A pouco mais de um ano da data-limite para a entrada em vigor do DORA, as entidades financeiras têm novos desafios tecnológicos que importa ultrapassar.
Nuno Sousa
Financial Services Director - Claranet Portugal
Cerca de um ano após a publicação das primeiras guidelines para iniciar a adoção do Digital Operational Resilience Act (DORA), o panorama atual do mercado português vai pouco mais além do que um lugar-comum: muito já foi feito, sobretudo pelos principais players do setor da banca em Portugal, mas muito falta fazer, tendo em conta o ecossistema de entidades abrangidas por esta norma e os prazos definidos pela União Europeia.
Com a obrigatoriedade da implementação do DORA definida até 17 de janeiro de 2025, as organizações têm pouco tempo para garantir a adoção e a implementação de uma framework para promover a segurança dos seus sistemas de TI. Há que atender às exigências associadas ao crescimento contínuo da chamada economia digital, sem esquecer um cenário de conflitos militares que espoletam novas (ciber)guerras sem quartel.
Olhemos primeiro para a economia digital, em concreto em Portugal: até 2025, as atividades de comércio eletrónico deverão atingir os 166 mil milhões de euros, dos quais 155 mil milhões oriundos de transações B2B, de acordo com o Estudo Anual da Economia e da Sociedade Digital divulgado pela ACEPI.
Já a utilização da banca eletrónica ultrapassou os seis milhões de utilizadores em 2022 (segundo dados públicos, agregados, dos principais bancos em Portugal) e mostra uma tendência de continuidade no crescimento – para utilizadores individuais e para empresas – criando mais pressão sobre a segurança das redes e sistemas de TI.
A estes desafios, por si só a justificar rapidez na implementação das melhores estratégias de proteção dos sistemas de TI nas instituições financeiras para cenários de pós-ciberataque, teremos necessariamente de adicionar os contextos geopolíticos que dominam o nosso espaço mediático. Olhamos para os conflitos crescentes no leste da Europa e no Médio Oriente e percebemos que uma parte invisível dessas movimentações se fazem no Universo Digital. É uma guerra velada, feita de bits, que naturalmente irá visar a área que mais faz o mundo mexer: a financeira.
Estamos (mesmo) preparados?
O regulamento final do DORA prevê a sua aplicação obrigatória a 21 tipos de entidades abrangidas pela novas regras europeias de ciber-resiliência - entre bancos tradicionais e fintechs, empresas de gestão de ativos, instituições de pagamentos e investimento, providers associados à gestão de cripto ativos e tokens, empresas de segurança de valores e toda uma miríade de organizações de TIC à volta deste setor.
Se os timings definidos pela EU mostram que é, definitivamente, tempo de agir, a dispersão das diferentes empresas abrangidas neste ecossistema deverá estar no centro das preocupações, para que se alcance o sucesso na implementação do DORA.
Para os principais players financeiros, será fundamental assegurar que os seus providers e fornecedores estão igualmente comprometidos com as novas regras; para todas as third parties que o DORA contempla, o projeto de gestão dos riscos das respetivas TIC deve cumprir diversos fatores:
- Partilha de comprovativos de pen tests;
- Estratégia de resiliência digital;
- Política de continuidade de negócios nas TIC;
- Procedimentos de backup, recovery e restauro;
- Registos de atividades em caso de interrupções;
- Plano de gestão e resposta a incidentes;
- Planos de comunicação de crise.
Regresso ao início para resgatar o lugar-comum que a implementação do DORA representa atualmente no mercado português; e foco-me na necessidade de todas as empresas envolvidas neste ecossistema uniformizarem os seus processos e best-practices, privilegiando cinco pilares operacionais deste documento para ajudar a promover a sua ciber-resiliência.
A realização de uma GAP Analysis com um provider de confiança é o primeiro passo para garantir uma imagem correta do está feito e do que falta fazer. Só aplicação rigorosa de todos os pressupostos técnicos e regulamentares do DORA poderá trazer a desejada ciber-resiliência e funcionar como um fator de confiança para os restantes parceiros financeiros.
Os cinco pilares operacionais do DORA
- Risk Management: criação de uma estrutura que estabeleça diferentes funções para as etapas da gestão de riscos de TIC: identificação, proteção e prevenção, deteção, resposta e recuperação, formação e desenvolvimento, bem como comunicação;
- Incident Reporting: harmonização do conteúdo e forma de apresentação dos relatórios sobre incidentes nos sistemas de TIC nas organizações, obrigando-as a criar regras para monitorizar, gravar, classificar e reportar essa informação.
- Digital Operational Resiliency Testing: define os requisitos criar um programa de testes de resiliência – pelo menos, anuais -, em função da dimensão e do perfil de risco da organização.
- ICT Third Party Risk: pressupõe a monitorização dos riscos associados a fornecedores e entidades terceiras que lidem direta ou indiretamente com as instituições financeiras.
Cabe às empresas financeiras gerir esses riscos - os fornecedores e entidades terceiras ficarão sob a supervisão direta de uma das três autoridades supervisoras europeias para o setor financeiro. - Information & Intelligence Sharing: incentiva a partilha de informação sobre ameaças cibernéticas entre as entidades financeiras, como forma de aumentar a resiliência operacional do setor.