Radar

CFTC altera regras de cibersegurança para mercados organizados e repositórios de transações

Mercados SecundáriosTecnologia e High-frequency Trading

A CFTC editou, em setembro, modificações nas regras de salvaguarda para mercados organizados e repositório de informações sobre transações com derivativos (Exchange Final Rules) e para câmaras de compensação e liquidação de derivativos (Clearing Final Rules). As alterações visam aprimorar e esclarecer requerimentos já existentes ligados a testes de cibersegurança e análises de sistemas de risco. Entre as medidas, destaca-se a definição e especificação de cinco tipos de testes de segurança cibernética:

• Testes de vulnerabilidades, que buscam determinar quais informações são detectadas pelas análises de reconhecimento dos sistemas automatizados e as vulnerabilidades envolvidas;
• Testes de Controle, atrelados à avaliação das medidas voltadas a garantir a capacidade dos sistemas em proteger e garantir a confidencialidade, integridade e disponibilidade dos dados e informações;
• Testes de penetração de invasores, internos ou externos;
• Testes de plano de resposta a incidentes, voltados a certificar a capacidade de reação tempestiva a incidentes e medidas para a continuidade dos negócios;
• Avaliação do risco tecnológico da empresa, buscando analisar as ameaças e vulnerabilidades para as operações e ativos da empresa e de demais participantes do mercado.

As frequências dos testes são determinadas de acordo com análises específicas de risco para cada instituição. Com exceção de determinadas entidades de mercados organizados, há ainda alguns requisitos mínimos de periodicidade. Nesse sentido, os testes de vulnerabilidade deverão ser conduzidos com frequência mínima trimestral. Já testes de penetração, de planos de resposta a incidentes e avaliação dos riscos tecnológicos, ao menos uma vez ao ano. Por fim, os testes de controles poderão ser conduzidos em base rotativa, entretanto, controles-chave, atrelados a áreas críticas para a instituição ou que envolvem mudanças mais frequentes, deverão ocorrer no mínimo de três em três anos.

A condução dos testes poderá ser realizada pelo corpo técnico da própria instituição, desde que não sejam os responsáveis pelo desenvolvimento ou operação dos sistemas ou competências a serem testados. Entretanto, são requeridas, novamente com exceção de algumas entidades de mercados organizados, determinadas avaliações através de contratantes independentes, como nos testes de penetração e de cada controle-chave.

No que ser refere à governança, as novas exigências também determinam que relatórios de protocolo dos testes e de resultados sejam comunicados e revisados pela alta gestão e corpo de diretores das instituições, bem como, sejam estabelecidos procedimentos apropriados de correção frente a problemas identificados e revisões para avaliação da efetividade de tais testes e protocolos. As instituições também devem conduzir e documentar uma análise adequada dos riscos apresentados pelas vulnerabilidades e deficiências identificadas e apontar se foram remediados ou admitidos. Adicionalmente, as regras também buscam esclarecer as disposições relativas ao escopo dos testes de sistemas de salvaguarda, à avaliação dos resultados, relatórios internos e reparação de vulnerabilidades e deficiências identificadas.

No caso do Brasil destaca-se o lançamento, em 4/8, do Guia de cibersegurança da ANBIMA. O documento reúne práticas e procedimentos que auxiliam o desenvolvimento de uma política de segurança cibernética, levando em conta a experiência do mercado local e o que está sendo feito no mercado internacional. De adesão voluntária, o Guia tem como objetivo servir como referência para os responsáveis pela implementação dessas políticas nas instituições e para a educação das equipes. As ações descritas não constituem uma lista única e exaustiva de cibersegurança e, como o tema evolui rapidamente, o documento será atualizado sempre que necessário.