- Partilhar artigo
- ...
"A segurança é uma prioridade", referiu João Ribeiro da Costa, administrador da Claranet Portugal, durante o pequeno-almoço/debate "Banca do Futuro: Desafios de Transformação, Inovação e Governance", uma iniciativa do Jornal de Negócios e da Claranet, que se realizou no Pestana Palace, em Lisboa e que contou com a presença de Afonso Eça, diretor executivo do novo Centro de Excelência para a Inovação e Novos Negócios do BPI, Carlos Silva, diretor de Segurança e Proteção de Dados do Banco CTT, Eduardo Moradas, administrador do Bison Bank, João Ribeiro da Costa, administrador da Claranet, Nuno Sousa, Financial Services director da Claranet Portugal, Paulo Amaral, professor auxiliar convidado da Católica Lisbon Business & Economics e contou com a moderação de João Maia Abreu.
O administrador da Claranet Portugal acrescentou que "a segurança também tem a ver com a parte regulamentar e há uma dimensão da segurança que hoje em dia é tratada por via regulamentar que transfere o risco de incidentes e ataques cibernéticos para os riscos das multas. Por isso, a banca está particularmente exposta, é uma área com exigências cada vez maiores por causa do Digital Operational Resilience Act (DORA)". Este regulamento europeu tem por objetivo fortalecer a resiliência operacional digital das entidades que operam no setor financeiro e vai entrar em vigor em janeiro de 2025.
"O DORA surge por causa das infraestruturas críticas. Não podemos correr o risco de ataques cibernéticos que ponham em causa a economia. É um tema que está identificado há mais de dez anos e os bancos são uma das infraestruturas críticas importantes no sistema. Trata-se de criar uma regulamentação que garanta que, se houver algum ataque, se está minimamente protegido", explicou Paulo Cardoso do Amaral, professor auxiliar convidado da Católica Lisbon.
O risco sistémico tech
"As tecnologias também podem ser um risco sistémico e o DORA vem colmatar um pouco essa preocupação, porque hoje o risco sistémico não é só financeiro. A partir do momento em que haja dois bancos que, por questões tecnológicas, não funcionem, corremos um risco sistémico. Este tem estado muito ligado aos rácios financeiros, à rentabilidade, mas o risco também passa a ser associado ao facto de uma instituição não poder funcionar, sem que os clientes possam aceder", explica Nuno Sousa, Financial Services director da Claranet Portugal, sublinhando que este regulamento vai obrigar a fazer-se um gap analysis. "Analisar o que já existe, porque há a transposição de algumas medidas que já existem e algumas implementações que já foram feitas na área da banca. Lembro-me em particular que o art.º 12 do DORA (Backup policies and procedures, restoration and recovery procedures and methods), em que se diz que temos de garantir que há recuperação para outro local geográfico, define o que deve ter a arquitetura. Terá de haver um esforço de sistematização e de auditoria para confirmar o compliance do DORA".
"O DORA fala muito em resiliência operacional, mas um ciberataque não tem nada que ver com outros incidentes que possa haver, é completamente diferente. Posso ter um datacenter que morre hoje e recuperamos porque temos os backups e, em dois ou três dias, volta a funcionar. Com um ciberataque posso estar semanas sem funcionar, não sabemos o impacto porque começamos hoje a resolvê-lo mas não se sabe quando se termina a resolução", relembra Carlos Silva, diretor de Segurança e Proteção de Dados no Banco CTT.
Banca preparada
Para Nuno Sousa, o DORA é uma formalização do que já existe mas de uma forma mais estruturada e acentua que há uma mudança de paradigma em relação aos backups. "Olhava-se a imutabilidade, a garantia de que o backup estava estanque, fechado, agora tem de se garantir que, antes de fazer o backup, não havia ransomware. Já há tecnologia neste sentido, vai implicar algum investimento mas a questão da imutabilidade vai ser um tema, garantir que está ok, que se consegue recuperar e não tem informação que possa pôr em causa a recuperação". Adianta ainda que ao "nível de arquitetura tem de haver uma evolução porque algumas aplicações de legacy, com arquiteturas menos robustas podem não permitir um ‘recover disaster’ satisfatório. A recuperação dos backups de forma imutável vai ser um desafio dos próximos tempos, neste caso até janeiro de 2025".
Nuno Sousa salienta que "é interessante que se parte do pressuposto de que vamos ser atacados, o que vem no sentido de como é que vamos recuperar". Na sua opinião a banca é dos setores mais bem protegidos, está na natureza do seu negócio, porque, se um banco deixar que os seus dados sejam comprometidos, arrisca-se a ficar sem negócio. "O risco reputacional de um banco que não trata bem dos dados dos seus clientes é desaparecer. O banco é o primeiro interessado em fazer bem. Se há entidade que não fica à espera que as coisas aconteçam é a banca, até porque há outros setores, mesmo críticos, que pensam que talvez não sejam atacados", disse Nuno Sousa.
A partilha de informação
"A banca tem um risco reputacional grande, mas os reguladores também são implacáveis connosco, fazem-nos correr, ao contrário do que acontece em quase todos os outros setores que também têm risco reputacional", observou Carlos Silva. Em relação ao DORA, Nuno Sousa afirma que "a banca até está bem gerida, o que o DORA faz é obrigar a ter mecanismos. O que os bancos vão ter de fazer é criar as evidências de que estes mecanismos existem. Não é mais do que isto, e estes mecanismos já existem na banca. O DORA também levanta a questão da rede partilha e nós até estamos bem organizados com o Conselho Nacional de Segurança e a Rede Nacional de Computer Security Incident Response Team.
O administrador da Claranet Portugal acrescentou que "a segurança também tem a ver com a parte regulamentar e há uma dimensão da segurança que hoje em dia é tratada por via regulamentar que transfere o risco de incidentes e ataques cibernéticos para os riscos das multas. Por isso, a banca está particularmente exposta, é uma área com exigências cada vez maiores por causa do Digital Operational Resilience Act (DORA)". Este regulamento europeu tem por objetivo fortalecer a resiliência operacional digital das entidades que operam no setor financeiro e vai entrar em vigor em janeiro de 2025.
"O DORA surge por causa das infraestruturas críticas. Não podemos correr o risco de ataques cibernéticos que ponham em causa a economia. É um tema que está identificado há mais de dez anos e os bancos são uma das infraestruturas críticas importantes no sistema. Trata-se de criar uma regulamentação que garanta que, se houver algum ataque, se está minimamente protegido", explicou Paulo Cardoso do Amaral, professor auxiliar convidado da Católica Lisbon.
O risco sistémico tech
"As tecnologias também podem ser um risco sistémico e o DORA vem colmatar um pouco essa preocupação, porque hoje o risco sistémico não é só financeiro. A partir do momento em que haja dois bancos que, por questões tecnológicas, não funcionem, corremos um risco sistémico. Este tem estado muito ligado aos rácios financeiros, à rentabilidade, mas o risco também passa a ser associado ao facto de uma instituição não poder funcionar, sem que os clientes possam aceder", explica Nuno Sousa, Financial Services director da Claranet Portugal, sublinhando que este regulamento vai obrigar a fazer-se um gap analysis. "Analisar o que já existe, porque há a transposição de algumas medidas que já existem e algumas implementações que já foram feitas na área da banca. Lembro-me em particular que o art.º 12 do DORA (Backup policies and procedures, restoration and recovery procedures and methods), em que se diz que temos de garantir que há recuperação para outro local geográfico, define o que deve ter a arquitetura. Terá de haver um esforço de sistematização e de auditoria para confirmar o compliance do DORA".
"O DORA fala muito em resiliência operacional, mas um ciberataque não tem nada que ver com outros incidentes que possa haver, é completamente diferente. Posso ter um datacenter que morre hoje e recuperamos porque temos os backups e, em dois ou três dias, volta a funcionar. Com um ciberataque posso estar semanas sem funcionar, não sabemos o impacto porque começamos hoje a resolvê-lo mas não se sabe quando se termina a resolução", relembra Carlos Silva, diretor de Segurança e Proteção de Dados no Banco CTT.
Banca preparada
Para Nuno Sousa, o DORA é uma formalização do que já existe mas de uma forma mais estruturada e acentua que há uma mudança de paradigma em relação aos backups. "Olhava-se a imutabilidade, a garantia de que o backup estava estanque, fechado, agora tem de se garantir que, antes de fazer o backup, não havia ransomware. Já há tecnologia neste sentido, vai implicar algum investimento mas a questão da imutabilidade vai ser um tema, garantir que está ok, que se consegue recuperar e não tem informação que possa pôr em causa a recuperação". Adianta ainda que ao "nível de arquitetura tem de haver uma evolução porque algumas aplicações de legacy, com arquiteturas menos robustas podem não permitir um ‘recover disaster’ satisfatório. A recuperação dos backups de forma imutável vai ser um desafio dos próximos tempos, neste caso até janeiro de 2025".
Nuno Sousa salienta que "é interessante que se parte do pressuposto de que vamos ser atacados, o que vem no sentido de como é que vamos recuperar". Na sua opinião a banca é dos setores mais bem protegidos, está na natureza do seu negócio, porque, se um banco deixar que os seus dados sejam comprometidos, arrisca-se a ficar sem negócio. "O risco reputacional de um banco que não trata bem dos dados dos seus clientes é desaparecer. O banco é o primeiro interessado em fazer bem. Se há entidade que não fica à espera que as coisas aconteçam é a banca, até porque há outros setores, mesmo críticos, que pensam que talvez não sejam atacados", disse Nuno Sousa.
A partilha de informação
"A banca tem um risco reputacional grande, mas os reguladores também são implacáveis connosco, fazem-nos correr, ao contrário do que acontece em quase todos os outros setores que também têm risco reputacional", observou Carlos Silva. Em relação ao DORA, Nuno Sousa afirma que "a banca até está bem gerida, o que o DORA faz é obrigar a ter mecanismos. O que os bancos vão ter de fazer é criar as evidências de que estes mecanismos existem. Não é mais do que isto, e estes mecanismos já existem na banca. O DORA também levanta a questão da rede partilha e nós até estamos bem organizados com o Conselho Nacional de Segurança e a Rede Nacional de Computer Security Incident Response Team.
O que é o DORA? O Digital Operational Resilience Act (DORA) é composto por um conjunto de atos legislativos europeus e destina-se a preparar o setor financeiro para enfrentar sem descontinuidades os cenários de pós-ataque, propondo um conjunto de regras para uniformizar processos e best-practices.
São definidas as instituições abrangidas pelas respetivas diretrizes, dividindo-as entre entidades financeiras como bancos, seguradoras, entidades de gestão de pagamentos, instituições de crédito, brokers, entre outros, e ICT (Information, Communications Technologies) Service Providers, que são os fornecedores de serviços e soluções de cloud, software, pen testing, armazenamento, pagamento, entre outros.
São definidas as instituições abrangidas pelas respetivas diretrizes, dividindo-as entre entidades financeiras como bancos, seguradoras, entidades de gestão de pagamentos, instituições de crédito, brokers, entre outros, e ICT (Information, Communications Technologies) Service Providers, que são os fornecedores de serviços e soluções de cloud, software, pen testing, armazenamento, pagamento, entre outros.