u00ednimo. <\/p>\n\n\n\n Controles de acesso existem para garantir que cada usu\u00e1rio ou sistema s\u00f3 tenha permiss\u00e3o para o que realmente precisa<\/strong>. Por exemplo, desenvolvedores de sistemas n\u00e3o deveriam ter acesso aos dados dos clientes em produ\u00e7\u00e3o.<\/p>\n\n\n\n Essa segmenta\u00e7\u00e3o de redes vem para separar partes da infraestrutura para que, se uma parte for comprometida, n\u00e3o afete todo o sistema. Inclusive, tudo isso \u00e9 explicitamente exigido na Resolu\u00e7\u00e3o CMN 4.893\/2021. <\/p>\n\n\n\n Manter c\u00f3pias de seguran\u00e7a dos dados \u00e9 um requisito b\u00e1sico para manter a continuidade dos servi\u00e7os.<\/strong> Assim, se um ataque de ransomware <\/em>criptografar servidores, o banco pode restaurar o backup <\/em>e seguir operando.<\/p>\n\n\n\n Os certificados digitais existem para fins de identidade, integridade e criptografia nos sistemas<\/strong>. Quando um documento digital \u00e9 assinado, por exemplo, o certificado mostra quem assinou, quando e se o documento foi alterado depois.<\/p>\n\n\n\n Inclusive, uma institui\u00e7\u00e3o financeira deve ter uma pol\u00edtica espec\u00edfica para emiss\u00e3o, revoga\u00e7\u00e3o e renova\u00e7\u00e3o de certificados, al\u00e9m de auditoria dos usos \u2013 para evitar ataques como \u201cman-in-the-middle<\/em>\u201d ou uso indevido de assinatura digital.<\/p>\n\n\n\n Com o aumento de acessos via smartphones <\/em>e tablets<\/em>, naturalmente proteger dispositivos m\u00f3veis virou prioridade<\/strong>. Isso inclui controles de acesso, criptografia de dados no dispositivo, pol\u00edticas de \u201cwipe<\/em> remoto\u201d e an\u00e1lise de comportamento.<\/p>\n\n\n\n Voc\u00ea com certeza j\u00e1 sentiu isso na pele. Afinal, se acessa o seu banco pelo celular, com certeza precisa passar por biometrias e autentica\u00e7\u00e3o de dois fatores para acessar suas informa\u00e7\u00f5es.<\/p>\n\n\n\n Dados de cart\u00f5es de pagamento (como o c\u00f3digo de seguran\u00e7a) exigem prote\u00e7\u00e3o especial para evitar fraudes<\/strong>. na pr\u00e1tica, isso inclui criptografia, tokeniza\u00e7\u00e3o, segrega\u00e7\u00e3o de ambientes e auditoria.<\/p>\n\n\n\n Uma institui\u00e7\u00e3o financeira, portanto, deve assegurar que tais dados nunca fiquem em texto aberto em e-mails ou arquivos compartilhados, e que acessos a eles sejam monitorados e restritos.<\/p>\n\n\n\n Os terminais de autoatendimento (caixas eletr\u00f4nicos e totens) tamb\u00e9m devem ser protegidos contra adultera\u00e7\u00f5es, instala\u00e7\u00e3o de <\/strong>skimmers<\/em><\/strong>, <\/strong>malwares <\/em><\/strong>ou captura de credenciais<\/strong>. Nesse caso, o controle inclui blindagem f\u00edsica, sensores de viola\u00e7\u00e3o, atualiza\u00e7\u00f5es do sistema e monitoramento em tempo real.<\/p>\n\n\n\n Al\u00e9m disso, a rede que conecta esses terminais deve ser segmentada, os logs <\/em>de acessos devem ser rastreados e os backups <\/em>de configura\u00e7\u00f5es devem estar em dia.<\/p>\n\n\n\n Para promover uma cultura de seguran\u00e7a, n\u00e3o basta apenas implantar tecnologia \u2014 o processo completo envolve treinar pessoas, definir responsabilidades e manter pr\u00e1ticas di\u00e1rias. <\/p>\n\n\n\n Para voc\u00ea entender esse sistema com mais clareza, d\u00e1 uma olhada nesta tabela com boas pr\u00e1ticas<\/strong>:<\/p>\n\n\n\n Para avaliar se a pol\u00edtica de seguran\u00e7a est\u00e1 funcionando, s\u00e3o utilizados indicadores chave (KPIs)<\/strong>. Alguns deles s\u00e3o:<\/p>\n\n\n\n Auditorias de seguran\u00e7a cibern\u00e9tica s\u00e3o processos estruturados de avalia\u00e7\u00e3o dos controles, pr\u00e1ticas e riscos relacionados \u00e0 seguran\u00e7a da informa\u00e7\u00e3o de uma organiza\u00e7\u00e3o. Na pr\u00e1tica, seguem este padr\u00e3o<\/strong>, em geral:<\/p>\n\n\n\n Abaixo, voc\u00ea vai ter uma no\u00e7\u00e3o melhor do que acontece em cada etapa.<\/p>\n\n\n\n O primeiro passo de uma auditoria de seguran\u00e7a cibern\u00e9tica \u00e9 o planejamento. Nessa fase, a institui\u00e7\u00e3o define o objetivo do trabalho, os sistemas e redes que ser\u00e3o avaliados, os crit\u00e9rios de sucesso e o cronograma das atividades<\/strong>. Tamb\u00e9m \u00e9 decidido se a auditoria ser\u00e1 interna, conduzida pela pr\u00f3pria equipe, ou independente, feita por terceiros. <\/p>\n\n\n\n E mais: o Banco Central do Brasil exige que o escopo da auditoria esteja formalmente documentado, com a identifica\u00e7\u00e3o do respons\u00e1vel estatut\u00e1rio pela pol\u00edtica de seguran\u00e7a cibern\u00e9tica. <\/p>\n\n\n\n Esse passo consiste em identificar todos os recursos tecnol\u00f3gicos da institui\u00e7\u00e3o<\/strong> \u2014 servidores, bancos de dados, sistemas, certificados digitais, APIs e dispositivos.<\/p>\n\n\n\n Cada ativo precisa ser classificado conforme sua criticidade e n\u00edvel de confidencialidade, ou seja, o quanto \u00e9 sens\u00edvel e o impacto que sua falha poderia causar. <\/p>\n\n\n\n Para esse levantamento, podem ser usadas ferramentas de varredura de rede, cruzamento de informa\u00e7\u00f5es com bases de dados internas e entrevistas com equipes de TI e opera\u00e7\u00f5es. O resultado \u00e9 um mapa atualizado dos ativos<\/strong>, com identifica\u00e7\u00e3o de lacunas e justificativas para cada classifica\u00e7\u00e3o. <\/p>\n\n\n\n Depois de conhecer os ativos, o pr\u00f3ximo passo \u00e9 avaliar os riscos associados a eles<\/strong>. Essa an\u00e1lise cruza o impacto potencial de uma falha com a probabilidade de ela ocorrer \u2014 se cria uma matriz na qual \u00e9 poss\u00edvel priorizar os testes t\u00e9cnicos e de processo. <\/p>\n\n\n\n Por exemplo, sistemas que lidam com autentica\u00e7\u00e3o, criptografia e backups geralmente est\u00e3o entre os de maior risco e, portanto, devem ser testados primeiro.<\/p>\n\n\n\n Os testes t\u00e9cnicos s\u00e3o a parte pr\u00e1tica da auditoria<\/strong>. Aqui, se verifica se os controles de seguran\u00e7a realmente funcionam. Eles envolvem varreduras automatizadas de vulnerabilidades (vulnerability scanning<\/em>), testes de penetra\u00e7\u00e3o (pen-test<\/em>) e revis\u00e3o de configura\u00e7\u00f5es e hardening<\/em>. <\/p>\n\n\n\n Em termos mais diretos, esses testes simulam ataques reais para descobrir falhas explor\u00e1veis e confirmar se as defesas resistem a tentativas de invas\u00e3o. Os resultados desses testes devem ser documentados em relat\u00f3rios t\u00e9cnicos que incluam as vulnerabilidades encontradas, as provas de conceito, capturas de tela e recomenda\u00e7\u00f5es priorizadas. <\/p>\n\n\n\n Essa etapa examina como os processos internos s\u00e3o conduzidos<\/strong> e se est\u00e3o de acordo com as pol\u00edticas de seguran\u00e7a e com as normas da Resolu\u00e7\u00e3o CMN n\u00ba 4.893. Aqui se testam atividades de rotinas, como: <\/p>\n\n\n\n Uma curiosidade<\/strong>: muitas vulnerabilidades n\u00e3o surgem de falhas t\u00e9cnicas, mas sim de processos mal executados \u2014 por exemplo, quando um funcion\u00e1rio mant\u00e9m privil\u00e9gios de administrador sem necessidade.<\/p>\n\n\n\n Como muitas institui\u00e7\u00f5es financeiras dependem de servi\u00e7os externos \u2014 como provedores de nuvem e empresas de tecnologia \u2014, \u00e9 necess\u00e1rio avaliar o risco que esses terceiros representam<\/strong>. <\/p>\n\n\n\n O processo envolve revisar contratos, cl\u00e1usulas de auditoria, SLAs e relat\u00f3rios de seguran\u00e7a. Outra tarefa importante \u00e9 a de confirmar se os fornecedores cumprem os mesmos padr\u00f5es de seguran\u00e7a exigidos pela Resolu\u00e7\u00e3o CMN n\u00ba 4.893, especialmente no tratamento e armazenamento de dados.<\/p>\n\n\n\n Essa fase foca em avaliar se a institui\u00e7\u00e3o tem capacidade de detectar e reagir rapidamente a incidentes cibern\u00e9ticos<\/strong>. S\u00e3o analisados o funcionamento do SIEM (Sistema de Gest\u00e3o de Eventos e Informa\u00e7\u00f5es de Seguran\u00e7a), os playbooks <\/em>de resposta, e os tempos de detec\u00e7\u00e3o e resposta, por exemplo.<\/p>\n\n\n\n Tamb\u00e9m \u00e9 verificado se todos os logs <\/em>cr\u00edticos est\u00e3o sendo coletados e armazenados conforme as exig\u00eancias do Banco Central. Aqui, a auditoria pode incluir simula\u00e7\u00f5es de incidentes e revis\u00f5es de casos reais para verificar se as li\u00e7\u00f5es aprendidas foram aplicadas. <\/p>\n\n\n\n O teste de continuidade de neg\u00f3cios avalia se a institui\u00e7\u00e3o est\u00e1 preparada para manter suas opera\u00e7\u00f5es durante falhas cr\u00edticas, como interrup\u00e7\u00f5es de sistemas ou desastres<\/strong>. <\/p>\n\n\n\n Nessa etapa, s\u00e3o revisados o plano de continuidade (BCP), o plano de recupera\u00e7\u00e3o de desastres (DRP) e os relat\u00f3rios de testes realizados. Tamb\u00e9m \u00e9 feita a valida\u00e7\u00e3o pr\u00e1tica por meio de simula\u00e7\u00f5es e restaura\u00e7\u00e3o de backups <\/em>em ambiente controlado.<\/p>\n\n\n\n Por fim, a auditoria revisa como a institui\u00e7\u00e3o trata dados pessoais e informa\u00e7\u00f5es de pagamento<\/strong>. S\u00e3o verificados processos de: <\/p>\n\n\n\n Tamb\u00e9m se avalia se a institui\u00e7\u00e3o cumpre os requisitos da LGPD e, quando aplic\u00e1vel, as normas de seguran\u00e7a de cart\u00f5es de pagamento (PCI-DSS).<\/p>\n\n\n\n Quando essas exig\u00eancias n\u00e3o s\u00e3o cumpridas, a institui\u00e7\u00e3o fica sujeita a penalidades administrativas, financeiras e reputacionais<\/strong>. Veja quais s\u00e3o as penas aplic\u00e1veis:<\/p>\n\n\n\n Al\u00e9m dessas penas, n\u00e3o posso deixar de mencionar os danos \u00e0 reputa\u00e7\u00e3o da empresa. <\/strong>Mesmo sem uma multa direta, o Banco Central pode determinar que a institui\u00e7\u00e3o publique relat\u00f3rios de conformidade, apresente um plano de melhoria e submeta-se a auditorias frequentes.<\/p>\n\n\n\n Tudo isso, \u00e9 claro, causa um impacto bem grande na imagem da companhia e na sua credibilidade no mercado.<\/p>\n\n\n\n As tend\u00eancias em seguran\u00e7a cibern\u00e9tica envolvem avan\u00e7os que mudam a forma como as institui\u00e7\u00f5es se protegem<\/strong>: uso crescente de Intelig\u00eancia Artificial e machine learning<\/em>, ado\u00e7\u00e3o de arquitetura Zero Trust<\/em>, migra\u00e7\u00e3o para nuvem com seguran\u00e7a refor\u00e7ada, criptografia homom\u00f3rfica, blockchain<\/em>, foco em seguran\u00e7a da cadeia de suprimentos, Internet das Coisas (IoT) e prote\u00e7\u00e3o de dados pessoais s\u00e3o os principais exemplos.<\/p>\n\n\n\n Veja a seguir um pouco mais sobre cada um.<\/p>\n\n\n\n IA e ML t\u00eam sido usadas para detectar padr\u00f5es de ataque, prever vulnerabilidades e automatizar respostas a incidentes<\/strong>. Por exemplo, um sistema de ML pode analisar o tr\u00e1fego de rede e identificar tentativa de intrus\u00e3o antes mesmo que ela aconte\u00e7a.<\/p>\n\n\n\n Essas tecnologias tamb\u00e9m aprendem com hist\u00f3rico de ataques, ent\u00e3o \u00e9 poss\u00edvel refinar as defesas ao longo do tempo. No entanto, requerem dados de qualidade, infraestrutura segura e equipe especializada para interpretar os resultados.<\/p>\n\n\n\n A abordagem Zero Trust <\/em>parte da premissa \u201cnunca confie, sempre verifique\u201d<\/strong> \u2014 isso significa que mesmo usu\u00e1rios dentro da rede devem ser autenticados e autorizados para cada opera\u00e7\u00e3o. Com a migra\u00e7\u00e3o de servi\u00e7os para a nuvem, a seguran\u00e7a baseada em nuvem foca em como proteger dados, aplicativos e infraestrutura hospedados externamente<\/strong>. Ao contratar servi\u00e7o de nuvem, por exemplo, a institui\u00e7\u00e3o banc\u00e1ria precisa contar com criptografias, controles de acesso, auditorias e recupera\u00e7\u00e3o de dados, conforme requisitos da Resolu\u00e7\u00e3o CMN 4.893\/2021.<\/p>\n\n\n\n Al\u00e9m disso, h\u00e1 necessidade de avaliar cuidadosamente cada prestador de servi\u00e7o, verificar se eles atendem \u00e0s exig\u00eancias regulat\u00f3rias e assegurar que os dados sejam recuper\u00e1veis ou acess\u00edveis em caso de incidente ou exclus\u00e3o desses fornecedores.<\/p>\n\n\n\n A criptografia homom\u00f3rfica \u00e9 o que permite que dados permane\u00e7am criptografados mesmo enquanto s\u00e3o processados<\/strong> \u2014 assim, um sistema banc\u00e1rio pode consultar transa\u00e7\u00f5es ou realizar c\u00e1lculos sem \u201cdescriptografar\u201d informa\u00e7\u00f5es sens\u00edveis. Consequentemente, a superf\u00edcie de ataque \u00e9 reduzida e a privacidade dos dados em uso se mant\u00e9m. O blockchain <\/em>\u00e9 um registro distribu\u00eddo que permite rastrear transa\u00e7\u00f5es de forma imut\u00e1vel e transparente<\/strong>. No contexto banc\u00e1rio, pode ser usado para log<\/em> de eventos de seguran\u00e7a, verifica\u00e7\u00e3o de integridade de dados ou pagamento interbanc\u00e1rio seguro.<\/p>\n\n\n\n Usando um blockchain<\/em> para rastreabilidade ou auditoria, a institui\u00e7\u00e3o ganha uma camada adicional de prote\u00e7\u00e3o contra manipula\u00e7\u00e3o, fraude ou altera\u00e7\u00e3o indevida de registros.<\/p>\n\n\n\n Seguran\u00e7a de cadeia de suprimentos (muit\u00edssimo conhecida como supply-chain<\/em>) existe para proteger todos os fornecedores, prestadores de servi\u00e7os e componentes externos que participam da infraestrutura de TI da institui\u00e7\u00e3o<\/strong>. Imagine s\u00f3: se um banco contrata um fornecedor de software <\/em>que tem vulnerabilidade, isso pode abrir brecha para ataque.<\/p>\n\n\n\n Portanto, contratos, auditorias, avalia\u00e7\u00e3o de seguran\u00e7a de terceirizados e controles de acesso devem estender-se al\u00e9m dos muros da organiza\u00e7\u00e3o. <\/p>\n\n\n\n A Internet das Coisas (IoT) traz riscos porque muitos dispositivos t\u00eam recursos de seguran\u00e7a b\u00e1sicos e s\u00e3o alvos f\u00e1ceis para <\/strong>botnets <\/em><\/strong>ou intrus\u00f5es<\/strong>. <\/p>\n\n\n\n Trazendo isso para o contexto banc\u00e1rio ou de pagamento, dispositivos como terminais de autoatendimento, caixas eletr\u00f4nicos conectados ou sensores de ambiente precisam de gest\u00e3o de firmware<\/em>, monitoramento e segmenta\u00e7\u00e3o de rede.<\/p>\n\n\n\n Dessa maneira, a IoT deixa de ser risco para se tornar parte de uma infraestrutura sob controle.<\/p>\n\n\n\n A prote\u00e7\u00e3o de dados pessoais \u00e9 tanto uma exig\u00eancia regulat\u00f3ria (como a Lei Geral de Prote\u00e7\u00e3o de Dados), quanto um componente de seguran\u00e7a cibern\u00e9tica<\/strong>. Por isso, dados identific\u00e1veis devem ser cifrados, acessados apenas por quem tem autoriza\u00e7\u00e3o e destru\u00eddos ou anonimizados quando n\u00e3o mais necess\u00e1rios.<\/p>\n\n\n\n Al\u00e9m disso, \u00e9 claro, uma institui\u00e7\u00e3o financeira deve garantir que qualquer vazamento ou uso indevido de dados pessoais de clientes seja rapidamente detectado, reportado e contido.<\/p>\n\n\n\n Daqui pra frente, queremos ver voc\u00ea mandando bem quando o assunto for a seguran\u00e7a cibern\u00e9tica e a Resolu\u00e7\u00e3o CMN n\u00b0 4.893<\/strong>, combinado? <\/p>\n\n\n\n Se esse conte\u00fado foi \u00fatil para voc\u00ea, aproveita o momento para continuar aprendendo e descomplicando conte\u00fados do mercado financeiro com a gente. No canal da TopInvest no YouTube<\/strong><\/a>, por exemplo, voc\u00ea encontra v\u00e1rios v\u00eddeos que s\u00e3o verdadeiras aulas, com did\u00e1tica simplificada e feitos para fazer voc\u00ea se tornar um profissional Top! Nos vemos por l\u00e1?<\/p>\n","protected":false},"excerpt":{"rendered":" Entenda o que diz a resolu\u00e7\u00e3o CMN n\u00b0 4.893 de 26\/2\/2021 sobre a seguran\u00e7a cibern\u00e9tica. Veja os conceitos b\u00e1sicos e como se proteger de ataques.<\/p>\n","protected":false},"author":1,"featured_media":29973,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_editorskit_title_hidden":false,"_editorskit_reading_time":0,"_editorskit_is_block_options_detached":false,"_editorskit_block_options_position":"{}","advgb_blocks_editor_width":"","advgb_blocks_columns_visual_guide":"","footnotes":""},"categories":[89],"tags":[],"class_list":["post-29972","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-conhecimentos-bancarios"],"acf":[],"author_meta":{"display_name":"Kleber Stumpf","author_link":"https:\/\/www.topinvest.com.br\/blog\/author\/kleber\/"},"featured_img":"https:\/\/www.topinvest.com.br\/blog\/wp-content\/uploads\/2026\/01\/Gemini_Generated_Image_z7fry5z7fry5z7fr-300x300.jpg","coauthors":[],"tax_additional":{"categories":{"linked":["Conhecimentos Bancarios<\/a>"],"unlinked":["Conhecimentos Bancarios<\/span>"]}},"comment_count":"0","relative_dates":{"created":"Publicado 3 meses atr\u00e1s","modified":"Atualizado 4 meses atr\u00e1s"},"absolute_dates":{"created":"Publicado em 22 de janeiro de 2026","modified":"Atualizado em 19 de janeiro de 2026"},"absolute_dates_time":{"created":"Publicado em 22 de janeiro de 2026 07:00","modified":"Atualizado em 19 de janeiro de 2026 12:23"},"featured_img_caption":"","series_order":"","_links":{"self":[{"href":"https:\/\/www.topinvest.com.br\/blog\/wp-json\/wp\/v2\/posts\/29972","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.topinvest.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.topinvest.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.topinvest.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.topinvest.com.br\/blog\/wp-json\/wp\/v2\/comments?post=29972"}],"version-history":[{"count":1,"href":"https:\/\/www.topinvest.com.br\/blog\/wp-json\/wp\/v2\/posts\/29972\/revisions"}],"predecessor-version":[{"id":29974,"href":"https:\/\/www.topinvest.com.br\/blog\/wp-json\/wp\/v2\/posts\/29972\/revisions\/29974"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.topinvest.com.br\/blog\/wp-json\/wp\/v2\/media\/29973"}],"wp:attachment":[{"href":"https:\/\/www.topinvest.com.br\/blog\/wp-json\/wp\/v2\/media?parent=29972"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.topinvest.com.br\/blog\/wp-json\/wp\/v2\/categories?post=29972"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.topinvest.com.br\/blog\/wp-json\/wp\/v2\/tags?post=29972"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
O que diz a resolu\u00e7\u00e3o CMN n\u00ba 4893 de 26 de fevereiro de 2021?<\/h2>\n\n\n\n
\n
Quais os conceitos b\u00e1sicos de seguran\u00e7a cibern\u00e9tica?<\/h2>\n\n\n\n
Confidencialidade<\/h3>\n\n\n\n
Integridade<\/h3>\n\n\n\n
Disponibilidade<\/h3>\n\n\n\n
Segrega\u00e7\u00e3o<\/h3>\n\n\n\n
Quais s\u00e3o os principais elementos da governan\u00e7a de seguran\u00e7a cibern\u00e9tica?<\/h2>\n\n\n\n
\n
Como proteger sistemas e dados de ataques cibern\u00e9ticos?<\/h2>\n\n\n\n
Autentica\u00e7\u00e3o e criptografia<\/h3>\n\n\n\n
Preven\u00e7\u00e3o de vazamento de informa\u00e7\u00f5es<\/h3>\n\n\n\n
Testes e detec\u00e7\u00e3o de vulnerabilidades<\/h3>\n\n\n\n
Prote\u00e7\u00e3o contra softwares maliciosos<\/h3>\n\n\n\n
Mecanismos de rastreabilidade<\/h3>\n\n\n\n
Controles de acesso e segmenta\u00e7\u00e3o de redes<\/h3>\n\n\n\n
Manuten\u00e7\u00e3o de backups<\/h3>\n\n\n\n
Gerenciamento de certificados digitais<\/h3>\n\n\n\n
Seguran\u00e7a de dispositivos m\u00f3veis<\/h3>\n\n\n\n
Gerenciamento de dados de cart\u00f5es de pagamento<\/h3>\n\n\n\n
Terminal de autoatendimento<\/h3>\n\n\n\n
Como promover uma cultura de seguran\u00e7a cibern\u00e9tica?<\/h2>\n\n\n\n
Pr\u00e1tica<\/strong><\/td> Explica\u00e7\u00e3o<\/strong><\/td><\/tr> Treinamento cont\u00ednuo<\/td> Funcion\u00e1rios aprendem a identificar phishing<\/em>, usar senhas fortes e seguir pol\u00edticas de seguran\u00e7a.<\/td><\/tr> Comunica\u00e7\u00e3o clara<\/td> Usar linguagem simples para que todos entendam orienta\u00e7\u00f5es \u2014 por exemplo, enviar circulares sobre cuidados ao usar celular corporativo.<\/td><\/tr> Incentivo \u00e0 den\u00fancia<\/td> Criar canais para que funcion\u00e1rios relatem incidentes ou comportamentos suspeitos sem retalia\u00e7\u00f5es.<\/td><\/tr> Simula\u00e7\u00f5es de ataque<\/td> Envolve a realiza\u00e7\u00e3o de um \u201cphishing<\/em> falso\u201d para treinar funcion\u00e1rios e avaliar a prepara\u00e7\u00e3o dessas pessoas.<\/td><\/tr> Envolvimento da lideran\u00e7a<\/td> Diretores e gestores devem participar e dar o exemplo. A seguran\u00e7a deve ser uma das maiores prioridades da institui\u00e7\u00e3o.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Quais s\u00e3o os KPIs para avaliar a efetividade das medidas de seguran\u00e7a cibern\u00e9tica?<\/h2>\n\n\n\n
\n
Como devem ser realizadas auditorias de seguran\u00e7a cibern\u00e9tica?<\/h2>\n\n\n\n
\n
1. Planejamento e escopo<\/h3>\n\n\n\n
2. Invent\u00e1rio e classifica\u00e7\u00e3o de ativos<\/h3>\n\n\n\n
3. Avalia\u00e7\u00e3o de riscos e prioriza\u00e7\u00e3o de testes<\/h3>\n\n\n\n
4. Testes t\u00e9cnicos<\/h3>\n\n\n\n
5. Testes de controles de processo e conformidade<\/h3>\n\n\n\n
\n
6. Avalia\u00e7\u00e3o de terceiros e cadeia de suprimentos<\/h3>\n\n\n\n
7. Revis\u00e3o de detec\u00e7\u00e3o, monitoramento e resposta<\/h3>\n\n\n\n
8. Teste de continuidade de neg\u00f3cios e recupera\u00e7\u00e3o<\/h3>\n\n\n\n
9. Revis\u00e3o de prote\u00e7\u00e3o de dados e conformidade com LGPD<\/h3>\n\n\n\n
\n
Quais s\u00e3o as penalidades para o n\u00e3o cumprimento das normas de seguran\u00e7a cibern\u00e9tica?<\/h2>\n\n\n\n
\n
Quais s\u00e3o as principais tend\u00eancias em seguran\u00e7a cibern\u00e9tica?<\/h2>\n\n\n\n
Intelig\u00eancia Artificial (IA) e Machine Learning (ML)<\/h3>\n\n\n\n
Seguran\u00e7a Zero Trust<\/h3>\n\n\n\n
Com essa abordagem, o risco de invas\u00e3o via credenciais roubadas fica menor. Para funcionar, a t\u00e9cnica exige segmenta\u00e7\u00e3o de rede, micro-segmenta\u00e7\u00e3o, autentica\u00e7\u00e3o cont\u00ednua e monitoramento em tempo real.<\/p>\n\n\n\nSeguran\u00e7a baseada em nuvem<\/h3>\n\n\n\n
Criptografia homom\u00f3rfica<\/h3>\n\n\n\n
Aqui, temos uma tecnologia que ainda \u00e9 emergente, mas mostra grande potencial em ambientes regulados como o financeiro.<\/p>\n\n\n\nBlockchain<\/h3>\n\n\n\n
Seguran\u00e7a de cadeia de suprimentos<\/h3>\n\n\n\n
Seguran\u00e7a de dispositivos IoT<\/h3>\n\n\n\n
Seguran\u00e7a de dados pessoais<\/h3>\n\n\n\n
Continue aprendendo com a Top<\/h2>\n\n\n\n