Do controle técnico à resiliência institucional: o novo direcionamento do Banco Central
Se a sua organização ainda trata cibersegurança como um assunto de TI, ela já está atrasada — e o Banco Central começou a cobrar isso formalmente. Em nossa atuação com instituições financeiras de diferentes portes, o que observamos com frequência não é ausência de tecnologia: é ausência de governança. Ferramentas existem, processos não. Controles estão documentados, mas nunca foram testados. A segurança é responsabilidade de uma equipe técnica que raramente fala com o conselho.
As Resoluções CMN nº 5.274/2025 e BCB nº 538/2025 materializam essa virada: o regulador deixa de aceitar declarações de conformidade e passa a exigir evidência operacional. Controles técnicos, planos diretores, testes periódicos e prestação de contas formal à alta administração — tudo isso passa a ser auditável e testável. O que antes era interpretado como “boa prática” agora tem prazo, periodicidade e consequência.
De tecnologia para governança: a raiz dos incidentes
O movimento regulatório reflete uma constatação madura: muitos incidentes não decorrem da ausência de tecnologia, mas da fragmentação entre decisão executiva, operação de TI e gestão de riscos.
Quando a segurança permanece encapsulada em áreas técnicas, a resposta tende a ser reativa, episódica e desalinhada ao negócio. O Banco Central, ao elevar o nível de exigência, reforça que segurança deve ser tratada como disciplina de governança — e não como um conjunto de ferramentas isoladas. Na prática, o que vemos com frequência em processos de avaliação de maturidade é que as lacunas mais críticas não estão nas ferramentas — estão na ausência de integração entre segurança, risco e negócio, e na falta de testes que validem se os controles existentes realmente funcionam sob pressão.
Marco regulatório e elevação do padrão mínimo
O fortalecimento do arcabouço regulatório — com destaque para as Resoluções CMN nº 5.274/2025 e BCB nº 538/2025 — estabelece um novo patamar de maturidade para o setor financeiro, incluindo a obrigatoriedade de testes de intrusão (pentest) e maior rigor na gestão de riscos cibernéticos.
Entre os controles exigidos — e que passam a ter caráter obrigatório e auditável — estão:
- autenticação multifator
- criptografia
- testes de invasão (pentest)
- segmentação de redes
- gestão de certificados digitais
O efeito combinado dessas medidas é a redução de interpretações flexíveis sobre “boas práticas”, substituindo-as por requisitos objetivos, testáveis e auditáveis.
Conformidade como ciclo contínuo — não como evento
Ao estabelecer periodicidade mínima para avaliações, exigir planos diretores e reforçar testes de continuidade, o regulador deixa claro que conformidade não é um marco pontual, mas um ciclo contínuo de evidência, validação e melhoria.
Isso implica:
- maior disciplina documental
- rastreabilidade de controles
- validação prática (e não apenas declaratória)
- integração entre áreas
Em outras palavras, controles “de papel” deixam de ser aceitáveis.
Governança além da TI: independência e integração
Um dos pontos mais estratégicos é a separação entre a função de segurança da informação e a estrutura tradicional de TI.
A lógica é objetiva: quem opera a tecnologia não deve definir, sozinho, o nível de risco aceitável nem validar sua própria conformidade.
Organizações maduras estruturam a segurança de forma integrada com:
- risco
- compliance
- jurídico
- auditoria
- negócios
sempre com patrocínio direto da alta administração.
Nuvem, terceiros e o risco da cadeia digital
A ampliação do uso de nuvem e serviços terceirizados introduz um vetor crítico de risco: dependência de terceiros e exposição transfronteiriça.
O Banco Central reforça que a terceirização não transfere responsabilidade — exigindo:
- cláusulas contratuais robustas
- direito de auditoria
- evidências de resiliência
- testes de continuidade
- mecanismos de saída efetivos
Na prática, a gestão de terceiros precisa evoluir de questionários estáticos para monitoramento contínuo e validação operacional.
IA e integridade de dados: o novo perímetro da segurança
A inclusão de riscos associados à inteligência artificial, como o data poisoning, amplia o escopo da cibersegurança.
O foco deixa de ser apenas:
- perímetro
- identidade
- endpoint
e passa a incluir:
- integridade de dados
- governança de modelos
- validação de decisões automatizadas
Esse movimento evidencia a convergência entre cibersegurança, antifraude e governança de IA em torno de um único objetivo: confiança digital.
O papel do pentest na nova exigência regulatória
Nesse contexto, o pentest deixa de ser uma prática pontual e passa a ocupar papel central na governança de segurança.
Mais do que identificar vulnerabilidades, o pentest:
- valida controles na prática
- traduz riscos técnicos em impacto de negócio
- prioriza investimentos com base em evidência
- fortalece a confiança com reguladores e stakeholders
Como reforçado pelo mercado, o pentest já é tratado como exigência regulatória e elemento-chave de maturidade digital.
Implicações para executivos: evidência, integração e teste
O direcionamento é inequívoco: maturidade passa a ser medida por evidência operacional.
Isso significa:
- políticas implementadas e testadas
- controles monitorados continuamente
- métricas de risco e remediação
- integração entre áreas
Ferramentas isoladas deixam de ser suficientes — o foco passa a ser eficácia comprovada.
Conclusão: cibersegurança como pilar de estabilidade institucional
O Banco Central consolida uma visão em que a cibersegurança é componente essencial da estabilidade do sistema financeiro, e não uma função acessória de tecnologia.
Para as organizações, isso redefine prioridades, amplia o papel do conselho e eleva o nível de exigência sobre toda a cadeia de valor.
O desafio não é apenas cumprir a norma — é construir uma capacidade contínua de resistir, responder e se recuperar. A pergunta que todo executivo deve se fazer hoje não é “estamos em conformidade?”, mas “conseguimos provar isso operacionalmente — e o que acontece se formos testados amanhã?”
Quer entender o nível de maturidade da sua organização frente às novas exigências do Banco Central? Entre em contato com a equipe da CLA Brasil para uma avaliação diagnóstica.
Por Paulo Baldin, CISO e Sócio Diretor de Cybersegurança | CLA Brasil
