Reguladores da Malásia avaliam gerenciamento de risco tecnológico

A Comissão de Valores Mobiliários da Malásia publicou no fim de 2022 um documento consultivo sobre gerenciamento de riscos decorrentes da adoção de novas tecnologias por parte do setor financeiro.
Reguladores da Malásia avaliam gerenciamento de risco tecnológico
Data
Autor
Equipe Propague
Produto
Compartilhar

Ao mesmo tempo em que as transformações digitais e o surgimento de novas tecnologias no mercado financeiro oferecem oportunidades para o crescimento do setor, também geram novos riscos e desafios para empresas e organismo públicos. Percebendo esse impacto, a Comissão de Valores Mobiliários da Malásia (CS) lançou um documento consultivo sobre uma nova estrutura para o gerenciamento de riscos tecnológicos.

Essa iniciativa segue o histórico recente da instituição, afinal, a CS da Malásia já havia publicado um documento similar em 2016 contendo o quadro regulamentar proposto para resiliência de cibersegurança. Posteriormente, a partir do feedback recebido, a CS emitiu as Diretrizes para a Gestão do Risco Cibernético de entidades do mercado de capitais.

De acordo com a comissão, desde então, a adoção de novas tecnologias no mercado de capitais se expandiu rapidamente para incluir tecnologias como inteligência artificial (IA), machine learning (ML) e tecnologia de contabilidade distribuída (DLT).

Em 2023, cerca de 5 anos depois, para fortalecer a capacidade do mercado de capitais de detectar e mitigar os riscos que acompanham essas inovações, a CS está propondo a introdução de um quadro regulatório abrangente que inclui a gestão de riscos tecnológicos, gerenciamento de dados e princípios relacionados à adoção de IA e ML.

Entenda a abordagem geral da CS malaia para a gestão de riscos tecnológicos

De acordo com a comissão, riscos tecnológicos são decorrentes da utilização de tecnologias da informação e envolvem falhas ou violações de sistemas, plataformas e infraestruturas. Esses riscos, eventualmente, podem resultar em perdas financeiras, interrupções de serviços e operações ou danos à reputação de uma entidade do mercado de capitais.

Por isso, a Comissão de Valores Mobiliários da Malásia está propondo uma nova estrutura de gerenciamento de risco tecnológico e entende que ela deve ser incorporada às estruturas mais gerais de gerenciamento.

De um modo geral, essa estrutura proposta é um misto de princípios com requisitos práticos e inclui a identificação, avaliação e mitigação de riscos, bem como a revisão e a comunicação de informações sobre qualquer tecnologia aplicada pela instituição.

Além disso ela abrange tópicos como governança, estruturas para seguranças cibernética e gestão de provedores de tecnologia.

Gerenciamento de risco cibernético deve se adequar a cada caso

Além da abordagem geral, a comissão malaia propôs uma abordagem específica para segurança cibernética. As diretrizes destacam que as entidades do mercado de capitais devem articular governança e controles que sejam proporcionais ao risco e ao seu perfil empresarial para garantir a interoperabilidade e a privacidade das informações comerciais da entidade e dos seus clientes.

Para atingir esses objetivos, a CS sugere, primeiramente, que a instituição financeira identifique o seu ambiente de negócios para compreender o grau de risco da sua atividade. Isto é, se envolve informações sensíveis ou que possivelmente atrairiam ataques cibernéticos.

Em seguida, a partir da identificação das possíveis ameaças, o gerenciamento de risco precisa implementar medidas como procedimentos de verificação das suas estruturas. Esses procedimentos devem ser adequados aos tipos de riscos identificados previamente, contendo uma resposta particular a cada um dos casos.

Um ponto ainda abordado pela comissão é a possibilidade de uma entidade pode não ser capaz de identificar todos os tipos ameaças. Naturalmente, além do desafio da implementação das diretrizes por si só, novos tipos de vírus e riscos estão sempre surgindo diariamente, exigindo uma constante atualização das normas de segurança.

Por isso, é recomendado que a instituição desenvolva uma estratégia adequada para se recuperar de uma violação e restabelecer, minimamente, suas capacidades e serviços, mesmo que em uma plataforma temporária.

Para facilitar a identificação desses cenários e garantir o gerenciamento adequado dos riscos, a comissão sugere a realização de simulações controladas por uma empresa especializada.

Gerenciamento de risco deve abranger todo o ciclo de vida dos dados

Já com relação ao gerenciamento de risco voltados para informações compartilhadas, a nova abordagem sugere que políticas e procedimentos abranjam todo o ciclo de vida, desde a aquisição ou coleta até a eliminação dos dados.

Como medidas práticas, a comissão propõe que as instituições do mercado de capitais definam claramente os responsáveis pela propriedade, uso e o compartilhamento dos dados, a fim de garantir a confidencialidade, a integridade e a disponibilidade dos mesmos.

Ademais é necessário, ainda, estabelecer o monitoramento periódico dos dados com relação a qualidade, a segurança, privacidade, o armazenamento e a eliminação das informações acumuladas.

Os procedimentos de revisão, por sua vez, precisam incluir a realização de relatórios, voltados à alta administração e ao Conselho, com recomendações de aprimoramentos ou medidas corretivas para resolver lacunas nas políticas e procedimentos de gerenciamento.

Além disso, o Conselho de Administração deverá nomear uma pessoa responsável por garantir que requisitos e procedimentos de gestão de dados sejam realizados pelas entidades do mercado de capitais. Sendo, também, de responsabilidade da instituição fornecer treinamento contínuo para o Conselho e seus funcionários com relação a segurança dos dados.

Por fim, a comissão reconheceu como o uso de inteligência artificial e machine learning vem, cada vez mais, ganhando espaço entre as empresas do mercado de capitais, e, por isso, a utilização dessas ferramentas tecnológicas na garantia de segurança e gerenciamento de riscos torna-se recomendável para os agentes do mercado.

Gerenciamento voltado para IA e Machine Learning

Em geral, os princípios de gerenciamento de risco focam em responsabilidade; transparência; justiça e não discriminação. Assim, os princípios estabelecem que o conselho e a alta administração das entidades do mercado de capitais são responsáveis pelas consequências do uso de IA e ML.

Além disso, as instituições precisam deixar claro aos clientes e investidores como funcionam essas tecnologias e porque determinada decisão foi indicada pelo sistema de inteligência artificial ou machine learning, dependendo do caso.

É também de responsabilidade das entidades registrar e documentar os dados utilizados, os processos e as decisões tomadas por meio de IA e ML, de modo que possam ser analisados se necessário. Ademais, as organizações devem se assegurar que essas tecnologias sejam projetadas respeitando direitos humanos, valores democráticos e diversidade.

 

Veja mais:

CVM divulga parecer sobre criptoativos: veja as principais orientações

Índia, China e Singapura avançam na proteção de dados pessoais

Influenciadores digitais aplicam esquema de fraude na bolsa norte-americana

Machine learning como ferramenta de combate à lavagem dinheiro

Tecnologias financeiras estão no horizonte da Nova Rota da Seda

Todos os produtos

Páginas

Quer se
aprofundar mais?

Com uma linguagem simples de entender, as análises do Instituto Propague vão te deixar por dentro dos principais temas do mercado.

Leia agora!

Acessar análises

Ver também

Fraudes financeiras aumentam: como se prevenir?
Reproduzir

Fraudes financeiras aumentam: como se prevenir?

Fraudes financeiras aumentam: como se prevenir?

Fraudes financeiras aumentam: como se prevenir?

Golpe em celulares: entenda os riscos
Reproduzir

Golpe em celulares: entenda os riscos

Golpe em celulares: entenda os riscos

Golpe em celulares: entenda os riscos

KYC (Know Your Customer): o que é e por que é importante

KYC (Know Your Customer): o que é e por que é importante

KYC (Know Your Customer): o que é e por que é importante

KYC (Know Your Customer): o que é e por que é importante

Tecnologia financeira mira segurança à medida que ameaças cibernéticas crescem

Tecnologia financeira mira em segurança para conter ameaças cibernéticas

Tecnologia financeira mira segurança à medida que ameaças cibernéticas crescem

Tecnologia financeira mira em segurança para conter ameaças cibernéticas