Melhorando a Continuidade de Negócios por meio da Lei de Resistência Digital Operacional (DORA)

Tutoriais

Embora a digitalização tenha trazido muitos benefícios, ela também aumentou a dependência do setor financeiro em tecnologia de informação e comunicação (TIC), levando a mais riscos digitais, como ataques cibernéticos, interrupções em TIC, corrupção de dados e perda de dados. Para enfrentar as ameaças de segurança e melhorar a resiliência operacional no setor financeiro, a União Europeia ratificou a DORA, a Lei de Resiliência Operacional Digital.

Este blog explora como a nova regulação da UE pode ajudar as entidades financeiras a melhorar o gerenciamento de riscos em TIC para um ecossistema financeiro mais seguro. Também abrange como o NAKIVO pode assistir as instituições financeiras em alcançar a conformidade com a DORA.

O que é a Lei de Resiliência Operacional Digital (DORA)?

Visão geral e propósito da DORA

A Lei de Resiliência Operacional Digital (DORA) é a Regulamento (UE) 2022/2554, ratificado oficialmente pelo Parlamento Europeu e pelo Conselho da União Europeia em novembro de 2022. O primeiro rascunho da DORA foi proposto em 2020 como parte do Pacote de Finanças Digitais (DFP), que estabeleceu a estratégia da UE, recomendações e proposta legislativa sobre ativos criptográficos, blocos de registro e resiliência digital para o setor financeiro.

A regulação visa estabelecer um quadro legal padrão para as instituições financeiras da UE e seus fornecedores de TIC de terceiros para fortalecer a resiliência operacional e a segurança dos sistemas em TIC. Em outras palavras, um dos principais objetivos da DORA é mitigar as ameaças cibernéticas, brechas em TIC e interrupções no setor financeiro.

Instituições financeiras e seus fornecedores de TIC terceirizados devem implementar o framework DORA e as normas técnicas até 17 de janeiro de 2025.

Organismos reguladores que aplicam a DORA

Embora a UE tenha adotado oficialmente a DORA em 2022, as Autoridades Supervisórias da UE (ASUEs) ainda estão desenvolvendo as normas técnicas de regulamentação (RTS) sob a lei. Três ASUEs – Autoridade Bancária Europeia (EBA), Autoridade Europeia dos Seguros e Pensionistas (EIOPA) e Autoridade Européia dos Valores Mobiliários e dos Mercados (ESMA) – publicaram o primeiro rascunho em janeiro de 2024 e estão esperando finalizar as RTS no final do ano. Após as ASUEs entregarem as RTS finais à Comissão da UE, as normas serão ratificadas pelo Parlamento e pelo Conselho.

A aplicação das RTS e o controle da conformidade estão a cargo das autoridades nacionais competentes, que ainda não foram finalizadas. A aplicação começa assim que as autoridades são designadas e o prazo final de janeiro de 2025 passa.

Principais Requisitos da Lei DORA

A regulamentação DORA estabelece requisitos de segurança para as redes e sistemas de TIC das instituições financeiras e seus fornecedores terceirizados. Esses requisitos abrangem quatro aspectos principais de segurança de TIC:

  • Gestão de riscos de TIC (Capítulo II). Emfatiza a responsabilidade dos gestores para os desastres de TIC e estabelece um framework comum para odetecção, identificação, gestão e mitigação de ameaças de TIC.
  • Gestão de incidentes de TIC, classificação e relatórios (Capítulo III). Normaliza as obrigações de relatórios de incidentes de TIC e expande o escopo de incidentes que devem ser relatados às autoridades.
  • Testes de resiliência operacional digital (Capítulo IV). Obriga a realização de testes de resiliência baseados em risco de sistemas críticos de TIC, com testes de penetração de ameaças avançadas (TLPT), a cada 3 anos pelo menos.
  • Gestão de riscos de terceiros em TIC (Capítulo V). Exige que as instituições financeiras estabeleçam regras de monitoramento de risco para seus fornecedores de terceiros, incluindo disposições relacionadas a risco em seus contratos, e impõe penalidades por não conformidade.
  • Compartilhamento de informações (Capítulo VI). Introduzindo mecanismos de compartilhamento de informações onde as entidades financeiras podem trocar suas informações e inteligência sobre ameaças cibernéticas para aumentar a sensibilidade a novas ameaças e compartilhar estratégias de mitigação de ameaças.

Quem deve cumprir com a Lei de Resiliência Operacional Digital (DORA)?

Organizações cobertas pela DORA

Instituições financeiras e entidades cujas atividades são críticas para a infraestrutura do setor financeiro fazem parte do alcance da DORA:

  • Instituições de crédito e de pagamento
  • Instituições de dinheiro eletrônico
  • Provedores de serviços de ativos criptográficos
  • Empresas de investimento e gestores de fundos de investimento alternativos
  • Companhias de seguros e reaseguradoras e intermediários
  • Locais de negociação e repositórios de negociações
  • Fundos de pensão
  • Depósitos centrais de títulos, contrapartes centrais e repositórios de securitização
  • Provedores de serviços, incluindo serviços como informação de conta, relatórios de dados, gerenciamento, crowdfunding
  • Agências de avaliação de crédito
  • Gestores de benchmarks críticos
  • Terceiros fornecedores de serviços de TI, incluindo provedores de serviços na nuvem

Riscos de Não-Cumprimento com a DORA

A DORA autoriza os estados membros a decidir sobre as penalidades administrativas ou medidas corretivas para não-cumprimento. A Lei também permite que os estados membros apliquem penalidades criminais para infrações sujeitas à lei penal nacional.

Portanto, a DORA define possíveis medidas mínimas que os estados membros podem usar para garantir o implementamento eficaz das orientações da DORA, incluindo a emissão de notas públicas e, em alguns casos, pedidos de cessar qualquer atividade não-cumprida, temporariamente ou permanentemente.

A regulamentação da DORA também dá poderes às AES para designar terceiros fornecedores de serviços de TI críticos para o setor financeiro e nomear um supervisor principal para cada fornecedor crítico. Os supervisores principais recebem o mesmo poder que as autoridades competentes e podem exigir medidas corretivas e penalidades de fornecedores de TI não-cumpridores. A DORA autorizou os supervisores principais a impor multas de até 1% do turno médio diário mundial de vendas dos fornecedores de TI no ano anterior. Esta multa pode ser imposta diariamente por até 6 meses ou até que o cumprimento seja alcançado.

Como a DORA Impacta as Entidades Financeiras e os Fornecedores Terceiros

Apesar de as normas reais ainda não terem sido finalizadas, a DORA descreve exigências e recomendações gerais sobre como o setor financeiro deve padronizar suas práticas de gestão de TI e medidas de segurança.

Se você for um fornecedor terceário de TIC, como um vendedor de serviços cloud, seu passo inicial deve ser determine se você é considerado crítico conforme o Artigo 31 (Seção II). Os fornecedores críticos ficam sob a regulamentação de DORA, assim como outras entidades financeiras.

DORA exige que as instituições financeiras avaliem o risco de fornecedores terceários e stipulem gerenciamento de incidentes nas contratos de serviço. Portanto, como um fornecedor não-crítico que trabalha com organizações financeiras, você será obrigado a mitigar riscos que podem potencialmente afetar a organização financeira.

Adjustimentos operacionais necessários por DORA

DORA enfatiza a responsabilidade do gerenciamento para com desastres de TIC e exige que as instituições financeiras desenvolvam e mantenham um framework abrangente para mitigar riscos de TIC. O framework deve incluir as seguintes coisas:

  • Funções e responsabilidades definidas para o gerenciamento e pessoal envolvido
  • Avaliação de risco de TIC regular para identificar e monitorar riscos em sistemas, processos e ativos de TIC
  • Monitoramento contínuo de sistemas de TIC para ameaças potenciais
  • Procedimentos estruturados e detalhados para prevenir, gerenciar e responder a incidentes de TIC, incluindo planos de resposta a incidentes e de continuidade de negócios
  • Atualização e melhoria contínua das práticas e medidas baseadas em análise de incidentes
  • Protocolos de comunicação de incidentes para clientes e outros stakeholders, tanto internos quanto externos, para garantir transparência e confiança durante desastres de TIC.
  • Fechados protocolos para o relatório de incidentes aos órgãos regulatórios e outras entidades relevantes, com base na severidade do incidente

Práticas de Risco Fortalecidas

Junto com o monitoramento contínuo de riscos em TIC, a DORA aplica exames regulares de sistemas e ativos para exposição a riscos em TIC. Os institutos financeiros se tornam responsáveis pelos riscos associados a provedores de serviços de TIC terceirizados e pelo tratamento de fornecedores não conformes. Concretamente, a DORA exige que entidades financeiras incluam provisões para gerenciar riscos em TIC em seus contratos com os fornecedores com quem trabalham.

A Lei enfatiza a importância de estratégias de prevenção, que incluem a avaliação da existente resistência e medidas de segurança para identificar vulnerabilidades de sistema e protocolos e análise e relatórios pós-incidente. A DORA também encoraja a aprendizagem comunitária e a organização de eventos em toda a indústria, onde instituições financeiras podem compartilhar suas experiências e conhecimentos.

Estágio de Cibersegurança e Padrões de Proteção de Dados Melhorados

A DORA reconhece a cibersegurança e a proteção de dados como os principais fatores que afectam a resiliência operacional de uma organização e exige que entidades financeiras:

  • implementem medidas de segurança como controles de acesso e criptografia
  • desenvolvam planos de continuidade de negócios e recuperação de desastres
  • usem ferramentas para monitoramento contínuo de ameaças em TIC e detecção de malware em tempo real
  • garantir atualizações oportunas de software e hardware para mitigar vulnerabilidades
  • realizar avaliações de vulnerabilidades regulares que incluam testes de penetração e de cenários

    Para ambientes críticos e áreas de alto risco, as entidades devem realizar testes avançados periódicos, como testes de equipe vermelha, e até mesmo ser necessário participar de exercícios de testes industriais abrangentes.

  • relatar incidentes rapidamente aos stakeholders e autoridades para fins de transparência durante os incidentes e permitir que outras organizações aprendam com os incidentes

Opiniões de Expertos sobre a Lei da Resistência Operacional Digital (DORA)

Insights de Profissionais de Cibersegurança

“A DORA exige que as instituições financeiras desenvolvam uma política de segurança de dados apropriada e uma rede robusta com base em um enfoque de risco. As práticas que a DORA especifica são novas na indústria? Não, elas têm estado lá por décadas. No entanto, apesar do risco crescente de ataques cibernéticos como o ransomware, algumas organizações ainda não implementaram ou apenas parcialmente implementaram as melhores medidas de segurança básicas,”diz Sergei Serdyuk, Vice Presidente na NAKIVO.

Previsões para o Futuro da DORA

“A DORA está abrindo caminhos para uma melhor segurança de dados na indústria financeira. E esperançavelmente, com o tempo, essa regulamentação irá ser estendida a outros setores também. Com a digitalização global e o avanço dos AI, mais indústrias e organizações se tornaram sujeitas a riscos de segurança de dados. Em muitos casos, isso não significa apenas uma perda individual de uma organização, financeira ou reputacional, mas um aumento do risco de interrupções industriais e inter-industriais devido à codependência entre as organizações.” —Sergei Serdyuk, Vice Presidente na NAKIVO.

Passos para Garantir Conformidade com a DORA através da NAKIVO

A DORA dá especial atenção aos procedimentos de backup e replicação (Artigos 11-12) já que eles afetam diretamente a disponibilidade dos serviços da empresa, a continuidade e a segurança dos dados. A DORA obriga as entidades a garantir a segurança do transferimento de dados e a minimizar o risco de corrupção e perda de dados, bem como as má prática de gerenciamento de dados e erros humanos.

O NAKIVO Backup & Replication é uma solução de proteção de dados abrangente que permite realizar backup, replicação, configuração e automatização de workflow de recuperação de desastres e monitoramento de cargas de trabalho através de uma interface web única.

A solução suporta ambientes virtuais, cloud, físicos, NAS, SaaS e híbridos, o que a coloca em uma posição ideal para ajudar as entidades financeiras de diferentes tamanhos a garantir uma proteção de dados de primeira linha. A solução funciona de forma transparente com vários tipos de armazenamento, incluindo soluções de deduplicação e dispositivos NAS, nuvens públicas, plataformas cloud compatíveis com S3 e fitas, garantindo a flexibilidade necessária para diferentes necessidades de negócios e conformidade.

Realizar uma avaliação inicial de conformidade

Realize a análise de lacunas para identificar as áreas em que podem ser necessárias melhorias para cumprir com a regulamentação DORA. concentre-se em 4 áreas-chave que mencionamos acima:

  • Gestão de riscos em TI
  • Gestão de incidentes em TI, classificação e relatórios
  • Testes de resiliência operacional digital
  • Gestão de riscos de terceiros em TI

Desenvolvendo uma estratégia de conformidade DORA

Ao desenvolver uma estratégia de conformidade DORA, deve haver um mapa anual com passos definidos, objetivos e prioridades. A estratégia será diferente dependendo da complexidade da infraestrutura de TI da organização e do nível de resiliência atual contra as ameaças digitais.

O DORA exige que as organizações financeiras tenham planos de continuidade de negócios apropriados, planos de resposta e recuperação em TI e realizem uma avaliação de impacto de negócios (BIA) de sua exposição a interrupções graves.

O DORA também exige que as organizações tenham pelo menos um local secundário remoto (um site de recuperação de desastres) para garantir a continuidade dos operações críticas do negócio quando o site primário estiver fora de serviço. Para minimizar o downtime e limitar a interrupção ou perda, uma organização deve desenvolver um plano de recuperação de desastres que inclua as seguintes coisas:

  • O escopo de backup e recuperação de desastres com base na importância de componentes de software e hardware e de dados armazenados;
  • Dependências entre componentes IT e ordem de recuperação da VM;
  • Objetivos de recuperação (tempo de recuperação e ponto de recuperação) para cada função dependendo da sua importância e impacto global nas operações de negócios (isto também significa que você precisa ter um plano de rotação de ponto de recuperação baseado na frequência de atualizações de dados e sua importância);
  • Funções e responsabilidades atribuídas aos funcionários;
  • Requisitos de hardware estabelecidos para um site de DR secundário para garantir recursos de CPU, memória, capacidade de disco e banda de rede adequados para uma transição fluida.

Navegando a conformidade DORA com NAKIVO

As funcionalidades avançadas da solução NAKIVO podem ajudar você a minimizar os esforços de conformidade com a DORA e automatizar a maioria dos processos relacionados à cadeia de segurança. Para ajudá-lo a navegar melhor por todos os casos de uso, aqui ilustramos como você pode atender aos requisitos de segurança da DORA específicos usando a solução NAKIVO:

  • Resilência de dados (Artigo 9).A solução NAKIVO permite que você facilmente atinja o padrão de backup 3-2-1 para melhor resistência de dados. De acordo com essa regra, você precisa armazenar pelo menos 3 cópias de seus dados de backup em 3 locais diferentes; 2 cópias devem estar fora do local e 1 no cloud.
  • Integridade de dados (Artigo 12).Com cópias de backup e réplicas conhecendo as aplicações, você pode ter a certeza de que os dados das aplicações são consistentes mesmo quando o backup é executado enquanto a aplicação está em execução. A solução também suporta backups do banco de dados Oracle, aplicações Microsoft como o Active Directory e o Exchange Server, bem como as aplicações e serviços Microsoft 365 (Teams, Exchange Online, SharePoint Online, OneDrive for Business).
  • Resistência contra ransomware e outras ameaças cibernéticas (Artigo 9).A solução da NAKIVO permite que você crie backups imutáveis localmente, no cloud ou em dispositivos HYDRAstor para garantir que ninguém possa alterar ou excluir seus dados. Você também pode aproveitar o air-gaping enviando cópias de backup para fita ou outro armazenamento removível onde os criminosos cibernéticos não podem acessá-los pela rede. A solução também permite que você escaneie backups para malware antes da recuperação para que você possa ter a certeza de que os dados de backup não estão infectados.
  • Criptografia end-to-end (Artigo 9).Com a solução da NAKIVO, você pode criptografar os dados de backup antes de deixarem o computador de origem e criptografar o rede e os repositórios de backup para garantir que seus dados estejam seguros tanto em transição quanto em repouso.
  • Prevenção de acesso não autorizado e mecanismos de autenticação forte (Artigo 9).Você pode proteger todos os backups e fluxos de proteção de dados com controle de acesso baseado em papéis e autenticação de múltiplos fatores.
  • Monitoramento de ameaças em tempo real (Artigo 10). A melhor maneira de garantir a detecção de anomalias em tempo real é usar software antimalware abrangente. No entanto, a solução da NAKIVO tem funcionalidades que podem ajudar a melhorar o monitoramento de ameaças. Por exemplo, com a função de monitoramento de TI para VMware, você pode detectar problemas e atividade suspeita antes que eles se tornem um problema maior. A funcionalidade permite o monitoramento em tempo real de todas as métricas de desempenho, incluindo uso de CPU, RAM e disco, para que você note rapidamente qualquer consumo anormal.
  • Resilência operacional contra riscos de TI e tempo de inatividade mínimo em caso de interrupções (Artigos 11-12). A funcionalidade de Recuperação de Site avançada da NAKIVO permite que você automate e teste fluxos de recuperação de site. Você pode configurar sequências automatizadas e dispará-las com um clique durante desastres para instantaneamente mudar para réplicas localizadas em um site secundário.
  • Testes regulares de fluxos de DR e protocolos (Artigo 12). Para garantir que a recuperação seja smooth e os objetivos sejam atingidos durante o desastre, você pode agendar testes regulares de failover e failback em um modo de teste que não interrompa suas atividades de produção. Os testes permitem que você verifique a sequência de ações e verifique a conectividade da rede.

Resumo

A Lei de Resistência Operacional Digital é um salto estratégico em direção a um setor financeiro mais resistente e operações financeiras seguras. Ao exigir a implementação das melhores práticas de cibersegurança e incentivando o aprendizado e a consciência, a Lei ajuda as instituições financeiras a enfrentar as ameaças atuais e desafios futuros, estabelecendo um marco para outras indústrias.

Torne NAKIVO parte da sua jornada em direção a um sistema de TI mais resistente.

Source:
https://www.nakivo.com/blog/digital-operational-resilience-act/