Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Resiliência cibernética

BT e Illumio: simplificando a conformidade com DORA

Maritza Marie Dubec
,
Gerente sênior de marketing de conteúdo
October 18, 2024
23 leitura mínima

Ataques cibernéticos a instituições financeiras europeias dobrou em 2023 — um lembrete gritante de como os riscos estão crescendo no setor. Isso onda deixa claro que a Lei de Resiliência Operacional Digital (DORA) não é apenas importante — é crucial para ajudar as empresas financeiras a se defenderem contra ameaças e a se recuperarem rapidamente.

Em um webinar recente, Raghu Nandakumara, diretor sênior de marketing de soluções industriais da Illumio, e Justin Craigon, especialista sênior em consultoria da BT, compartilharam sua experiência no gerenciamento de riscos de TIC e na preparação para o prazo de 17 de janeiro de 2025 da DORA.

Serviços financeiros liderando o caminho

“O setor bancário sempre esteve na vanguarda da segurança. Legislação como NIS2 e a DORA estão promovendo mudanças e fortalecendo as defesas”, diz Justin.

No entanto, a mentalidade está mudando. As empresas estão reconhecendo que as violações acontecerão. O foco agora é: “Quando os atacantes entram, o que eu mais preciso proteger?” Priorizar ativos críticos é fundamental para limitar os danos.

“Os dias da defesa perimetral tradicional acabaram. O perímetro mudou e não é mais uma simples bolha que você pode desenhar.” — Justin Craigon, BT

Ataques recentes provam a necessidade de resiliência

Mesmo os maiores bancos do mundo não estão imunes. ICBC foi vítima duas vezes — em novembro de 2023 e novamente em outubro de 2024. “Você será atingido em algum momento”, afirma Justin. O objetivo não é apenas interromper cada ataque, mas controlar os danos quando eles acontecem.

Raghu acrescenta que o setor de serviços financeiros está tão interconectado que uma violação em uma organização pode ter um impacto global. “Quando uma organização é afetada, ela pode criar um efeito cascata, espalhando-se pelas fronteiras e interrompendo mercados. É isso que o DORA foi projetado para evitar.”

Da prevenção à resiliência

As empresas devem aceitar que os ataques são inevitáveis e planejar adequadamente.

“Como mostrou o ICBC, se você for atingido uma vez, isso não significa que não será um alvo novamente”, diz Raghu.

A mudança é para resiliência. “A prevenção não é mais suficiente”, enfatiza Justin. As empresas precisam de planos sólidos de resposta a incidentes. A recuperação rápida é tão crucial quanto interromper o ataque em si.

Os 5 pilares da conformidade com DORA

Para cumprir com DORA, as organizações precisam se concentrar nessas cinco áreas principais:

  • Gestão de riscos: “É sobre estar pronto para qualquer coisa”, diz Justin. Planos de crise claros são essenciais.
  • Gerenciamento de incidentes: Quando ocorre um ataque, contê-lo limita rapidamente os danos aos sistemas críticos.
  • Teste de resiliência: “Não espere apenas que você esteja seguro — teste seus sistemas”, aconselha Justin. Testes regulares detectam pontos fracos antes que os atacantes o façam.
  • Resiliência operacional: Proteja as partes mais importantes da sua empresa. “Você não pode parar tudo, mas pode minimizar os danos”, observa Justin.
  • Relatórios de incidentes: Seja transparente sobre incidentes e, ao mesmo tempo, proteja informações confidenciais.
The five pillars of DORA

Como o DORA limita os danos

“O DORA ajuda a limitar os danos de uma violação por meio de correções técnicas e políticas.,” Justin explica. Ela incentiva as empresas a adotarem padrões técnicos e melhores práticas, reduzindo o impacto dos ataques.

“É como fechar as portas das anteparas de um submarino para evitar que a água se espalhe.” O objetivo é conter o ataque, interromper o movimento lateral e evitar que problemas na cadeia de suprimentos afetem você e seus clientes.

Priorizando o que importa

DORA enfatiza a proporcionalidade. “Não se espera que você proteja tudo”, diz Raghu. O DORA permite que as empresas priorizem o que importa, em vez de exigir que distribuam recursos muito pequenos.

Justin concorda: “Não é como outras estruturas em que você passa ou falha. É uma questão de priorização. Você precisa saber onde estão suas funções críticas.” A DORA ajuda as empresas a usar seus recursos com sabedoria.

Gerenciando os riscos da cadeia de suprimentos

Risco da cadeia de suprimentos é outra grande preocupação que DORA aborda. As empresas dependem de fornecedores terceirizados, que podem se tornar elos fracos. “Se seu fornecedor for atingido, isso também pode impactar você, avisa Justin. Verificações regulares e gerenciamento de fornecedores críticos são necessários.

Um dos principais riscos é a dependência excessiva de um único provedor. Se todos os seus ovos estão na mesma cesta, você está procurando problemas”, diz Justin. As empresas devem distribuir seus riscos usando vários fornecedores.

Testando defesas

Testes regulares revelam vulnerabilidades nas defesas de uma empresa. Suponha uma violação — aja como se os atacantes já estivessem lá dentro e veja até onde eles podem chegar, Justin aconselha. Esses testes destacam possíveis fraquezas.

Em um caso, a equipe de penetração da BT violou 400 dos 800 servidores devido à segmentação deficiente. Os testes regulares aumentam a conscientização e fortalecem as defesas, ajudando a impedir o movimento lateral e a propagação dos ataques.

Responsabilidade no topo

A DORA garante que a responsabilidade pela resiliência não recaia apenas sobre as equipes de TI. A DORA faz da resiliência uma responsabilidade do conselho.

“No final das contas, o conselho é responsável por manter a empresa funcionando”, explica Justin.

Essa abordagem de cima para baixo garante que a resiliência seja integrada à estratégia geral de negócios. Com a diretoria envolvida, a resiliência se torna fundamental para as operações, não apenas uma caixa de seleção de conformidade.

Principais conclusões para a conformidade com o DORA

Para atender aos requisitos da DORA, as empresas devem:

  • Proteja suas funções mais críticas concentrando os recursos no que é mais importante.
  • Teste regularmente os sistemas para encontrar e corrigir pontos fracos.
  • Gerencie os riscos da cadeia de suprimentos verificando regularmente fornecedores terceirizados.
  • Envolva a diretoria no planejamento de resiliência para se alinhar às metas de negócios.
“Não é uma questão de se um ataque cibernético acontecerá, mas de quando. As empresas devem estar preparadas para permanecerem fortes e operacionais quando esse momento chegar.” — Raghu Nandakumara, Illumio

Moldando o futuro da cibersegurança

A DORA está reformulando a forma como as instituições financeiras e seus fornecedores pensam sobre segurança. Em vez de se concentrar apenas na prevenção, a DORA incentiva a resiliência. Ao proteger os principais sistemas, testar defesas e gerenciar os riscos da cadeia de suprimentos, as empresas financeiras podem estar prontas para a próxima ameaça cibernética.

Assista ao webinar completo sob demanda para saber mais sobre como a DORA está impulsionando mudanças no setor financeiro.

Quer se aprofundar na conformidade com o DORA? Baixe nosso eBook, Estratégias para conformidade com DORA: o papel fundamental da microssegmentação. Saiba como a microssegmentação pode ser um divisor de águas para a segurança da sua organização. Obtenha sua cópia gratuita agora.

Illumio's DORA ebook cover

Tópicos relacionados

Conformidade

Artigos relacionados

3 previsões de cibersegurança para 2020
Resiliência cibernética

3 previsões de cibersegurança para 2020

Informações sobre a convergência da infiltração física com ataques cibernéticos e o que isso significa para a segurança cibernética.

Leia mais
Resiliência cibernética: a principal prioridade de segurança do setor bancário
Resiliência cibernética

Resiliência cibernética: a principal prioridade de segurança do setor bancário

Neste discurso de dezembro de 2021, Bo Li, vice-diretor administrativo do Fundo Monetário Internacional (FMI), reforçou como a tecnologia digital permeia todos os aspectos da sociedade, aumentando nossa dependência da interconectividade e das redes que a sustentam.

Leia mais
Não impeça: 4 etapas para criar um plano de migração para a nuvem
Resiliência cibernética

Não impeça: 4 etapas para criar um plano de migração para a nuvem

Essas etapas ajudarão você a criar um plano de migração para a nuvem vencedor, a fim de atingir a maturidade da migração para a nuvem.

Leia mais
Illumio e WWT fazem parceria para guiar sua jornada de Zero Trust
Parceiros e integrações

Illumio e WWT fazem parceria para guiar sua jornada de Zero Trust

Saiba como a parceria entre a Illumio e a WWT facilita que as organizações obtenham os benefícios da segmentação Zero Trust e alcancem suas metas.

Leia mais
Como alcançar a conformidade do DORA com o Illumio
Resiliência cibernética

Como alcançar a conformidade do DORA com o Illumio

Conheça as três ferramentas disponíveis na plataforma Illumio Zero Trust Segmentation (ZTS) que ajudarão você a criar conformidade com o DORA.

Leia mais
Preparando-se para o DORA: insights de dois especialistas em conformidade de cibersegurança
Resiliência cibernética

Preparando-se para o DORA: insights de dois especialistas em conformidade de cibersegurança

Obtenha informações de Tristan Morgan, diretor administrativo de segurança cibernética da BT, e Mark Hendry, parceiro de serviços digitais da Evelyn Partners, sobre como lidar com a conformidade com o DORA.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais