XIII ENEEXIII ENEEO SETOR CIBERNÉTICO BRASILEIRO:O SETOR CIBERNÉTICO BRASILEIRO:

Contexto Atual e PerspectivasContexto Atual e Perspectivas

Rio de Janeiro27/9/2013

UMA VISÃO PROSPECTIVA DO SETOR UMA VISÃO PROSPECTIVA DO SETOR CIBERNÉTICO: O que esperar para os CIBERNÉTICO: O que esperar para os

próximos anos?próximos anos?Proteção e Controle do

Ciberespaço:O SISTEMA FINANCEIROO SISTEMA FINANCEIRO

Geraldo Magela SiqueiraSecretário-Executivo

3

Considerações iniciaisConsiderações iniciais

• O Sistema Financeiro Brasileiro caracteriza-se por um alto grau de automação de processos, por uma rápida adoção de novas tecnologias e por uma reconhecida capacidade de inovação, apoiada por Tecnologia da Informação e Comunicação (TIC).

• Com o aumento significativo de sistemas e redes de informação, aumento crescente de acesso a Internet e avanços das tecnologias de informação e comunicação, crescem também as ameaças e risco de vulnerabilidades, apontando para a urgência de ações na direção da criação, manutenção e fortalecimento da cultura de segurança.

4

• O Banco Central do Brasil (BCB), no papel de regulador e supervisor do SFN, dispõe de ações planejadas e estruturadas para cuidar especificamente das questões ligadas às políticas de segurança da informação e comunicação, direcionando o foco de sua atuação em três diferentes níveis.

Ambiente interno, com estruturas administrativas específicas, adequada infraestrutura tecnológica e capacitação e treinamento de equipes.

Aderência às melhores práticas e recomendações internacionais.

Orientação, regulamentação e supervisão das instituições financeiras.

Considerações iniciaisConsiderações iniciais

SISTEMA FINANCEIRO NACIONAL

Um conjunto de órgãos regulamentam, fiscalizam o Sistema Financeiro Nacional e executam as estratégias econômicas e monetárias do país.

6

Órgãos Órgãos normativosnormativos

Entidades Entidades supervisorassupervisoras OperadoresOperadores

Conselho Monetário Nacional – CMN

Banco Banco Central do Central do

BrasilBrasil

Instituições financeiras

captadoras de depósitos à vista

Demais instituições financeiras Outros intermediários

financeiros e administradores de recursos

de terceiros, consórcios.

Bancos de Câmbio

Comissão de Valores Mobiliários - CVM

Bolsas de mercadorias e

futuros

Bolsas de valores

Conselho Nacional de Seguros Privados

- CNSP

Superintendência de Seguros Privados -

SusepResseguradores Sociedades

seguradoras

Sociedades de

capitalização

Entidades abertas de

previdência complementar

Conselho Nacional de Previdência

Complementar - CNPC

Superintendência Nacional de Previdência

Complementar - PREVIC

Entidades fechadas de previdência complementar

(fundos de pensão)

Sistema Financeiro NacionalSistema Financeiro Nacional

7

Sistema Financeiro NacionalSistema Financeiro Nacional

Papel do Banco Central do Brasil no SFN

Missão: Missão: Assegurar a estabilidade do poder Assegurar a estabilidade do poder de compra da moeda e um sistema de compra da moeda e um sistema

financeiro sólido e eficiente.financeiro sólido e eficiente.

O Banco Central tem por finalidade:

•a formulação, a execução, o acompanhamento e o controle das políticas monetária, cambial, de crédito e de relações financeiras com o exterior;•a organização, disciplina e fiscalização do Sistema Financeiro Nacional;•gestão do Sistema de Pagamentos Brasileiro e•gestão dos serviços do meio circulante.

ARCABOUÇO REGULATÓRIO

O Bacen precisa acompanhar e muitas vezes antecipar-se para lidar com a sofisticação e a inovação no sistema financeiro, procurando garantir

um melhor controle dos riscos envolvidos.

9

Arcabouço regulatórioArcabouço regulatório

Resolução nº 2.554/1998:Determina a implantação e a implementação de controles internos voltados para as atividades por elas desenvolvidas, seus sistemas de informações financeiras, operacionais e gerenciais e o cumprimento das normas legais e regulamentares a elas aplicáveis.

Resolução nº 3.380/2006:Determina a implementação de estrutura de gerenciamento do risco operacional.

Regulamentação CMN

10

Arcabouço regulatórioArcabouço regulatório

Resolução nº 3.694/2009, art. 3º, § 2º:Estabelece que a opção pela prestação de serviços por meios alternativos aos convencionais é admitida desde que a instituição assegure a integridade, a confiabilidade, a segurança e o sigilo das transações, assim como a legitimidade dos serviços, respeite os direitos dos clientes e dos usuários e os informe sobre riscos existentes.

Circulares do BCB

Regulamentam as resoluções do CMN.

Regulamentação CMN e BCB

11

Arcabouço regulatórioArcabouço regulatório

Portaria nº 72.569/2012:Regulamenta a Política de Segurança do Bacen.

Portaria nº 65.217/2011: Regulamenta a Política de Proteção do Conhecimento do Banco Central.

Portaria nº 75.113/2013:Regulamenta a Política de Governança da Informação.

Banco Central do Brasil – orientações internas

ADERÊNCIA A NORMAS INTERNACIONAIS

O Bacen persegue fortemente a aderência ao conjunto de normas, princípios e boas práticas internacionais relativas a segurança, proteção

e controle cibernéticos, garantindo a integridade e disponibilidade necessárias para a confiança no Sistema Financeiro.

13

• O Banco de Compensações Internacionais (Bank for International Settlements - BIS) atua como um agente de cooperação para os bancos centrais.

• O Comitê de Supervisão Bancária da Basiléia, ligado ao BIS, foi constituído para aperfeiçoar a qualidade da supervisão bancária em nível mundial.

• O BCB participa ativamente das discussões e elaboração de regras no âmbito do BIS e, em consonância com as recomendações editadas por aquele organismo, emite regras e define procedimentos a serem seguidos pelas instituições financeiras brasileiras, incluído o risco operacional.

Aderência a normas internacionaisAderência a normas internacionais

14

• Além do BIS, o BCB segue as recomendações da IOSCO (International Organization of Securities Commissions), no que diz respeito à vigilância do Sistema de Pagamentos Brasileiro (SPB).

• Discussões em andamento estão sinalizando no sentido de definir que o risco cibernético compõe o risco operacional, mas suas características únicas trazem desafios para os atuais planos de mitigação de risco e de continuidade de negócio.

• Riscos cibernéticos podem ter uma maior implicação sistêmica que riscos operacionais tradicionais.

• Reguladores precisam impor aos gestores dos mercados financeiros a aplicação das melhores práticas de gestão de riscos e das melhores tecnologias.

Aderência a normas internacionaisAderência a normas internacionais

15

• Avaliação do FMI - FSAP (Financial Sector Assessment Program) – 2012 – Programa FMI/Banco Mundial, que visa avaliar os sistemas financeiros mundiais.

Considerada forte, sofisticada e proativa, a supervisão bancária brasileira foi objeto de avaliação positiva em seu relatório de avaliação. Os instrumentos à disposição do Banco Central e sua estrutura de supervisão permitiram ao País ter excelentes notas em matéria de adequação às melhores práticas internacionais, representadas pelos Princípios de Basileia para uma supervisão efetiva, destacando-se entre os países do G-20.

Aderência a normas internacionaisAderência a normas internacionais

FISCALIZAÇÃO DO SFN

A fiscalização feita pelo Bacen adota uma postura proativa com ênfase na avaliação de riscos e controles, consubstanciando um processo integrado e

contínuo, englobando atividades voltadas para o planejamento da Supervisão e para a classificação, monitoramento e inspeção das instituições

supervisionadas.

17

• O Comitê de Basiléia prevê fraudes externas, por exemplo, roubo de informações, danos por pirataria e hacking, falsificação de informações e de identidade, como fonte de risco operacional.

• Portanto, os controles internos de cada Instituição Financeira devem monitorar e atuar para corrigir desvios sempre que a percepção destas fontes de risco operacional aumenta, sob pena de não conformidade e das restrições regulamentares associadas.

• Conceitualmente, o Risco de Tecnologia da Informação é parte do risco operacional. Contudo, em razão do enfoque técnico necessário ao trabalho de supervisão, é justificável a sua avaliação como um grupo de risco corporativo específico.

Fiscalização do SFNFiscalização do SFN

18

Fiscalização do SFNFiscalização do SFN

• São dois os focos principais na supervisão do Risco de TI.

Continuidade dos negócios, onde a supervisão trabalha para:• assegurar a robustez e segurança do seu ambiente de TI

contra acidentes e invasões;• a privacidade e disponibilidade dos dados e• a proteção contra fraudes e uso indevido das suas

informações. Integridade das informações, considerando:

• a confiabilidade dos dados utilizados no monitoramento do SFN;

• a consistência das informações disponibilizadas ao mercado.

19

Fiscalização do SFNFiscalização do SFN

• A fiscalização do Bacen possui duas equipes especializadas na Supervisão das áreas de TIC. Essas equipes atuam exclusivamente em trabalhos nessa área, tanto como executores quanto consultores das demais equipes generalistas.

• Elas avaliam os riscos inerentes às estratégias e procedimentos na aquisição, contratação e uso de recursos de TIC, e na organização e operacionalização dos processos informatizados.

20Supervisão de Instituições Bancárias

SUPERVISOR

Infs. Gerenc. e Regulamentares

Ações de Supervisão

Sinal./Relat./ Ferramentas

Feedback / Validação

Acompanhamento de Inspeções Realizadas

INSPEÇÕES

ACOMPANHAMENTO CONTÍNUO

Sistema de Risco e Controle - SRC

Uso intensivo de

EspecialistasUso intensivo

de Especialistas

Fiscalização do SFNFiscalização do SFN

POLÍTICAS DE SEGURANÇA DE TIC

Sempre preocupados em viabilizar e assegurar a disponibilidade, integridade, confidencialidade e autenticidade das informações, o Bacen mantém uma divisão especializada em Segurança de TIC, responsável por

envidar os esforços necessários para atingir esse objetivo.

22

Políticas de Segurança de TICPolíticas de Segurança de TIC

• Os sistemas críticos para o Sistema Financeiro Nacional utilizam como forma principal de proteção o isolamento, ou seja, o tráfego de informações é feito através de uma rede privada, a RSFN – Rede do Sistema Financeiro Nacional.

• Os requisitos de segurança são implementados para garantir a integridade, a confidencialidade, a disponibilidade e o não repúdio das informações trafegadas.

• As mensagens são criptografadas e assinadas digitalmente com certificados digitais padrão ICP Brasil (Infraestrutura de Chaves Públicas), o que garante a validade legal das operações.

Segurança de sistemas e informações críticas

23

Políticas de Segurança de TICPolíticas de Segurança de TIC

• O Bacen possui dois centros de dados em Brasília com conexão por fibra ótica formando uma rede local.

• Todo hardware é duplicado e os dois centros possuem sempre a mesma informação. Todos os backups realizados são copiados nos dois centros de dados.

• O Plano de Continuidade de TIC atende a toda infraestrutura de TIC, prevê testes periódicos (1 vez por semestre) e são constantemente revistos e atualizados.

• Atualmente o Banco Central utiliza a computação na nuvem para proteção e continuidade dos seus serviços com informação pública na Internet, em casos de ataques de negação de serviço.

Plano de Continuidade de TIC

DESAFIOS FUTUROS

O mercado financeiro vem impactando a área de TIC com intensidade e rapidez suficientes para criar muitas novas oportunidades porém, ao

romper com arquiteturas, métodos e tecnologias estabelecidos, temos que considerar a magnitude dos desafios de proteção e controle.

25

Desafios futurosDesafios futuros

Segundo pesquisas conduzidas pela Febraban, no último ano o uso de Internet Banking cresceu mais rápido do que o número de usuários de internet, consolidando o crescimento linear porém vigoroso nos últimos anos (23,7% a.a.).

Internet e Mobile Banking

26

Desafios futurosDesafios futuros

O uso de Mobile Banking é o que mais surpreende, tendo seu volume de transações aumentado de maneira vertiginosa — 223,4% ao ano. No último ano Internet Banking e Mobile Banking já ultrapassaram os canais tradicionais, como agências, Contact Center e ATM, como canais preferenciais para transações financeiras pelos clientes.

Internet e Mobile Banking

27

• Consolidar regras e procedimentos em nível infra legal para viabilizar de forma satisfatória as operações previstas na MP nº 615/2013, que trata dos arranjos de pagamentos móveis e moedas eletrônicas.

• Todo avanço tecnológico traz consigo um risco agregado, cabendo ao BCB, no caso do SFN, estar constantemente preparado a essas inovações.

• O segmento de TIC é muito dinâmico e requer um ritmo acelerado de ações e inovações multidisciplinares com vistas a que os benefícios e o desenvolvimento econômico e social sejam sustentáveis ao longo do tempo.

Desafios futurosDesafios futuros

28

• Apesar de todos os desafios aqui apresentados, o Banco Central se sente seguro e preparado para enfrentar as evoluções decorrentes dos avanços tecnológicos no mercado financeiro e combater as fraudes eletrônicas.

• É lícito afirmar que o Banco Central caminha na trilha da segurança cibernética, de forma a assegurar, não apenas a eficiência, mas também a solidez e segurança do Sistema Financeiro Nacional, em todos os níveis.

• Há política volta para realização dos investimentos necessários para manter os mecanismos de proteção e controle em constante aprimoramento, através da implantação de uma regulamentação apropriada, de um forte alinhamento à boas práticas internacionais e uma supervisão efetiva.

Considerações finaisConsiderações finais

29

• O BCB está receptivo a qualquer ação que possibilite o intercâmbio de informações e conhecimentos, inclusive participando de grupos ou comitês que venham a ser criados pelo Governo com essa finalidade.

• Nesse sentido, estamos dispostos a colaborar e participar, na forma que vier a ser definida, do Comitê Gestor de Atividades Cibernéticas, com o objetivo de estabelecer metas de longo prazo para promover o desenvolvimento das atividades de cibernética e de tecnologia da informação.

Considerações finaisConsiderações finais

Obrigado.Obrigado.

Geraldo Magela SiqueiraSecretário-Executivo