Vamos falar de resiliência tecnológica?

O Digital Operational Resilience Act (DORA) altera a forma como as organizações ligadas ao setor financeiro devem reagir aos ciberataques. Nuno Sousa, Financial Services Director da Claranet, explica as principais mudanças.

Nuno Sousa - Financial Services Director - Claranet

Nuno Sousa
Financial Services Director - Claranet Portugal

Os cenários de um pós-ataque de cibersegurança são normalmente os que envolvem as consequências operacionais e financeiras mais gravosas para as organizações, exigindo soluções rápidas e eficazes para enfrentar e mitigar os respetivas danos.

Esta situação torna-se ainda mais pertinente no caso das empresas que operam no setor financeiro - ou que operam em estreita ligação com as empresas deste setor – em função dos potenciais danos reputacionais com parceiros e clientes que podem surgir e ditar, no limite, o futuro da própria instituição.

A entrada em vigor no espaço Comunitário do DORA, desenvolvido e promovido pela Comissão Europeia, é sem dúvida um passo decisivo para reforçar a segurança das instituições e dos próprios clientes. A sua adoção pressupõe a implementação de uma framework que promova a segurança das redes de IT e dos sistemas de informação nas instituições financeiras, de forma a preparar as organizações para os efeitos potencialmente nefastos que diferentes tipos de ataques podem provocar.

O próprio DORA define a lista de instituições abrangidas pelas respetivas diretrizes, dividindo-as entre Entidades Financeiras (bancos, seguradoras, entidades de gestão de pagamentos, instituições de crédito, brokers, entre outros) e ICT Service Providers (fornecedores de serviços e soluções de Cloud, Software, Pen Testing, Armazenamento, Pagamento, etc.).

Mesmo que o setor financeiro seja dos mais ciber-resilientes e com modelos de prevenção mais abrangentes, nem todas as instituições acompanham essa lógica em relação aos momentos do pós-ataque e investem em clusters de informação isolada, protegida e encriptada, complementados com análises de segurança permanentes e informação pronta a recuperar.

A criação do DORA pretende assim introduzir no setor financeiro um conjunto de regras para uniformizar processos e best-practices, que privilegiam cinco aspetos operacionais:

Claranet - Cybersecurity
  • Risk Management: criação de uma estrutura organizacional que inclua funções para as várias etapas da gestão de riscos de TIC: identificação, proteção e prevenção, deteção, resposta e recuperação, formação e desenvolvimento, bem como comunicação;
  • Incident Reporting: harmonização do conteúdo e da forma de apresentação dos relatórios sobre incidentes nos sistemas de TIC, através de processos e regras para monitorizar, gravar, classificar e reportar essa informação;
  • Digital Operational Resiliency Testing: definição dos requisitos para a criação de um programa abrangente de testes – pelo menos, anuais - de resiliência;
  • ICT Third Party Risk: monitorização dos riscos associados a fornecedores e entidades terceiras que lidem direta ou indiretamente com as instituições financeiras;
  • Information & Intelligence Sharing: partilha de informação sobre ameaças cibernéticas entre as entidades financeiras, como forma de aumentar a resiliência operacional digital do setor.

A importância das GAP Analysis

Framework

A adoção e implementação do framework proposto no DORA garante assim a uniformização das práticas de reporting e de partilha de informação, contribuindo para criar um ecossistema mais resiliente, com respostas prontas e modelos de gestão de risco mais seguros e eficazes.

Por outro lado, as organizações poderão capitalizar a adoção total deste framework como uma vantagem competitiva e comercial, reforçando a componente da confiança junto do mercado.

Para o conseguir, é essencial que as organizações realizem uma GAP Analysis relativa a todos os processos e modelos de proteção, transversal às diferentes etapas operacionais numa instituição. O apuramento do que está feito e do que falta fazer é, por estes dias, o passo certo a dar.

A escolha de um parceiro tecnológico experiente e com uma visão transversal dos negócios e das tecnologias - à imagem do que a Claranet proporciona aos seus clientes do setor financeiro-, poderá garantir a adoção correta de todos os pressupostos técnicos e regulamentares constantes no DORA. E quanto mais cedo essa avaliação se iniciar, menor a probabilidade de um impacto negativo em caso de ciberataque.

Written by Nuno Sousa - Financial Services Director

Nuno Sousa é Diretor de Financial Services na Claranet Portugal desde fevereiro de 2022, depois de assumir, em abril de 2018, a liderança estratégica dos serviços para clientes do setor financeiro.

Profissional com mais de 20 anos de experiência em consultoria e no desenvolvimento de soluções de IT, possui um forte background tecnológico que resulta da especialização, ao longo dos anos, em áreas como a Cloud Computing, Public Cloud, Telco e Cibersegurança.

Durante o seu percurso profissional passou por distintas empresas tecnológicas, nacionais e internacionais, sendo a sua participação ativa em projetos complexos e de multidisciplinaridade tecnológica.

Nuno Sousa possui várias certificações na área tecnológica, tendo realizado a sua formação na Universidade Católica Portuguesa, na Harvard Law School e no Instituto Superior de Contabilidade e Administração do Porto.