A Política de Segurança Cibernética das empresas do setor deve ser compatível com o porte, a complexidade, o modelo de negócio e o perfil de risco da supervisionada, nos termos da regulamentação vigente. A recomendação faz parte do “Manual de Orientações sobre Segurança Cibernética”, que a Susep está disponibilizando para as empresas do setor. Segundo a autarquia, essa política deve ser revisada “no mínimo anualmente” ou sempre que houver alterações relevantes nesses elementos, observando-se sua integração ao plano de negócios.
O manual é aplicável às seguradoras, entidades abertas de previdência complementar, sociedades de capitalização, resseguradores locais, cooperativas de seguros e administradoras de operações de proteção patrimonial mutualista.
O documento tem caráter orientativo e reúne diretrizes para apoiar a implementação dos requisitos mínimos de segurança cibernética previstos na regulamentação vigente. O conteúdo está fundamentado nas Resoluções 416/21, 491/26 e 492/26 do CNSP, bem como nas Circulares 638/21 e 700/24 da Susep.
O manual recomenda ainda que as supervisionadas mantenham uma “Política de Segurança Cibernética” que estabeleça, no mínimo: os objetivos de segurança cibernética; o compromisso dos órgãos de administração com a segurança cibernética e com a melhoria contínua dos processos, procedimentos e controles a ela relacionados; os critérios de classificação de dados, serviços, incidentes e vulnerabilidades; as diretrizes para implementação de processos, procedimentos e controles de segurança; e regras para terceirização e computação em nuvem.
Há ainda a recomendação no sentido de essa política ser estruturada a partir de critérios claros e objetivos para a classificação de dados e diretrizes aplicáveis à terceirização, especialmente no caso de serviços relevantes. “Nesse contexto, é recomendável que as diretrizes relativas à terceirização e à computação em nuvem estejam incorporadas à Política de Segurança Cibernética, ainda que possam ser detalhadas em regramentos específicos, assegurando referência expressa, coerência e articulação entre os documentos. Essa integração contribui para o fortalecimento da governança e para a consistência do arcabouço de segurança cibernética”, acentua a autarquia.
Além do manual, a Susep disponibiliza em seu portal uma página dedicada à supervisão de segurança cibernética, reunindo informações sobre a supervisão da matéria pela Autarquia, a regulamentação aplicável, materiais de orientação e outros conteúdos de interesse das entidades supervisionadas.
Fonte: CQCS








