Segurança Cibernética - RESOLUÇÃO CMN Nº 4.893/2021

Question 1

A Resolução nº 4.893, de 26 de fevereiro de 2021, do Conselho
Monetário Nacional (CMN), dispõe sobre política de segurança cibernética requisitos para a contratação de quais serviços?

Answer 1

Serviços de:

1. Processamento e armazenamento de dados; e de
2. Computação em nuvem

Question 2

A Resolução nº 4.893 do CNM (Segurança Cibernética) devem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, incluindo as Instituições de Pagamento. CERTO ou ERRADO?

Answer 2

ERRADO! Exceto instituições de pagamento, administradoras de consórcio, SCTVM e SDTVM e Corretoras de Câmbio que seguem regras específicas.

Question 3

A política de segurança
cibernética mantidas pelas Instituições Financeiras deve assegurar, em relação aos dados, 3 características, quais são elas?

Answer 3

1. confidencialidade
2. integridade
3. disponibilidade

(CID)

Question 4

A política de segurança
cibernética deve ser compatível com:

I. o ______, o _____ e o ______ da instituição;

Answer 4

porte / perfil de risco / modelo de negócio

Question 5

A política de segurança
cibernética deve ser compatível com:

II. a ______ das operações e a ______ dos produtos, serviços, atividades e processos da instituição;

Answer 5

natureza / complexidade

Question 6

A política de segurança
cibernética deve ser compatível com:

III. a ______ dos dados e das informações sob responsabilidade da instituição

Answer 6

sensibilidade

Question 7

Em relação à Segurança Cibernética. Uma pequena instituição – que lide com dados pouco sensíveis e realize apenas operações simples – deve observar as mesmas regras de um grande banco. CERTO ou ERRADO?

Answer 7

ERRADO. A política de deve ser compatível com a realidade da instituição financeira.

Porte, perfil de risco, modelo de negócio, natureza e complexidade das operações e sensibilidade dos dados

Question 8

Instituições financeiras do mesmo grupo (como Banco do Brasil e BB Consórcios, por
exemplo) podem implementar e seguir a mesma política de Segurança Cibernética. CERTO ou ERRADO?

Answer 8

CERTO! A Resolução do CMN permite a adoção de uma política única por conglomerado (grupos de instituições) ou sistema cooperativo.

Question 9

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

I. os ______ de segurança cibernética da instituição;

Answer 9

objetivos

Question 10

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

Os ______ e os ______ adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética.

Answer 10

procedimentos / controles

Question 11

Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética, devem abranger, no mínimo:

a) a autenticação
b) a criptografia
c) a prevenção e a detecção de intrusão.

LER

Answer 11

São ações de segurança no acesso aos dados

Question 12

Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética, devem abranger, no mínimo:

d) a prevenção de vazamento de informações
e) a realização periódica de testes e varreduras para detecção de vulnerabilidades
f) a proteção contra softwares maliciosos

LER

Answer 12

São ações relacionadas a anti-virus.

Question 13

Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética, devem abranger, no mínimo:

g) o estabelecimento de mecanismos de rastreabilidade
h) os controles de acesso e de segmentação da rede de computadores
i) a manutenção de cópias de segurança dos dados e das informações.

LER

Answer 13

Backup e outros mecanismos de segurança

Question 14

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

III. os controles específicos, incluindo os voltados para a ______ da informação, que busquem garantir a segurança das informações sensíveis;

Answer 14

rastreabilidade

Question 15

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

IV. o registro, a análise da causa e do impacto, bem como o controle dos efeitos de ______ para as atividades da instituição, abrangendo informações recebidas de empresas ______.

Answer 15

incidentes relevantes / prestadoras de serviços a terceiros

Question 16

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

V. as diretrizes para:

a) a elaboração de cenários de ______ considerados nos testes de continuidade
de negócios;

Answer 16

incidentes

(Tentar prever possíveis incidentes que podem acontecer)

Question 17

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

V. as diretrizes para:

b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;

LER

Question 18

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

V. as diretrizes para:

c) a classificação dos dados e das informações quanto à ______.

Answer 18

relevância

(Diretrizes para saber como classificar os dados de acorodo com a relevância)

Question 19

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

V. as diretrizes para:

d) a definição dos parâmetros a serem utilizados na avaliação da ______ dos incidentes;

Answer 19

relevância

Question 20

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

VI. os mecanismos para disseminação da CULTURA de segurança cibernética na instituição, incluindo:

a) a implementação de programas de ______ e de ______ de pessoal;

Answer 20

capacitação / avaliação periódica

Question 21

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

VI. os mecanismos para disseminação da CULTURA de segurança cibernética na instituição, incluindo:

b) a prestação de informações a _____ e _____ sobre precauções na utilização de
produtos e serviços financeiros;

Answer 21

clientes / usuários

(Orientar sobre possíveis golpes e sobre segurança dos seus dados)

Question 22

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

VI. os mecanismos para disseminação da CULTURA de segurança cibernética na instituição, incluindo:

c) o comprometimento da ______ com a melhoria contínua dos procedimentos relacionados com a segurança cibernética;

Answer 22

alta administração

Question 23

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

VII. as iniciativas para ______ de informações sobre os incidentes relevantes.

Answer 23

compartilhamento

(de nada adiantaria escrever uma bela e complexa política, se ela não for de conhecimento e compreensão amplos dos funcionários)

Question 24

A política de segurança cibernética deve ser mantida em segredo pela alta administração. CERTO ou ERRADO?

Answer 24

ERRADO! Ela deve ser divulgada, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.

Question 25

A política de segurança cibernética deve ser divulgada, mediante linguagem ______, acessível e em nível de ______ compatível com as funções desempenhadas e com a
sensibilidade das informações.

Answer 25

clara / detalhamento

Há diferentes níveis de detalhamento, pois nem todos os funcionários e contratados precisam ou mesmo detém a capacidade técnica para conhecer toda a política.

Question 26

Até mesmo o público deve ter acesso a resumo contendo as linhas gerais da política de segurança cibernética. CERTO ou ERRADO?

Answer 26

CERTO!

Question 27

Além da política, as instituições devem estabelecer plano de _____ e de _____ a incidentes
visando à implementação da política de segurança cibernética.

Answer 27

ação / resposta

Question 28

O plano de ação e de resposta a incidentes de Segurança Cibernética deve abranger, no mínimo:

I. as ______ a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética;

Answer 28

ações

Question 29

O plano de ação e de resposta a incidentes de Segurança Cibernética deve abranger, no mínimo:

II. as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética;

LER

Question 30

O plano de ação e de resposta a incidentes de Segurança Cibernética deve abranger, no mínimo:

III. a ______ pelo registro e controle dos efeitos de incidentes relevantes.

Answer 30

área responsável

Question 31

As instituições devem elaborar relatório mensal sobre a implementação do plano de ação e de resposta a incidentes. CERTO ou ERRADO?

Answer 31

ERRADO!

O Relatório deve ser ANUAL

Question 32

As instituições devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, abordando, entre outras coisas:

• a ______ da implementação das ações;
• o ______ dos resultados obtidos na implementação
• os ______ relevantes ocorridos
• os resultados dos testes de ______ de negócios.

Answer 32

efetividade /
resumo /
incidentes /
continuidade

Question 33

As instituições devem designar ______ pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

Answer 33

diretor responsável

Question 34

As instituições devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes. Ele pode desempenhar outras
funções na instituição, desde que, é claro, não haja ______.

Answer 34

conflito de interesses.

Question 35

A política de segurança cibernética e o plano de ação devem ser aprovados por quem?

Answer 35

Pelo conselho de administração;

ou, na sua inexistência, pela diretoria da instituição;

Question 36

A política de segurança cibernética e o plano de ação devem ser aprovados pelo conselho de administração ou, na sua inexistência, pela ______;

Answer 36

diretoria da instituição

Question 37

A política de segurança cibernética e o plano de ação devem ser documentados e revisados, no mínimo, ______ (frequência);

Answer 37

anualmente

Question 38

A política de segurança cibernética e o plano de ação devem ficar à disposição do Banco Central do Brasil pelo prazo de ______ anos.

Answer 38

cinco

Question 39

A política de segurança cibernética e o plano de ação devem ficar à disposição do CMN pelo prazo de 5 anos. CERTO ou ERRADO?

Answer 39

ERRADO! À disposição do Banco Central.

Question 40

Art. 13. Para os fins do disposto nesta Resolução (segurança cibernética), os serviços de COMPUTAÇÃO EM NUVEM abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:

I - ______ de dados, ______ de dados, ______ de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos;

Answer 40

processamento
armazenamento
infraestrutura

Question 41

Art. 13. Para os fins do disposto nesta Resolução (segurança cibernética), os serviços de COMPUTAÇÃO EM NUVEM abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:

II - implantação ou execução de ______ desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou

Answer 41

aplicativos

(Como o Mercado App no Bubble)

Question 42

Art. 13. Para os fins do disposto nesta Resolução (segurança cibernética), os serviços de COMPUTAÇÃO EM NUVEM abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:

III - execução, por meio da ______, dos aplicativos implantados ou desenvolvidos
pelo prestador de serviço, com a utilização de recursos computacionais do próprio
prestador de serviços.

Answer 42

internet

Question 43

De acordo com a Resolução de Segurança Cibernética, a instituição contratada é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor. CERTO ou ERRADO?

Answer 43

ERRADO! É responsabilidade da CONTRATANTE (do Banco, por exemplo)

Não adianta colocar a culpa na contratada: a responsabilidade, perante as autoridades (CMN e BCB), é da instituição contratante.

Question 44

A contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem deve ser feita com empresas brasileiras. CERTO ou ERRADO?

Answer 44

ERRADO!

Pode ser feita com empresas do exterior também.

Question 45

A política de segurança cibernética deve prever procedimentos específicos para contratação dos serviços de computação em nuvem.

Antes de contratar, devem adotar procedimentos que contemplem:

I. a adoção de práticas de governança corporativa e de gestão proporcionais à ______ do serviço a ser contratado e aos ______ a que estejam expostas;

Answer 45

relevância / riscos

Question 46

Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:

II. a verificação da capacidade do potencial prestador de serviço de assegurar:

a) o cumprimento da ______ e da regulamentação em vigor;

Answer 46

legislação

(O contratado deve assegurar que vai cumprir a lei)

Todos esses procedimentos devem ser DOCUMENTADOS

Question 47

Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:

II. a verificação da capacidade do potencial prestador de serviço de assegurar:

b) o ______ da instituição aos dados e às informações a serem processados ou
armazenados pelo prestador de serviço;

Answer 47

acesso

(Não adianta eu contratar se não puder usar e acessar os dados)

Todos esses procedimentos devem ser DOCUMENTADOS

Question 48

Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:

II. a verificação da capacidade do potencial prestador de serviço de assegurar:

c) a confidencialidade, a integridade, a disponibilidade e a ______ dos dados e
das informações processados ou armazenados pelo prestador de serviço;

Answer 48

recuperação

(Não adianta eu contratar se não puder usar e acessar os dados)

Todos esses procedimentos devem ser DOCUMENTADOS

Question 49

Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:

II. a verificação da capacidade do potencial prestador de serviço de assegurar:

d) a sua aderência a ______ exigidas pela instituição para a prestação do serviço a ser contratado;

Answer 49

certificações

(Se o Banco exigir alguma certificação, a contratada deve ter)

Todos esses procedimentos devem ser DOCUMENTADOS

Question 50

Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:

II. a verificação da capacidade do potencial prestador de serviço de assegurar:

e) o acesso da instituição contratante aos relatórios elaborados por empresa de ______ especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a
serem contratados;

Answer 50

auditoria

(A contratante deve poder ver os relatórios de auditaria pela qual passou a contratada)

Todos esses procedimentos devem ser DOCUMENTADOS

Question 51

Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:

II. a verificação da capacidade do potencial prestador de serviço de assegurar:

f) o provimento de ______ e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;

Answer 51

informações

(A contratante deve ter como monitorar o que é feito com os seus dados)

Todos esses procedimentos devem ser DOCUMENTADOS

Question 52

Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:

II. a verificação da capacidade do potencial prestador de serviço de assegurar:

g) a identificação e a segregação dos dados dos ______ da instituição por meio de controles físicos ou lógicos;

Answer 52

clientes

(Os dados não podem vir todos juntos, a instituição contratante deve poder distinguir qual dado pertence a qual cliente)

Todos esses procedimentos devem ser DOCUMENTADOS

Question 53

Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:

II. a verificação da capacidade do potencial prestador de serviço de assegurar:

h) a qualidade dos ______ voltados à proteção dos dados e das informações dos clientes da instituição.

Answer 53

controles de acesso

(Para garantir que ninguém além da instituição use os dados)

Todos esses procedimentos devem ser DOCUMENTADOS

Question 54

Após a contratação de empresa prestadora de serviços de computação em nuvem, em até ______ dias, essa contratação deve ser comunicada pelas instituições ao ______, bem como quaisquer alterações contratuais que impliquem
modificação relevante.

Answer 54

10 / Banco Central do Brasil

Question 55

O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode:

Estabelecer:

Os requisitos e os procedimentos para o compartilhamento de informações.

LER

Question 56

O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode:

Estabelecer:

A exigência de ______ e outros requisitos técnicos a serem requeridos das empresas contratadas, pela instituição financeira contratante, na prestação dos
serviços;

Answer 56

certificações

Question 57

O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode:

Estabelecer:

Os prazos ______ para reinício ou normalização das atividades ou dos serviços relevantes interrompidos;

Answer 57

máximos

Question 58

O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode:

Estabelecer:

Os requisitos ______ e procedimentos operacionais a serem observados pelas
instituições para o cumprimento desta Resolução.

Answer 58

técnicos

Question 59

O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode:

Vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer
tempo, a ______, bem como a ______ à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação dos referidos serviços.

Answer 59

inobservância das normas / limitação

Question 60

O público deve ter acesso a resumo contendo as linhas gerais da política de segurança
cibernética. CERTO ou ERRADO?

Answer 60

CERTO!

Question 61

§ 2º Admite-se a adoção de política de segurança cibernética única por:

I - ______ prudencial; e

II - sistema ______ de crédito.

Answer 61

conglomerado / cooperativo

Question 62

As instituições que não constituírem política de segurança cibernética própria em decorrência de serem parte de conglomerado prudencial ou sistema cooperativo devem formalizar a opção por essa faculdade em ______ do conselho de administração ou, na sua inexistência, da diretoria da instituição.

Answer 62

reunião