spot_img
22.3 C
São Paulo
spot_img
HomeSecurityDigital Operational Resilience Act (DORA): 10 Estrategias para Conformidade e Segurança

Digital Operational Resilience Act (DORA): 10 Estrategias para Conformidade e Segurança

Janeiro de 2025 será um mês decisivo para a indústria financeira, com o tempo se esgotando. O Digital Operational Resilience Act (DORA) moldará como as entidades financeiras, como bancos, seguradoras e corretoras, administram sua infraestrutura de TI e segurança de dados. Conforme o Artigo 3 (1), essa regulamentação visa aprimorar “a capacidade de uma entidade financeira em construir, garantir e revisar sua integridade e confiabilidade operacional”.

Embora a segurança de TI e a resiliência digital tenham sido parte das reformas pós-crise financeira de 2008, essas questões passaram a ser secundárias ao longo do tempo. O DORA surge para abordar a crescente ameaça cibernética que as empresas enfrentam.

Os Estados membros da União Europeia têm até janeiro para se adequar a essa nova regulamentação e, caso contrário, enfrentarão sérias consequências. Uma violação pode acarretar multas de até 2% da receita total anual global de uma organização ou até 1% da receita média diária global da empresa.

A despeito do apelo urgente para a ação, delays têm dificultado a preparação das instituições. Apesar de os modelos de escopo e harmonização terem sido enviados à comissão em julho, a liberação pública permanece incerta. Atualmente, não há conjuntos de controles ou padrões técnicos definidos; como, então, as organizações afetadas devem se preparar?

Com o tempo se esgotando, as entidades financeiras não têm a opção de aguardar. Sem diretrizes claras, elas devem assumir a responsabilidade e agir com base nas informações disponíveis.

Tamanho é Igual a Complexidade

Como ocorre com muitas novas regulamentações, a complexidade é um dos principais desafios e o DORA eleva isso a um novo patamar, com seis capítulos e mais de 280 artigos. Introduz uma variedade de novos padrões e controles que as empresas devem atender, podendo exigir reestruturação completa de processos.

O DORA deve ser visto como uma regulamentação, não como um framework; portanto, compreender os diversos requisitos é prioridade para as organizações. Para assegurar a conformidade, as empresas precisam ter plena visibilidade sobre todos os seus ativos, possibilitando o monitoramento contínuo dos sistemas e a abordagem das potenciais lacunas de segurança.

Você Não Pode Proteger o Que Não Consegue Ver

A tecnologia é uma entidade sem fronteiras, e o DORA exige visibilidade total, mesmo diante da infinidade de dispositivos interconectados das empresas. A regulamentação foca em dados e na apresentação de evidências claras e acionáveis. A ênfase está no risco de terceiros, na resiliência e na realização de testes – áreas que carecem de um framework adequado e que se tornam mais vulneráveis a cada ano.

Os padrões de segurança PCI, por exemplo, concentram-se na proteção das informações de cartões de crédito. O Framework de Cibersegurança do NIST abrange elementos de recuperação, mas não aborda adequadamente as questões de relatórios. Em contraste, o DORA dá mais importância aos testes baseados em ameaças, exigindo que as organizações encenem uma ameaça, ao invés de simplesmente realizar varreduras de vulnerabilidades.

Assim, ao invés de apenas monitorar vulnerabilidades de segurança cibernética, as novas regulamentações exigem que as organizações identifiquem e corrijam potenciais fraquezas antes que estas provoquem riscos indesejados. Essa abordagem reduz os riscos de desenvolvimento de vulnerabilidades e assegura que as organizações recebam atualizações em tempo real sobre o estado de sua segurança.

O Que as Empresas Podem Fazer Neste Estágio?

Uma mensagem clara do DORA é a ênfase em resultados e na necessidade de monitoramento contínuo das ameaças. Esta regulamentação não deve ser subestimada. Sob o DORA, as autoridades possuem o poder de solicitar dados e avaliar a conformidade das empresas em relação a essas normas.

Um primeiro passo crucial é que as organizações realizem uma análise de lacunas abrangente, identificando áreas que necessitam de melhorias tanto em seus próprios processos quanto nas cadeias de suprimento. Até janeiro, é fundamental que as organizações confirmem que suas estratégias de gerenciamento de riscos estejam atualizadas. Certo ou errado, o DORA presume que as empresas já dispõem de um framework adequado de gerenciamento de riscos.

Isso se aplica também aos parceiros na cadeia de suprimentos, embora a extensão desse requisito ainda precise ser clarificada. Todas as partes envolvidas precisam adquirir e manter um conhecimento detalhado de todos os ativos críticos em todos os momentos. Ferramentas que realizam o monitoramento contínuo de ativos são essenciais, pois oferecem informações críticas em tempo real sobre os processos da empresa.

Somente por meio desse monitoramento ininterrupto as organizações poderão entender onde estão as lacunas em sua segurança e garantir que sejam devidamente abordadas. Independentemente dos contratempos, o DORA está a caminho, e as empresas necessitam estar preparadas. Organizações que encaram essa regulamentação como mais que um simples requisito de conformidade – mas sim como uma oportunidade de aprimorar sua postura de segurança – terão uma vantagem competitiva significativa.

Através de monitoramento contínuo e gerenciamento eficaz de ameaças, as organizações conseguirão alcançar um novo patamar de proteção em toda a sua rede.

Digital Operational Resilience Act descrevendo segurança e resiliência no setor financeiro.

Introdução ao Digital Operational Resilience Act (DORA)

Com a crescente dependência de tecnologia, o Digital Operational Resilience Act (DORA) emerge em resposta às ameaças cibernéticas crescentes. É um ato que assegura que entidades financeiras desenvolvam resiliência digital e enfrentem riscos eficazmente.

As ciberameaças estão se tornando mais sofisticadas, tornando a segurança de TI e o cumprimento das regulamentações essenciais para as entidades financeiras da UE. O DORA introduz diretrizes claras para gestão e mitigação de riscos.

Elementos Essenciais do DORA

O DORA promove a prevenção e mitigação de ciberameaças por meio de monitoramento contínuo de ativos críticos. É crucial que as instituições tenham completa visibilidade dos ativos digitais para uma resposta efetiva a incidentes.

A regulamentação também estabelece padrões técnicos para prestadores de serviços de TIC. Implementar controles de segurança garantirá a integridade das operações financeiras e dos dados dos clientes.

Requisitos de Conformidade DORA

As entidades financeiras da UE devem atender a requisitos específicos de conformidade DORA, incluindo testes de resiliência periódicos para avaliar a eficácia das medidas de segurança e identificar áreas de melhoria.

  • Gerenciamento de incidentes: Um plano detalhado é vital para garantir continuação das operações em caso de incidentes de segurança.
  • Visibilidade de ativos: Manter registro detalhado de todos os ativos de TI e suas interconexões é crucial.
  • Monitoramento de ameaças: Ferramentas proativas devem ser empregadas para detectar e responder a ameaças.

Diferenças entre DORA e Outras Regulamentações

O DORA é abrangente e integrado, cobrindo a totalidade da estratégia de gerenciamento de riscos. Ele estabelece padrões para segurança digital aplicáveis em toda a indústria, indo além de apenas garantir a conformidade.

Diferente de regulamentações isoladas, o DORA aborda resiliência operacional digital em todas as operações financeiras. Isso implica que cada parte deve estar integrada e preparada para enfrentar crises.

Consequências da Não Conformidade

A não conformidade com o DORA pode ocasionar multas significativas e impacto negativo na reputação das instituições financeiras. A preparação para o DORA é estratégica para segurança a longo prazo no setor.

O cumprimento do DORA não é apenas um requisito legal, mas essencial para um ambiente financeiro seguro e resiliente. Isso é reforçado pelo impacto do DORA na segurança cibernética positiva do setor financeiro.

Benefícios da Implementação do DORA

Implementar o DORA oferece benefícios significativos para as entidades financeiras da UE. A adesão aos padrões de governança e controle interno garante minimização de riscos e melhora da confiança do consumidor.

A regulamentação promove cooperação entre instituições, facilitando troca de informações e práticas, o que enriquece o conhecimento em segurança cibernética. Assim, estratégias de gerenciamento de riscos são continuamente aprimoradas.

Análise de Lacunas de Segurança

Realizar uma análise de lacunas de segurança é um passo crucial para atender ao DORA. Esta análise identifica vulnerabilidades e implementa melhorias e ajustes essenciais.

A abordagem proativa e implementação dos padrões técnicos do DORA não só garantem conformidade, mas também criam uma cultura de segurança essencial para a resiliência das instituições financeiras.

Saiba Mais:

Visual de uma instituição financeira com enfoque em segurança cibernética e governança.

latest articles

explore more