EUA planejam impor padrão de gestão de risco cibernético a bancos
- 1045 Visualizações
- Rodrigo Amaral
- 24 de outubro de 2016
- Sem categoria
Proposta aberta a discussão pública abrange bancos de importância sistêmica, que podem ter até de gerir risco oriundo de terceiros
Grandes bancos americanos podem ser obrigados a adotar uma série de medidas para gerir o risco de ataques cibernéticos, caso seja aprovada uma proposta dos reguladores do mercado financeiro do país.
Como resultado, os gestores de risco podem ter uma maior participação no processo de análise e combate aos riscos cibernéticos nos bancos e outros atores do setor.
A proposta foi elaborada pelo Fed, o banco central americano, o Departamento do Tesouro do governo e o FDIC, a agência que garante os depósitos dos clientes dos bancos. Ela foi apresentada na semana passada e está aberta para discussão pública até a metade de janeiro.
O documento prevê que as normas sejam obrigatórias para entidades que apresentam risco sistêmico para os mercados financeiros.
Além dos bancos, também seriam afetadas, por exemplos, entidades que realizam a compensação de pagamentos e outras atividades de interconexão dos diversos atores do sistema.
As normas também podem ter repercussões para empresas não-financeiras, já que incluem medidas que os bancos terão de adotar para garantir que fornecedores como provedores de serviços de eletricidade e telecomunicações não lhe exponham a riscos cibernéticos.
Risco setorial
O alvo da futura regulamentação são as grandes instituições financeiras de maior porte e nível de interconexão com o restante do sistema financeiro.
O objetivo é reforçar suas estruturas de gestão de riscos cibernéticos, reduzindo a possibilidade de que todo o sistema venha a ser atingido devido a um ataque sofrido por um de seus participantes.
Uma das medidas que estão sendo estudadas é a classificação das empresas financeiras em diferentes níveis de risco, com as mais expostas se sujeitando a parâmetros mais elevados ou de proteção.
As estruturas de informática destas empresas seriam classificadas como “sistemas de risco setorial”. As novas regras reforçariam os programas de fiscalização do risco informático já implementados pelas agências regulatórias do sistema financeiro dos Estados Unidos.
As empresas visadas seriam instituições financeiras com ativos consolidados superiores a US$ 50 bilhões, que seria o patamar a partir do qual, na avaliação dos reguladores, a interrupção de suas atividades poderia causar significativos problemas para outras empresas e o sistema financeiro como um todo.
Sucursais de empresas financeiras estrangeiras que atuam nos Estados Unidos e ultrapassem este patamar também estarão obrigadas a seguir as recomendações, caso elas sejam adotadas.
Cinco prioridades
O objetivo dos reguladores é que as organizações consideradas de risco sistêmico demonstrem ter adotado medidas eficazes em cinco áreas.
A primeira é a governança do risco cibernético, o que implica a definição de uma estratégia de gestão do risco e os procedimentos para sua implementação.
Um dos requisitos analisados é que tais estratégias sejam aprovadas, e sua adoção, fiscalizada pelo conselho de administração da empresa, assumindo a responsabilidade por elas. Outro seria a inclusão de membros com expertise no tema de segurança cibernética, e que os responsáveis pela área tenham autonomia, reportando diretamente ao conselho.
A segunda área a ser contemplada é a implementação de uma estrutura de gestão de riscos que integre elemento como as chamadas três linhas de defesa – as unidades de negócio, a gestão de risco corporativa e a auditoria.
Isto inclui a designação de um gestor de risco independente responsável pela área cibernética, que reportaria diretamente ao Chief Risk Officer da organização.
“A função do gestor de riscos independente deveria estabelecer e manter a compreensão atualizada da estrutura dos programas de segurança cibernética da entidade (…) e os processos e sistemas de apoio, assim como sua relação com a evolução da ameaça cibernética”, afirma o documento.
A terceira área abrange o que o relatório chama de “dependências internas”, ou os riscos que se originam na própria atividade das empresas por meio de seu pessoal, recursos tecnológicos ou equipamentos, ou em negócios que são agregados à organização por meio de fusões ou aquisições.
Já a gestão de “dependências externas” diz respeito à possibilidade de que as empresas sofram com eventos cibernéticos originados em fornecedores e clientes.
Os reguladores planejam, por exemplo, exigir que as empresas financeiras implementam sistemas que identifiquem vulnerabilidades originados em terceiros e assegurem que seus parceiros comerciais estão fazendo o possível para lidar com estes problemas da forma mais adequada.
As empresas também devem ser obrigadas a estabelecer parâmetros e procedimentos relacionados à capacidade de responder a incidentes de uma forma efetiva, reforçar a resiliência cibernética e aumentar a conscientização dos funcionários sobre o risco.
Desta maneira, terão de garantir que poderão desempenhar funções essenciais mesmo no caso de um ataque cibernético, incluindo a manutenção de centros de armazenamento de dados off-line ou até mesmo processos de transferência de informações para outras entidades em caso de emergência.
- Brasil 97
- Compliance 66
- Gestão de Risco 200
- Legislação 17
- Mercado 247
- Mundo 102
- Opinião 25
- Resseguro 105
- Riscos emergentes 10
- Seguro 198