Cuidados com cibersegurança devem ser mandatórios independentemente do tamanho da asset. Mesmo sem plataformas transacionais, estas instituições correm risco de ataques, e custo não é desculpa para a não adoção de medidas de segurança. O que falta, na maioria das vezes, é cultura. As conclusões são dos palestrantes do ANBIMA Debate, evento que aconteceu nesta quinta-feira, 31, em São Paulo, para discutir os principais aspectos relacionados à segurança que devem estar no radar das assets de pequeno e médio portes. Ao todo, 140 pessoas acompanharam o encontro, entre o público presencial e online.

Confira a agenda dos próximos eventos ANBIMA Debate!

O assunto é desafiador, mas não pode ser minimizado. “Uma gestora pequena pode avaliar que não tem os recursos necessários para montar uma estrutura de segurança cibernética, ou não saber por onde começar e quais os pontos mais importantes”, comentou Ricardo Döllinger, presidente do nosso Comitê de Compliance e Chief Operating Officer para a América Latina na área de Compliance do BNP Paribas.

Muitas vezes, essas gestoras consideram que, por não terem plataformas transacionais ou por serem menores, não estão tão sujeitas ao risco. Esse é um paradigma que devemos quebrar. “Quando a instituição é grande, ela aguenta um ataque cibernético: pode até balançar, mas não quebra; se é de pequeno porte, uma pancada pode bastar para ela cair”, disse Rodrigo Fusco, gerente de Tecnologia da M Square Brasil.

Para Jorge Vaz, superintendente de TI do Banco Máxima, fazer o básico já garante resultados para um bom alicerce. E não é tão difícil assim: há soluções de código aberto; é possível terceirizar sem ter uma equipe interna especializada no assunto; e várias das práticas de cibersegurança podem ser aplicadas tanto por grandes instituições como por assets de pequeno porte. Álvaro Teófilo, head de Produtos de Identidade Digital da Tempest, acrescentou: “Não dá para considerar que, por ser menor, a gestora não terá que correr atrás do que existe de melhor no mercado”.

E custo não é desculpa. “Não é tão mais caro fazer bem feito. Há boas soluções open source que não exigem tanto investimento”, comentou Rodrigo Fusco.

Um primeiro passo em direção à segurança cibernética é fazer uma avaliação interna, mapear os riscos, identificar o grau de exposição da empresa e traçar planos de contingência.

Regulação

A necessidade de regular as práticas de cibersegurança é uma certeza do mercado. A discussão atualmente gira em torno de como fazê-la: de forma prescritiva ou baseada em princípios. A primeira descreve  detalhadamente os aspectos que devem ser observados nas medidas de segurança, prevendo situações e como agir em cada uma delas. As normas principiológicas transmitem um conceito mais genérico, que pode ser adaptado a cada situação de acordo com o ambiente da gestora.

Os palestrantes consideram que, nem sempre, uma prescrição detalhada será garantia de efetividade. O que atende a um banco de grande porte, que tem centenas de transações, teria um nível de prescrição que não se aplica a uma pequena asset. “Da mesma forma que a regulamentação voltada para uma gestora de pequeno porte não atende às necessidades de uma grande instituição”, explicou Ricardo Döllinger.

Pesquisa sobre cibersegurança

Iniciamos ontem, dia 30, uma pesquisa sobre cibersegurança com nossos associados. O objetivo é avaliar o grau de maturidade do mercado local em relação às práticas de segurança cibernética. Os resultados contribuirão para o desenvolvimento de iniciativas já em discussão no nosso Grupo Técnico de Cibersegurança. O prazo para o envio das respostas é 15 de setembro.

Caso você seja o responsável pela área de cibersegurança de sua instituição e não tenha recebido a pesquisa, pedimos que nos avise pelo e-mail gabriela.ferreira@anbima.com.br. 

Guia de Cibersegurança

Lançamos um Guia de Cibersegurança que descreve práticas efetivas para orientar as instituições na implementação de um programa de segurança cibernética. A nossa ação segue em linha com o que vem sendo feito no mundo todo: reguladores e autorreguladores passaram a dar maior atenção ao tema, pois os ataques cibernéticos são uma ameaça real aos nossos mercados. Isso decorre do grande volume de recursos e da relevância das informações que circulam pelas instituições financeiras.