Como estruturar processos de segurança e gestão de riscos capazes de atender às novas exigências do Banco Central, sem depender de soluções complexas ou caras.
A publicação da Resolução BCB nº 538/2025 reforça uma mudança que já vinha se consolidando na supervisão do Banco Central: controles de segurança cibernética precisam ser mensuráveis, verificáveis e sustentáveis ao longo do tempo.
Para instituições reguladas o desafio não está apenas em implementar controles, mas em demonstrar continuamente que eles estão em funcionamento, sobretudo em ambientes altamente dinâmicos.
Nesse cenário, OSINT (Open Source Intelligence) surge como um caminho pragmático para elevar maturidade e conformidade sem depender inicialmente de investimentos elevados em ferramentas complexas.
O valor está no processo estruturante de visibilidade externa, gestão de risco e geração de evidências, diretamente alinhado às expectativas da BCB n° 538.
A nova resolução amplia o foco sobre:
Na prática, isso evidencia uma fragilidade recorrente: o que está documentado internamente não reflete, necessariamente, o que está publicamente acessível.
Sem um processo estruturado de observação externa, torna-se difícil sustentar, perante auditorias e supervisão do Banco Central, que a organização mantém controle efetivo sobre sua exposição.
A Resolução BCB 538 exige que a instituição demonstre domínio sobre seus riscos cibernéticos, inclusive aqueles que se manifestam fora do perímetro tradicional.
Um dos principais méritos do OSINT é permitir que a empresa comece pela definição e execução de processos, antes mesmo de discutir a adoção de ferramentas corporativas ou plataformas de alto custo.
A partir de fontes abertas e dados públicos, é possível:
Esse modelo reduz barreiras de entrada e permite que líderes atuem de forma incremental, priorizando maturidade operacional antes de complexidade tecnológica.
A abordagem apresentada neste artigo cobre, de forma prática e incremental, os principais eixos da Resolução BCB nº 538/2025, com destaque para:
Tudo isso pode ser iniciado sem investimentos imediatos em ferramentas caras, a fim de que a instituição foque primeiro na estruturação de processos, conforme esperado pelo regulador.
Essa abordagem reduz riscos regulatórios, melhora previsibilidade em auditorias e cria uma base sólida para evolução futura da maturidade de segurança e conformidade.
O uso eficaz de OSINT para fins regulatórios depende menos de ferramentas sofisticadas e mais de processos claros, repetíveis e bem governados.
Visibilidade externa contínua
O primeiro passo é estabelecer um inventário externo mantido de forma recorrente, capaz de identificar:
Esse inventário já atende a um ponto central da BCB 538: conhecimento demonstrável do escopo e da exposição da instituição.
Dados isolados pouco contribuem para a tomada de decisão.
A maturidade surge quando a organização consegue correlacionar:
Essa correlação permite priorizar ações não pelo volume de achados, mas pelo risco real à operação e à conformidade com a BCB 538.
A resolução reforça a necessidade de rastreabilidade e comprovação contínua dos controles.
Processos de OSINT bem estruturados permitem:
Isso reduz o esforço reativo típico de períodos de auditoria, o risco de inconsistências em processos de supervisão e fortalece a posição da empresa perante o regulador.
À medida que o processo amadurece, os resultados de OSINT podem ser integrados a:
O ponto central é que a governança pode evoluir de forma incremental, acompanhando o crescimento da organização e suas obrigações regulatórias.
Nesse formato, OSINT deixa de ser uma atividade técnica isolada e passa a atuar como fonte estruturada de informação para decisões de negócio e conformidade.
Ao adotar OSINT como processo (e não como ferramenta) as instituições conseguem:
A conformidade deixa de ser um projeto pesado e passa a ser uma capacidade operacional contínua.
Mais do que atender à Resolução BCB 538, a organização fortalece sua capacidade de gerenciar riscos de forma proativa e sustentável.
Resolução do Banco Central e CMN × Tópicos do Artigo (OSINT como Processo)
| Dispositivo da Resolução BCB 538 e CMN 5274 | Exigência Regulamentar | Tópico do Artigo Relacionado | Como o OSINT contribui (visão executiva) |
| Art. 3º, §2º, incisos III e IV | Prevenção e detecção de intrusão e vazamento de informações | Visibilidade externa contínua | Identifica serviços, domínios, APIs e ativos expostos publicamente que podem ser explorados para intrusão ou exfiltração de dados. |
| Art. 3º, §2º, inciso VIII | Avaliação e correção de vulnerabilidades | Correlação com risco e impacto regulatório | Descobre ativos não mapeados que devem entrar no ciclo de gestão de vulnerabilidades, orientando priorização. |
| Art. 3º, §2º, inciso XI | Mecanismos de proteção da rede | Visibilidade externa contínua | Permite validar, externamente, se a segmentação e exposição de rede estão coerentes com os controles definidos. |
| Art. 3º, §2º, inciso XII | Gestão de certificados digitais | Correlação com risco e impacto regulatório | Detecta certificados expostos, expirados ou mal configurados visíveis publicamente. |
| Art. 3º, §2º, inciso XIV | Ações de inteligência no ambiente cibernético (Internet, Deep Web e Dark Web) | Por que OSINT se torna um habilitador imediato | OSINT operacionaliza diretamente esse inciso, permitindo monitoramento contínuo sem dependência inicial de plataformas complexas. |
| Art. 3º, §3º, inciso I | Segurança no desenvolvimento de sistemas | Visibilidade externa contínua | Valida se aplicações novas ou alteradas estão expondo informações indevidas após deploy. |
| Art. 3º, §6º | Controles aplicáveis a sistemas de terceiros | Integração gradual com governança | Permite verificar exposição de ativos desenvolvidos ou operados por terceiros, além do que consta em contratos. |
| Art. 3º, §7º | Rastreabilidade e trilhas de auditoria | Evidências que não dependem de auditoria pontual | Gera histórico de descobertas, análises e decisões, complementando logs e trilhas internas. |
| Art. 3º, §8º, incisos I a V | Testes, varreduras, intrusão e correção tempestiva | Correlação com risco e impacto regulatório | Apoia definição de escopo de testes e priorização de correções com base em exposição real. |
| Art. 3º, §§9º a 11º | Controles de acesso e proteção de rede | Correlação com risco e impacto regulatório | Identifica acessos externos indevidos, serviços sem MFA ou portas/protocolos expostos. |
| Art. 3º-A, inciso I (Pix, STR, RSFN) | Monitoramento de credenciais, certificados e integridade | Correlação com risco e impacto regulatório | Detecta vazamentos ou menções públicas a credenciais e ambientes críticos. |
| Art. 8º, §1º, incisos III a V | Relato de incidentes, testes e vulnerabilidades | Evidências que não dependem de auditoria pontual | Produz insumos objetivos para relatórios periódicos à alta gestão. |
| Art. 22-A | Testes de intrusão independentes e documentados | Correlação com risco e impacto regulatório | Complementa pentests com descoberta contínua de superfície externa. |
| Art. 23, incisos VIII a X | Retenção de registros e documentação | Integração gradual com governança | Facilita retenção organizada de evidências para fiscalização e auditorias. |
A Resolução BCB 538 não exige sofisticação tecnológica imediata. Ela exige consistência, visibilidade e controle demonstrável.
OSINT oferece exatamente isso: um ponto de partida acessível, acionável e alinhado às expectativas do regulador, desde que estruturado como processo.
Na Cloud4, ajudamos fintechs e empresas reguladas pelo Banco Central a estruturar e operar processos de monitoramento e gestão de riscos cibernéticos, com foco em:
Se sua organização precisa avançar na conformidade com a BCB n° 538 e CMN n° 5.274 de forma pragmática e sustentável, esse é um bom ponto de partida para a conversa.
Entre em contato conosco hoje mesmo para uma avaliação personalizada de como nossos serviços podem proteger seu negócio e garantir a conformidade.
Entenda também a importância dos Testes de Intrusão (Pentests) para sua estratégia de Segurança Cibernética.
Entre em contato através do e-mail [email protected] ou fale com um especialista agora.
