A Lei de Resiliência Operacional Digital (DORA) é uma legislação baseada na União Europeia que visa melhorar e padronizar a resiliência digital e o setor financeiro. A DORA se baseia na ideia simples de que as empresas financeiras devem estar preparadas para lidar com ameaças à tecnologia da informação e comunicação (TIC).
O cenário digital moderno está repleto de ameaças sofisticadas e frequentes a ativos críticos, e as instituições financeiras devem priorizar sua resiliência cibernética.
A DORA incentiva as organizações a criar capacidades flexíveis de resiliência operacional dentro de uma estrutura regulatória fornecida pela legislação, incluindo:
Desenvolvendo práticas sólidas de gerenciamento de riscos
Conduzindo auditorias internas e autoavaliações
Implementando controles para minimizar os riscos de TIC
A DORA é notável por ter como objetivo promover uma governança forte e, ao mesmo tempo, permitir que cada empresa se adapte em seu próprio contexto individual. À luz do DORA, as empresas do setor financeiro devem estar prontas para responder com eficácia a várias formas de interrupções digitais — desde falhas no sistema até ataques cibernéticos — ao mesmo tempo em que mantêm suas operações comerciais.
O setor financeiro opera em um ambiente digital altamente interconectado.
Essa crescente dependência de TIC e de provedores de serviços terceirizados para sistemas e infraestrutura de missão crítica aumentou a superfície de ataque digital e, portanto, as organizações financeiras têm uma exposição muito maior às ameaças à segurança cibernética. ciberataques que comprometem ou interrompem sistemas, alteram ou exfiltram dados confidenciais e destroem reputações institucionais ameaçam a estabilidade de todo o sistema financeiro.
Levando em conta os requisitos do DORA Conformidade, é importante que as organizações que operam na esfera financeira fortaleçam o gerenciamento de riscos de TI e os recursos de resiliência operacional. Uma abordagem eficaz inclui todos os aspectos do risco relacionado às TIC, incluindo:
Ao implementar os requisitos da DORA, as instituições financeiras avançam para se proteger contra ameaças cibernéticas, manter a continuidade dos negócios e fortalecer a confiança de seus clientes.
Seu foco principal é a resiliência operacional para garantir operações contínuas em um ambiente digital potencialmente hostil. Para responder rapidamente às ameaças de TIC, as empresas que operam no setor de serviços financeiros devem priorizar seus planos de resiliência de acordo com esses seis princípios fundamentais:
Gerenciamento de riscos: Estabelecimento de uma estrutura de gerenciamento de riscos de TIC, incluindo governança interna abrangente, autoavaliações e controles para identificar e minimizar riscos.
Compartilhamento de informações e inteligência: as entidades financeiras são incentivadas a implementar processos para relatar e compartilhar informações sobre ameaças cibernéticas dentro da comunidade de segurança.
Gerenciamento de riscos de terceiros: A DORA exige que as organizações implementem medidas de segurança que cubram a cadeia de suprimentos.
Planejamento de continuidade de negócios: os serviços financeiros devem ter um plano de continuidade completo e bem testado para manter as operações durante incidentes de segurança.
Resposta a incidentes e gerenciamento de crises: um componente chave da resiliência digital, o DORA exige a presença de um plano de resposta a incidentes bem desenvolvido para categorizar, gerenciar e relatar incidentes de TIC.
Teste e monitoramento contínuos: O DORA exige que as organizações realizem testes e monitoramento regulares de sistemas para atividades anômalas para garantir que sejam resilientes contra ameaças cibernéticas.
Os elementos a seguir representam os principais requisitos aos quais as instituições financeiras e os provedores de serviços devem aderir à medida que trabalham para alcançar a conformidade total com a DORA:
As organizações devem implementar controles para minimizar o risco de TIC e devem ser capazes de demonstrar resiliência por meio de testes regulares, mostrando que podem resistir a incidentes de segurança sem interrupções significativas nos serviços.
O DORA exige o estabelecimento de processos sólidos de gerenciamento de riscos de ICT, envolvendo autoavaliações completas para identificar a postura de segurança existente e a vulnerabilidade potencial da organização.
As organizações devem alocar recursos para aumentar a resiliência às ameaças cibernéticas. Isso inclui incentivar a presença de pessoal qualificado com experiência no gerenciamento de sistemas de TIC.
Além disso, as organizações devem preparar uma documentação detalhada que descreva as medidas tomadas para garantir a resiliência das operações digitais. Isso inclui planos de continuidade, planos de resposta a incidentes relacionados às TIC, estruturas de governança de dados e atividades de testes e relatórios.
Os controles que a DORA introduz com relação a sistemas de TIC de terceiros (por exemplo. nuvem) incentivam as organizações a categorizar e avaliar contratos, exigir garantias adicionais de Conformidade dos prestadores de serviços e atualizar a cobertura de seguro para atender aos novos requisitos.
As instituições financeiras devem começar os preparativos concluindo uma avaliação de lacunas para identificar as áreas em que a melhoria é necessária. A avaliação de lacunas deve determinar a conformidade da DORA com as diretrizes da ESA, NIS e CROE, além dos padrões de gerenciamento de riscos de TI, como NIST CSF, ISO, ITIL e COBIT.
Dependendo das especificidades de sua organização, a conformidade com a HIPAA também pode ser um fator.
Em última análise, essa análise ajudará a identificar as principais áreas que não estão em conformidade com o DORA e informará a criação de uma estratégia de resiliência digital.
Após a conclusão da avaliação de lacunas, as organizações devem criar um roteiro que defina os cronogramas de implementação e ajude a priorizar os planos de alocação de recursos e implementação de sistemas de segurança para atender aos requisitos da Conformidade.
Um aspecto fundamental do DORA é o aumento da supervisão de entidades financeiras pelas Autoridades Supervisoras Europeias (ESAs). Isso levará a controles mais fortes para garantir a resiliência digital.
As organizações do setor financeiro precisarão de investimentos significativos em gerenciamento de riscos de TI e recursos de detecção e segurança de ameaças cibernéticas. Além disso, a Diretiva NIS2, um padrão de segurança cibernética que se assemelha ao DORA, afetará uma ampla gama de setores de negócios. Juntas, essas regulamentações podem levar ao aumento dos custos à medida que as organizações reformulam seus sistemas e sua equipe para cumprir seus rigorosos requisitos.
Levando em conta todos esses desafios, é fundamental adotar uma abordagem proativa para cumprir os requisitos do DORA. O DORA levará a um maior escrutínio e a regulamentações mais rígidas sobre os negócios do setor financeiro, o que resultará em custos mais altos para essas instituições.
Ao começar agora, as organizações podem navegar melhor nesse novo cenário regulatório para que possam estar totalmente preparadas para os requisitos do DORA.
A DORA entrou em vigor em janeiro de 2023 e as organizações têm até janeiro de 2025 para entrar em total conformidade com a regulamentação, portanto, é essencial que as organizações iniciem imediatamente o trabalho de preparação para a Conformidade.
Com o prazo de Conformidade se aproximando rapidamente, é cada vez mais importante que os profissionais de segurança do setor financeiro entendam as medidas que precisam tomar para garantir a Conformidade DORA.
Dois marcos importantes a serem observados antes de janeiro de 2025 são os processos de certificação das ESAs e o início do teste obrigatório de penetração liderada por ameaças (TLPT), que fornecerá uma estrutura para avaliar a preparação das instituições financeiras.
À medida que navegamos pelas complexidades do DORA, com a aproximação do prazo para a conformidade total, as organizações devem tomar medidas proativas para garantir a conformidade.
Para atender às normas que exigem a rápida comunicação de incidentes, o gerenciamento de riscos por terceiros e o aumento dos requisitos de auditoria, é essencial tomar medidas proativas para entender a prontidão atual e identificar as áreas da organização que podem estar fora da conformidade.
O Check Point NIS2/DORA Readiness Assessment pode ajudar o senhor a melhorar ou alcançar a conformidade, preparando sua organização para o DORA antes do prazo de janeiro de 2025.
A Check Point Software está bem equipada para fazer parceria com o senhor na preparação para o NIS2 e o DORA. Trabalhando juntos, podemos promover uma cultura de resiliência operacional em sua organização para reduzir o risco de ameaças cibernéticas e não conformidade regulamentar.