Política formal de segurança cibernética
Uma política aprovada pela alta administração, compatível com o porte e o perfil de risco da instituição, com objetivos, diretrizes e responsabilidades de segurança da informação claramente estabelecidos.
WHITEPAPER · REGULAÇÃO BANCO CENTRAL
Como a gestão contínua de superfície de ataque externa apoia instituições autorizadas pelo Banco Central a atender às exigências de segurança cibernética das Resoluções CMN nº 4.893/2021 e nº 4.557/2017 — com descoberta de ativos, validação de exploitabilidade e evidência auditável.
SUMÁRIO EXECUTIVO
O Conselho Monetário Nacional (CMN) e o Banco Central do Brasil estabeleceram um arcabouço regulatório que obriga instituições financeiras e de pagamento a manter uma política formal de segurança cibernética, a gerenciar riscos cibernéticos como parte da sua estrutura de gerenciamento de riscos e a controlar os riscos associados à contratação de serviços de processamento, armazenamento de dados e computação em nuvem.
Esse arcabouço é orientado a princípios e a resultados: ele exige que a instituição demonstre, de forma documentada e verificável, que conhece seus ativos, identifica suas vulnerabilidades, avalia seus riscos, testa seus controles e responde a incidentes — sem prescrever uma ferramenta específica para cada obrigação. A fiscalização do Banco Central opera sobre evidência; declarações de intenção, sem lastro técnico, são insuficientes.
A maior parte das superfícies de ataque hoje exploradas começa fora do perímetro tradicional: domínios e subdomínios esquecidos, ambientes de homologação expostos, ativos de subsidiárias e da cadeia de fornecedores, credenciais corporativas vazadas e serviços em nuvem mal configurados. É exatamente essa camada — a superfície de ataque externa — que a CSURFACE descobre, monitora e prioriza continuamente.
Este whitepaper mapeia, de forma temática, os requisitos de segurança cibernética da regulação do Banco Central às capacidades da plataforma CSURFACE, delimitando com precisão o escopo de cobertura: a CSURFACE atua sobre a exposição externa e produz evidência técnica auditável; ela apoia a conformidade — não a substitui. A governança, a definição de políticas, a resposta a incidentes e os controles internos permanecem sob responsabilidade da instituição.
1 · CONTEXTO REGULATÓRIO
A segurança cibernética das instituições reguladas pelo Banco Central do Brasil está ancorada em duas resoluções do Conselho Monetário Nacional que se complementam: uma trata especificamente da política de segurança cibernética e da nuvem; a outra trata da estrutura de gerenciamento de riscos na qual o risco cibernético se insere.
A Resolução CMN nº 4.893/2021 dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por instituições autorizadas a funcionar pelo Banco Central. Ela consolidou e atualizou o arcabouço anteriormente estabelecido pela Resolução CMN nº 4.658/2018.
Em linhas gerais, a 4.893/2021 exige que a instituição:
A Resolução CMN nº 4.557/2017 dispõe sobre a estrutura de gerenciamento de riscos e de capital das instituições financeiras. Ela exige uma estrutura de gerenciamento contínuo e integrado de riscos — abrangendo, entre outros, o risco operacional, no qual se enquadram os riscos decorrentes de falhas de segurança da informação e de sistemas, e o risco associado à terceirização.
Em conjunto, as duas resoluções estabelecem que o risco cibernético não é um assunto isolado da área técnica: ele deve ser identificado, mensurado, avaliado, monitorado, controlado e reportado dentro da estrutura formal de gerenciamento de riscos da instituição, com papéis definidos e prestação de contas à alta administração.
A quem se aplica. O arcabouço alcança instituições autorizadas a funcionar pelo Banco Central do Brasil — bancos, cooperativas de crédito, instituições de pagamento e demais entidades supervisionadas —, observados o porte e a natureza das operações de cada uma. Outras normas setoriais e a regulamentação aplicável às instituições de pagamento complementam esse conjunto, mas mantêm a mesma lógica: política formal, gestão de risco e demonstração de controle.
2 · REQUISITOS-CHAVE
Lendo as Resoluções CMN nº 4.893/2021 e nº 4.557/2017 de forma temática, sete áreas concentram as exigências de segurança cibernética que tocam diretamente a superfície de ataque.
Uma política aprovada pela alta administração, compatível com o porte e o perfil de risco da instituição, com objetivos, diretrizes e responsabilidades de segurança da informação claramente estabelecidos.
O risco cibernético tratado dentro da estrutura de gerenciamento de riscos: identificado, mensurado, avaliado, monitorado e reportado de forma contínua e integrada, com prestação de contas à diretoria.
Procedimentos e controles para prevenção, detecção e tratamento de incidentes relevantes, com registro, classificação, análise de causa e comunicação aos envolvidos e ao regulador quando aplicável.
A instituição precisa conhecer os ativos de informação que sustentam suas operações — incluindo os expostos à internet — para poder protegê-los. Não se gerencia o risco do que não se enxerga.
Avaliação periódica da eficácia dos controles de segurança, identificação de vulnerabilidades e verificação de que as correções aplicadas efetivamente reduziram a exposição.
Diligência prévia e monitoramento contínuo de prestadores de serviços de processamento, armazenamento de dados e computação em nuvem — e da cadeia de fornecedores relevante para a operação.
Designação de um diretor responsável pela política de segurança cibernética, revisão e atualização periódica dos documentos e controles, e divulgação ao público das linhas gerais da política. A governança fecha o ciclo: define quem responde, com que frequência se revisa e o que se comunica.
3 · COMO A CSURFACE ATENDE
A CSURFACE é uma plataforma de gestão de superfície de ataque externa. Ela não cobre toda a regulação — cobre, com profundidade, a camada de exposição externa, que concentra a origem da maior parte dos vetores de ataque explorados contra instituições financeiras. A seguir, cada área regulatória é mapeada à capacidade correspondente da plataforma.
A regulação exige que a instituição conheça os ativos que sustentam suas operações. Na prática, o que com maior frequência escapa ao controle é o que opera fora do conhecimento da área de segurança: subdomínios abandonados, ambientes de homologação publicados sem controle, ativos de subsidiárias incorporadas, certificados e serviços expostos por equipes sem interface formal com a função de segurança da informação. O inventário oficial registra apenas o que já é conhecido.
A CSURFACE descobre continuamente a superfície de ataque externa da instituição usando Machine Learning para correlacionar domínios, certificados, blocos de rede, serviços e tecnologias e atribuí-los à organização — inclusive shadow IT e a presença digital de fornecedores. O resultado é um inventário externo dinâmico, atualizado de forma automática e contínua à medida que a superfície de exposição evolui — não um levantamento pontual sujeito à deterioração imediata. Cada ativo descoberto é classificado por criticidade, fornecendo à área de risco a base factual necessária para a priorização estruturada do tratamento.
Identificar ativos e vulnerabilidades é condição necessária, mas não suficiente; a regulação exige que o risco seja mensurado, avaliado e reportado. A CSURFACE prioriza as exposições pela exploitabilidade real — cruzando threat intelligence, exploits ativos e catálogos de exploração ativa com a criticidade de cada ativo. O resultado é uma fila de risco ordenada e objetivamente justificável, que substitui o volume indistinto de achados por uma agenda de tratamento estruturada.
Para a estrutura de gerenciamento de riscos exigida pela Resolução CMN nº 4.557/2017, a CSURFACE traduz a exposição externa em quantificação de risco em valor financeiro — métrica assimilável pela diretoria e pela área de risco, diretamente integrável ao reporte formal de risco operacional. O risco cibernético passa a ser expresso em grandeza comparável aos demais riscos da instituição, permitindo decisões de tratamento com base em critérios objetivos e hierarquizados.
A regulação espera avaliação periódica da eficácia dos controles. A CSURFACE opera de forma contínua — não em ciclos anuais — e, onde há módulos de teste disponíveis, valida ativamente a exploitabilidade de uma exposição, confirmando se ela é de fato atacável. Nos demais casos, a avaliação é por detecção passiva, com correspondência de versão e configuração. Quando uma correção é aplicada, a plataforma reverifica o ativo e confirma se o caminho de ataque foi efetivamente fechado.
Essa validação contínua complementa — não substitui — os testes de intrusão e as avaliações formais que a instituição contrata. Ela reduz a janela sem monitoramento entre avaliações periódicas, período em que novas exposições podem surgir e permanecer sem tratamento.
A Resolução CMN nº 4.893/2021 dedica atenção específica à contratação de serviços em nuvem e à terceirização relevante. A CSURFACE monitora a superfície de ataque externa de fornecedores e prestadores da cadeia digital, identificando exposições em terceiros que podem se converter em risco para a instituição contratante. Para serviços em nuvem, a descoberta identifica ativos e serviços publicados em provedores de nuvem e sinaliza configurações expostas observáveis externamente.
Cabe delimitar o escopo com precisão: a CSURFACE avalia o terceiro a partir da sua exposição externa observável. A diligência contratual, a avaliação de cláusulas, a verificação de localização de dados e a auditoria do prestador permanecem processos da instituição — a plataforma fornece o componente técnico de monitoramento contínuo que sustenta e documenta esses processos.
Um plano de resposta a incidentes eficaz depende de detecção precoce. A CSURFACE monitora o vazamento de credenciais corporativas em fontes públicas e na deep e dark web, alertando quando dados de acesso da instituição ou de seus colaboradores aparecem expostos — frequentemente o primeiro indício de um comprometimento iminente.
Quando uma exposição crítica é descoberta, a plataforma emite alertas priorizados com contexto e sugestão de correção, alimentando o processo de resposta da instituição. A CSURFACE fornece o gatilho e a evidência técnica; a estrutura de resposta — equipe, procedimentos, comunicação ao regulador e análise de causa — é operada pela instituição conforme a sua política.
A política formal, a designação do diretor responsável e a revisão periódica são atos de governança que cabem à instituição. O que a CSURFACE oferece é o insumo factual que dá substância a essa governança: um registro contínuo e datado da superfície de ataque, das exposições identificadas, das priorizações e da evolução da remediação ao longo do tempo. A revisão anual da política passa a se fundamentar em dados objetivos sobre como a exposição externa da instituição evoluiu no período, com evidência factual.
| Área regulatória | Cobertura | Como a CSURFACE contribui |
|---|---|---|
| Identificação e inventário de ativos | Plataforma | Descoberta contínua da superfície externa por Machine Learning — domínios, serviços, nuvem, shadow IT — com classificação automática de criticidade. Cobre o que é exposto à internet; o inventário interno da rede permanece com a instituição. |
| Gestão de riscos cibernéticos | Compartilhada | Priorização por exploitabilidade real e quantificação do risco em valor financeiro, prontos para o reporte de risco operacional. A integração à estrutura formal de risco e as decisões de tratamento são da instituição. |
| Testes e avaliações periódicas | Plataforma | Avaliação contínua da superfície externa; validação ativa de exploitabilidade onde há módulos disponíveis e detecção passiva nos demais casos; reverificação após correção. Complementa, não substitui, o pentest formal. |
| Nuvem e risco de terceiros | Compartilhada | Monitoramento contínuo da superfície externa de fornecedores e de ativos em nuvem. A diligência contratual, a auditoria e a avaliação jurídica do prestador são processos da instituição. |
| Plano de resposta a incidentes | Compartilhada | Monitoramento de credenciais vazadas e alertas priorizados de exposições críticas — gatilho e evidência para a resposta. A operação do plano, a equipe e a comunicação ao regulador são da instituição. |
| Política formal de segurança cibernética | Compartilhada | Fornece dados contínuos da exposição externa que dão substância e base factual à política. A redação, a aprovação e a manutenção da política são da instituição. |
| Governança, revisão e transparência | Compartilhada | Trilha auditável e datada de exposições e remediações, útil à revisão periódica e à prestação de contas. A designação do diretor responsável e a divulgação pública são atos da instituição. |
4 · EVIDÊNCIA PARA A FISCALIZAÇÃO
A supervisão do Banco Central exige evidência verificável — não declarações de intenção. O regulador espera registros que demonstrem que os controles existem, operam de forma eficaz e são periodicamente revisados. A CSURFACE foi projetada para produzir esse registro de forma contínua, datada e exportável.
Um registro contínuo da superfície de ataque externa, com data de descoberta de cada ativo — demonstra que a instituição mantém visibilidade atualizada sobre o que expõe à internet.
Cada exposição identificada fica registrada com severidade, criticidade do ativo e fundamento da priorização — uma trilha que comprova que o risco foi identificado e avaliado, não ignorado.
A reverificação após correção registra quando uma exposição foi aberta e quando foi efetivamente fechada — prova objetiva de que o ciclo de tratamento funciona.
Onde há validação ativa, o registro mostra que a avaliação confirmou — ou descartou — a exploitabilidade real, sustentando decisões de risco com base técnica.
Registros da exposição externa de fornecedores relevantes, que dão substância ao monitoramento contínuo de prestadores exigido para serviços em nuvem e terceirização.
Visões executivas e técnicas exportáveis — para a revisão anual da política, o reporte de risco operacional à diretoria e o atendimento a demandas da supervisão.
5 · CONCLUSÃO
As Resoluções CMN nº 4.893/2021 e nº 4.557/2017 não prescrevem uma tecnologia específica — exigem capacidade demonstrável. Exigem que a instituição conheça o que expõe à internet, mensure o risco que isso representa, teste seus controles, monitore seus fornecedores e responda a incidentes, tudo dentro de uma estrutura de governança com papéis definidos e prestação de contas à alta administração.
A maior parte dessa exigência se materializa na superfície de ataque externa — e é precisamente nela que a CSURFACE atua com profundidade. Descoberta contínua de ativos por Machine Learning, priorização por exploitabilidade real, validação, monitoramento de credenciais vazadas, vigilância da cadeia de fornecedores e quantificação do risco em valor financeiro: cada uma dessas capacidades responde diretamente a uma área da regulação e produz a evidência auditável que a fiscalização espera.
A CSURFACE não promete conformidade automática, e nenhuma plataforma responsável o faria. A política, a governança, a resposta a incidentes e os controles internos permanecem sob responsabilidade da instituição. O que a CSURFACE oferece é a base técnica mais sólida disponível para a camada externa: visibilidade contínua da superfície de exposição, risco quantificado em termos financeiros e uma trilha de evidências estruturada para a supervisão. Para a instituição regulada pelo Banco Central, esses elementos representam a diferença entre apresentar declarações de conformidade e demonstrá-la com dados verificáveis.
PERGUNTAS FREQUENTES
Não. Nenhuma ferramenta confere conformidade automática. A CSURFACE fornece capacidades e evidência auditável que apoiam a instituição no atendimento às Resoluções CMN nº 4.893/2021 e nº 4.557/2017 — especificamente na camada de exposição externa. A política, a governança e os controles internos permanecem responsabilidade da instituição.
Não. A CSURFACE é uma plataforma de gestão de superfície de ataque externa. Ela cobre, com profundidade, a descoberta de ativos expostos, a priorização de risco, a validação de exploitabilidade, o monitoramento de credenciais e de terceiros. Controles internos, segurança de endpoints, processos de RH e governança não fazem parte do seu escopo.
Não — complementa. A CSURFACE opera de forma contínua e reduz a janela de exposição não monitorada entre avaliações formais, validando a exploitabilidade da superfície externa onde há módulos disponíveis. Os testes de intrusão periódicos continuam sendo uma prática recomendada e necessária para a conformidade plena.
A plataforma mantém um registro contínuo e datado da superfície de ataque, das exposições e da remediação. Esse histórico fornece base factual para a revisão periódica da política, para o reporte de risco operacional à diretoria e para o atendimento a demandas da supervisão.
Sim. As exigências de política de segurança cibernética e de gestão de risco alcançam instituições autorizadas pelo Banco Central de forma ampla, observados porte e perfil. A superfície de ataque externa precisa ser gerida em qualquer instituição que opere serviços digitais.
Informe o domínio da sua instituição e receba uma análise preliminar da superfície de ataque externa — o ponto de partida factual para sustentar a conformidade com as Resoluções CMN nº 4.893/2021 e nº 4.557/2017.
Receber análise preliminar