0
0
Questão de responsabilidade foi apontada por superintendente do Banco Safra, mas especialista defende que âncora deve ser LGPD
O tema de compartilhamento de dados entre empresas e a responsabilidade em caso de vazamento foi tema de discussão no painel “Privacidade, compliance e a relações de confiança e segurança cibernética”, realizado na última quarta-feira (28/6) no Febraban Tech 2023. Segundo a Resolução 4893/2021 do Banco Central (Bacen), os bancos precisam avaliar a segurança das empresas com as quais compartilham dados de clientes e garantir que sigam determinado nível.
A questão é que este nível de cibersegurança não está claro, disse Ricardo Nilsen, superintendente de Segurança Cibernética no Banco Safra. “O parceiro precisa seguir um nível, mas o difícil é levar em conta qual é esse nível e se é o mesmo exigido dos bancos”, questionou. Ainda segundo ele, essa é a maior dificuldade com a regulação do Bacen e ainda não se chegou a um consenso nos debates dentro da Febraban.
Alessandra Monteiro Martins, vice-presidente do Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados (Ibraspd), argumentou que, se a resolução do Bacen não deixa claro, a Lei Geral de Privacidade de Dados (LGPD) deixa. “Com quem o cliente tem relação? É com o banco, então ele é o responsável pelos dados”, disse.
Segundo ela, os bancos precisam olhar para os parceiros de acordo com o nível de dado que está compartilhando. Se compartilha dado sensível, a régua sobe em comparação com o parceiro que só recebe nome e e-mail do cliente.
Regulação pede o mínimo
Maria Teresa Tolu Brasil, gerente-executiva de Segurança Cibernética do Bradesco, ainda aponta que a regulação brasileira deixa claro o mínimo que se precisa atender de segurança para enfrentar os desafios de cibersegurança, o que ajuda o setor financeiro a se guiar.
Nilsen, do Safra, lembra que a regulação é imprescindível para padronizar o mercado, só que é necessário tomar cuidado para que um relatório de compliance e uma certificação não sirvam de garantia de que um banco está totalmente seguro. Segundo ele, às vezes, o board pode ter essa visão quando o CISO apresentar um novo projeto de segurança e não incentivar novos investimentos em cibersegurança.
Além disso, ele elogiou a resolução 4893 do Bacen por não ser muito específica, exigindo que as instituições tenham o mínimo de um programa de cibersegurança, com gestão de vulnerabilidades e resposta a incidentes. Isso permite que os bancos acompanhem a evolução das soluções de cibersegurança.
O PCI vigente, por exemplo, exige que se tenha um antivírus com atualização diária quando as soluções hoje trabalham com base no comportamento. Isso limita a defesa dos bancos, que são obrigados a investir em soluções defasadas para não perder a certificação, algo que não ocorre com a resolução do Bacen.
Conscientização do cliente
Alessandra, do Ibraspd, também alertou para a falta de conscientização das pessoas, principalmente quando ciberataques se aproveitam de inocência e da ambição delas. Ela defende que é preciso reconhecer quando uma proposta é boa demais e que não são todas as pessoas que têm consciência da cibersegurança.
Maria Teresa, do Bradesco, concorda e disse que a comunicação com o cliente é necessária. Segundo ela, o Bradesco opta por educação, alertando o cliente sobre golpes e como identificá-los. Também ensina como se comportar online para diminuir as chances de cair em golpes. “A conscientização precisa ser rápida, simples e informal para que as pessoas gostem de ouvir aquilo e tragam para o dia a dia.”
Ainda segundo Alessandra, é preciso melhorar o processo de detecção de fraude e que o deepfake já está conseguindo quebrar a autenticação por biometria facial até de bancos. Maria Teresa diz que os bancos precisam aprender a identificar esse acesso e entender se é válido com base no comportamento. Segundo ela, o mercado financeiro investe em identificação, autenticação e biometria.
Nilsen, do Safra, aponta para a automação como forma de responder. “Não dá pra esperar o SOC responder porque pode demorar de três a quatro horas”, diz. As respostas automatizadas podem conter ataques o mais rápido possível. Ele admite que o falso positivo é risco, mas dano é menor que um ataque verdadeiro.
FONTE: IP NEWS