O Digital Operational Resilience Act (DORA) altera a forma como as organizações ligadas ao setor financeiro devem reagir aos ciberataques. Nuno Sousa, Financial Services Director da Claranet, explica as principais mudanças.
Nuno Sousa
Financial Services Director - Claranet Portugal
Os cenários de um pós-ataque de cibersegurança são normalmente os que envolvem as consequências operacionais e financeiras mais gravosas para as organizações, exigindo soluções rápidas e eficazes para enfrentar e mitigar os respetivas danos.
Esta situação torna-se ainda mais pertinente no caso das empresas que operam no setor financeiro - ou que operam em estreita ligação com as empresas deste setor – em função dos potenciais danos reputacionais com parceiros e clientes que podem surgir e ditar, no limite, o futuro da própria instituição.
A entrada em vigor no espaço Comunitário do DORA, desenvolvido e promovido pela Comissão Europeia, é sem dúvida um passo decisivo para reforçar a segurança das instituições e dos próprios clientes. A sua adoção pressupõe a implementação de uma framework que promova a segurança das redes de IT e dos sistemas de informação nas instituições financeiras, de forma a preparar as organizações para os efeitos potencialmente nefastos que diferentes tipos de ataques podem provocar.
O próprio DORA define a lista de instituições abrangidas pelas respetivas diretrizes, dividindo-as entre Entidades Financeiras (bancos, seguradoras, entidades de gestão de pagamentos, instituições de crédito, brokers, entre outros) e ICT Service Providers (fornecedores de serviços e soluções de Cloud, Software, Pen Testing, Armazenamento, Pagamento, etc.).
Mesmo que o setor financeiro seja dos mais ciber-resilientes e com modelos de prevenção mais abrangentes, nem todas as instituições acompanham essa lógica em relação aos momentos do pós-ataque e investem em clusters de informação isolada, protegida e encriptada, complementados com análises de segurança permanentes e informação pronta a recuperar.
A criação do DORA pretende assim introduzir no setor financeiro um conjunto de regras para uniformizar processos e best-practices, que privilegiam cinco aspetos operacionais:
- Risk Management: criação de uma estrutura organizacional que inclua funções para as várias etapas da gestão de riscos de TIC: identificação, proteção e prevenção, deteção, resposta e recuperação, formação e desenvolvimento, bem como comunicação;
- Incident Reporting: harmonização do conteúdo e da forma de apresentação dos relatórios sobre incidentes nos sistemas de TIC, através de processos e regras para monitorizar, gravar, classificar e reportar essa informação;
- Digital Operational Resiliency Testing: definição dos requisitos para a criação de um programa abrangente de testes – pelo menos, anuais - de resiliência;
- ICT Third Party Risk: monitorização dos riscos associados a fornecedores e entidades terceiras que lidem direta ou indiretamente com as instituições financeiras;
- Information & Intelligence Sharing: partilha de informação sobre ameaças cibernéticas entre as entidades financeiras, como forma de aumentar a resiliência operacional digital do setor.
A importância das GAP Analysis
A adoção e implementação do framework proposto no DORA garante assim a uniformização das práticas de reporting e de partilha de informação, contribuindo para criar um ecossistema mais resiliente, com respostas prontas e modelos de gestão de risco mais seguros e eficazes.
Por outro lado, as organizações poderão capitalizar a adoção total deste framework como uma vantagem competitiva e comercial, reforçando a componente da confiança junto do mercado.
Para o conseguir, é essencial que as organizações realizem uma GAP Analysis relativa a todos os processos e modelos de proteção, transversal às diferentes etapas operacionais numa instituição. O apuramento do que está feito e do que falta fazer é, por estes dias, o passo certo a dar.
A escolha de um parceiro tecnológico experiente e com uma visão transversal dos negócios e das tecnologias - à imagem do que a Claranet proporciona aos seus clientes do setor financeiro-, poderá garantir a adoção correta de todos os pressupostos técnicos e regulamentares constantes no DORA. E quanto mais cedo essa avaliação se iniciar, menor a probabilidade de um impacto negativo em caso de ciberataque.
