- Partilhar artigo
- ...
O Digital Operational Resilience Act (DORA) é composto por um conjunto de atos legislativos europeus que "pretende exatamente preparar o setor financeiro para enfrentar, de forma mais ‘seamless’, os cenários de pós-ataque, propondo um conjunto de regras para uniformizar processos e melhores praticas", afirma Nuno Sousa, Financial Services director da Claranet Portugal.
Adianta que o próprio Digital Operational Resilience Act define a lista de instituições abrangidas pelas respetivas diretrizes, dividindo-as por entidades financeiras como bancos, seguradoras, entidades de gestão de pagamentos, instituições de crédito, brokers, entre outros, e ICT (Information, Communications Technologies) Service Providers, que são os fornecedores de serviços e soluções de cloud, software, pen testing, armazenamento, pagamento, entre outros.
Como Nuno Sousa refere, o documento privilegia essencialmente cinco pilares operacionais para ajudar a promover a ciberresiliência nas instituições financeiras.
1. Risk Management
Necessidade de criar uma estrutura organizacional que inclua funções para as várias etapas da gestão de riscos de TIC - identificação, proteção e prevenção, deteção, resposta e recuperação, formação e desenvolvimento, bem como comunicação.
2. Incident Reporting
Ajudam na harmonização do conteúdo e forma de apresentação dos relatórios sobre incidentes nos sistemas de TIC, através da obrigação de as organizações abrangidas criarem processos e regras para monitorizar, gravar, classificar e reportar essa informação.
3. Digital Operational Resiliency Testing
Define os requisitos para a criação de um programa abrangente de testes de resiliência - a realizar, pelo menos, anualmente -, em função da dimensão e do perfil de risco da organização em causa.
4. ICT Third Party Risk
Pressupõe a monitorização dos riscos associados a fornecedores e entidades terceiras, que lidem direta ou indiretamente com as instituições financeiras. Esses riscos deverão ser geridos pelas próprias organizações financeiras como parte do seu programa global de gestão de riscos, enquanto os fornecedores e as entidades terceiras ficarão sob a supervisão direta de uma das três autoridades supervisoras europeias para o setor financeiro.
5. Information & Intelligence Sharing
Pressupõe e incentiva a partilha de informação sobre ameaças cibernéticas entre as entidades financeiras, como forma de aumentar a resiliência operacional digital do setor.
"A realização de uma GAP Analysis relativa a todos os processos e modelos de proteção, transversal às diferentes etapas operacionais numa instituição, para apurar o que está feito e o que falta fazer é, por estes dias, o passo certo a dar. E, neste contexto, quanto mais cedo essa avaliação se iniciar, menor a probabilidade de um impacto negativo em caso de ciberataque", afirma Nuno Sousa.
Na sua opinião, num contexto cada vez mais desafiante e em transformação, como o do setor financeiro, "é essencial o trabalho conjunto com um parceiro tecnológico de confiança, que garanta a adoção correta de todos os pressupostos técnicos e regulamentares constantes no documento", concluiu Nuno Sousa.
Adianta que o próprio Digital Operational Resilience Act define a lista de instituições abrangidas pelas respetivas diretrizes, dividindo-as por entidades financeiras como bancos, seguradoras, entidades de gestão de pagamentos, instituições de crédito, brokers, entre outros, e ICT (Information, Communications Technologies) Service Providers, que são os fornecedores de serviços e soluções de cloud, software, pen testing, armazenamento, pagamento, entre outros.
Como Nuno Sousa refere, o documento privilegia essencialmente cinco pilares operacionais para ajudar a promover a ciberresiliência nas instituições financeiras.
1. Risk Management
Necessidade de criar uma estrutura organizacional que inclua funções para as várias etapas da gestão de riscos de TIC - identificação, proteção e prevenção, deteção, resposta e recuperação, formação e desenvolvimento, bem como comunicação.
2. Incident Reporting
Ajudam na harmonização do conteúdo e forma de apresentação dos relatórios sobre incidentes nos sistemas de TIC, através da obrigação de as organizações abrangidas criarem processos e regras para monitorizar, gravar, classificar e reportar essa informação.
3. Digital Operational Resiliency Testing
Define os requisitos para a criação de um programa abrangente de testes de resiliência - a realizar, pelo menos, anualmente -, em função da dimensão e do perfil de risco da organização em causa.
4. ICT Third Party Risk
Pressupõe a monitorização dos riscos associados a fornecedores e entidades terceiras, que lidem direta ou indiretamente com as instituições financeiras. Esses riscos deverão ser geridos pelas próprias organizações financeiras como parte do seu programa global de gestão de riscos, enquanto os fornecedores e as entidades terceiras ficarão sob a supervisão direta de uma das três autoridades supervisoras europeias para o setor financeiro.
5. Information & Intelligence Sharing
Pressupõe e incentiva a partilha de informação sobre ameaças cibernéticas entre as entidades financeiras, como forma de aumentar a resiliência operacional digital do setor.
"A realização de uma GAP Analysis relativa a todos os processos e modelos de proteção, transversal às diferentes etapas operacionais numa instituição, para apurar o que está feito e o que falta fazer é, por estes dias, o passo certo a dar. E, neste contexto, quanto mais cedo essa avaliação se iniciar, menor a probabilidade de um impacto negativo em caso de ciberataque", afirma Nuno Sousa.
Na sua opinião, num contexto cada vez mais desafiante e em transformação, como o do setor financeiro, "é essencial o trabalho conjunto com um parceiro tecnológico de confiança, que garanta a adoção correta de todos os pressupostos técnicos e regulamentares constantes no documento", concluiu Nuno Sousa.
