A ANBIMA (Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais) publica hoje, no Dia Internacional de Cibersegurança, o Guia para Contratação de Terceiros e Nuvem. O documento tem como objetivo ajudar as instituições a reduzir riscos ao contratar serviços externos de armazenamento de dados e colaboradores externos para a área de Tecnologia da Informação. 

O novo ambiente, cuja utilização foi intensificada durante a pandemia de covid-19, acelerou a tendência de contratação de serviços de computação em nuvem por instituições do mundo inteiro e acendeu a luz amarela de reguladores de diversos países, cada vez mais preocupados com a segurança dos dados armazenados e computados em ambiente virtual. 

“A definição dos critérios para a seleção dos prestadores de serviço de computação em nuvem passou a ser um desafio para as equipes responsáveis pela segurança cibernética das instituições” afirma Gustavo Kruel, coordenador do Grupo Consultivo de Cibersegurança da ANBIMA. 

A proposta para a criação do documento nasceu da constatação de que, apesar dos esforços regulatórios.  

De acordo com Kruel, “a facilidade para contratar soluções de softwares acessados pela internet ampliou significativamente a ocorrência de episódios de Shadow IT nas instituições”. Ele refere-se à contratação e ao uso de hardware, software ou serviços em nuvem sem o conhecimento da área de TI das casas, o que compromete a segurança cibernética.  

O guia da ANBIMA não é de cumprimento obrigatório, mas é um aliado na seleção dos prestadores desse tipo de serviço. Com linguagem acessível não somente a profissionais de TI, o material reforça conceitos gerais sobre a computação em nuvem, os modelos de implantação e os tipos de serviço existentes. 

Também foi incluído um modelo de questionário de due diligence que as instituições podem aplicar a seus fornecedores antes, durante e depois da contratação do serviço. A lista contém tópicos para atestar se o prestador de serviços realiza testes periódicos de backup e ações de conscientização de segurança das informações voltadas a funcionários, além de verificar se ele possui plano de resposta a incidentes de cibersegurança. 

“Nosso quadro de associados e aderentes aos códigos de autorregulação é muito diverso, com instituições de diferentes tamanhos. O guia vai ajudar todas elas na contratação de terceiros e serviços em nuvem”, comenta Kruel.

Outras iniciativas

O lançamento deste guia, elaborado pelo Grupo Consultivo de Cibersegurança da Associação, é apenas uma das iniciativas da agenda da entidade sobre segurança cibernética. Em agosto deste ano, foi publicado um e-book para orientar e incentivar o mercado na troca de informações sobre incidentes e ameaças cibernéticas. Além disso, o Guia de Cibersegurança chegou à terceira edição no ano passado, com a inclusão de medidas ligadas aos impactos da pandemia de covid-19.