O PayPal é mais seguro do que o Venmo por ter detecção avançada de fraudes, ser compatível com passkeys, oferecer programas de proteção fortes para compradores
A Lei de Resiliência Operacional Digital (DORA) é uma regulamentação que fortalece a segurança digital entre as instituições financeiras da União Europeia (UE). Embora a DORA tenha entrado em vigor em 2023, será adotada por completo em todas as entidades financeiras da UE e por prestadores de serviços terceirizados de tecnologias da informação e comunicação (TIC) a partir de janeiro de 2025, para melhorar suas defesas contra possíveis ameaças cibernéticas.
Continue lendo para conhecer os objetivos da DORA, seus principais pilares de conformidade e como sua organização pode se preparar para ela.
A finalidade da DORA
Os dois principais objetivos da DORA são melhorar a forma como serviços financeiros gerenciam riscos de TIC e unificar as regulamentações existentes sobre gestão de riscos de TIC em todos os estados-membros da UE.
Tratar a gestão de riscos de TIC no setor financeiro
Nas instituições financeiras da UE, as regulamentações sobre gestão de riscos se concentram em garantir que as organizações tenham dinheiro suficiente para lidar com os riscos para suas operações. Porém, o problema nisso é que algumas organizações têm diretrizes de TIC, enquanto outras não. Sem um conjunto unificado de normas de segurança ou regras sobre gestão de riscos de TIC, cada estado-membro da UE foi obrigado a elaborar seus próprios requisitos. Padronizando esses requisitos, a DORA tornará o setor financeiro mais seguro e mais capaz de lidar com riscos relacionados a seus sistemas online e vulnerabilidades tecnológicas.
Harmonizar as regulamentações de gestão de riscos em uma única estrutura
Com a DORA, a UE pode contar com uma estrutura de segurança consistente para gerenciar riscos de TIC, principalmente no setor de serviços financeiros. Isso eliminará inconsistências entre diferentes países da UE em relação a normas e facilitará que instituições financeiras sigam o processo de conformidade. A DORA ajudará as organizações a entenderem melhor o que fazer na eventualidade de um risco de segurança.
Os cinco pilares de conformidade da DORA
As organizações da UE impactadas pela DORA precisarão atender seus cinco pilares de conformidade até 17 de janeiro de 2025.
1. Gestão de riscos de TIC
A gestão de riscos de TIC é a base da DORA, porque detecta e analisa riscos associados ao uso de tecnologia em uma organização. As instituições financeiras devem seguir uma estrutura de gestão de riscos de TIC com a ajuda de partes interessadas cruciais e membros da alta gerência, para estabelecer uma comunicação sólida sobre possíveis riscos de segurança. A gestão de riscos de TIC deve detalhar as ferramentas, documentos e processos adequados para defender uma organização contra riscos operacionais e ameaças cibernéticas. Sem uma gestão adequada de riscos de TIC, as organizações têm uma possibilidade maior de sofrer com violações de dados e outros problemas de segurança que podem prejudicar seus negócios e sua reputação.
2. Relatórios de incidentes de TIC
Depois que uma estrutura de gestão de riscos de TIC for estabelecida, uma organização precisa saber como reportar incidentes, caso ocorram. Com a DORA, a geração de relatórios de incidentes de TIC se tornará um processo mais simples, consolidando esses relatórios em um único canal simplificado. As organizações financeiras devem apresentar a uma central unificada da UE um relatório sobre a causa raiz de incidentes sérios relacionados à TIC, no prazo de um mês após a ocorrência e seguindo as novas regras de geração de relatórios da UE. Quando organizações enviarem relatórios sobre causas raiz, a central da UE analisará todos os principais relatórios relacionados à TIC e coletará todos os dados para determinar se existem vulnerabilidades de segurança comuns entre as instituições financeiras.
3. Testes de resiliência operacional digital
Algumas entidades financeiras atualmente recrutam agentes independentes para realizar testes regulares de resiliência operacional digital, que testam suas metodologias, seus procedimentos, suas ferramentas e seus sistemas de recuperação, com o objetivo de se prepararem para enfrentar quaisquer riscos relacionados à TIC. Embora existam estruturas em vigor que cobrem testes de resiliência operacional digital para determinadas organizações financeiras, a DORA irá difundir os requisitos dos testes por todo o setor de serviços financeiros. Isso aumentará o número de organizações obrigadas a realizar testes de resiliência operacional digital, o que minimizará o preço da contratação de agentes independentes e reduzirá as chances de organizações sofrerem ataques cibernéticos.
4. Compartilhamento de informações e inteligência
Quando a DORA estiver em pleno vigor, as organizações serão obrigadas a compartilhar informações sobre ameaças cibernéticas dentro de comunidades financeiras confiáveis. O objetivo principal é ajudar outras organizações a conhecer possíveis ameaças cibernéticas, para que possam desenvolver suas próprias soluções para proteger informações privadas. As organizações irão definir e compartilhar as estratégias que usam para combater ameaças cibernéticas, a fim de melhorar a segurança geral da comunidade de serviços financeiros.
5. Gestão externa de riscos de TIC
As entidades financeiras devem ter contratos em vigor com quaisquer prestadores de serviços de TIC “críticos”, destacando tópicos como proteção de dados e gestão de incidentes. O que distingue certos provedores de serviços de TIC como “críticos” inclui os serviços que são cruciais para as operações diárias de uma organização. Os contratos com provedores terceirizado críticos garantem que eles devem prestar apoio a suas organizações financeiras afiliadas no caso de uma violação de dados ou outro ataque cibernético. Por exemplo: quando um contrato é assinado, o provedor terceirizado será obrigado a compartilhar informações adequadas e manter o mais alto nível de padrões de segurança nos serviços prestados a uma organização financeira em conformidade com a DORA, devido ao seu status “crítico”.
Como se preparar para estar em conformidade com a DORA
Sua organização pode se preparar para atender aos requisitos da DORA de várias maneiras, incluindo conduzir uma análise de lacunas da DORA, identificar provedores terceirizados críticos e avaliar seu plano de resposta a incidentes vigente.
Realize uma análise de lacunas da DORA
Para identificar todas as lacunas nos sistemas de TIC, sua organização deve realizar uma análise de lacunas da DORA. Você pode avaliar suas práticas atuais comparando-as com o que a DORA exigirá, o que o ajudará a identificar melhor todas as áreas que sua organização precisa aprimorar para estar em conformidade com os novos requisitos. Com base nos resultados de sua análise de lacunas da DORA, pode ser necessário criar um roteiro com providências para resolver quaisquer lacunas em sua organização. Por exemplo: se sua análise de lacunas mostrar que sua organização não participa do compartilhamento de informações, você precisará identificar ações e estabelecer um cronograma para garantir que sua organização esteja em conformidade com a DORA.
Identifique provedores terceirizados de TIC críticos
Sua organização deve determinar se você está trabalhando com qualquer provedor terceirizado de TIC “crítico”, identificando todas as características que definem essa categorização. Se você usar provedores de serviços de nuvem (CSPs) terceirizados, sua equipe de segurança precisa garantir que esses fornecedores também estejam em conformidade com a DORA e tenham contratos vigentes. É importante identificar quais de seus provedores de serviços terceirizados se enquadram na categoria “crítica”, porque você pode precisar formar equipes e alterar softwares para garantir a conformidade com a DORA.
Avalie seu plano de resposta a incidentes em vigor
Um plano de resposta a incidentes atribui responsabilidades e estabelece procedimentos a serem seguidos pelos funcionários de uma organização no caso de uma violação de dados ou um ataque cibernético. Com um plano de resposta a incidentes estabelecido, sua organização não ficará em pânico se algo der errado, mas estará preparada para identificar, avaliar, remediar e evitar que ataques ocorram novamente. Assumindo que sua organização já tenha um plano de resposta a incidentes em vigor, você precisará reavaliar se seu plano atual está em conformidade com a DORA. Compare seu plano atual com os requisitos da DORA para avaliar se sua organização deverá seguir disposições específicas. Se você testar seu plano de resposta a incidentes simulando uma violação de dados e descobrir vulnerabilidades, também precisará modificar seus relatórios internos para atender aos padrões da DORA.
O que acontece se as empresas não estiverem em conformidade com a DORA?
Se uma entidade financeira não estiver em conformidade com a DORA, as autoridades podem impor multas de até 2% da receita global anual da organização. Embora a organização como um todo sofra as consequências de não estar em conformidade com a DORA, gerentes individuais também podem ser penalizados com multas de até um milhão de euros. Para qualquer provedor terceirizado de TIC “crítico” que não esteja em conformidade com a DORA, a multa pode chegar a cinco milhões de euros.
Como o KeeperPAM® pode ajudar a estar em conformidade com a DORA
Sua organização pode fortalecer a própria segurança e atender a alguns requisitos de conformidade da DORA investindo em uma solução de gerenciamento de acesso privilegiado (PAM), como o KeeperPAM. Com o uso do KeeperPAM, sua organização poderá monitorar e gerenciar de perto funcionários e sistemas que lidam com dados confidenciais e contas importantes, reduzindo significativamente o número de erros ou vulnerabilidades que possam levar a violações de dados ou ataques cibernéticos. O KeeperPAM pode ajudar organizações do setor financeiro a estarem em conformidade com a DORA ao reduzir suas superfícies de ataque, garantindo acesso seguro para usuários autorizados e gerando relatórios completos sobre todas as contas privilegiadas.
Solicite uma demonstração do KeeperPAM hoje mesmo para garantir que sua organização esteja preparada para atender aos requisitos de conformidade da DORA e protegida com os mais altos níveis de segurança para seus dados confidenciais.