guia ciber seguranÇa 2016

Agosto/2016

Guia de Cibersegurança

2 Este Guia foi publicado em 3 de agosto de 2016. O objetivo é contribuir para o aprimoramento das práticas de segurança cibernética nos mercados financeiro e de capitais do Brasil. O Guia não deve servir como fonte única e exaustiva, devendo as Instituições sempre consultar a legislação e a regulamentação vigentes.

Sumário

INTRODUÇÃO ................................................................................................................................................ 3

OBJETIVO DESTE GUIA .................................................................................................................................. 3

O RISCO CIBERNÉTICO ................................................................................................................................... 4

IMPLEMENTANDO UM PROGRAMA DE SEGURANÇA CIBERNÉTICA ............................................................ 6

COMO COMEÇAR ......................................................................................................................................... 6

AVALIAÇÃO DE RISCOS (RISK ASSESSMENT) ....................................................................................................... 6

COMPONENTES DE UM PROGRAMA DE SEGURANÇA CIBERNÉTICA ......................................................................... 7

ELEMENTOS DE UM PROGRAMA DE SEGURANÇA CIBERNÉTICA EFETIVO .................................................................. 8

GOVERNANÇA ........................................................................................................................................ 8

CONTROLE E CONSCIENTIZAÇÃO DOS USUÁRIOS ........................................................................................... 8

CONTROLES TECNOLÓGICOS ...................................................................................................................... 10

CONTROLES FÍSICOS ................................................................................................................................. 11

PLANO DE RESPOSTA A INCIDENTES ............................................................................................................ 11

PROCESSO DE INVESTIGAÇÃO .................................................................................................................... 12

DIÁLOGO COM PARTES EXTERNAS .............................................................................................................. 13

PREVENÇÃO DOS ATAQUES INTERNOS ......................................................................................................... 14

ACESSO À INFORMAÇÃO ........................................................................................................................... 14

DIVULGAÇÃO DO PROGRAMA DE SEGURANÇA CIBERNÉTICA ................................................................................. 15

TRATATIVAS BÁSICAS .................................................................................................................................... 16

APÊNDICE ...................................................................................................................................................... 17


Introdução

Objetivo deste Guia

As organizações e seus representantes são dependentes de recursos tecnológicos e da internet para realizar suas principais atividades. Tanto o ambiente físico com celulares, computadores, smartphones, tablets, como o ambiente lógico com sistemas computacionais, e-mails, conectividade telecom, empresas de BPO (business process outsourcing), transferência de dados “intercompany”, “cloud” etc. são potencialmente vulneráveis a ataques cibernéticos.

Estudos comprovam1 que esses ataques vêm crescendo exponencialmente em volume e sofisticação, resultando em um aumento dos riscos e prejuízos potenciais e de custos para as empresas. As instituições que atuam nos mercados financeiros e de capitais, particularmente, são alvos atraentes, devido ao montante financeiro transacionado e à sensibilidade das informações que possuem, destacando-se, entre outros:

Base de informações dos clientes (atuais e potenciais);

Banco de dados (incluindo informações históricas);

Plano de negócios e estratégias confidenciais/investimentos;

Propriedade intelectual (por exemplo, trading algorithms);

Carteira proprietária;

Posição de carteiras de clientes;

Lista de usuários e senhas; e

Sistemas de negociações.

Reguladores e autorreguladores têm voltado maior atenção para assuntos relacionados a riscos cibernéticos com o objetivo de orientar as instituições em seus respectivos mercados e verificar se suas estruturas estão preparadas para identificar e mitigar esses riscos e para se recuperar de possíveis ataques.

Para auxiliar as instituições participantes dos Códigos de Regulação e Melhores Práticas, a ANBIMA apresenta este Guia, tendo como principal objetivo descrever práticas efetivas para orientar a implantação de um programa de segurança cibernética e, com isso, contribuir para o aprimoramento da segurança cibernética nos mercados financeiro e de capitais do Brasil. As práticas descritas neste Guia não constituem uma lista única e exaustiva das iniciativas que as instituições podem tomar para reforçar a sua cibersegurança. Existem várias fontes e recursos disponíveis que podem também auxiliar as instituições, à medida que elas progridam na implementação do programa de segurança cibernética.

1 Conferir Apêndice, p. 15.


Por fim, vale ressaltar que as ameaças, bem como as práticas e soluções de cibersegurança, evoluem rapidamente, o que exige constante adaptação das instituições. Esse guia também poderá ser reavaliado e atualizado no futuro ou complementado por diretrizes e matérias adicionais.

O risco cibernético

Os avanços tecnológicos criam facilidades e possibilitam o uso de novas ferramentas para a atuação das instituições, permitindo agilidade na construção e disponibilização de serviços, ampliação dos meios de comunicação, entre outros avanços. Por outro lado, o aumento do uso de tais ferramentas potencializa os riscos de ataques cibernéticos, ameaçando a confidencialidade, a integridade e a disponibilidade dos dados ou dos sistemas das instituições.

Existem diversas razões para que esses ataques sejam realizados por vários agentes (organizações criminosas ou hackers individuais, organismos de Estado, terroristas, colaboradores, competidores etc.). Os principais motivos identificados são:

Obter ganho financeiro;

Roubar, manipular ou adulterar informações;

Obter vantagens competitivas e informações confidenciais de empresas concorrentes;

Fraudar, sabotar ou expor a instituição invadida, podendo ter como motivo acessório a vingança;

Promover ideias políticas e/ou sociais;

Praticar o terror e disseminar pânico e caos; e

Enfrentar desafios e/ou ter adoração por hackers famosos.

Os invasores podem utilizar vários métodos para os ataques cibernéticos. Destacam-se abaixo os mais comuns2:

Malware – softwares desenvolvidos para corromper os computadores e redes: o Vírus: software que causa danos à máquina, rede, softwares e Banco de Dados; o Cavalo de Troia: aparece dentro de outro software criando uma porta para a

invasão do computador;

2 Ver SANS Glossary of Terms para definições dos termos mais usados. Disponível em:

https://www.sans.org/security-resources/glossary-of-terms

O Guia oferece exemplos e recomendações para orientar as instituições e contribuir para o aprimoramento da segurança cibernética nos mercados brasileiros.

Não se trata de padrões máximos ou mínimos. A implementação das recomendações depende das características e das necessidades de cada

instituição.

https://www.sans.org/security-resources/glossary-of-terms/


o Spyware: software malicioso para coletar e monitorar o uso de informações; e o Ransomware: software malicioso que bloqueia o acesso aos sistemas e base de

dados, solicitando um resgate para que o acesso seja reestabelecido.

Engenharia social – métodos de manipulação para obter informações confidenciais, como senhas, dados pessoais e número de cartão de crédito:

o Pharming: direciona o usuário para um site fraudulento, sem o seu conhecimento; o Phishing: links vinculados por e-mails, simulando ser uma pessoa ou empresa

confiável que envia comunicação eletrônica oficial para obter informações confidenciais;

o Vishing: simula ser uma pessoa ou empresa confiável e, por meio de ligações telefônicas, tenta obter informações confidenciais;

o Smishing: simula ser uma pessoa ou empresa confiável e, por meio de mensagens de texto, tenta obter informações confidenciais; e

o Acesso pessoal: pessoas localizadas em lugares públicos como bares, cafés e restaurantes, a fim de captar qualquer tipo de informação que possa ser utilizada posteriormente para um ataque.

Ataques de DDoS (distributed denial of services) e botnets – ataques visando negar ou atrasar o acesso aos serviços ou sistemas da instituição; no caso dos botnets, o ataque vem de um grande número de computadores infectados utilizados para criar e mandar spam ou viroses, ou inundar uma rede com mensagens resultando em uma negação de serviços.

Invasões (advanced persistent threats) – ataques realizados por invasores sofisticados, utilizando conhecimentos e ferramentas para detectar e explorar fragilidades específicas em um ambiente tecnológico.

As ameaças cibernéticas podem variar de acordo com a natureza, vulnerabilidade e informações/bens de cada organização. As consequências para as instituições podem ser significativas em termos de risco de imagem, danos financeiros ou perda de vantagem concorrencial, além de possíveis riscos de compliance. Os possíveis impactos dependem também da rápida detecção e resposta após a identificação do ataque3. Tanto instituições grandes como pequenas podem ser impactadas.

3 De acordo com FireEye, por exemplo, em 2014, cibercriminosos permaneceram dentro das redes das empresas

vítimas por uma média de 205 dias antes de serem detectados.

Instituições financeiras não podem ignorar o risco cibernético. Ataques ameaçam a confidencialidade, a integridade ou a disponibilidade dos dados e dos

sistemas das instituições. Reguladores estão focando na identificação de pontos fracos em segurança cibernética nos

mercados de capital. Clientes e parceiros têm questionado cada vez mais a segurança das instituições.


Implementando um programa de segurança cibernética

Como começar

Uma vez que os ataques cibernéticos vêm se tornando cada vez mais recorrentes e sofisticados, a ANBIMA entende que é de extrema importância que as instituições estruturem programas de segurança cibernética para se proteger e reduzir os riscos e potenciais consequências desses ataques (cyber threats). Tais programas podem, a critério de cada instituição, ser incluídos na política de segurança da informação, documento exigido por alguns dos Códigos de Regulação e Melhores Práticas da ANBIMA4.

Instituições podem basear-se em padrões internacionais ou nacionais existentes para desenvolver seus programas de segurança cibernética. Esses padrões podem focar em cibersegurança ou tratar de um modo mais abrangente da governança e do gerenciamento das tecnologias de informação dentro das instituições. Eles podem servir como pontos de referência e ajudar as instituições a avaliarem suas práticas e definirem elementos relevantes na construção e no desenvolvimento do programa, visando o aprimoramento da segurança cibernética da instituição.

Avaliação de riscos (Risk assessment)

É recomendado que as instituições implementem um programa de segurança cibernética baseado em suas necessidades, elaborando e mantendo uma avaliação de riscos (ou risk assessment) atualizada. Os esforços devem ser compatíveis com as características e o tamanho da instituição, e os recursos de defesa e respostas, proporcionais aos riscos identificados.

A avaliação deve levar em conta o ambiente da instituição, seus objetivos, seus stakeholders e suas atividades. Recomenda-se que o risk assessment contenha, no mínimo:

Identificação dos ativos críticos da instituição (sejam sistemas, dados ou processos) e das potenciais vulnerabilidades;

Identificação recorrente de ameaças cibernéticas em âmbito global, mantendo-as em base de conhecimento;

Avaliação dos possíveis impactos financeiros, operacionais e reputacionais, e das probabilidades de ocorrência;

4

Código ANBIMA de Regulação e Melhores Práticas da ANBIMA para o Mercado de FIP e FIEE; Código ANBIMA de

Regulação e Melhores Práticas da ANBIMA de Fundos de Investimento; Código ANBIMA de Regulação e Melhores Práticas da ANBIMA para a Atividade de Private Banking no Mercado Doméstico; e Código ANBIMA de Regulação e Melhores Práticas dos Serviços Qualificados ao Mercado de Capitais.


Mensuração dos riscos internos e externos, incluindo os riscos dos sistemas, sejam eles críticos ou não, a partir da análise das vulnerabilidades, das ameaças, e dos possíveis impactos; e

Definição e priorização das respostas e ações necessárias frente aos riscos identificados.

Um aspecto importante do risk assessment é a identificação dos riscos residuais, ou seja, os riscos que foram identificados e para os quais não existem estratégias de mitigação apropriadas. Para esses riscos, mecanismos adequados de escalação devem ser contemplados, bem como considerações para reduzir esses riscos no futuro.

Componentes de um programa de segurança cibernética

Um programa eficiente contra ataques cibernéticos deve conter ao menos seis funções bem definidas:

Identificação – identificar os riscos internos e externos e os ativos e processos que precisam de proteção, conforme abordado no risk assessment descrito acima;

Prevenção – estabelecer um conjunto de medidas cujo objetivo é mitigar a concretização de ameaças, ou seja, impedir previamente a ocorrência de um ataque cibernético, por meio da aplicação do dever de diligência, seja pela conscientização dos diversos stakeholders ou pela pesquisa, investigação e análise de comunicações e informações sobre ataques;

Detecção – detectar as ameaças em tempo hábil, reforçando os controles, caso necessário, e identificar possíveis anomalias no ambiente tecnológico, incluindo a presença de usuários, componentes ou dispositivos não autorizados;

Proteção – programar e implementar os controles necessários para combater as ameaças e ataques detectados;

Resposta – ter um plano de resposta, tratamento e recuperação de incidentes, incluindo um plano de comunicação interna e externa, caso necessário; e

Reciclagem – manter o programa de segurança cibernética continuamente testado e atualizado.

Fonte: ANBIMA, GT Cibersegurança.

O programa de cibersegurança baseia-se na análise dos riscos específicos da instituição. A implementação do programa pode levar vários anos. Instituições podem inspirar-se em padrões existentes.


Elementos de um programa de segurança cibernética efetivo

Inspirada em guias de segurança cibernética publicados recentemente5, a ANBIMA destaca abaixo alguns itens que dão sustentação e complementam os componentes listados na seção anterior e que são considerados elementos importantes para a efetividade dos programas em todas as instituições.

Governança

Estabelecer governança interna a respeito de segurança cibernética é elemento essencial do programa. A esse respeito, os principais pontos a serem observados nas políticas e nos procedimentos internos específicos de proteção contra ataques cibernéticos são:

Definição das responsabilidades dentro do plano de ação nas tomadas de decisão, inclusive no momento da resposta a incidentes;

Criação de um comitê, fórum ou grupo específico para tratar segurança cibernética com representação e governança apropriadas;

Realização de auditoria periódica nas medidas e ações definidas pelo organismo responsável; e

Promoção de uma cultura de segurança dentro da instituição (tone from the top).

O comprometimento dos executivos seniores, das linhas de negócios e de outros stakeholders é um fator crítico para que se obtenham avanços em termos de segurança das instituições. Iniciativas como a definição e manutenção de indicadores de desempenho (key performance indicators) podem corroborar a conscientização e o envolvimento da alta administração e demais órgãos da instituição.

5 Conferir Apêndice, p. 16.

Um dos grandes obstáculos ainda é a questão cultural. Executivos seniores têm um papel importante no sentido de promover avanços na maturidade

da estrutura.


Controle e conscientização dos usuários

Provavelmente os trabalhadores vinculados à instituição participante (“colaboradores”) são o elo mais delicado em um programa de segurança cibernética. A efetividade do programa depende não somente dos equipamentos e soluções de segurança, mas também da conscientização dos colaboradores da instituição quanto à importância das práticas de segurança. Para tanto, é importante adotar os seguintes procedimentos e controles:

Regras mínimas a respeito da definição das senhas de acesso aos dispositivos corporativos, sistemas e rede;

Troca periódica de senhas de acesso e revisão de permissão de administradores de redes e administradores de estações;

Definição do perfil de acesso dos colaboradores e administradores de rede, limitando o acesso dos colaboradores às informações confidenciais e sistemas críticos, e revisão periódica desses acessos – usuários com privilégios "normais" devem também ser impedidos de instalar ou desabilitar qualquer software ou serviço em execução no sistema;

Controle rigoroso do uso de contas privilegiadas, inclusive para garantir que esse tipo de conta não seja utilizado para atividades de alto risco do usuário, por exemplo, para ter acesso ao e-mail externo ou navegar na internet;

Controles visando impedir a instalação e execução de software e aplicações não autorizadas por meio de controles de execução de processos (por exemplo, whitelisting aplicação);

Definição do perfil de acesso dos prestadores de serviços, limitando-se o acesso às informações confidenciais e sistemas críticos (como, por exemplo, datawarehouse ou outros relacionados com business intelligence ou auxiliares à tomada de decisão estratégica);

Gerenciamento e controle dos acessos privilegiados, incluindo medidas para a anulação rápida dos acessos aos sistemas e informações quando não forem mais necessários;

Políticas de controles de acesso para trabalhos fora do escritório, por meio do uso de celulares e demais dispositivos pessoais e corporativos, determinando regras e limites para a concessão do referido acesso;

Treinamento relativo à segurança cibernética para os executivos e colaboradores em geral (incluindo treinamento dos novos colaboradores e ao longo do tempo), observando-se que tais esforços ganham efetividade se complementados com simulações (por exemplo, testes de phishing destinados aos colaboradores da instituição) que auxiliem mudanças culturais nas equipes; e

Estabelecimento de canais de comunicação e de divulgação das políticas e procedimentos internos que contribuam para sua disseminação e para a fixação de práticas e procedimentos, inclusive novas orientações.


Controles tecnológicos

Para se proteger das ameaças cibernéticas, as instituições devem possuir ao menos uma estrutura básica de tecnologia que preveja itens como:

Proteção dos dados armazenados ou em trânsito, contendo ferramentas seguras de backup e criptografia, conforme necessário; bancos de dados e dispositivos de rede devem ser enviados para um sistema de segurança dedicado que seja rigorosamente controlado para preservar a integridade, a confidencialidade e a disponibilidade do conteúdo;

Uso de assinaturas digitais para processos/colaboradores críticos;

Inventários atualizados dos hardwares e softwares;

Atualização dos sistemas, infraestruturas e softwares utilizados nas instituições;

Prevenção de ameaças com firewalls, antivírus, perfis de acesso específico para os administradores das máquinas, filtros de spam, controle para uso de periféricos (pendrives, CDs e HDs), testes de penetração de invasores e filtros de uso de internet;

Controles para uso de periférico contra cópias não autorizadas de dados (como, por exemplo, pendrives, CDs e HDs) e monitoramento de impressão de dados confidenciais;

Detecção de ameaças, monitoramento de anomalias (por exemplo, por meio de logs de atividade de sistemas operacionais, análise de logins errados ou de downloads incomuns) e usuários não autorizados nas redes da instituição;

Inclusão das preocupações de segurança durante as fases de desenvolvimento de novos sistemas, softwares ou aplicações;

Controles de auditoria, tais como sistemas de gerenciamento de senhas, logs e trilhas de acesso;

Utilização de dados fictícios (mascaramento de dados críticos) em ambientes não produtivos, ou outras medidas visando à segurança dos ambientes não produtivos e a proteção dos dados;

Segregação física e lógica dos ambientes de desenvolvimento, teste e produção; e

Estabelecimento do mesmo nível de segurança e proteção às aplicações que se utilizem de informações críticas.

As instituições devem definir os controles adequados para o acesso dos clientes aos seus serviços on-line e para a comunicação recorrente (por exemplo, disponibilização dos extratos) ou pontual entre elas e seus clientes.

Evoluções recentes, como o uso da nuvem, podem criar riscos adicionais ao estabelecer porosidades entre os sistemas internos e externos das instituições. Apesar do uso da nuvem poder trazer certos benefícios em termos de cibersegurança, em particular para as instituições menores, essa evolução pede uma atenção particular, inclusive a respeito do gerenciamento dos acessos.


Controles físicos

É importante que as instituições possuam procedimentos de segurança física, assim como controles de acesso às instalações, devendo prever:

Perfis de acesso às instalações do escritório;

Gerenciamento e controle dos acessos;

Espaço físico adequado e seguro para a guarda dos equipamentos;

Restrição de acesso físico das áreas com informações críticas/sensíveis;

Segurança e controles de acesso nas instalações de contingência;

Acesso remoto por usuários devidamente identificados e autenticados, bem como, conforme necessário, utilização de conexão criptografada, para acesso ao ambiente da empresa de fora desta;

Uso exclusivo de equipamentos homologados pela área de arquitetura e tecnologia da informação.

Plano de resposta a incidentes

As instituições devem ser capazes de reagir tempestivamente em caso de incidentes, possuindo um plano de escalonamento e respostas. Para isso, é importante a definição de:

Critérios para classificação do incidente, por severidade;

Lista de ativos críticos, de acordo com avaliação de risco (risk assessment) já efetuada pela instituição;

Procedimentos de detecção e investigação (incluindo, na medida do possível, os procedimentos para a coleta de evidências – ver abaixo) para agilizar a identificação e a correção do problema;

Plano de acionamento dos colaboradores-chaves e contatos externos relevantes;

Tomada de decisões e ações técnicas de acordo com vários cenários possíveis de ataques (perda de dados de clientes, ataque DDoS, infecção, intrusão etc.);

Plano de comunicação envolvendo, de acordo com os riscos concretos inerentes ao incidente, clientes e outros parceiros, órgãos reguladores e, se necessário, a imprensa;

Medidas de remediação; e

Controles básicos aumentam significativamente o nível de segurança e conseguem evitar boa parte dos ataques mais simples.

Esses controles devem ser objeto de treinamento. A seleção dos controles específicos depende das circunstâncias de cada instituição. Instituições devem avaliar a necessidade de ferramentas como criptografia ou testes de

penetração.


Plano de continuidade dos negócios6 e processos de recuperação, incluindo, conforme o caso, a restauração, reconstrução ou substituição dos sistemas e bases de dados impactados.

O processo de gerenciamento de incidentes deve ser desenvolvido em linha com as atividades de negócio para abordar toda a gama de incidentes cibernéticos que possam ocorrer em sua infraestrutura corporativa.

As documentações relacionadas ao gerenciamento dos incidentes devem ser devidamente arquivadas para servir como evidência em eventuais questionamentos.

É importante que o plano de resposta considere que os sistemas, redes e bases de dados podem não ser acessíveis ou podem estar corrompidos, bem como a estrutura física da instituição. Além disso, é recomendável que as instituições atualizem e testem regularmente o seu plano de resposta.

Recomenda-se o envolvimento de várias áreas da instituição na elaboração do plano, além da área de segurança tecnológica, como departamentos jurídicos, de compliance e de comunicação.

Processo de investigação

As investigações de cibersegurança incluem a coleta, a análise e a preservação de dados (conforme aplicável) com o objetivo de identificar a origem e as características de uma invasão ou ataque cibernético. Para êxito nas investigações, é recomendável definir o protocolo que direcione a análise com a interrupção ou não do ataque e utilizar técnicas forenses que suportem a preservação das provas em caso de requerimentos legais.

É recomendável manter o histórico das análises com o objetivo de obter indicadores que permitam identificar, de forma preditiva, tendências e comportamentos.

6 Alguns Códigos de Regulação e Melhores Práticas da ANBIMA já exigem que as instituições participantes possuam

um PCN.

Testar e praticar o plano de reposta são elementos importantes para identificar falhas e melhorar as estratégias de mitigação contempladas.

Exercícios ajudam os colaboradores a ficarem mais confortáveis com seus papéis e responsabilidades na hora de um incidente de cibersegurança.


Diálogo com partes externas

Fornecedores, prestadores de serviços e parceiros (“partes externas”) podem representar uma fonte significativa de riscos para as instituições. Recomenda-se que as instituições discutam com as partes externas os controles estabelecidos por eles a respeito da cibersegurança antes de celebrar um contrato de prestação de serviços e durante sua execução. Em geral, o nível de diligência desejável depende do risco que a relação com o fornecedor pode criar para a instituição. Cuidados específicos podem também ser necessários na conclusão da relação com as partes externas (anulação dos acessos aos sistemas etc.). Especial atenção deve ser dada a fornecedores que recebem e/ou tratam dados considerados confidenciais ou de clientes, bem como para aqueles que possuem conexões lógicas (links) com a instituição.

É importante que as instituições tenham políticas7 de verificação dos procedimentos de segurança cibernética de terceiros contratados, avaliando e monitorando a capacidade desses de evitar ataques cibernéticos. Recomenda-se um processo de avaliação e acompanhamento dos riscos representados pelos terceiros, bem como a formalização da aprovação desses terceiros nos organismos internos responsáveis, com revisão de tais aprovações periodicamente.

Conforme necessário e dependendo da avaliação dos riscos, verificação de políticas e procedimentos internos, além de visita às instalações das Partes Externas poderão ser realizadas dentro do processo de due diligence. Em certos casos, a verificação poderá abranger eventuais subcontratações.

Como parte do diálogo com fornecedores e prestadores de serviços, as instituições podem considerar a inclusão de disposições específicas relacionadas ao risco cibernético nos contratos de serviços.

7 Alguns Códigos de Regulação e Melhores Práticas da ANBIMA exigem, em determinadas situações, que a

instituição mantenha política interna que descreva seus processos de seleção, contratação e monitoramento de

prestadores de determinados serviços.

Terceiros representam outra fonte de riscos. Instituições devem avaliar e gerir o risco cibernético ao longo da relação com o terceiro.


Prevenção dos ataques internos

Boas práticas8 na prevenção dos ataques internos combinam ferramentas tecnológicas (por exemplo, de monitoramento das redes) ao conhecimento interno dos fatores humanos das instituições. Alguns indicadores podem revelar comportamentos duvidosos (fracassos repetidos no login, downloads massivos de dados etc., mas, também, conflitos entre colaboradores ou ameaças).

As instituições podem considerar várias iniciativas para ajudar a prevenção dos ataques internos, como controles dos usuários e controles físicos (ver acima), sensibilização dos colaboradores (por exemplo, usando casos concretos), canais de denúncia e ouvidoria para compartilhar indicações de comportamento duvidoso, incluindo, em certos casos, a criação de uma equipe específica, bem como quaisquer outras práticas que auxiliem a detecção de vazamento de dados e/ou fraudes a partir de colaboradores ou prestadores de serviços e fornecedores da instituição. Aspectos jurídicos (privacidade da informação e confidencialidade, entre outros) devem ser considerados.

Acesso à informação

Devido ao ritmo de mudanças das ameaças, é importante definir ferramentas de acesso à inteligência de ameaças na mídia, internet e baixa internet (underground), bem como por meio de mecanismos de compartilhamento de informações ou via fornecedores especializados disponibilizando inteligência sobre a evolução das ameaças.

As instituições se beneficiam também da participação em grupos ou fóruns para trocar experiências e informações, inclusive com a finalidade de manter o programa de segurança cibernética sempre atualizado, atendendo a novas necessidades e incorporando os avanços mais recentes da indústria no enfrentamento do risco cibernético.

8 Por exemplo, ver: SIFMA, Best Practices for Insider Threats. Disponível em:

http://www.sifma.org/uploadedFiles/Issues/Technology_and_Operations/Cyber_Security/insider-threat-best-

practices-guide.pdf?n=45727.

Estabelecer relações de confiança e mecanismos de colaboração ajuda a desenvolver uma resposta coletiva ao risco cibernético.

Na medida do possível, instituições devem procurar acesso à informação e incorporá-la às suas respostas.

http://www.sifma.org/uploadedFiles/Issues/Technology_and_Operations/Cyber_Security/insider-threat-best-practices-guide.pdf?n=45727

http://www.sifma.org/uploadedFiles/Issues/Technology_and_Operations/Cyber_Security/insider-threat-best-practices-guide.pdf?n=45727


Divulgação do programa de segurança cibernética

Conforme já mencionado, uma das maiores dificuldades para implementar um programa de segurança cibernética é educar os executivos e colaboradores para que se habituem às rotinas e controles como, por exemplo, as restrições à utilização da internet, de acesso aos e-mails pessoais e mídias sociais. Parte dos ataques cibernéticos pode ser originada internamente caso um colaborador utilize dispositivos, aplicativos, sites e mídias sociais não autorizadas pela instituição ou não compatíveis com seus protocolos de segurança. O programa deve incentivar que executivos e colaboradores adotem boas práticas (por exemplo, na definição das suas senhas) e se tornem sensíveis às possíveis ameaças (por exemplo, no caso de phishing).

Dessa forma, recomenda-se a criação de canais de comunicação internos, que sejam eficientes para divulgar o programa de segurança cibernética, assim como a conscientização sobre os riscos e as práticas de segurança e o recebimento de eventuais denúncias sobre descumprimentos do programa.

Recomendamos que as instituições realizem treinamentos periódicos com os colaboradores sobre o assunto, além de manter canais abertos para o esclarecimento de dúvidas e recebimento de sugestões ou alertas sobre o tema. A realização de exercícios simulados periódicos com as principais áreas envolvidas, considerando os cenários de ataque mais prováveis, fortalece o processo de conscientização e permite o constante aprimoramento do programa. Por fim, destaca-se novamente a importância de ressaltar a responsabilidade dos colaboradores perante os riscos de cibersegurança e assegurar o envolvimento da alta administração da instituição e indicar um diretor como responsável pelo programa de segurança cibernética, de forma a garantir que recursos (financeiros e humanos) suficientes sejam alocados para a eficiente implementação do programa e difusão de uma cultura de segurança na instituição.


Tratativas básicas

Em termos gerais, a ANBIMA entende ser possível adotar tratativas básicas e de baixo custo, por meio da adoção das medidas a seguir.

Função Descrição Definição de papéis e

responsabilidades Indicação do executivo e área responsável pela implementação do programa de segurança cibernética, assim como pela tratativa de incidentes.

Definição de perfis de acesso aos sistemas, rede, base de dados e servidores

Matriz de perfis de acesso, segregando claramente responsabilidades e funções, de forma a evitar acessos indevidos e possibilitar o monitoramento dos acessos.

Regras para a definição de senha

Regras mínimas sobre quantidade e tipos de caracteres utilizados nas senhas e periodicidade de troca.

Monitoramento do uso de internet

Regras para a utilização da internet, bloqueio de sites que podem gerar riscos adicionais e monitoramento do uso dos colaboradores.

Regras para download Definir regras de download, evitando que ocorram downloads de arquivos de fonte duvidosa, assim como itens desnecessários.

Regras para upload Restringir a permissão de upload em sites de internet somente a usuários autorizados por alçada competente, com procedimentos de revisão periódica.

Controles para utilização de e-mails, mídias e periféricos

Regras para a permissão do uso e monitoramento de tais ferramentas, de forma a evitar a entrada de itens lesivos e/ou a saída de informações confidenciais/sensíveis. Monitoramento e concessão de envio de e-mails externos, bem como a proibição do uso de serviços de e-mails externos (ex.: gmail, hotmail, yahoo etc.).

Trilhas de auditoria e guarda dos logs

Arquivar trilhas de auditoria e logs, permitindo a verificação de comandos suspeitos e acessos indevidos. Definir também o tempo de guarda dos logs.

Regras de backup Prever periodicidade para a realização dos backups, forma de armazenamento e controle de acesso, garantindo que todas as informações tenham fonte de dados secundária e segura.

Controle de entrada e saída de equipamentos

Controlar a movimentação dos equipamentos para garantir que não sejam alterados.

Controle de prestadores de serviço

Regras para controle do acesso físico e lógico dos prestadores de serviço, além de cláusulas de confidencialidade na contratação desses terceiros.

Softwares de segurança Utilização de softwares de segurança como firewalls, antivírus e outros.

Atualização dos sistemas, infraestruturas e softwares

Manter os sistemas, infraestruturas e softwares sempre atualizados.

Classificação da informação Regras para a classificação das informações, impedindo o acesso ou divulgação indevida ou exigindo a sua criptografia.

Ciclo de vida da informação Processos seguros para o devido manuseio, armazenamento, transporte e descarte das informações.

Disseminação da cultura de segurança

Mecanismos adotados para divulgar o programa contra ataques cibernéticos, tais como realização de treinamentos, criação de canais de comunicação interna ou simulações.


Apêndice

Segue abaixo a lista, não exaustiva, dos principais relatórios e fontes consultados:

Alternative Investment Management Association (AIMA), Guide to Sound Practices for Cybersecurity (disponível para membros da AIMA), out. 2015.

BM&FBovespa, Programa de Qualificação Operacional, Roteiro básico. Disponível em: http://www.bmfbovespa.com.br/pt_br/regulacao/programa-de-qualificacao-operacional-pqo/roteiros/

Commodities and Futures Trading Commission (CFTC), Recommended Best Practices for the Protection of Customer Records and Informations, fev. 2014. Disponível em: http://www.cftc.gov/idc/groups/public/@lrlettergeneral/documents/letter/14-21.pdf

Central Bank of Ireland, Review of the Management of Operational Risk Around Cybersecurity within the Investment Firm and Fund Service Industry, set. 2015. Disponível em: https://www.centralbank.ie/regulation/industry-sectors/investment-firms/mifid-firms/Documents/Industry%20Letter%20-%20Thematic%20Review%20of%20Cyber-Security%20and%20Operational%20Risk.pdf.

Comissão Parlamentar de Inquérito dos Crimes Cibernéticos, Relatório final, maio 2016. Disponível em: http://www2.camara.leg.br/atividade-legislativa/comissoes/comissoes-temporarias/parlamentar-de-inquerito/55a-legislatura/cpi-crimes-ciberneticos

Financial Industry Regulatory Authority (FINRA), Report on Cybersecurity Practices, jan. 2015. Disponível em: https://www.finra.org/sites/default/files/p602363%20Report%20on%20Cybersecurity%20Practices_0.pdf

Hedge Fund Standards Board (HSFB), Cybersecurity Toolbox for Hedge Funds Managers, out. 2015. Disponível em: http://www.hfsb.org/sites/10377/files/regulators_on_cybersecurity.pdf

Investment Company Institute (ICI), Information Security Resource Center. Disponível em: https://www.ici.org/info_security.

Investment Industry Regulatory Organization of Canada (IIROC), Cybersecurity Best Practices Guide for IIROC Dealers Members, mar. 2016. Disponível em: http://www.iiroc.ca/industry/Documents/CybersecurityBestPracticesGuide_en.pdf.

Investment Industry Regulatory Organization of Canada (IIROC), Cybersecurity Incident Management Planning Guide, mar. 2016. Disponível em: http://www.iiroc.ca/industry/Documents/CyberIncidentManagementPlanningGuide_en.pdf

http://www.bmfbovespa.com.br/pt_br/regulacao/programa-de-qualificacao-operacional-pqo/roteiros/

http://www.bmfbovespa.com.br/pt_br/regulacao/programa-de-qualificacao-operacional-pqo/roteiros/

https://www.centralbank.ie/regulation/industry-sectors/investment-firms/mifid-firms/Documents/Industry%20Letter%20-%20Thematic%20Review%20of%20Cyber-Security%20and%20Operational%20Risk.pdf



http://www2.camara.leg.br/atividade-legislativa/comissoes/comissoes-temporarias/parlamentar-de-inquerito/55a-legislatura/cpi-crimes-ciberneticos

http://www2.camara.leg.br/atividade-legislativa/comissoes/comissoes-temporarias/parlamentar-de-inquerito/55a-legislatura/cpi-crimes-ciberneticos

https://www.finra.org/sites/default/files/p602363%20Report%20on%20Cybersecurity%20Practices_0.pdf

https://www.finra.org/sites/default/files/p602363%20Report%20on%20Cybersecurity%20Practices_0.pdf

http://www.hfsb.org/sites/10377/files/regulators_on_cybersecurity.pdf

https://www.ici.org/info_security

http://www.iiroc.ca/industry/Documents/CyberIncidentManagementPlanningGuide_en.pdf


International Organization of Securities Commissions (IOSCO), Cyber Security in Securities Markets - An International Perspective, Disponível em: http://www.iosco.org/library/pubdocs/pdf/IOSCOPD528.pdf

National Futures Association (NFA), Information Security Programs, out. 2015. Disponível em: http://www.nfa.futures.org/nfamanual/NFAManual.aspx?RuleID=9070&Section=9.

National Institute of Standards and technology (NIST) Cybersecurity Framework. Disponível em: http://www.nist.gov/cyberframework.

SANS Institute. Disponível em: http://www.sans.org.

Securities Industry and Financial Markets Association (SIFMA), Cybersecurity Resource Center. Disponível em: http://www.sifma.org/issues/operations-and-technology/cybersecurity/resources.

o SIFMA, Guidance for small firms, jul. 2014;

o SIFMA, Best practices for insider threat, jul. 2014; e

o SIFMA, Third Party Management Program Implementation Tips.

US Securities and Exchange Commission (SEC), Investment Management Cybersecurity Guidance, abr. 2015. Disponível em: https://www.sec.gov/investment/im-guidance-2015-02.pdf.

http://www.iosco.org/library/pubdocs/pdf/IOSCOPD528.pdf

http://www.iosco.org/library/pubdocs/pdf/IOSCOPD528.pdf

http://www.nfa.futures.org/nfamanual/NFAManual.aspx?RuleID=9070&Section=9

http://www.sifma.org/issues/operations-and-technology/cybersecurity/resources/

http://www.sifma.org/issues/operations-and-technology/cybersecurity/resources/

https://www.sec.gov/investment/im-guidance-2015-02.pdf

https://www.sec.gov/investment/im-guidance-2015-02.pdf

guia ciber seguranÇa 2016

Internet