Barracuda full logo

Pronto, preparado, DORA

Tópicos:
21 ago. 2024
|
Kevin Williams

O Ato de Resiliência Operacional Digital (DORA) tem sido implementado lentamente na Europa desde 2023, como destaquei neste post em março. Até janeiro de 2025, estará em pleno vigor. Poderíamos fazer comentários engraçados sobre a Dora ser um desenho animado para crianças ou uma Área Designada de Refresco ao Ar Livre. No entanto, neste caso, DORA é um assunto mais sério.

DORA é um regulamento europeu, mas as empresas sediadas nos Estados Unidos que fazem negócios na Europa devem cumpri-lo. Em suma, DORA estabelece normas vinculativas para as entidades financeiras e os seus fornecedores de serviços tecnológicos de terceiros para gerir o risco das tecnologias de informação e comunicação (TIC).

Marshall England, vice-presidente de marketing da empresa de gestão de risco cibernético FortifyData, afirma que as empresas e os Provedores de Serviços Geridos (MSPs) precisam estar preparados para o DORA.

"Fornecedores de serviços financeiros e os seus parceiros MSP terão de afiar os seus lápis em um plano geral de gestão de riscos cibernéticos, gestão de riscos de fornecedores e relatórios de incidentes que possam ser partilhados com os reguladores europeus", afirma England.

A conformidade e o escrutínio regulamentar vão intensificar-se

A especialista em cibersegurança e consultora de riscos com sede em Londres, Alina Timofeeva, afirma que a recente falha global faz com que o DORA ganhe maior importância. “Prevejo uma maior adesão às regulamentações existentes, incluindo o DORA, e que os reguladores sejam mais rigorosos”, partilha Timofeeva, acrescentando que, atualmente, a conformidade varia.

«Eu anteciparia que, nas conversas com os reguladores, as empresas gostariam de demonstrar, pelo menos, a conformidade total de Nível 3 com os riscos chave e as estruturas de controlo existentes ou propostas, em vez de isto ser um exercício de marcar caixas», explica Timofeeva. Além disso, ela observa que os bancos precisam de acelerar a sua preparação para o DORA. Precisam de realizar autoavaliações em relação aos requisitos, identificar lacunas e tomar as medidas apropriadas para as fechar.

"Após concluir uma avaliação de preparação DORA e envolver a gestão sénior e o conselho na resiliência digital para aumentar a sensibilização, imagino que os passos principais seriam em torno do aumento da resiliência e da resiliência de ponta a ponta," diz ela.

Maior sensibilização e competências alargadas são necessárias

Algumas áreas de resiliência em que se deve focar incluem:

  1. Desenvolvimento e melhoria estratégica do quadro de resiliência operacional, governança e modelo operacional.
  2. Identificar todos os serviços empresariais críticos e mapear estes através de dados, tecnologia, terceiros, pessoas e processos para definir como desenvolver resiliência para cada serviço.
  3. Elevando as capacidades de gestão de incidentes para melhorar e padronizar as diretrizes de tratamento de incidentes, com a integração de análises (incluindo análises preditivas). Como parte disso, definir a lista de sinais de alerta precoce, implementar capacidades para monitorizá-los e definir protocolos de resposta a incidentes ligados a sinais de alerta precoce específicos.
  4. Definição e estabelecimento de um programa de testes abrangente baseado numa abordagem baseada no risco. Parte disso inclui testes de penetração orientados por ameaças e testes de ligação à tolerância ao risco das TIC.
  5. Definir uma estratégia clara para terceiros para garantir a conformidade de terceiros. Rever contratos existentes e relevantes de terceiros usando uma abordagem baseada no risco. Considerar os papéis & responsabilidades, riscos e controlos chave para o modelo de propriedade partilhada.

Timofeeva acrescenta que também é fundamental que as organizações aumentem o envolvimento do conselho de administração e da gestão de topo na gestão de riscos de TIC, pois isso requer uma maior consciencialização dos riscos de TIC e as competências para fornecer relatórios robustos.

Para aqueles que precisam de uma atualização sobre DORA, o texto completo da legislação pode ser encontrado aqui.

Nota: Isto foi originalmente publicado em SmarterMSP.

 

Kevin Williams

Kevin Williams é um jornalista baseado em Ohio. Williams escreveu para uma variedade de publicações, incluindo o Washington Post, New York Times, USA Today, Wall Street Journal, National Geographic e outros. Ele escreveu pela primeira vez sobre o mundo online nos seus estágios iniciais para a agora extinta revista “Online Access” em meados dos anos 90. Conecte-se com ele no LinkedIn.

Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.