Febraban desenvolve framework para controle de terceiros, da cloud e da infrestrutura crítica
A Federação Brasileira de Bancos (Febraban) está desenvolvendo um framework padrão para a área de segurança nos moldes do FSSC (sistema de certificação baseado na ISO 22000 e nas especificações técnicas do NIST). O anúncio foi feito em debate sobre Segurança da Informação e Inovação, no CIAB 2019, realizado esta semana, em São Paulo.
Ao explicar o porquê dessa medida, Renato Augusto, gerente Departamental de Segurança de TI do Bradesco, disse que a ideia é criar um framework padrão para controle de terceiros, da cloud computing e da infraestrutura crítica. O especialista explicou que o núcleo do FSSC é baseado no National Institute of Standards and Technology e é um modelo que está sendo seguido na América do Norte. “Não existem mais fronteiras para a segurança, e os controles têm de ser estendidos às fintechs. Hoje, as preocupações com cybersegurança têm ingredientes como computação cognitiva, colaboração, ameaças avançadas, cloud, mobilidade e IoT”, ressaltou o gerente do Bradesco.
Há ainda novas regulações da Lei Geral de Proteção de Dados e da Resolução Bacen 4658, que trazem mais segurança, mas também impactam o setor financeiro. Em relação à Resolução 4658, o Banco Central aceitou a maior parte das contribuições dos bancos à consulta pública. “O trabalho da subcomissão de cybersegurança da Febraban foi fundamental. Ainda há alguns pontos de discussão, mas, da forma como estava, se não fossem acatadas nossas contribuições, nem poderíamos usar cloud”, observou Renato Augusto.
Carolina Souza, assessora da diretoria de negócios e operações da Febraban, informou que a subcomissão de cybersegurança foi criada em junho do ano passado. Também revelou que a entidade contratou uma plataforma compartilhada de comunicação de incidentes para acelerar a comunicação entre as associadas e formulou um guia de melhores práticas.
Leonardo Muroya, head de Cyber Security do Banco Santander, apresentou dados do avanço das ameaças cibernéticas. O desafio global – e no Brasil – é reduzir o tempo médio para identificação dos ataques, atualmente em 197 dias, sendo que as empresas levam, em média, 69 dias para responderem aos incidentes. O custo médio associado aos incidentes é de US$ 8 milhões.
“Segundo o Fórum Econômico Mundial, o top five de risco empresarial está relacionado aos ataques cibernéticos, que dobraram em cinco anos. Há 357 novos malware, e somente o WanaCray afetou 300 mil computadores. Há um aumento de ataques DDOS e são estimados US$ 8 trilhões em perdas para os próximos cinco anos”, completou Muroya. O executivo do Santander alertou ainda para a escassez de profissionais, uma vez que, até 2022, 1,8 milhão de vagas não serão preenchidas por falta de especialistas.