Quais Leis e Resoluções pedem controle de monitoramento e resposta a incidentes?

Nos últimos anos, o Brasil figura entre os países da América Latina e do mundo que mais sofrem com ataques cibernéticos. A perspectiva de especialistas no tema é de uma expansão no volume de ataques nos próximos anos.

Diante deste cenário o governo, agências reguladoras, autarquias e instituições estão cada vez mais estabelecendo requisitos para incitar as empresas dos mais variados setores a estabelecerem controles relacionados à segurança cibernética e privacidade de dados, com o objetivo de identificar ameaças, responder e recuperar-se de incidentes.

Para as empresas, investir em processos, pessoas e tecnologias relacionadas à segurança cibernética implica não somente na proteção de suas informações, ou na relação com seus consumidores, fornecedores e parceiros, mas também na conformidade com tais requisitos, uma vez que muitos destes preveem a aplicação de multas e penalidades em casos de inadequação ou não cumprimento das exigências.

O monitoramento de informações e eventos de segurança é um conjunto de atividades e tecnologias para a coleta e análise de informações de forma a detectar comportamentos suspeitos ou alterações não autorizadas na rede e no ambiente tecnológico de uma empresa, determinando quais situações devem gerar alertas e quais as medidas a serem tomadas. A resposta a incidentes, por sua vez, é o conjunto de atividades ou processo para reagir a ameaças como ataques cibernéticos, violações de segurança e indisponibilidade de serviços.

Diante do cenário crescente de ameaças e ataques cibernéticos, ambos os processos se tornam fundamentais para assegurar maior visibilidade, eficiência e segurança, não somente no ambiente da empresa, mas também em todo o ecossistema (clientes, parceiros e fornecedores). Por conta de sua relevância, esses processos são cada vez mais mencionados em leis, resoluções, circulares ou portarias.

A seguir, Leis, Resoluções e Circulares de órgãos reguladores brasileiros que foram criados e determinam a necessidade de estabelecimento de controles de segurança cibernética com foco em monitoramento e resposta a incidentes.

LGPD (Lei nº 13.709 de 14 de agosto de 2018)

• “Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”

BACEN (Resolução CMN N° 4.893, de 26 de fevereiro de 2021)

• “Art. 3º A política de segurança cibernética deve contemplar, no mínimo:

II – os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;

III – os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;”

SUSEP (Circular Nº 638 de 27 de julho de 2021)

• “Art. 5º A supervisionada deverá possuir, e manter atualizados, processos, procedimentos e controles efetivos para:

I – identificar e reduzir vulnerabilidades de forma proativa; e

II – detectar, responder e recuperar-se de incidentes.”

• 6º Os processos, procedimentos e controles mencionados no inciso II do art. 5º deverão contemplar, no mínimo:

I – monitoramento contínuo da rede de comunicação, por meio de técnicas que auxiliem na detecção de incidentes;”

ANATEL (Resolução nº 740, de 21 de dezembro de 2020)

• “Art. 5º As pessoas naturais ou jurídicas envolvidas direta ou indiretamente na gestão ou no desenvolvimento das redes e serviços de telecomunicações devem atuar em Segurança Cibernética observando as seguintes diretrizes:

V – identificar, proteger, diagnosticar, responder e recuperar de incidentes de Segurança Cibernética;”

ANEEL (Resolução Nº 964, de 14 de dezembro de 2021)

• “Art. 3º As diretrizes para a atuação em segurança cibernética são:

V – identificar, proteger, diagnosticar, responder e recuperar os incidentes cibernéticos;”

Também é importante observar que existem regulamentações e padrões internacionais que trazem requisitos relacionados à segurança cibernética e podem afetar o negócio e operações de algumas empresas, exemplo PCI DSS (Payment Card Industry Data Security Standard) e a lei Sarbanes-Oxley. Observar e assegurar a conformidade com tais requisitos possibilita não somente maior segurança e transparência, como também evita o pagamento de multas e a publicidade negativa oriunda do não cumprimento das exigências, ou mesmo de um incidente cibernético.

Segundo Marcos Paulo, gerente de GRC da Safeway, "independentemente da legislação aplicável ao negócio e operações das empresas, o crescente número de ameaças e ataques cibernéticos já justifica a necessidade de maior atenção, estabelecimento de processo de monitoramento e resposta a incidentes e a realização de investimentos em pessoas, processos e tecnologia para proteção das informações".