As organizações do sector dos serviços financeiros da União Europeia (UE) têm menos de um ano para demonstrar a conformidade com o Digital Operational Resilience Act (DORA).
O que é o DORA, aplica-se à sua organização e como é que a conformidade com o DORA se cruza com uma das maiores preocupações actuais em matéria de cibersegurança: a deteção e resposta a ameaças de identidade (ITDR)? Os especialistas em resiliência digital da Semperis respondem a estas e outras perguntas nesta visão geral abrangente da conformidade com o DORA.
Saiba mais sobre o ITDR
O que é DORA?
O DORA é um regulamento da UE que entrará em vigor no início de 2025. Unificando e substituindo orientações como a Lei da Resiliência Operacional, o DORA é de grande alcance e mais prescritivo e aplicável do que as orientações anteriores.
Este novo quadro exige que as instituições financeiras, os serviços e qualquer outra entidade financeira demonstrem a sua capacidade de proteção e recuperação de serviços críticos em caso de perturbações operacionais. A conformidade com o DORA tem um maior enfoque em eventos de segurança cibernética e questões de TI, exigindo que as empresas demonstrem as suas capacidades de resposta a incidentes cibernéticos através de uma melhor visibilidade, planeamento e testes rigorosos.
Os requisitos de conformidade do DORA aplicam-se a si?
É uma entidade financeira ou opera no sector dos serviços financeiros na ou com a UE? Ou é um fornecedor de tecnologias da informação e da comunicação (TIC) que apoia uma organização desse tipo? Em caso afirmativo, tem de se preparar para cumprir os requisitos do DORA.
O DORA aplica-se a mais de 22 000 entidades financeiras e fornecedores de serviços TIC que operam na UE. O regulamento também se aplica às infra-estruturas TIC que apoiam essas organizações fora da UE1.
Se a sua organização satisfaz estas condições e se enquadra numa das seguintes categorias, os requisitos de conformidade do DORA aplicar-se-ão a si:
- Instituições de crédito
- Instituições de pagamento
- Instituições de moeda eletrónica
- Empresas de investimento
- Prestadores de serviços de cripto-activos, emitentes de cripto-activos, emitentes de tokens referenciados a activos e emitentes de tokens referenciados a activos significativos
- Centrais de depósito de títulos
- Contrapartes centrais
- Plataformas de negociação
- Repositórios comerciais
- Gestores de fundos de investimento alternativos
- Empresas de gestão
- Prestadores de serviços de comunicação de dados
- Empresas de seguros e resseguros
- Intermediários de seguros, intermediários de resseguros e intermediários de seguros a título acessório
- Instituições de realização de planos de pensões profissionais
- Agências de notação de crédito
- Revisores oficiais de contas e sociedades de revisores oficiais de contas
- Administradores de indicadores de referência críticos
- Prestadores de serviços de financiamento coletivo
- Repositórios de titularização
- Prestadores de serviços terceiros no domínio das TIC2
Mesmo que seja uma instituição financeira que opere fora da UE, os requisitos DORA podem ser-lhe aplicáveis. Muitos países não pertencentes à UE estão a publicar legislação semelhante à regulamentação DORA. Chegou o momento de avaliar a sua conformidade com o DORA, independentemente da localização da sua organização.
Porquê DORA? Porquê agora?
Os avanços tecnológicos e a colaboração com parceiros tecnológicos terceiros e terceiros tornam a atenuação dos riscos, as medidas preventivas e a visibilidade complexas e difíceis para as entidades financeiras.
A tecnologia é uma faca de dois gumes, tanto uma ameaça como uma solução. Para além de terem de lidar com novas tecnologias no seu próprio ambiente, as organizações do sector dos serviços financeiros têm também de lidar com a evolução da tecnologia maliciosa.
A tecnologia cada vez mais sofisticada está a permitir deepfakes alimentados por IA e ataques em grande escala. No Fórum Económico Mundial 2024, em Davos, Mary Erdoes (Directora de Gestão de Activos e Património do JP Morgan) afirmou que o banco sofre 45 mil milhões de tentativas de pirataria informática todos os dias3. Não admira que as considerações cibernéticas e de TIC ocupem um lugar central na DORA.
"A proliferação de novas tecnologias está a expor os bancos a riscos com os quais nunca tiveram de lidar antes", observa a Deloitte. "A banca aberta e o aumento das parcerias com parceiros tecnológicos podem expor as infra-estruturas dos bancos a novas vulnerabilidades e ciberataques. Os riscos de terceiros também estão a tornar-se uma ameaça cada vez maior à medida que os bancos se envolvem em mais parcerias com fornecedores de serviços que têm os seus próprios fornecedores. "4
Os desafios da conformidade com o DORA
Neste momento, todas as equipas de tecnologia - quer se concentrem em operações de TI, infra-estruturas, segurança ou identidade - têm algum tipo de plano de recuperação de desastres: processos a seguir no caso de um ataque ou evento cibernético. Isto é especialmente verdade para as equipas dos serviços financeiros. No entanto, as complexidades do novo mandato da DORA, particularmente no que respeita à ciber-resiliência e às TIC, são sísmicas.
Este regulamento irá, sem dúvida, expor lacunas e revelar riscos nos planos e processos existentes. O DORA está definido para desafiar a prontidão até mesmo das organizações de serviços financeiros mais sofisticadas. Além disso, as entidades financeiras não devem apenas considerar a conformidade com a DORA para os sistemas tecnológicos que possuem, mas para todos os sistemas e serviços que adquirem de fornecedores terceiros.
Consequências do incumprimento dos requisitos de conformidade DORA
As empresas que não estiverem em conformidade com o DORA estarão sujeitas a coimas significativas e sustentadas. À semelhança do incumprimento do RGPD, não existe uma coima fixa. Em vez disso, as coimas serão proporcionais.
- Uma organização que seja considerada não conforme pelo organismo de supervisão relevante pode ser sujeita a uma sanção pecuniária compulsória de 1% do volume de negócios global diário médio do ano anterior, durante um período máximo de 6 meses, até que a conformidade seja atingida.
- A entidade supervisora pode também emitir ordens de cessação e desistência, avisos de rescisão, medidas pecuniárias adicionais e avisospúblicos5.
No entanto, não são apenas as coimas que as organizações devem querer evitar. Existe também um risco considerável para a reputação da não conformidade, especialmente se estiver relacionada com uma perturbação ou incidente mal gerido. A perda de confiança e a má reputação no sector podem ser ainda mais dispendiosas do que as multas. Para as organizações de pequena e média dimensão, estes problemas podem causar danos irrecuperáveis à empresa.
Por onde começar: Conformidade com a DORA e ITDR
Como é que a conformidade com a DORA se cruza com a ITDR - uma necessidade crescente à medida que os ciberataques visam cada vez mais os sistemas de identidade numa tentativa de obter acesso e controlo dos recursos nas organizações visadas?
Considere os três parágrafos seguintes do artigo 5.º do DORA, que abordam o quadro de gestão do risco das TIC.
- As entidades financeiras devem dispor de um quadro de gestão do risco das TIC sólido, exaustivo e bem documentado, que lhes permita fazer face ao risco das TIC de forma rápida, eficiente e abrangente e assegurar um elevado nível de resiliência operacional digital que corresponda às suas necessidades, dimensão e complexidade empresariais.
- O quadro de gestão dos riscos em matéria de TIC referido no n.º 1 deve incluir estratégias, políticas, procedimentos, protocolos e ferramentas TIC necessários para proteger devida e eficazmente todos os componentes físicos e infra-estruturas relevantes, incluindo o equipamento informático, os servidores, bem como todas as instalações, centros de dados e zonas sensíveis designadas, a fim de garantir que todos esses elementos físicos estejam adequadamente protegidos contra riscos, nomeadamente danos e acesso ou utilização não autorizados.
- As entidades financeiras minimizam o impacto do risco associado às TIC através da aplicação de estratégias, políticas, procedimentos, protocolos e instrumentos adequados, tal como determinado no quadro de gestão do risco associado às TIC. Fornecerão informações completas e actualizadas sobre os riscos em matéria de TIC, conforme exigido pelas autoridadescompetentes6.
A identidade é amplamente reconhecida como o novo perímetro de segurança. É também a chave para a resiliência operacional. No caso do Active Directory, por exemplo, a ciber-resiliência (a capacidade de manter o AD a funcionar e de o recuperar rapidamente, se necessário) é a base da resiliência operacional. Se o AD estiver em baixo, o mesmo acontece com as operações.
Quando falamos de risco e de gestão do risco como parte da DORA, temos de incluir o risco para a infraestrutura de identidade. Então, por onde começar?
1. Identificar os seus sistemas e serviços informáticos críticos
Em primeiro lugar, examine o seu ambiente e identifique quais os serviços que devem permanecer disponíveis para evitar impactos negativos para os seus clientes. Por exemplo, um banco teria de manter a acessibilidade e a funcionalidade das aplicações bancárias, incluindo o pagamento de um cheque, a realização de um câmbio internacional de dinheiro ou qualquer sistema ou serviço que se ligue a uma câmara de compensação.
Em seguida, determine quais os sistemas, serviços e tecnologias da sua organização que suportam estes serviços críticos. Mapeie todas as dependências associadas.
2. Plano de proteção e recuperação
Depois de mapear as dependências de forma abrangente para cada serviço e cenário, o próximo passo na conformidade com a DORA é garantir que pode monitorizar esses serviços e dependências de forma eficaz. É necessário um processo de recuperação testável.
Depois de passar muito tempo a falar com organizações que estão a passar pelo processo de conformidade DORA para o Active Directory, uma das maiores conclusões é que o regulamento exige "simulacros em tempo real" regulares para os seus testes de recuperação. Embora muitas equipas testem alguns dos seus sistemas críticos de forma semi-regular, as condições de teste podem não ser totalmente realistas. Por vezes, trata-se de um teste parcial, ou podem testar serviços independentemente de sistemas dependentes.
O DORA exige um nível de testes em tempo real que a maioria das equipas não está habituada a fazer.
3. Conheça a DORA - depois, ponha as mãos na segurança AD
O Active Directory é um sistema crítico em quase todas as organizações. O AD é utilizado para:
- Armazenar informações do utilizador
- Gerir o acesso e a autorização do utilizador
- Atribuir recursos a serviços, activos e dados
O Active Directory também funciona como o mecanismo de autenticação dos utilizadores. Isto significa que não só está firmemente dentro do âmbito do DORA para quase 100% das organizações, como o AD é também um grande alvo de infiltração e um ponto de entrada perfeito para os maus actores, actuando como uma porta de entrada para os seus utilizadores, dados e organização.
Conformidade com DORA e Zero Trust
A confiança zero refere-se a uma estrutura de segurança que trata todos os potenciais utilizadores como não sendo dignos de confiança até prova em contrário. Significa que todos os utilizadores devem ser verificados antes de lhes ser dado acesso a partes privilegiadas da sua rede.
Esta gestão de acesso privilegiado é um pilar da regulamentação DORA. No entanto, uma estratégia Zero Trust eficaz depende da gestão eficaz de delegações no Active Diretory. A falta de configuração, o controlo de acesso pouco rigoroso entre vários utilizadores e grupos e o simples erro humano podem dar às ciberameaças um meio de obter ou aumentar os privilégios no AD. E o comprometimento bem-sucedido da identidade atrapalha até mesmo os esforços mais árduos do Zero Trust. Como costumamos dizer, "a maioria dos atacantes não invade... eles se conectam".
Conformidade com o DORA: Dor de cabeça ou oportunidade?
A conformidade com qualquer novo regulamento é assustadora e pode ser frustrante devido às complexidades e às alterações que têm de ser efectuadas. Muitas equipas que enfrentam este desafio vêem o DORA como uma dor de cabeça. Mas o novo regulamento também traz oportunidades, especialmente para a segurança e gestão do AD.
A DORA está a trabalhar para melhorar a resiliência operacional das organizações através de uma regulamentação mais rigorosa. Tem preocupações sobre:
- Inchaço do Active Directory ou "desvio de configuração
- Problemas contínuos de manutenção ou erro humano
- Um processo de recuperação de AD instável
Em caso afirmativo, este é o momento de abordar estas questões. Uma vez que a DORA fará parte da lei e os riscos de incumprimento incluem coimas elevadas e sustentadas (1% do volume de negócios global diário até se considerar que a conformidade foi atingida), bem como danos para a reputação, a conformidade com a regulamentação deve ser uma prioridade estratégica para a empresa. A atribuição de recursos e de orçamento para apoiar este projeto será mais convincente para a aprovação a nível da direção.
O processo pode, por vezes, ser penoso. Mas esta é a sua oportunidade de pôr a casa em ordem e definir o nível de monitorização, teste e governação necessários para manter o AD da melhor forma possível.
Como simplificar o caminho para a conformidade com o DORA
A Semperis ajuda as organizações a obter o controlo da segurança do Active Directory. Com a plataforma de resiliência de identidade da Semperis, sua organização pode:
- Avaliar a superfície de ataque do AD
- Localizar vulnerabilidades do AD híbrido
- Monitorizar as alterações ao Active Directory e ao Entra ID
- Detetar ameaças avançadas que são concebidas para escapar às ferramentas de monitorização tradicionais
- Automatizar a reversão de alterações suspeitas
- Criar cópias de segurança e planos de recuperação do AD seguros e eficientes
- Recupere o AD em média 90% mais rápido do que através da recuperação manual
Explorar as soluções ITDR
DORA é o futuro
Muitos organismos consultivos sugeriram que as organizações não abrangidas pelo âmbito de aplicação da DORA deveriam, ainda assim, considerar a possibilidade de se alinharem com as práticas do regulamento, sempre que possível. Poderá surgir regulamentação semelhante para outros sectores, ou essas empresas poderão tornar-se alvos quando a DORA tiver melhorado a sofisticação e as capacidades cibernéticas das entidades financeiras. De qualquer modo, a visibilidade total, o mapeamento exaustivo, o planeamento detalhado da recuperação e a preparação para os testes são claramente o futuro da ciber-resiliência e da resiliência operacional para todas as organizações.
Outros artigos da nossa série sobre a conformidade com o DORA
Recursos
- https://www.pwc.co.uk/industries/financial-services/insights/dora-and-its-impact-on-uk-financial-entities-and-ict-service-providers.html
- https://www.digital-operational-resilience-act.com/DORA_Article_2_(Proposal).html
- https://fintechmagazine.com/articles/capgemini-the-challenges-and-opportunities-dora-presents
- https://www2.deloitte.com/xe/en/insights/industry/financial-services/financial-services-industry-outlooks/banking-industry-outlook.html
- https://www.orrick.com/en/Insights/2023/01/5-Things-You-Need-to-Know-About-DORA
- https://www.digital-operational-resilience-act.com/DORA_Article_5_(Proposal).html