Ao mesmo tempo em que as transformações digitais e o surgimento de novas tecnologias no mercado financeiro oferecem oportunidades para o crescimento do setor, também geram novos riscos e desafios para empresas e organismo públicos. Percebendo esse impacto, a Comissão de Valores Mobiliários da Malásia (CS) lançou um documento consultivo sobre uma nova estrutura para o gerenciamento de riscos tecnológicos.
Essa iniciativa segue o histórico recente da instituição, afinal, a CS da Malásia já havia publicado um documento similar em 2016 contendo o quadro regulamentar proposto para resiliência de cibersegurança. Posteriormente, a partir do feedback recebido, a CS emitiu as Diretrizes para a Gestão do Risco Cibernético de entidades do mercado de capitais.
De acordo com a comissão, desde então, a adoção de novas tecnologias no mercado de capitais se expandiu rapidamente para incluir tecnologias como inteligência artificial (IA), machine learning (ML) e tecnologia de contabilidade distribuída (DLT).
Em 2023, cerca de 5 anos depois, para fortalecer a capacidade do mercado de capitais de detectar e mitigar os riscos que acompanham essas inovações, a CS está propondo a introdução de um quadro regulatório abrangente que inclui a gestão de riscos tecnológicos, gerenciamento de dados e princípios relacionados à adoção de IA e ML.
Entenda a abordagem geral da CS malaia para a gestão de riscos tecnológicos
De acordo com a comissão, riscos tecnológicos são decorrentes da utilização de tecnologias da informação e envolvem falhas ou violações de sistemas, plataformas e infraestruturas. Esses riscos, eventualmente, podem resultar em perdas financeiras, interrupções de serviços e operações ou danos à reputação de uma entidade do mercado de capitais.
Por isso, a Comissão de Valores Mobiliários da Malásia está propondo uma nova estrutura de gerenciamento de risco tecnológico e entende que ela deve ser incorporada às estruturas mais gerais de gerenciamento.
De um modo geral, essa estrutura proposta é um misto de princípios com requisitos práticos e inclui a identificação, avaliação e mitigação de riscos, bem como a revisão e a comunicação de informações sobre qualquer tecnologia aplicada pela instituição.
Além disso ela abrange tópicos como governança, estruturas para seguranças cibernética e gestão de provedores de tecnologia.
Gerenciamento de risco cibernético deve se adequar a cada caso
Além da abordagem geral, a comissão malaia propôs uma abordagem específica para segurança cibernética. As diretrizes destacam que as entidades do mercado de capitais devem articular governança e controles que sejam proporcionais ao risco e ao seu perfil empresarial para garantir a interoperabilidade e a privacidade das informações comerciais da entidade e dos seus clientes.
Para atingir esses objetivos, a CS sugere, primeiramente, que a instituição financeira identifique o seu ambiente de negócios para compreender o grau de risco da sua atividade. Isto é, se envolve informações sensíveis ou que possivelmente atrairiam ataques cibernéticos.
Em seguida, a partir da identificação das possíveis ameaças, o gerenciamento de risco precisa implementar medidas como procedimentos de verificação das suas estruturas. Esses procedimentos devem ser adequados aos tipos de riscos identificados previamente, contendo uma resposta particular a cada um dos casos.
Um ponto ainda abordado pela comissão é a possibilidade de uma entidade pode não ser capaz de identificar todos os tipos ameaças. Naturalmente, além do desafio da implementação das diretrizes por si só, novos tipos de vírus e riscos estão sempre surgindo diariamente, exigindo uma constante atualização das normas de segurança.
Por isso, é recomendado que a instituição desenvolva uma estratégia adequada para se recuperar de uma violação e restabelecer, minimamente, suas capacidades e serviços, mesmo que em uma plataforma temporária.
Para facilitar a identificação desses cenários e garantir o gerenciamento adequado dos riscos, a comissão sugere a realização de simulações controladas por uma empresa especializada.
Gerenciamento de risco deve abranger todo o ciclo de vida dos dados
Já com relação ao gerenciamento de risco voltados para informações compartilhadas, a nova abordagem sugere que políticas e procedimentos abranjam todo o ciclo de vida, desde a aquisição ou coleta até a eliminação dos dados.
Como medidas práticas, a comissão propõe que as instituições do mercado de capitais definam claramente os responsáveis pela propriedade, uso e o compartilhamento dos dados, a fim de garantir a confidencialidade, a integridade e a disponibilidade dos mesmos.
Ademais é necessário, ainda, estabelecer o monitoramento periódico dos dados com relação a qualidade, a segurança, privacidade, o armazenamento e a eliminação das informações acumuladas.
Os procedimentos de revisão, por sua vez, precisam incluir a realização de relatórios, voltados à alta administração e ao Conselho, com recomendações de aprimoramentos ou medidas corretivas para resolver lacunas nas políticas e procedimentos de gerenciamento.
Além disso, o Conselho de Administração deverá nomear uma pessoa responsável por garantir que requisitos e procedimentos de gestão de dados sejam realizados pelas entidades do mercado de capitais. Sendo, também, de responsabilidade da instituição fornecer treinamento contínuo para o Conselho e seus funcionários com relação a segurança dos dados.
Por fim, a comissão reconheceu como o uso de inteligência artificial e machine learning vem, cada vez mais, ganhando espaço entre as empresas do mercado de capitais, e, por isso, a utilização dessas ferramentas tecnológicas na garantia de segurança e gerenciamento de riscos torna-se recomendável para os agentes do mercado.
Gerenciamento voltado para IA e Machine Learning
Em geral, os princípios de gerenciamento de risco focam em responsabilidade; transparência; justiça e não discriminação. Assim, os princípios estabelecem que o conselho e a alta administração das entidades do mercado de capitais são responsáveis pelas consequências do uso de IA e ML.
Além disso, as instituições precisam deixar claro aos clientes e investidores como funcionam essas tecnologias e porque determinada decisão foi indicada pelo sistema de inteligência artificial ou machine learning, dependendo do caso.
É também de responsabilidade das entidades registrar e documentar os dados utilizados, os processos e as decisões tomadas por meio de IA e ML, de modo que possam ser analisados se necessário. Ademais, as organizações devem se assegurar que essas tecnologias sejam projetadas respeitando direitos humanos, valores democráticos e diversidade.
Veja mais:
CVM divulga parecer sobre criptoativos: veja as principais orientações
Índia, China e Singapura avançam na proteção de dados pessoais
Influenciadores digitais aplicam esquema de fraude na bolsa norte-americana
Machine learning como ferramenta de combate à lavagem dinheiro
Tecnologias financeiras estão no horizonte da Nova Rota da Seda