Segurança Cibernética - RESOLUÇÃO CMN Nº 4.893/2021 Flashcards
A Resolução nº 4.893, de 26 de fevereiro de 2021, do Conselho
Monetário Nacional (CMN), dispõe sobre política de segurança cibernética requisitos para a contratação de quais serviços?
Serviços de:
- Processamento e armazenamento de dados; e de
- Computação em nuvem
A Resolução nº 4.893 do CNM (Segurança Cibernética) devem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, incluindo as Instituições de Pagamento. CERTO ou ERRADO?
ERRADO! Exceto instituições de pagamento, administradoras de consórcio, SCTVM e SDTVM e Corretoras de Câmbio que seguem regras específicas.
A política de segurança
cibernética mantidas pelas Instituições Financeiras deve assegurar, em relação aos dados, 3 características, quais são elas?
- confidencialidade
- integridade
- disponibilidade
(CID)
A política de segurança
cibernética deve ser compatível com:
I. o ______, o _____ e o ______ da instituição;
porte / perfil de risco / modelo de negócio
A política de segurança
cibernética deve ser compatível com:
II. a ______ das operações e a ______ dos produtos, serviços, atividades e processos da instituição;
natureza / complexidade
A política de segurança
cibernética deve ser compatível com:
III. a ______ dos dados e das informações sob responsabilidade da instituição
sensibilidade
Em relação à Segurança Cibernética. Uma pequena instituição – que lide com dados pouco sensíveis e realize apenas operações simples – deve observar as mesmas regras de um grande banco. CERTO ou ERRADO?
ERRADO. A política de deve ser compatível com a realidade da instituição financeira.
Porte, perfil de risco, modelo de negócio, natureza e complexidade das operações e sensibilidade dos dados
Instituições financeiras do mesmo grupo (como Banco do Brasil e BB Consórcios, por
exemplo) podem implementar e seguir a mesma política de Segurança Cibernética. CERTO ou ERRADO?
CERTO! A Resolução do CMN permite a adoção de uma política única por conglomerado (grupos de instituições) ou sistema cooperativo.
O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:
I. os ______ de segurança cibernética da instituição;
objetivos
O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:
Os ______ e os ______ adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética.
procedimentos / controles
Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética, devem abranger, no mínimo:
a) a autenticação
b) a criptografia
c) a prevenção e a detecção de intrusão.
LER
São ações de segurança no acesso aos dados
Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética, devem abranger, no mínimo:
d) a prevenção de vazamento de informações
e) a realização periódica de testes e varreduras para detecção de vulnerabilidades
f) a proteção contra softwares maliciosos
LER
São ações relacionadas a anti-virus.
Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética, devem abranger, no mínimo:
g) o estabelecimento de mecanismos de rastreabilidade
h) os controles de acesso e de segmentação da rede de computadores
i) a manutenção de cópias de segurança dos dados e das informações.
LER
Backup e outros mecanismos de segurança
O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:
III. os controles específicos, incluindo os voltados para a ______ da informação, que busquem garantir a segurança das informações sensíveis;
rastreabilidade
O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:
IV. o registro, a análise da causa e do impacto, bem como o controle dos efeitos de ______ para as atividades da instituição, abrangendo informações recebidas de empresas ______.
incidentes relevantes / prestadoras de serviços a terceiros
O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:
V. as diretrizes para:
a) a elaboração de cenários de ______ considerados nos testes de continuidade
de negócios;
incidentes
(Tentar prever possíveis incidentes que podem acontecer)
O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:
V. as diretrizes para:
b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;
LER
O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:
V. as diretrizes para:
c) a classificação dos dados e das informações quanto à ______.
relevância
(Diretrizes para saber como classificar os dados de acorodo com a relevância)
O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:
V. as diretrizes para:
d) a definição dos parâmetros a serem utilizados na avaliação da ______ dos incidentes;
relevância
O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:
VI. os mecanismos para disseminação da CULTURA de segurança cibernética na instituição, incluindo:
a) a implementação de programas de ______ e de ______ de pessoal;
capacitação / avaliação periódica
O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:
VI. os mecanismos para disseminação da CULTURA de segurança cibernética na instituição, incluindo:
b) a prestação de informações a _____ e _____ sobre precauções na utilização de
produtos e serviços financeiros;
clientes / usuários
(Orientar sobre possíveis golpes e sobre segurança dos seus dados)
O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:
VI. os mecanismos para disseminação da CULTURA de segurança cibernética na instituição, incluindo:
c) o comprometimento da ______ com a melhoria contínua dos procedimentos relacionados com a segurança cibernética;
alta administração
O MÍNIMO que a política de segurança cibernética deve contemplar é, dentre outros:
VII. as iniciativas para ______ de informações sobre os incidentes relevantes.
compartilhamento
(de nada adiantaria escrever uma bela e complexa política, se ela não for de conhecimento e compreensão amplos dos funcionários)
A política de segurança cibernética deve ser mantida em segredo pela alta administração. CERTO ou ERRADO?
ERRADO! Ela deve ser divulgada, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.
A política de segurança cibernética deve ser divulgada, mediante linguagem ______, acessível e em nível de ______ compatível com as funções desempenhadas e com a
sensibilidade das informações.
clara / detalhamento
Há diferentes níveis de detalhamento, pois nem todos os funcionários e contratados precisam ou mesmo detém a capacidade técnica para conhecer toda a política.
Até mesmo o público deve ter acesso a resumo contendo as linhas gerais da política de segurança cibernética. CERTO ou ERRADO?
CERTO!
Além da política, as instituições devem estabelecer plano de _____ e de _____ a incidentes
visando à implementação da política de segurança cibernética.
ação / resposta
O plano de ação e de resposta a incidentes de Segurança Cibernética deve abranger, no mínimo:
I. as ______ a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética;
ações
O plano de ação e de resposta a incidentes de Segurança Cibernética deve abranger, no mínimo:
II. as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética;
LER
O plano de ação e de resposta a incidentes de Segurança Cibernética deve abranger, no mínimo:
III. a ______ pelo registro e controle dos efeitos de incidentes relevantes.
área responsável
As instituições devem elaborar relatório mensal sobre a implementação do plano de ação e de resposta a incidentes. CERTO ou ERRADO?
ERRADO!
O Relatório deve ser ANUAL
As instituições devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, abordando, entre outras coisas:
- a ______ da implementação das ações;
- o ______ dos resultados obtidos na implementação
- os ______ relevantes ocorridos
- os resultados dos testes de ______ de negócios.
efetividade /
resumo /
incidentes /
continuidade
As instituições devem designar ______ pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.
diretor responsável
As instituições devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes. Ele pode desempenhar outras
funções na instituição, desde que, é claro, não haja ______.
conflito de interesses.
A política de segurança cibernética e o plano de ação devem ser aprovados por quem?
Pelo conselho de administração;
ou, na sua inexistência, pela diretoria da instituição;
A política de segurança cibernética e o plano de ação devem ser aprovados pelo conselho de administração ou, na sua inexistência, pela ______;
diretoria da instituição
A política de segurança cibernética e o plano de ação devem ser documentados e revisados, no mínimo, ______ (frequência);
anualmente
A política de segurança cibernética e o plano de ação devem ficar à disposição do Banco Central do Brasil pelo prazo de ______ anos.
cinco
A política de segurança cibernética e o plano de ação devem ficar à disposição do CMN pelo prazo de 5 anos. CERTO ou ERRADO?
ERRADO! À disposição do Banco Central.
Art. 13. Para os fins do disposto nesta Resolução (segurança cibernética), os serviços de COMPUTAÇÃO EM NUVEM abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:
I - ______ de dados, ______ de dados, ______ de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos;
processamento
armazenamento
infraestrutura
Art. 13. Para os fins do disposto nesta Resolução (segurança cibernética), os serviços de COMPUTAÇÃO EM NUVEM abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:
II - implantação ou execução de ______ desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou
aplicativos
(Como o Mercado App no Bubble)
Art. 13. Para os fins do disposto nesta Resolução (segurança cibernética), os serviços de COMPUTAÇÃO EM NUVEM abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:
III - execução, por meio da ______, dos aplicativos implantados ou desenvolvidos
pelo prestador de serviço, com a utilização de recursos computacionais do próprio
prestador de serviços.
internet
De acordo com a Resolução de Segurança Cibernética, a instituição contratada é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor. CERTO ou ERRADO?
ERRADO! É responsabilidade da CONTRATANTE (do Banco, por exemplo)
Não adianta colocar a culpa na contratada: a responsabilidade, perante as autoridades (CMN e BCB), é da instituição contratante.
A contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem deve ser feita com empresas brasileiras. CERTO ou ERRADO?
ERRADO!
Pode ser feita com empresas do exterior também.
A política de segurança cibernética deve prever procedimentos específicos para contratação dos serviços de computação em nuvem.
Antes de contratar, devem adotar procedimentos que contemplem:
I. a adoção de práticas de governança corporativa e de gestão proporcionais à ______ do serviço a ser contratado e aos ______ a que estejam expostas;
relevância / riscos
Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:
II. a verificação da capacidade do potencial prestador de serviço de assegurar:
a) o cumprimento da ______ e da regulamentação em vigor;
legislação
(O contratado deve assegurar que vai cumprir a lei)
Todos esses procedimentos devem ser DOCUMENTADOS
Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:
II. a verificação da capacidade do potencial prestador de serviço de assegurar:
b) o ______ da instituição aos dados e às informações a serem processados ou
armazenados pelo prestador de serviço;
acesso
(Não adianta eu contratar se não puder usar e acessar os dados)
Todos esses procedimentos devem ser DOCUMENTADOS
Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:
II. a verificação da capacidade do potencial prestador de serviço de assegurar:
c) a confidencialidade, a integridade, a disponibilidade e a ______ dos dados e
das informações processados ou armazenados pelo prestador de serviço;
recuperação
(Não adianta eu contratar se não puder usar e acessar os dados)
Todos esses procedimentos devem ser DOCUMENTADOS
Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:
II. a verificação da capacidade do potencial prestador de serviço de assegurar:
d) a sua aderência a ______ exigidas pela instituição para a prestação do serviço a ser contratado;
certificações
(Se o Banco exigir alguma certificação, a contratada deve ter)
Todos esses procedimentos devem ser DOCUMENTADOS
Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:
II. a verificação da capacidade do potencial prestador de serviço de assegurar:
e) o acesso da instituição contratante aos relatórios elaborados por empresa de ______ especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a
serem contratados;
auditoria
(A contratante deve poder ver os relatórios de auditaria pela qual passou a contratada)
Todos esses procedimentos devem ser DOCUMENTADOS
Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:
II. a verificação da capacidade do potencial prestador de serviço de assegurar:
f) o provimento de ______ e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;
informações
(A contratante deve ter como monitorar o que é feito com os seus dados)
Todos esses procedimentos devem ser DOCUMENTADOS
Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:
II. a verificação da capacidade do potencial prestador de serviço de assegurar:
g) a identificação e a segregação dos dados dos ______ da instituição por meio de controles físicos ou lógicos;
clientes
(Os dados não podem vir todos juntos, a instituição contratante deve poder distinguir qual dado pertence a qual cliente)
Todos esses procedimentos devem ser DOCUMENTADOS
Antes de contratar serviços de computação em nuvem, as instituições devem adotar procedimentos que contemplem:
II. a verificação da capacidade do potencial prestador de serviço de assegurar:
h) a qualidade dos ______ voltados à proteção dos dados e das informações dos clientes da instituição.
controles de acesso
(Para garantir que ninguém além da instituição use os dados)
Todos esses procedimentos devem ser DOCUMENTADOS
Após a contratação de empresa prestadora de serviços de computação em nuvem, em até ______ dias, essa contratação deve ser comunicada pelas instituições ao ______, bem como quaisquer alterações contratuais que impliquem
modificação relevante.
10 / Banco Central do Brasil
O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode:
Estabelecer:
Os requisitos e os procedimentos para o compartilhamento de informações.
LER
O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode:
Estabelecer:
A exigência de ______ e outros requisitos técnicos a serem requeridos das empresas contratadas, pela instituição financeira contratante, na prestação dos
serviços;
certificações
O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode:
Estabelecer:
Os prazos ______ para reinício ou normalização das atividades ou dos serviços relevantes interrompidos;
máximos
O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode:
Estabelecer:
Os requisitos ______ e procedimentos operacionais a serem observados pelas
instituições para o cumprimento desta Resolução.
técnicos
O BCB, além de ter acesso aos contratos de prestação de serviços de computação em nuvem, ele pode:
Vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer
tempo, a ______, bem como a ______ à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação dos referidos serviços.
inobservância das normas / limitação
O público deve ter acesso a resumo contendo as linhas gerais da política de segurança
cibernética. CERTO ou ERRADO?
CERTO!
§ 2º Admite-se a adoção de política de segurança cibernética única por:
I - ______ prudencial; e
II - sistema ______ de crédito.
conglomerado / cooperativo
As instituições que não constituírem política de segurança cibernética própria em decorrência de serem parte de conglomerado prudencial ou sistema cooperativo devem formalizar a opção por essa faculdade em ______ do conselho de administração ou, na sua inexistência, da diretoria da instituição.
reunião
