Foi publicada nesta terça-feira (03 de agosto) a Circular 638/21 da Susep, que estabelece regras e requisitos de segurança cibernética a serem observados por seguradoras, entidades abertas de previdência complementar, sociedades de capitalização e resseguradores locais. A circular entra em vigor no dia 1º de setembro.

De acordo com a norma, a segurança cibernética está inserida no contexto geral do Sistema de Controles Internos (SCI) e da Estrutura de Gestão de Riscos (EGR), devendo as empresas supervisionadas, complementarmente, observar, na adoção de tratamentos e controles para os riscos cibernéticos, as boas práticas nacionais e internacionais de segurança cibernética, pelo menos no que se refere aos seguintes tópicos: segurança física de equipamentos e instalações; controle de acesso a sistemas e informações; criptografia; proteção contra softwares maliciosos; manutenção de cópias de segurança de dados e informações; manutenção de registros (logs) de atividades dos usuários, exceções e falhas; técnicas de proteção de redes e de segurança das comunicações; e desenvolvimento e aquisição de sistemas.

Além disso, as empresas do setor deverão promover ações voltadas à disseminação da cultura de segurança cibernética, incluindo programa de capacitação contínua de colaboradores, com base na sensibilidade das informações por eles manipuladas.

Dessa forma, os riscos cibernéticos deverão ser considerados na categoria risco operacional, de uso obrigatório; e a política de segurança cibernética deverá ser complementar à de gestão de riscos, aplicando-se a ela os requisitos definidos para tais políticas complementares.

Para tanto, a supervisionada deverá possuir uma política de segurança cibernética que contemple, no mínimo os objetivos de segurança cibernética; o compromisso dos órgãos de administração com a segurança cibernética e com a melhoria contínua dos processos, procedimentos e controles a ela relacionados; e os parâmetros e diretrizes para classificação de dados, incidentes e serviços quanto a sua relevância, implementação de processos, procedimentos e controles de segurança cibernética, com base na classificação mencionada na alínea “a”; e terceirização de serviços de processamento e armazenamento de dados, em especial os relevantes, incluindo requisitos mínimos e alçadas relativas à aprovação e alteração de contratos.

A política de segurança cibernética também deverá ser compatível com o porte da supervisionada, a natureza e a complexidade de suas operações e seu grau de exposição ao risco cibernético.

As supervisionadas terão ainda que possuir, e manter atualizados, processos, procedimentos e controles efetivos para identificar e reduzir vulnerabilidades de forma proativa; e detectar, responder e recuperar-se de incidentes.

Os processos, procedimentos e controles deverão contemplar, no mínimo o monitoramento contínuo da rede de comunicação, por meio de técnicas que auxiliem na detecção de incidentes; a avaliação da natureza, abrangência e impacto dos incidentes detectados, de acordo com graus de criticidade previamente estabelecidos, considerando a relevância dos dados, sistemas ou serviços envolvidos e seu grau de comprometimento; a adoção tempestiva de medidas para a contenção dos efeitos do incidente; o restabelecimento dos sistemas ou serviços afetados e retorno à sua condição normal de operação; o registro do incidente; o compartilhamento de informações sobre incidentes relevantes com as demais supervisionadas, em formato mutuamente acordado, observada a garantia de sigilo das informações confidenciais e segredos comerciais; a comunicação com as partes afetadas pelo incidente, sobretudo clientes; e a identificação e tratamento das vulnerabilidades exploradas.

As medidas de contenção deverão incluir, sempre que pertinente, a comunicação prévia com prestadores de serviços, parceiros e outras partes potencialmente envolvidas, com vistas à adoção de uma resposta coordenada.

As empresas deverão implementar mecanismos de conciliação entre o registro de incidentes e o banco de dados de perdas operacionais (BDPO), se existente, pelo menos para os incidentes que resultem em perda operacional.

Os processos e procedimentos deverão ser previstos no plano de continuidade de negócios, pelo menos para cenários de ataques e outros eventos que, na avaliação da supervisionada, possam ocasionar danos a infraestruturas de tecnologia da informação ou sistemas de comunicação considerados críticos; acesso, modificação, exclusão ou divulgação não autorizados de dados relevantes; ou interrupção de serviços relevantes de processamento e armazenamento de dados.

A supervisionada deverá comunicar à Susep, no prazo máximo de cinco dias úteis a partir do conhecimento do evento, a ocorrência de incidentes relevantes, detalhando a extensão do dano causado e, se for o caso, as ações em curso para regularização completa da situação e os respectivos responsáveis e prazos, além de elaborar um relatório anual sobre prevenção e tratamento de incidentes, contendo, no mínimo, a descrição dos incidentes relevantes detectados, com detalhamento das respectivas causas, efeitos e respostas adotadas; dados estatísticos referentes à totalidade dos incidentes detectados, contemplando sua quantidade e principais causas e efeitos; resultados dos testes relativos aos cenários previstos no plano de continuidade de negócios; e descrição das principais vulnerabilidades identificadas e das ações adotadas para seu tratamento.