Upload
sae-secretaria-de-assuntos-estrategicos-da-presidencia-da-republica
View
616
Download
1
Embed Size (px)
DESCRIPTION
Uma visão prospectiva do setor cibernético: O que esperar para os próximos anos? Proteção e Controle do Ciberespaço: O sistema financeiro, pelo Secretário-Executivo, Geraldo Magela Siqueira no no XIII Encontro Nacional de Estudos Estratégicos. Veja matéria em: http://ow.ly/pEeD4
Citation preview
XIII ENEEXIII ENEEO SETOR CIBERNÉTICO BRASILEIRO:O SETOR CIBERNÉTICO BRASILEIRO:
Contexto Atual e PerspectivasContexto Atual e Perspectivas
Rio de Janeiro27/9/2013
UMA VISÃO PROSPECTIVA DO SETOR UMA VISÃO PROSPECTIVA DO SETOR CIBERNÉTICO: O que esperar para os CIBERNÉTICO: O que esperar para os
próximos anos?próximos anos?Proteção e Controle do
Ciberespaço:O SISTEMA FINANCEIROO SISTEMA FINANCEIRO
Geraldo Magela SiqueiraSecretário-Executivo
3
Considerações iniciaisConsiderações iniciais
• O Sistema Financeiro Brasileiro caracteriza-se por um alto grau de automação de processos, por uma rápida adoção de novas tecnologias e por uma reconhecida capacidade de inovação, apoiada por Tecnologia da Informação e Comunicação (TIC).
• Com o aumento significativo de sistemas e redes de informação, aumento crescente de acesso a Internet e avanços das tecnologias de informação e comunicação, crescem também as ameaças e risco de vulnerabilidades, apontando para a urgência de ações na direção da criação, manutenção e fortalecimento da cultura de segurança.
4
• O Banco Central do Brasil (BCB), no papel de regulador e supervisor do SFN, dispõe de ações planejadas e estruturadas para cuidar especificamente das questões ligadas às políticas de segurança da informação e comunicação, direcionando o foco de sua atuação em três diferentes níveis.
Ambiente interno, com estruturas administrativas específicas, adequada infraestrutura tecnológica e capacitação e treinamento de equipes.
Aderência às melhores práticas e recomendações internacionais.
Orientação, regulamentação e supervisão das instituições financeiras.
Considerações iniciaisConsiderações iniciais
SISTEMA FINANCEIRO NACIONAL
Um conjunto de órgãos regulamentam, fiscalizam o Sistema Financeiro Nacional e executam as estratégias econômicas e monetárias do país.
6
Órgãos Órgãos normativosnormativos
Entidades Entidades supervisorassupervisoras OperadoresOperadores
Conselho Monetário Nacional – CMN
Banco Banco Central do Central do
BrasilBrasil
Instituições financeiras
captadoras de depósitos à vista
Demais instituições financeiras Outros intermediários
financeiros e administradores de recursos
de terceiros, consórcios.
Bancos de Câmbio
Comissão de Valores Mobiliários - CVM
Bolsas de mercadorias e
futuros
Bolsas de valores
Conselho Nacional de Seguros Privados
- CNSP
Superintendência de Seguros Privados -
SusepResseguradores Sociedades
seguradoras
Sociedades de
capitalização
Entidades abertas de
previdência complementar
Conselho Nacional de Previdência
Complementar - CNPC
Superintendência Nacional de Previdência
Complementar - PREVIC
Entidades fechadas de previdência complementar
(fundos de pensão)
Sistema Financeiro NacionalSistema Financeiro Nacional
7
Sistema Financeiro NacionalSistema Financeiro Nacional
Papel do Banco Central do Brasil no SFN
Missão: Missão: Assegurar a estabilidade do poder Assegurar a estabilidade do poder de compra da moeda e um sistema de compra da moeda e um sistema
financeiro sólido e eficiente.financeiro sólido e eficiente.
O Banco Central tem por finalidade:
•a formulação, a execução, o acompanhamento e o controle das políticas monetária, cambial, de crédito e de relações financeiras com o exterior;•a organização, disciplina e fiscalização do Sistema Financeiro Nacional;•gestão do Sistema de Pagamentos Brasileiro e•gestão dos serviços do meio circulante.
ARCABOUÇO REGULATÓRIO
O Bacen precisa acompanhar e muitas vezes antecipar-se para lidar com a sofisticação e a inovação no sistema financeiro, procurando garantir
um melhor controle dos riscos envolvidos.
9
Arcabouço regulatórioArcabouço regulatório
Resolução nº 2.554/1998:Determina a implantação e a implementação de controles internos voltados para as atividades por elas desenvolvidas, seus sistemas de informações financeiras, operacionais e gerenciais e o cumprimento das normas legais e regulamentares a elas aplicáveis.
Resolução nº 3.380/2006:Determina a implementação de estrutura de gerenciamento do risco operacional.
Regulamentação CMN
10
Arcabouço regulatórioArcabouço regulatório
Resolução nº 3.694/2009, art. 3º, § 2º:Estabelece que a opção pela prestação de serviços por meios alternativos aos convencionais é admitida desde que a instituição assegure a integridade, a confiabilidade, a segurança e o sigilo das transações, assim como a legitimidade dos serviços, respeite os direitos dos clientes e dos usuários e os informe sobre riscos existentes.
Circulares do BCB
Regulamentam as resoluções do CMN.
Regulamentação CMN e BCB
11
Arcabouço regulatórioArcabouço regulatório
Portaria nº 72.569/2012:Regulamenta a Política de Segurança do Bacen.
Portaria nº 65.217/2011: Regulamenta a Política de Proteção do Conhecimento do Banco Central.
Portaria nº 75.113/2013:Regulamenta a Política de Governança da Informação.
Banco Central do Brasil – orientações internas
ADERÊNCIA A NORMAS INTERNACIONAIS
O Bacen persegue fortemente a aderência ao conjunto de normas, princípios e boas práticas internacionais relativas a segurança, proteção
e controle cibernéticos, garantindo a integridade e disponibilidade necessárias para a confiança no Sistema Financeiro.
13
• O Banco de Compensações Internacionais (Bank for International Settlements - BIS) atua como um agente de cooperação para os bancos centrais.
• O Comitê de Supervisão Bancária da Basiléia, ligado ao BIS, foi constituído para aperfeiçoar a qualidade da supervisão bancária em nível mundial.
• O BCB participa ativamente das discussões e elaboração de regras no âmbito do BIS e, em consonância com as recomendações editadas por aquele organismo, emite regras e define procedimentos a serem seguidos pelas instituições financeiras brasileiras, incluído o risco operacional.
Aderência a normas internacionaisAderência a normas internacionais
14
• Além do BIS, o BCB segue as recomendações da IOSCO (International Organization of Securities Commissions), no que diz respeito à vigilância do Sistema de Pagamentos Brasileiro (SPB).
• Discussões em andamento estão sinalizando no sentido de definir que o risco cibernético compõe o risco operacional, mas suas características únicas trazem desafios para os atuais planos de mitigação de risco e de continuidade de negócio.
• Riscos cibernéticos podem ter uma maior implicação sistêmica que riscos operacionais tradicionais.
• Reguladores precisam impor aos gestores dos mercados financeiros a aplicação das melhores práticas de gestão de riscos e das melhores tecnologias.
Aderência a normas internacionaisAderência a normas internacionais
15
• Avaliação do FMI - FSAP (Financial Sector Assessment Program) – 2012 – Programa FMI/Banco Mundial, que visa avaliar os sistemas financeiros mundiais.
Considerada forte, sofisticada e proativa, a supervisão bancária brasileira foi objeto de avaliação positiva em seu relatório de avaliação. Os instrumentos à disposição do Banco Central e sua estrutura de supervisão permitiram ao País ter excelentes notas em matéria de adequação às melhores práticas internacionais, representadas pelos Princípios de Basileia para uma supervisão efetiva, destacando-se entre os países do G-20.
Aderência a normas internacionaisAderência a normas internacionais
FISCALIZAÇÃO DO SFN
A fiscalização feita pelo Bacen adota uma postura proativa com ênfase na avaliação de riscos e controles, consubstanciando um processo integrado e
contínuo, englobando atividades voltadas para o planejamento da Supervisão e para a classificação, monitoramento e inspeção das instituições
supervisionadas.
17
• O Comitê de Basiléia prevê fraudes externas, por exemplo, roubo de informações, danos por pirataria e hacking, falsificação de informações e de identidade, como fonte de risco operacional.
• Portanto, os controles internos de cada Instituição Financeira devem monitorar e atuar para corrigir desvios sempre que a percepção destas fontes de risco operacional aumenta, sob pena de não conformidade e das restrições regulamentares associadas.
• Conceitualmente, o Risco de Tecnologia da Informação é parte do risco operacional. Contudo, em razão do enfoque técnico necessário ao trabalho de supervisão, é justificável a sua avaliação como um grupo de risco corporativo específico.
Fiscalização do SFNFiscalização do SFN
18
Fiscalização do SFNFiscalização do SFN
• São dois os focos principais na supervisão do Risco de TI.
Continuidade dos negócios, onde a supervisão trabalha para:• assegurar a robustez e segurança do seu ambiente de TI
contra acidentes e invasões;• a privacidade e disponibilidade dos dados e• a proteção contra fraudes e uso indevido das suas
informações. Integridade das informações, considerando:
• a confiabilidade dos dados utilizados no monitoramento do SFN;
• a consistência das informações disponibilizadas ao mercado.
19
Fiscalização do SFNFiscalização do SFN
• A fiscalização do Bacen possui duas equipes especializadas na Supervisão das áreas de TIC. Essas equipes atuam exclusivamente em trabalhos nessa área, tanto como executores quanto consultores das demais equipes generalistas.
• Elas avaliam os riscos inerentes às estratégias e procedimentos na aquisição, contratação e uso de recursos de TIC, e na organização e operacionalização dos processos informatizados.
20Supervisão de Instituições Bancárias
SUPERVISOR
Infs. Gerenc. e Regulamentares
Ações de Supervisão
Sinal./Relat./ Ferramentas
Feedback / Validação
Acompanhamento de Inspeções Realizadas
INSPEÇÕES
ACOMPANHAMENTO CONTÍNUO
Sistema de Risco e Controle - SRC
Uso intensivo de
EspecialistasUso intensivo
de Especialistas
Fiscalização do SFNFiscalização do SFN
POLÍTICAS DE SEGURANÇA DE TIC
Sempre preocupados em viabilizar e assegurar a disponibilidade, integridade, confidencialidade e autenticidade das informações, o Bacen mantém uma divisão especializada em Segurança de TIC, responsável por
envidar os esforços necessários para atingir esse objetivo.
22
Políticas de Segurança de TICPolíticas de Segurança de TIC
• Os sistemas críticos para o Sistema Financeiro Nacional utilizam como forma principal de proteção o isolamento, ou seja, o tráfego de informações é feito através de uma rede privada, a RSFN – Rede do Sistema Financeiro Nacional.
• Os requisitos de segurança são implementados para garantir a integridade, a confidencialidade, a disponibilidade e o não repúdio das informações trafegadas.
• As mensagens são criptografadas e assinadas digitalmente com certificados digitais padrão ICP Brasil (Infraestrutura de Chaves Públicas), o que garante a validade legal das operações.
Segurança de sistemas e informações críticas
23
Políticas de Segurança de TICPolíticas de Segurança de TIC
• O Bacen possui dois centros de dados em Brasília com conexão por fibra ótica formando uma rede local.
• Todo hardware é duplicado e os dois centros possuem sempre a mesma informação. Todos os backups realizados são copiados nos dois centros de dados.
• O Plano de Continuidade de TIC atende a toda infraestrutura de TIC, prevê testes periódicos (1 vez por semestre) e são constantemente revistos e atualizados.
• Atualmente o Banco Central utiliza a computação na nuvem para proteção e continuidade dos seus serviços com informação pública na Internet, em casos de ataques de negação de serviço.
Plano de Continuidade de TIC
DESAFIOS FUTUROS
O mercado financeiro vem impactando a área de TIC com intensidade e rapidez suficientes para criar muitas novas oportunidades porém, ao
romper com arquiteturas, métodos e tecnologias estabelecidos, temos que considerar a magnitude dos desafios de proteção e controle.
25
Desafios futurosDesafios futuros
Segundo pesquisas conduzidas pela Febraban, no último ano o uso de Internet Banking cresceu mais rápido do que o número de usuários de internet, consolidando o crescimento linear porém vigoroso nos últimos anos (23,7% a.a.).
Internet e Mobile Banking
26
Desafios futurosDesafios futuros
O uso de Mobile Banking é o que mais surpreende, tendo seu volume de transações aumentado de maneira vertiginosa — 223,4% ao ano. No último ano Internet Banking e Mobile Banking já ultrapassaram os canais tradicionais, como agências, Contact Center e ATM, como canais preferenciais para transações financeiras pelos clientes.
Internet e Mobile Banking
27
• Consolidar regras e procedimentos em nível infra legal para viabilizar de forma satisfatória as operações previstas na MP nº 615/2013, que trata dos arranjos de pagamentos móveis e moedas eletrônicas.
• Todo avanço tecnológico traz consigo um risco agregado, cabendo ao BCB, no caso do SFN, estar constantemente preparado a essas inovações.
• O segmento de TIC é muito dinâmico e requer um ritmo acelerado de ações e inovações multidisciplinares com vistas a que os benefícios e o desenvolvimento econômico e social sejam sustentáveis ao longo do tempo.
Desafios futurosDesafios futuros
28
• Apesar de todos os desafios aqui apresentados, o Banco Central se sente seguro e preparado para enfrentar as evoluções decorrentes dos avanços tecnológicos no mercado financeiro e combater as fraudes eletrônicas.
• É lícito afirmar que o Banco Central caminha na trilha da segurança cibernética, de forma a assegurar, não apenas a eficiência, mas também a solidez e segurança do Sistema Financeiro Nacional, em todos os níveis.
• Há política volta para realização dos investimentos necessários para manter os mecanismos de proteção e controle em constante aprimoramento, através da implantação de uma regulamentação apropriada, de um forte alinhamento à boas práticas internacionais e uma supervisão efetiva.
Considerações finaisConsiderações finais
29
• O BCB está receptivo a qualquer ação que possibilite o intercâmbio de informações e conhecimentos, inclusive participando de grupos ou comitês que venham a ser criados pelo Governo com essa finalidade.
• Nesse sentido, estamos dispostos a colaborar e participar, na forma que vier a ser definida, do Comitê Gestor de Atividades Cibernéticas, com o objetivo de estabelecer metas de longo prazo para promover o desenvolvimento das atividades de cibernética e de tecnologia da informação.
Considerações finaisConsiderações finais
Obrigado.Obrigado.
Geraldo Magela SiqueiraSecretário-Executivo