Segurança Cibernética - RESOLUÇÃO CMN Nº 4.893/2021 Flashcards by Derlan Oliveira

A Resolução nº 4.893, de 26 de fevereiro de 2021, do Conselho
Monetário Nacional (CMN), dispõe sobre política de segurança cibernética requisitos para a contratação de quais serviços?

Serviços de:

Processamento e armazenamento de dados; e de
Computação em nuvem

How well did you know this?

Not at all

Perfectly

A Resolução nº 4.893 do CNM (Segurança Cibernética) devem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, incluindo as Instituições de Pagamento. CERTO ou ERRADO?

ERRADO! Exceto instituições de pagamento, administradoras de consórcio, SCTVM e SDTVM e Corretoras de Câmbio que seguem regras específicas.

How well did you know this?

Not at all

Perfectly

A política de segurança
cibernética mantidas pelas Instituições Financeiras deve assegurar, em relação aos dados, 3 características, quais são elas?

confidencialidade
integridade
disponibilidade

(CID)

How well did you know this?

Not at all

Perfectly

A política de segurança
cibernética deve ser compatível com:

I. o ______, o _____ e o ______ da instituição;

porte / perfil de risco / modelo de negócio

How well did you know this?

Not at all

Perfectly

A política de segurança
cibernética deve ser compatível com:

II. a ______ das operações e a ______ dos produtos, serviços, atividades e processos da instituição;

natureza / complexidade

How well did you know this?

Not at all

Perfectly

A política de segurança
cibernética deve ser compatível com:

III. a ______ dos dados e das informações sob responsabilidade da instituição

sensibilidade

How well did you know this?

Not at all

Perfectly

Em relação à Segurança Cibernética. Uma pequena instituição – que lide com dados pouco sensíveis e realize apenas operações simples – deve observar as mesmas regras de um grande banco. CERTO ou ERRADO?

ERRADO. A política de deve ser compatível com a realidade da instituição financeira.

Porte, perfil de risco, modelo de negócio, natureza e complexidade das operações e sensibilidade dos dados

How well did you know this?

Not at all

Perfectly

Instituições financeiras do mesmo grupo (como Banco do Brasil e BB Consórcios, por
exemplo) podem implementar e seguir a mesma política de Segurança Cibernética. CERTO ou ERRADO?

CERTO! A Resolução do CMN permite a adoção de uma política única por conglomerado (grupos de instituições) ou sistema cooperativo.

How well did you know this?

Not at all

Perfectly

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

I. os ______ de segurança cibernética da instituição;

objetivos

How well did you know this?

Not at all

Perfectly

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

Os ______ e os ______ adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética.

procedimentos / controles

How well did you know this?

Not at all

Perfectly

Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética, devem abranger, no mínimo:

a) a autenticação
b) a criptografia
c) a prevenção e a detecção de intrusão.

LER

São ações de segurança no acesso aos dados

How well did you know this?

Not at all

Perfectly

Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética, devem abranger, no mínimo:

d) a prevenção de vazamento de informações
e) a realização periódica de testes e varreduras para detecção de vulnerabilidades
f) a proteção contra softwares maliciosos

LER

São ações relacionadas a anti-virus.

How well did you know this?

Not at all

Perfectly

Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética, devem abranger, no mínimo:

g) o estabelecimento de mecanismos de rastreabilidade
h) os controles de acesso e de segmentação da rede de computadores
i) a manutenção de cópias de segurança dos dados e das informações.

LER

Backup e outros mecanismos de segurança

How well did you know this?

Not at all

Perfectly

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

III. os controles específicos, incluindo os voltados para a ______ da informação, que busquem garantir a segurança das informações sensíveis;

rastreabilidade

How well did you know this?

Not at all

Perfectly

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

IV. o registro, a análise da causa e do impacto, bem como o controle dos efeitos de ______ para as atividades da instituição, abrangendo informações recebidas de empresas ______.

incidentes relevantes / prestadoras de serviços a terceiros

How well did you know this?

Not at all

Perfectly

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

V. as diretrizes para:

a) a elaboração de cenários de ______ considerados nos testes de continuidade
de negócios;

incidentes

(Tentar prever possíveis incidentes que podem acontecer)

How well did you know this?

Not at all

Perfectly

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

V. as diretrizes para:

b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;

LER

How well did you know this?

Not at all

Perfectly

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

V. as diretrizes para:

c) a classificação dos dados e das informações quanto à ______.

relevância

(Diretrizes para saber como classificar os dados de acorodo com a relevância)

How well did you know this?

Not at all

Perfectly

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

V. as diretrizes para:

d) a definição dos parâmetros a serem utilizados na avaliação da ______ dos incidentes;

relevância

How well did you know this?

Not at all

Perfectly

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

VI. os mecanismos para disseminação da CULTURA de segurança cibernética na instituição, incluindo:

a) a implementação de programas de ______ e de ______ de pessoal;

capacitação / avaliação periódica

How well did you know this?

Not at all

Perfectly

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

VI. os mecanismos para disseminação da CULTURA de segurança cibernética na instituição, incluindo:

b) a prestação de informações a _____ e _____ sobre precauções na utilização de
produtos e serviços financeiros;

clientes / usuários

(Orientar sobre possíveis golpes e sobre segurança dos seus dados)

How well did you know this?

Not at all

Perfectly

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

VI. os mecanismos para disseminação da CULTURA de segurança cibernética na instituição, incluindo:

c) o comprometimento da ______ com a melhoria contínua dos procedimentos relacionados com a segurança cibernética;

alta administração

How well did you know this?

Not at all

Perfectly

O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:

VII. as iniciativas para ______ de informações sobre os incidentes relevantes.

compartilhamento

(de nada adiantaria escrever uma bela e complexa política, se ela não for de conhecimento e compreensão amplos dos funcionários)

How well did you know this?

Not at all

Perfectly

A política de segurança cibernética deve ser mantida em segredo pela alta administração. CERTO ou ERRADO?

ERRADO! Ela deve ser divulgada, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.

How well did you know this?

Not at all

Perfectly

A política de segurança cibernética deve ser divulgada, mediante linguagem ______, acessível e em nível de ______ compatível com as funções desempenhadas e com a sensibilidade das informações.

clara / detalhamento Há diferentes níveis de detalhamento, pois nem todos os funcionários e contratados precisam ou mesmo detém a capacidade técnica para conhecer toda a política.

Até mesmo o público deve ter acesso a resumo contendo as linhas gerais da política de segurança cibernética. CERTO ou ERRADO?

CERTO!

Além da política, as instituições devem estabelecer plano de _____ e de _____ a incidentes visando à implementação da política de segurança cibernética.

ação / resposta

O plano de ação e de resposta a incidentes de Segurança Cibernética deve abranger, no mínimo: I. as ______ a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética;

ações

O plano de ação e de resposta a incidentes de Segurança Cibernética deve abranger, no mínimo: II. as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética; LER

O plano de ação e de resposta a incidentes de Segurança Cibernética deve abranger, no mínimo: III. a ______ pelo registro e controle dos efeitos de incidentes relevantes.

área responsável

As instituições devem elaborar relatório mensal sobre a implementação do plano de ação e de resposta a incidentes. CERTO ou ERRADO?

ERRADO! O Relatório deve ser ANUAL

As instituições devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, abordando, entre outras coisas: - a ______ da implementação das ações; - o ______ dos resultados obtidos na implementação - os ______ relevantes ocorridos - os resultados dos testes de ______ de negócios.

efetividade / resumo / incidentes / continuidade

As instituições devem designar ______ pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

diretor responsável

As instituições devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes. Ele pode desempenhar outras funções na instituição, desde que, é claro, não haja ______.

conflito de interesses.

A política de segurança cibernética e o plano de ação devem ser aprovados por quem?

Pelo conselho de administração; ou, na sua inexistência, pela diretoria da instituição;

A política de segurança cibernética e o plano de ação devem ser aprovados pelo conselho de administração ou, na sua inexistência, pela ______;

diretoria da instituição

A política de segurança cibernética e o plano de ação devem ser documentados e revisados, no mínimo, ______ (frequência);

anualmente

A política de segurança cibernética e o plano de ação devem ficar à disposição do Banco Central do Brasil pelo prazo de ______ anos.

cinco

A política de segurança cibernética e o plano de ação devem ficar à disposição do CMN pelo prazo de 5 anos. CERTO ou ERRADO?

ERRADO! À disposição do Banco Central.

Art. 13. Para os fins do disposto nesta Resolução (segurança cibernética), os serviços de COMPUTAÇÃO EM NUVEM abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços: I - ______ de dados, ______ de dados, ______ de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos;

processamento armazenamento infraestrutura

Art. 13. Para os fins do disposto nesta Resolução (segurança cibernética), os serviços de COMPUTAÇÃO EM NUVEM abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços: II - implantação ou execução de ______ desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou

aplicativos (Como o Mercado App no Bubble)

Art. 13. Para os fins do disposto nesta Resolução (segurança cibernética), os serviços de COMPUTAÇÃO EM NUVEM abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços: III - execução, por meio da ______, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.

internet

De acordo com a Resolução de Segurança Cibernética, a instituição contratada é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor. CERTO ou ERRADO?

ERRADO! É responsabilidade da CONTRATANTE (do Banco, por exemplo) Não adianta colocar a culpa na contratada: a responsabilidade, perante as autoridades (CMN e BCB), é da instituição contratante.

A contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem deve ser feita com empresas brasileiras. CERTO ou ERRADO?

ERRADO! Pode ser feita com empresas do exterior também.

A política de segurança cibernética deve prever procedimentos específicos para contratação dos serviços de computação em nuvem. Antes de contratar, devem adotar procedimentos que contemplem: I. a adoção de práticas de governança corporativa e de gestão proporcionais à ______ do serviço a ser contratado e aos ______ a que estejam expostas;

relevância / riscos

legislação (O contratado deve assegurar que vai cumprir a lei) Todos esses procedimentos devem ser DOCUMENTADOS

acesso (Não adianta eu contratar se não puder usar e acessar os dados) Todos esses procedimentos devem ser DOCUMENTADOS

Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem: II. a verificação da capacidade do potencial prestador de serviço de assegurar: c) a confidencialidade, a integridade, a disponibilidade e a ______ dos dados e das informações processados ou armazenados pelo prestador de serviço;

recuperação (Não adianta eu contratar se não puder usar e acessar os dados) Todos esses procedimentos devem ser DOCUMENTADOS

certificações (Se o Banco exigir alguma certificação, a contratada deve ter) Todos esses procedimentos devem ser DOCUMENTADOS

Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem: II. a verificação da capacidade do potencial prestador de serviço de assegurar: e) o acesso da instituição contratante aos relatórios elaborados por empresa de ______ especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;

auditoria (A contratante deve poder ver os relatórios de auditaria pela qual passou a contratada) Todos esses procedimentos devem ser DOCUMENTADOS

informações (A contratante deve ter como monitorar o que é feito com os seus dados) Todos esses procedimentos devem ser DOCUMENTADOS

clientes (Os dados não podem vir todos juntos, a instituição contratante deve poder distinguir qual dado pertence a qual cliente) Todos esses procedimentos devem ser DOCUMENTADOS

controles de acesso (Para garantir que ninguém além da instituição use os dados) Todos esses procedimentos devem ser DOCUMENTADOS

Após a contratação de empresa prestadora de serviços de computação em nuvem, em até ______ dias, essa contratação deve ser comunicada pelas instituições ao ______, bem como quaisquer alterações contratuais que impliquem modificação relevante.

10 / Banco Central do Brasil

O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode: Estabelecer: Os requisitos e os procedimentos para o compartilhamento de informações. LER

O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode: Estabelecer: A exigência de ______ e outros requisitos técnicos a serem requeridos das empresas contratadas, pela instituição financeira contratante, na prestação dos serviços;

certificações

O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode: Estabelecer: Os prazos ______ para reinício ou normalização das atividades ou dos serviços relevantes interrompidos;

máximos

O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode: Estabelecer: Os requisitos ______ e procedimentos operacionais a serem observados pelas instituições para o cumprimento desta Resolução.

técnicos

O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode: Vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a ______, bem como a ______ à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação dos referidos serviços.

inobservância das normas / limitação

O público deve ter acesso a resumo contendo as linhas gerais da política de segurança cibernética. CERTO ou ERRADO?

CERTO!

§ 2º Admite-se a adoção de política de segurança cibernética única por: I - ______ prudencial; e II - sistema ______ de crédito.

conglomerado / cooperativo

As instituições que não constituírem política de segurança cibernética própria em decorrência de serem parte de conglomerado prudencial ou sistema cooperativo devem formalizar a opção por essa faculdade em ______ do conselho de administração ou, na sua inexistência, da diretoria da instituição.

reunião