Com a adoção do Digital Operational Resilience Act (DORA), desenvolvido e promovido pela Comissão Europeia e já em vigor no espaço Comunitário, todas as empresas que operam no setor financeiro – ou que operam em estreita ligação com as empresas deste setor - terão de garantir a adoção e implementação de uma framework que promova a segurança da rede de IT e dos sistemas de informação.
Este é sem dúvida um passo decisivo para reforçar a segurança das instituições e dos próprios clientes, até porque foca sobretudo a componente pós-ataque, através de formas de responder e mitigar as respetivas consequências.
Numa altura em que a exposição das instituições e dos seus clientes ao universo online e em que os ciber-riscos aumentam diariamente, faz sentido o reforço da preocupação com os cenários pós-ataque. Porque é, muitas vezes, nessa fase, que as consequências operacionais e financeiras mais gravosas se dão.
Por exemplo, no último ano, os ataques de Ransomware nos EUA provocaram tempos médios de downtime dos sistemas nunca inferiores a 20 dias – tempo que as organizações levam a recuperar e repor a informação afetada, a colocar o hardware e o software em funcionamento total ou a regressar às operações a 100%.
Mesmo que o setor financeiro seja dos mais ciber-resilientes e com modelos de prevenção mais abrangentes, nem todas as instituições acompanham essa lógica em relação aos momentos do pós-ataque e investem em clusters de informação isolada, protegida e encriptada, complementados com análises de segurança permanentes e informação pronta a recuperar.
Se em qualquer organização estes cenários podem provocar danos financeiros difíceis de mitigar, no caso do setor em destaque os danos reputacionais com parceiros e clientes podem ditar, no limite, o futuro da própria instituição.
Responder com resiliência
A criação do DORA pretende exatamente preparar o setor financeiro para enfrentar de forma mais "seamless" estes cenários de pós-ataque, propondo um conjunto de regras para uniformizar processos e best-practices.
O documento privilegia essencialmente cinco pilares operacionais para ajudar a promover a ciber-resiliência nas instituições financeiras:
- Risk Management: necessidade de criar uma estrutura organizacional que inclua funções para as várias etapas da gestão de riscos de TIC: identificação, proteção e prevenção, deteção, resposta e recuperação, formação e desenvolvimento, bem como comunicação;
- Incident Reporting: harmonização do conteúdo e forma de apresentação dos relatórios sobre incidentes nos sistemas de TIC, através da obrigação de as organizações abrangidas criarem processos e regras para monitorizar, gravar, classificar e reportar essa informação.
- Digital Operational Resiliency Testing: define os requisitos para a criação de um programa abrangente de testes de resiliência – a realizar, pelo menos, anualmente -, em função da dimensão e do perfil de risco da organização em causa.
- ICT Third Party Risk: pressupõe a monitorização dos riscos associados a fornecedores e entidades terceiras que lidem direta ou indiretamente com as instituições financeiras. Esses riscos deverão ser geridos pelas próprias organizações financeiras como parte do seu programa global de gestão de riscos, enquanto os fornecedores e entidades terceiras ficarão sob a supervisão direta de uma das três autoridades supervisoras europeias para o setor financeiro.
- Information & Intelligence Sharing: pressupõe e incentiva a partilha de informação sobre ameaças cibernéticas entre as entidades financeiras, como forma de aumentar a resiliência operacional digital do setor.
O próprio Digital Operational Resilience Act define a lista de instituições abrangidas pelas respetivas diretrizes, dividindo-as por Entidades Financeiras (bancos, seguradoras, entidades de gestão de pagamentos, instituições de crédito, brokers, entre outros) e ICT Service Providers (fornecedores de serviços e soluções de Cloud, Software, Pen Testing, Armazenamento, Pagamento, etc.).
A importância das GAP Analysis
A adoção e implementação de todo o framework advogado no DORA irá garantir, sem dúvida, capacidades de resiliência significativamente acrescidas a um setor que, por si só, já demonstra níveis de ciber-resiliência tecnológica muito elevados.
As principais diferenças poderão surgir através da garantia de uma uniformização nas práticas de reporting e na partilha de informação sobre essas mesmas práticas, por forma a criar um ecossistema mais resiliente, com respostas prontas e modelos de gestão de risco mais seguros e eficazes.
Além de reforçar de forma efetiva a cibersegurança, a adoção total dos pressupostos do DORA poderá também ser capitalizada como vantagem competitiva e comercial, num mercado onde a confiança pode fazer toda a diferença.
A realização de uma GAP Analysis relativa a todos os processos e modelos de proteção, transversal às diferentes etapas operacionais numa instituição, para apurar o que está feito e o que falta fazer é, por estes dias, o passo certo a dar. E, neste contexto, quanto mais cedo essa avaliação se iniciar, menor a probabilidade de um impacto negativo em caso de ciberataque.
A partir daí, o trabalho conjunto com um parceiro tecnológico de confiança, que garanta a adoção correta de todos os pressupostos técnicos e regulamentares constantes no documento, garantirá uma resiliência reforçada num contexto cada vez mais desafiante e em transformação como o do setor financeiro.
Artigo de opinião de Nuno Sousa, Financial Services Director da Claranet Portugal