Uma visão prospectiva do setor cibernético: O que esperar para os próximos anos? Proteção e Controle do Ciberespaço: O sistema financeiro, pelo Secretário-Executivo, Geraldo Magela Siqueira no no XIII Encontro Nacional de Estudos Estratégicos.
Veja matéria em: http://ow.ly/pEeD4
Mechanism of Early & further action, "currency climate" and "Bretton Woods lo...
Apresentação: Uma visão prospectiva do setor cibernético
1. XIII ENEEXIII ENEE
O SETOR CIBERNÉTICO BRASILEIRO:O SETOR CIBERNÉTICO BRASILEIRO:
Contexto Atual e PerspectivasContexto Atual e Perspectivas
Rio de Janeiro
27/9/2013
2. UMA VISÃO PROSPECTIVA DO SETORUMA VISÃO PROSPECTIVA DO SETOR
CIBERNÉTICO: O que esperar para osCIBERNÉTICO: O que esperar para os
próximos anos?próximos anos?
Proteção e Controle do
Ciberespaço:
O SISTEMA FINANCEIROO SISTEMA FINANCEIRO
Geraldo Magela Siqueira
Secretário-Executivo
3. 3
Considerações iniciaisConsiderações iniciais
• O Sistema Financeiro Brasileiro caracteriza-se por um alto grau
de automação de processos, por uma rápida adoção de novas
tecnologias e por uma reconhecida capacidade de inovação,
apoiada por Tecnologia da Informação e Comunicação (TIC).
• Com o aumento significativo de sistemas e redes de
informação, aumento crescente de acesso a Internet e avanços
das tecnologias de informação e comunicação, crescem
também as ameaças e risco de vulnerabilidades, apontando
para a urgência de ações na direção da criação, manutenção e
fortalecimento da cultura de segurança.
4. 4
• O Banco Central do Brasil (BCB), no papel de regulador e
supervisor do SFN, dispõe de ações planejadas e estruturadas
para cuidar especificamente das questões ligadas às políticas de
segurança da informação e comunicação, direcionando o foco de
sua atuação em três diferentes níveis.
Ambiente interno, com estruturas administrativas
específicas, adequada infraestrutura tecnológica e
capacitação e treinamento de equipes.
Aderência às melhores práticas e recomendações
internacionais.
Orientação, regulamentação e supervisão das instituições
financeiras.
Considerações iniciaisConsiderações iniciais
5. SISTEMA FINANCEIRO NACIONAL
Um conjunto de órgãos regulamentam, fiscalizam o Sistema Financeiro
Nacional e executam as estratégias econômicas e monetárias do país.
6. 6
ÓrgãosÓrgãos
normativosnormativos
EntidadesEntidades
supervisorassupervisoras
OperadoresOperadores
Conselho Monetário
Nacional – CMN
BancoBanco
Central doCentral do
BrasilBrasil
Instituições
financeiras
captadoras de
depósitos à vista
Demais
instituições
financeiras Outros intermediários
financeiros e
administradores de recursos
de terceiros, consórcios.
Bancos de
Câmbio
Comissão de Valores
Mobiliários - CVM
Bolsas de
mercadorias e
futuros
Bolsas de
valores
Conselho Nacional
de Seguros Privados
- CNSP
Superintendência de
Seguros Privados -
Susep
Resseguradores
Sociedades
seguradoras
Sociedades
de
capitalização
Entidades
abertas de
previdência
complementar
Conselho Nacional
de Previdência
Complementar -
CNPC
Superintendência
Nacional de
Previdência
Complementar -
PREVIC
Entidades fechadas de previdência complementar
(fundos de pensão)
Sistema Financeiro NacionalSistema Financeiro Nacional
7. 7
Sistema Financeiro NacionalSistema Financeiro Nacional
Papel do Banco Central do Brasil no SFN
Missão:Missão: Assegurar a estabilidade do poderAssegurar a estabilidade do poder
de compra da moeda e um sistemade compra da moeda e um sistema
financeiro sólido e eficiente.financeiro sólido e eficiente.
O Banco Central tem por finalidade:
•a formulação, a execução, o acompanhamento e o controle das políticas
monetária, cambial, de crédito e de relações financeiras com o exterior;
•a organização, disciplina e fiscalização do Sistema Financeiro Nacional;
•gestão do Sistema de Pagamentos Brasileiro e
•gestão dos serviços do meio circulante.
8. ARCABOUÇO REGULATÓRIO
O Bacen precisa acompanhar e muitas vezes antecipar-se para lidar com
a sofisticação e a inovação no sistema financeiro, procurando garantir
um melhor controle dos riscos envolvidos.
9. 9
Arcabouço regulatórioArcabouço regulatório
Resolução nº 2.554/1998:
Determina a implantação e a implementação de controles
internos voltados para as atividades por elas desenvolvidas,
seus sistemas de informações financeiras, operacionais e
gerenciais e o cumprimento das normas legais e
regulamentares a elas aplicáveis.
Resolução nº 3.380/2006:
Determina a implementação de estrutura de
gerenciamento do risco operacional.
Regulamentação CMN
10. 10
Arcabouço regulatórioArcabouço regulatório
Resolução nº 3.694/2009, art. 3º, § 2º:
Estabelece que a opção pela prestação de serviços por meios
alternativos aos convencionais é admitida desde que a instituição
assegure a integridade, a confiabilidade, a segurança e o sigilo
das transações, assim como a legitimidade dos serviços, respeite
os direitos dos clientes e dos usuários e os informe sobre riscos
existentes.
Circulares do BCB
Regulamentam as resoluções do CMN.
Regulamentação CMN e BCB
11. 11
Arcabouço regulatórioArcabouço regulatório
Portaria nº 72.569/2012:
Regulamenta a Política de Segurança do Bacen.
Portaria nº 65.217/2011:
Regulamenta a Política de Proteção do Conhecimento do Banco
Central.
Portaria nº 75.113/2013:
Regulamenta a Política de Governança da Informação.
Banco Central do Brasil – orientações internas
12. ADERÊNCIA A NORMAS INTERNACIONAIS
O Bacen persegue fortemente a aderência ao conjunto de normas,
princípios e boas práticas internacionais relativas a segurança, proteção
e controle cibernéticos, garantindo a integridade e disponibilidade
necessárias para a confiança no Sistema Financeiro.
13. 13
• O Banco de Compensações Internacionais (Bank for International
Settlements - BIS) atua como um agente de cooperação para os
bancos centrais.
• O Comitê de Supervisão Bancária da Basiléia, ligado ao BIS, foi
constituído para aperfeiçoar a qualidade da supervisão bancária
em nível mundial.
• O BCB participa ativamente das discussões e elaboração de regras
no âmbito do BIS e, em consonância com as recomendações
editadas por aquele organismo, emite regras e define
procedimentos a serem seguidos pelas instituições financeiras
brasileiras, incluído o risco operacional.
Aderência a normas internacionaisAderência a normas internacionais
14. 14
• Além do BIS, o BCB segue as recomendações da IOSCO
(International Organization of Securities Commissions), no que diz
respeito à vigilância do Sistema de Pagamentos Brasileiro (SPB).
• Discussões em andamento estão sinalizando no sentido de definir
que o risco cibernético compõe o risco operacional, mas suas
características únicas trazem desafios para os atuais planos de
mitigação de risco e de continuidade de negócio.
• Riscos cibernéticos podem ter uma maior implicação sistêmica
que riscos operacionais tradicionais.
• Reguladores precisam impor aos gestores dos mercados
financeiros a aplicação das melhores práticas de gestão de riscos e
das melhores tecnologias.
Aderência a normas internacionaisAderência a normas internacionais
15. 15
• Avaliação do FMI - FSAP (Financial Sector Assessment Program) –
2012 – Programa FMI/Banco Mundial, que visa avaliar os sistemas
financeiros mundiais.
Considerada forte, sofisticada e proativa, a supervisão bancária
brasileira foi objeto de avaliação positiva em seu relatório de
avaliação. Os instrumentos à disposição do Banco Central e sua
estrutura de supervisão permitiram ao País ter excelentes
notas em matéria de adequação às melhores práticas
internacionais, representadas pelos Princípios de Basileia para
uma supervisão efetiva, destacando-se entre os países do G-
20.
Aderência a normas internacionaisAderência a normas internacionais
16. FISCALIZAÇÃO DO SFN
A fiscalização feita pelo Bacen adota uma postura proativa com ênfase
na avaliação de riscos e controles, consubstanciando um processo
integrado e contínuo, englobando atividades voltadas para o
planejamento da Supervisão e para a classificação, monitoramento e
inspeção das instituições supervisionadas.
17. 17
• O Comitê de Basiléia prevê fraudes externas, por exemplo,
roubo de informações, danos por pirataria e hacking,
falsificação de informações e de identidade, como fonte de
risco operacional.
• Portanto, os controles internos de cada Instituição Financeira
devem monitorar e atuar para corrigir desvios sempre que a
percepção destas fontes de risco operacional aumenta, sob
pena de não conformidade e das restrições regulamentares
associadas.
• Conceitualmente, o Risco de Tecnologia da Informação é
parte do risco operacional. Contudo, em razão do enfoque
técnico necessário ao trabalho de supervisão, é justificável a
sua avaliação como um grupo de risco corporativo específico.
Fiscalização do SFNFiscalização do SFN
18. 18
Fiscalização do SFNFiscalização do SFN
• São dois os focos principais na supervisão do Risco de TI.
Continuidade dos negócios, onde a supervisão trabalha para:
• assegurar a robustez e segurança do seu ambiente de TI
contra acidentes e invasões;
• a privacidade e disponibilidade dos dados e
• a proteção contra fraudes e uso indevido das suas
informações.
Integridade das informações, considerando:
• a confiabilidade dos dados utilizados no monitoramento
do SFN;
• a consistência das informações disponibilizadas ao
mercado.
19. 19
Fiscalização do SFNFiscalização do SFN
• A fiscalização do Bacen possui duas equipes especializadas na
Supervisão das áreas de TIC. Essas equipes atuam
exclusivamente em trabalhos nessa área, tanto como
executores quanto consultores das demais equipes
generalistas.
• Elas avaliam os riscos inerentes às estratégias e procedimentos
na aquisição, contratação e uso de recursos de TIC, e na
organização e operacionalização dos processos informatizados.
20. 20Supervisão de Instituições Bancárias
SUPERVISOR
Infs. Gerenc. e
Regulamentares
Ações de
Supervisão
Sinal./Relat./
Ferramentas
Feedback /
Validação
Acompanhamento de
Inspeções Realizadas
INSPEÇÕES
ACOMPANHAMENTO CONTÍNUO
Sistema de Risco e Controle - SRC
Uso intensivo
de
Especialistas
Uso intensivo
de
Especialistas
Fiscalização do SFNFiscalização do SFN
21. POLÍTICAS DE SEGURANÇA DE TIC
Sempre preocupados em viabilizar e assegurar a disponibilidade,
integridade, confidencialidade e autenticidade das informações, o Bacen
mantém uma divisão especializada em Segurança de TIC, responsável
por envidar os esforços necessários para atingir esse objetivo.
22. 22
Políticas de Segurança de TICPolíticas de Segurança de TIC
• Os sistemas críticos para o Sistema Financeiro Nacional
utilizam como forma principal de proteção o isolamento, ou
seja, o tráfego de informações é feito através de uma rede
privada, a RSFN – Rede do Sistema Financeiro Nacional.
• Os requisitos de segurança são implementados para garantir a
integridade, a confidencialidade, a disponibilidade e o não
repúdio das informações trafegadas.
• As mensagens são criptografadas e assinadas digitalmente
com certificados digitais padrão ICP Brasil (Infraestrutura de
Chaves Públicas), o que garante a validade legal das
operações.
Segurança de sistemas e informações críticas
23. 23
Políticas de Segurança de TICPolíticas de Segurança de TIC
• O Bacen possui dois centros de dados em Brasília com
conexão por fibra ótica formando uma rede local.
• Todo hardware é duplicado e os dois centros possuem sempre
a mesma informação. Todos os backups realizados são
copiados nos dois centros de dados.
• O Plano de Continuidade de TIC atende a toda infraestrutura
de TIC, prevê testes periódicos (1 vez por semestre) e são
constantemente revistos e atualizados.
• Atualmente o Banco Central utiliza a computação na nuvem
para proteção e continuidade dos seus serviços com
informação pública na Internet, em casos de ataques de
negação de serviço.
Plano de Continuidade de TIC
24. DESAFIOS FUTUROS
O mercado financeiro vem impactando a área de TIC com intensidade e
rapidez suficientes para criar muitas novas oportunidades porém, ao
romper com arquiteturas, métodos e tecnologias estabelecidos, temos
que considerar a magnitude dos desafios de proteção e controle.
25. 25
Desafios futurosDesafios futuros
Segundo pesquisas
conduzidas pela Febraban, no
último ano o uso de Internet
Banking cresceu mais rápido
do que o número de usuários
de internet, consolidando o
crescimento linear porém
vigoroso nos últimos anos
(23,7% a.a.).
Internet e Mobile Banking
26. 26
Desafios futurosDesafios futuros
O uso de Mobile Banking é o que
mais surpreende, tendo seu
volume de transações
aumentado de maneira
vertiginosa — 223,4% ao ano.
No último ano Internet Banking e
Mobile Banking já ultrapassaram
os canais tradicionais, como
agências, Contact Center e ATM,
como canais preferenciais para
transações financeiras pelos
clientes.
Internet e Mobile Banking
27. 27
• Consolidar regras e procedimentos em nível infra legal para
viabilizar de forma satisfatória as operações previstas na MP nº
615/2013, que trata dos arranjos de pagamentos móveis e
moedas eletrônicas.
• Todo avanço tecnológico traz consigo um risco agregado,
cabendo ao BCB, no caso do SFN, estar constantemente
preparado a essas inovações.
• O segmento de TIC é muito dinâmico e requer um ritmo
acelerado de ações e inovações multidisciplinares com vistas a
que os benefícios e o desenvolvimento econômico e social sejam
sustentáveis ao longo do tempo.
Desafios futurosDesafios futuros
28. 28
• Apesar de todos os desafios aqui apresentados, o Banco
Central se sente seguro e preparado para enfrentar as
evoluções decorrentes dos avanços tecnológicos no mercado
financeiro e combater as fraudes eletrônicas.
• É lícito afirmar que o Banco Central caminha na trilha da
segurança cibernética, de forma a assegurar, não apenas a
eficiência, mas também a solidez e segurança do Sistema
Financeiro Nacional, em todos os níveis.
• Há política volta para realização dos investimentos necessários
para manter os mecanismos de proteção e controle em
constante aprimoramento, através da implantação de uma
regulamentação apropriada, de um forte alinhamento à boas
práticas internacionais e uma supervisão efetiva.
Considerações finaisConsiderações finais
29. 29
• O BCB está receptivo a qualquer ação que possibilite o
intercâmbio de informações e conhecimentos, inclusive
participando de grupos ou comitês que venham a ser criados
pelo Governo com essa finalidade.
• Nesse sentido, estamos dispostos a colaborar e participar, na
forma que vier a ser definida, do Comitê Gestor de Atividades
Cibernéticas, com o objetivo de estabelecer metas de longo
prazo para promover o desenvolvimento das atividades de
cibernética e de tecnologia da informação.
Considerações finaisConsiderações finais
SMM: Sistema de Monitoramento de Mercado SAG: Sistema de Análise de Grupos/Cotas de Consórcio SISMEF: Monitoramento Econômico Financeiro SIM: Sistema Integrado de Monitoramento IFT (Infs. Financeiras Trimestrais): Recebidos anualmente 25.000 docs representando mais de 2,2 milhões de linhas).