DORA, uma grande oportunidade para garantir a resiliência operacional digital no setor financeiro
A importância e o peso de setores tão estratégicos na economia global como o setor financeiro são inquestionáveis. A paralisação das suas atividades, por qualquer razão, pode ter consequências graves, não só para eles próprios, mas também para muitas outras organizações, públicas e privadas, que deles dependem direta ou indiretamente. Estas consequências, para além de afetarem os pequenos investidores, poderiam paralisar ou frustrar operações comerciais internacionais de grande dimensão e impacto mundial.
Estas foram algumas das razões que levaram à aprovação, em dezembro de 2022, do Digital Operational Resilience Act, Regulamento DORA, cujo objetivo é garantir a resiliência operacional digital. Por outras palavras, tentar alcançar a estabilidade e a resiliência face a incidentes de segurança cada vez mais frequentes em todo o setor financeiro. A aplicação integral do regulamento será exigida até 17 de janeiro de 2025, data em que o DORA se tornará obrigatório.
Dora pode ser aplicada a grandes entidades que operam a nível mundial, bem como a pequenas e médias empresas
A seis meses da sua implementação total, a conferência "Contagem decrescente para o Regulamento DORA: como ajudar as instituições a estarem preparadas" reuniu um grupo de especialistas da Izertis para analisar o roteiro de implementação e as chaves para garantir a sua eficácia. A sessão foi aberta pelo diretor de Cibersegurança e Defesa da Izertis, Joaquín Castellón, que se encarregou de recordar que o DORA "pode ser aplicado tanto a grandes entidades que operam a nível mundial, como a pequenas e médias empresas do setor financeiro" e que, por isso, existem "muitas perceções sobre como enfrentar este desafio".
Do Instituto Espanhol de Cibersegurança (Incibe), o responsável pelo setor estratégico financeiro e das TIC, Juan Peláez, sublinhou que a regulamentação europeia "ajuda as instituições financeiras a serem capazes de gerir todas as ameaças ou riscos que encontram no ciberespaço". E fazem-no, acrescentou, através de vários instrumentos, como a gestão do risco, a notificação de incidentes, incluindo os menos graves, a obrigação de realizar testes de ciber-resiliência, acordos de partilha de ciberameaças e monitorização da cadeia de abastecimento.
Para contextualizar esta situação, Peláez apresentou os dados do Balanço de Cibersegurança 2023 da Incibe, que assinala um aumento de 24% nos incidentes de cibersegurança para 83 517, sendo o sistema financeiro e fiscal um dos mais atacados (25,42%), seguido dos setores dos transportes e da energia. Mais de 22.000 empresas foram afetadas por estes incidentes. Entre os mais frequentes, o relatório observa que 3 em cada 10 incidentes são fraudes online e que, no caso do phishing, por exemplo, o número detetado em 2023 foi de 14.261. Outro número, 4.180.840 dispositivos vulneráveis foram registados em Espanha.
Um estudo realizado em abril de 2024 pelo Fundo Monetário Internacional alertou para o facto de o setor financeiro estar "altamente exposto" aos riscos de cibersegurança, com um em cada cinco incidentes a afetar as instituições financeiras.
Banco de Espanha
Javier Piqueres, especialista em Tecnologias da Informação do Banco de Espanha e membro do grupo espanhol para a regulamentação do DORA, foi o responsável por apresentar o ponto-chave do dia: "O DORA é uma grande oportunidade para o setor, e não um exercício de conformidade, porque implica tornar o setor financeiro mais resiliente no seu conjunto". Na sua análise das linhas gerais do regulamento, o especialista abordou tanto a gestão dos riscos relacionados com as TIC (governação) e a notificação e classificação de incidentes, como os testes de resiliência operacional digital (básicos e avançados), a gestão dos riscos tecnológicos derivados de terceiros e os acordos de troca de informação.
O Regulamento exigirá, por conseguinte, uma análise de risco que constituirá a base central da estratégia de segurança e resiliência, acompanhada de uma série de procedimentos documentados a implementar e a cumprir em toda a organização.
Javier Piqueres assegurou ainda que o DORA "está a ser implementado há muito tempo" e passou em revista o calendário de desenvolvimento. Para terminar, falou também de desafios e oportunidades. Assim, no domínio do desenvolvimento, salientou a proporcionalidade em termos de especificidades setoriais, os prazos de notificação de incidentes, a identificação e o acompanhamento dos subcontratantes e os critérios para os fornecedores de informação e os testadores internos/externos.
No que se refere à implementação, sublinhou a opção nacional espanhola pela dupla comunicação de incidentes à NCA e à CSIRT, o prazo limitado para o desenvolvimento de procedimentos de comunicação de incidentes, as incertezas quanto ao formato final dos registos de terceiros e dos mecanismos de recolha, a natureza vinculativa das entidades e as próprias estruturas de governo.
Mais pontos-chave
A jornada terminou com Laura Burillo, responsável de Regulamentação de Cibersegurança da Izertis, e María Vidal, sócia de Proteção de Dados e Novas Tecnologias da FinReg360. Foram elas as responsáveis pela entrega das chaves do DORA e insistir em que o regulamento europeu procura reforçar a cibersegurança e a resiliência do setor financeiro. Destacaram que procura garantir que as organizações implementem um Sistema de Gestão de Segurança da Informação (SGSI), uma vez que se inspira em diferentes normas de segurança da informação, como a ISO 27001 e a ISO 22301, entre outras. Por outras palavras, o principal objetivo é incorporar a segurança nos processos e operações de negócio.
Entidades de crédito, companhias de seguros, entidades de pagamento, entidades de moeda eletrónica, gestores de fundos, fundos de pensões, agências de notação de crédito... ou seja, a grande maioria das organizações do setor financeiro, bem como os seus fornecedores, têm de cumprir o regulamento.
O DORA proporcionará às organizações vantagens importantes, como o aumento da competitividade no mercado devido ao valor acrescentado da introdução da segurança nas operações, o maior prestígio da marca, a diminuição da probabilidade de ocorrência de incidentes de segurança, a redução dos tempos de recuperação em caso de desastre ou a incorporação de uma cultura de cibersegurança na empresa.
Desta forma, e dado que o regulamento estabelece diferentes requisitos, desde o desenvolvimento de procedimentos até aos testes de auditoria técnica, a Izertis garante o cumprimento efetivo com o serviço global de compliance DORA Outsourcing. Não se trata apenas de preparar as entidades para o cumprimento da regulamentação, melhorando a segurança, mas também de evitar sanções importantes.