Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Resiliência cibernética

Preparando-se para o DORA: insights de dois especialistas em conformidade de cibersegurança

Raghu Nandakumara
,
Diretor sênior de marketing de soluções industriais
September 17, 2024
23 leitura mínima
Black and white headshots of Mark Hendry and Tristan Morgan

A Lei de Resiliência Operacional Digital (DORA) da União Europeia deve remodelar o setor de serviços financeiros em janeiro de 2025. Ele define um novo padrão de segurança cibernética e resiliência operacional.

Embora a mudança para o DORA tenha seus desafios, ela também oferece uma maneira de as organizações fortalecerem suas operações e se prepararem para o complexo cenário de ameaças atual.

Ligado O segmento: um podcast de liderança Zero Trust, conversei com dois líderes de conformidade de segurança — Tristan Morgan, diretor administrativo de segurança cibernética da BT, e Mark Hendry, parceiro de serviços digitais da Evelyn Partners — que compartilharam suas ideias sobre como lidar com a conformidade com o DORA.

Sobre Tristan Morgan e Mark Hendry

Tristan lidera cibersegurança na BT que fornece serviços de segurança, nuvem e rede para empresas multinacionais globais em todo o mundo. Sua experiência em segurança cibernética para o governo do Reino Unido e outros países lhe deu uma sólida experiência na proteção de ecossistemas digitais complexos e na garantia da conformidade.

Na Evelyn Partners, Mark orienta clientes em situações complexas conformidade de cibersegurança desafios. Ele tem uma vasta experiência em espaços regulatórios digitais, incluindo GDPR, e um foco em programas de mudança regulatória. Ele oferece aos clientes informações valiosas sobre como lidar com a transformação digital e se adaptar a novas regulamentações, como a DORA.

DORA: Uma abordagem holística para a resiliência cibernética bancária

DORA é uma grande mudança na forma como o setor bancário e financeiro lida com a resiliência, tanto em termos de operações quanto de cibersegurança. Em vez de regras separadas para cada país, a DORA trata resiliência cibernética como um esforço coordenado em toda a UE.

“DORA leva a conversa sobre resiliência a um nível mais alto”, explicou Tristan. “Ele reconhece o impacto que pode acontecer não apenas em um país individual, mas em um nível geográfico mais amplo.”

Mark observou que a considera a “maior intervenção de resiliência em serviços financeiros desde depois do crash de 2008”. Depois de 2008, tudo se resumia à resiliência financeira e à manutenção de dinheiro no sistema, explicou Mark. Agora, a economia global está cada vez mais interconectada e a sociedade depende muito da infraestrutura digital do setor bancário.

À medida que as instituições financeiras na UE se tornam mais conectadas, o risco de ameaças cibernéticas e as interrupções que elas podem causar aumenta rapidamente. A DORA aborda isso incentivando uma estratégia unificada, ajudando as organizações a proteger suas operações críticas, não importa onde estejam.

“Se você tem interpretações diferentes de segurança cibernética e resiliência, não há harmonização — você não está se movendo na mesma direção”, disse Tristan. “A segurança é basicamente um esporte coletivo, e você precisa compartilhar informações entre organizações para melhorar em conjunto.”

Com o DORA, as organizações financeiras na UE seguirão um conjunto de regras. Isso ajuda a fortalecer a defesa geral do setor contra violações e ataques de ransomware. Também torna mais fácil para as empresas permanecerem em conformidade à medida que o setor muda e cresce.

Black and white banking data on a computer screen

A resiliência cibernética tem a ver com sobrevivência, não apenas com segurança

A resiliência é o foco principal da DORA. Não se trata apenas de impedir as violações, mas também de garantir que as empresas possam continuar funcionando caso uma violação aconteça.

Recente ataques cibernéticos do setor financeiro mostraram como eles podem ser disruptivos e como podem afetar todo o setor e até mesmo o mundo.

“A resiliência é tudo”, disse Tristan. “Quando ocorre uma violação, não se trata de saber se o negócio vai parar. Trata-se de manter as operações apesar da violação.”

Com mais ameaças cibernéticas acontecendo, é importante que as empresas, especialmente no setor bancário, continuem funcionando sem problemas. Uma violação no setor bancário pode afetar a vida e o emprego das pessoas. A resiliência cibernética tem a ver com a sobrevivência, não apenas com a manutenção da segurança.

Usando uma estratégia de confiança zero para alcançar a conformidade com a DORA

DORA não menciona explicitamente confiança zero. Mas os princípios subjacentes da confiança zero se alinham estreitamente com os objetivos da DORA.

Para Mark, “se você fez uma pesquisa no DORA e procurou termos como 'segmentação' ou 'separação instantânea de elementos da rede para conter ameaças', a confiança zero está absolutamente presente”.

Black and white banking professional looking at data on a laptop

Tristan explicou as quatro áreas cruciais em que uma estratégia de confiança zero pode ajudá-lo a atender aos requisitos do DORA:

  • Identifique ativos críticos e ameaças: obtenha visibilidade em toda a sua rede para que você possa entender o que é mais vulnerável e precisa ser resolvido primeiro.
  • Prepare-se proativamente para ataques: Crie controles de segurança que conter ataques antes que eles possam acessar recursos e dados essenciais.
  • Menor privilégio: Um princípio fundamental de confiança zero e privilégio mínimo garante que usuários, aplicativos e serviços tenham apenas o acesso mínimo necessário para desempenhar suas funções. Isso retarda os invasores enquanto eles tentam se mover pela rede.
  • Rapidamente responder e recuperar de incidentes: Quando uma violação acontece, é fundamental ser capaz de detectar, conter e responder o mais rápido possível. Soluções de confiança zero, como Illumio integre-se às plataformas de detecção para automatizar esse processo.

As regras da DORA se alinham às melhores práticas de confiança zero, mostrando sua abordagem inovadora. Ao incluir esses princípios em suas regras de conformidade, a DORA ajuda os bancos a se protegerem contra ameaças e a se manterem em funcionamento mesmo durante um ataque.

Atrasado na conformidade com o DORA? Aqui está o que fazer

Alcançando conformidade com DORA exigirá que as organizações financeiras abordem o processo de forma cuidadosa e estratégica. Tanto Tristan quanto Mark ressaltaram que o planejamento proativo é essencial.

Janeiro chegará antes que você perceba. Se você está preocupado que sua organização já esteja atrasada, marque as recomendações que você considera:

  • O que mais vai doer se houver um ataque
  • O que você precisa priorizar agora
  • O que pode ser incluído no planejamento do próximo ano

As organizações devem se concentrar primeiro nas áreas de alto impacto. Mapa elabore um plano de conformidade de longo prazo que ofereça proteção sustentável, não apenas soluções de curto prazo.

Ouça, assine e analise O segmento: um podcast de liderança Zero Trust

Quer saber mais? Ouça o episódio completo em nosso site, Podcasts da Apple, Spotify, ou onde quer que você obtenha seus podcasts. Você também pode ler a transcrição completa do episódio.

Baixe nosso e-book gratuito, Estratégias para conformidade com DORA: papel fundamental da segmentação Zero Trust, para obter tudo o que você precisa saber sobre DORA.

Tópicos relacionados

Conformidade

Artigos relacionados

A E/S do cluster Kubernetes é uma grande bagunça, mas a ajuda está a caminho
Resiliência cibernética

A E/S do cluster Kubernetes é uma grande bagunça, mas a ajuda está a caminho

Saiba mais sobre a proliferação de E/S do cluster Kubernetes e os esforços que estão sendo feitos para simplificar o cenário.

Leia mais
Por que modelos de serviços em nuvem mais flexíveis são mais baratos
Resiliência cibernética

Por que modelos de serviços em nuvem mais flexíveis são mais baratos

Entenda melhor os cálculos econômicos dos provedores de nuvem pública e faça escolhas informadas sobre as compensações de alocação de recursos.

Leia mais
As 3 verdades do Zero Trust de John Kindervag para agências governamentais
Resiliência cibernética

As 3 verdades do Zero Trust de John Kindervag para agências governamentais

Obtenha informações de John Kindervag sobre as principais verdades do Zero Trust que as agências governamentais precisam conhecer ao cumprirem os mandatos do Zero Trust.

Leia mais
Como alcançar a conformidade do DORA com o Illumio
Resiliência cibernética

Como alcançar a conformidade do DORA com o Illumio

Conheça as três ferramentas disponíveis na plataforma Illumio Zero Trust Segmentation (ZTS) que ajudarão você a criar conformidade com o DORA.

Leia mais
Garanta a conformidade com o DORA: o que você precisa saber
Resiliência cibernética

Garanta a conformidade com o DORA: o que você precisa saber

Obtenha as informações necessárias para começar a se preparar para cumprir os próximos mandatos do DORA da UE para serviços bancários e financeiros.

Leia mais
As diretivas de segurança NIS2 e DORA da UE: o que você precisa saber
Resiliência cibernética

As diretivas de segurança NIS2 e DORA da UE: o que você precisa saber

Conheça as três maneiras pelas quais a segmentação Zero Trust da Illumio pode ajudar a alcançar a conformidade com NIS2 e DORA.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais