A nova estratégia de segurança cibernética da Superintendência de Bancos, Seguros e AFP (SBS) do Peru busca melhorar o fluxo de informações entre as instituições financeiras, atualizar as capacidades de supervisão e estabelecer um comitê de alto nível para a tomada de decisões.
Em conversa com a iupana, o superintendente Sergio Espinosa aprofundou os eixos da estratégia, impulsionada pelos desafios trazidos pela digitalização dos produtos financeiros. Para ter uma visão abrangente e atualizada, a SBS recorreu ao Fundo Monetário Internacional (FMI), cujas recomendações serão incorporadas a esse novo roteiro.
1.Relatar tentativas de ataques:
Uma das principais mudanças será a ampliação da notificação de incidentes cibernéticos. Atualmente, as instituições são obrigadas a relatar apenas aqueles com consequências ou impactos, mas o objetivo é que elas também relatem tentativas de ataques.
“É o banco ou a instituição que descobre que foi violado, mas essa é uma informação que precisa fluir além de uma instituição, pois pode ser muito útil tanto para os pares do setor privado quanto para as instituições públicas acompanharem o que está acontecendo e como está acontecendo”, diz o superintendente.
A estratégia prevê mecanismos de troca de informações entre entidades privadas e também com o setor público, o que exige a participação ativa do sistema financeiro, pois são essas entidades que gerenciam a segurança e concentram as principais informações sobre tentativas de ataques e eventos críticos.
Essa emenda resolverá um problema que vários profissionais relataram a este jornal: o medo de compartilhar informações devido a possíveis danos à reputação. No entanto, o alerta de uma instituição poderia antecipar ataques semelhantes a seus pares. Agora, a transparência e o compartilhamento de informações serão promovidos pelo órgão regulador.
“O setor privado e o setor público: [informações] de ambas as direções e ambas as fórmulas”, resume Espinosa.
2.Atualização do supervisor e dos talentos:
Um lugar comum no setor financeiro é que a regulamentação está atrasada em relação à inovação. Isso resulta em processos lentos e, muitas vezes, na ausência de áreas especializadas dentro dos próprios reguladores.
Por esse motivo, outro eixo fundamental da estratégia de segurança cibernética é a atualização dos perfis de supervisão, de acordo com os desafios trazidos pela digitalização.
“Precisamos revisar e atualizar os perfis de nossos supervisores”, diz o funcionário.
Nessa renovação, a entidade criou áreas especializadas em segurança cibernética e também está fazendo licitações para contratar talentos, já que as empresas privadas também estão em busca de talentos. O superintendente reconhece que há lacunas a serem preenchidas. “Acho que há talentos nessa área especializada na Superintendência, mas não o suficiente”, reconhece Espinosa. Para acompanhar o ritmo das novas tecnologias, a SBS recorreu a empresas especializadas para obter apoio nas tarefas de auditoria, uma experiência que ele considera positiva e que planeja manter.
“A Superintendência pode e tem contratado terceiros para verificar certos aspectos da segurança cibernética, por exemplo, em uma instituição financeira, porque eles têm as ferramentas e o conhecimento que nós não temos”, diz ele.
3.Um comitê de alto nível:
A terceira iniciativa é a implementação de uma estratégia nacional para a segurança cibernética no sistema financeiro, sob a égide de um comitê de alto nível que envolve, coordena e alinha as iniciativas de instituições públicas relacionadas.
Esse comitê é liderado pela SBS e envolve funcionários do Banco Central de Reserva do Peru, do Ministério da Economia e Finanças e da Superintendência do Mercado de Valores Mobiliários, conforme recomendado pelo FMI.
Com essas três iniciativas, o órgão regulador peruano busca antecipar um cenário em que as ameaças se tornarão tão sofisticadas quanto os serviços digitais.
“Trata-se de ter uma estratégia nacional que identifique os principais riscos que enfrentamos e as respostas sugeridas para esses riscos”, disse Espinosa.