Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Resiliência cibernética

O setor bancário da UE estará preparado para a conformidade com a DORA?

Maritza Marie Dubec
,
Gerente sênior de marketing de conteúdo
November 27, 2024
23 leitura mínima

Em janeiro de 2025, as instituições financeiras na Europa enfrentam um grande teste: a Lei de Resiliência Operacional Digital (DORA).

O DORA combina as regras de risco e resiliência de TIC em uma estrutura unificada. Mas as organizações financeiras estarão prontas?

Muitos estão correndo contra o relógio. Prazos apertados e padrões em evolução estão dificultando a preparação.

Como explica Raghu Nandakumara, diretor sênior de marketing de soluções industriais da Illumio, “Os bancos teriam se beneficiado de padrões técnicos mais claros anteriormente. Os padrões surgiram em duas ondas: uma no início de 2022 e a segunda em meados de 2024. Isso faltava menos de 12 meses para o prazo final de 17 de janeiro.”

Desempacotando DORA

O que faz DORA exigir dentro do prazo? Não se trata apenas de proteger sistemas. O foco é manter os serviços essenciais em funcionamento, mesmo durante interrupções.

Para atender aos padrões da DORA, as instituições financeiras devem:

  • Teste sistemas de TIC regularmente
  • Gerencie riscos com fornecedores terceirizados
  • Garanta que os serviços essenciais permaneçam operacionais, não importa o que aconteça
“A DORA tem um foco claro: reduzir o impacto dos incidentes. A abordagem? Suponha que as violações acontecerão.” — Raghu Nandakumara

Os 6 principais desafios da conformidade com o DORA

1. Prazos apertados, padrões em evolução

As regras que explicam os requisitos da DORA, chamadas normas técnicas regulatórias (RTSs), foram lançados com atraso. A primeira versão foi lançada em janeiro de 2024 e a segunda em julho. Com menos de um ano para se preparar, atender aos requisitos se transformou em uma corrida contra o tempo.

2. Gerenciando fornecedores de terceiros

Provedores terceirizados, como hiperescaladores e provedores de serviços gerenciados (MSPs), são fundamentais para os serviços financeiros. Mas aqui está o desafio: quem decide se um fornecedor se enquadra no escopo da DORA? “Será que o instituição financeira ou o regulador decide isso?” pergunta Raghu.

Para MSPs menores, os obstáculos são ainda maiores. A conformidade depende de seu papel nos processos financeiros. Sem regras claras, é difícil saber o que é necessário. Corrigir isso requer duas coisas:

  • Diretrizes mais claras
  • Colaboração mais forte com fornecedores
3. Alinhando governança e liderança

A DORA coloca a resiliência operacional no topo da agenda de liderança. Placas deve:

  • Estabeleça limites claros de risco de TIC
  • Monitore os principais incidentes
  • Garanta que os recursos certos estejam disponíveis

No entanto, muitas organizações não têm a estrutura e a consciência para atingir essas metas.

4. Teste e melhoria constante

O teste desempenha um papel fundamental na Conformidade com DORA. As organizações devem:

  • Execute testes anuais de resiliência em sistemas de TIC
  • Realize testes avançados de penetração a cada três anos
“Os testes ajudam a identificar lacunas e desenvolver planos de melhoria, impulsionando o progresso até a maturidade. No entanto, esses testes consomem muitos recursos e exigem trabalho em equipe entre departamentos e fornecedores. — Raghu Nandakumara
5. Construindo uma cultura resiliente

DORA não se trata de marcar caixas. É sobre se manter preparado. A liderança deve:

  • Promova o trabalho em equipe em todos os departamentos

Uma mudança cultural pode ser fundamental para o sucesso a longo prazo.

6. Lacuna de habilidades: pressão crescente

O global lacuna na força de trabalho de segurança cibernética — estimado em 4 milhões — piora os desafios da DORA. Um forte programa de conformidade pode aliviar essa pressão. Ele simplifica os esforços e, ao mesmo tempo, oferece benefícios operacionais mais amplos.

“Os novos mandatos da DORA aumentam a pressão sobre as equipes de operações, políticas e auditoria de segurança.” — Raghu Nandakumara

Como o DORA e o Zero Trust se alinham?

DORA menciona Confiança zero? Não diretamente. Mas suas ideias-chave, como acesso com menos privilégios e monitoramento contínuo, se alinham estreitamente.

A filosofia da Zero Trust, “nunca confie, sempre verifique”, reduz o risco ao fazer com que cada usuário, dispositivo, aplicativo e carga de trabalho seja autenticado antes de obter acesso.

Como isso ajuda com os maiores riscos cibernéticos da atualidade?

  • Impede o ransomware: Reduzir o impacto do ataques de ransomware limitando até que ponto ele pode se espalhar pela rede.
  • Gerencia riscos de terceiros: Restringir fornecedor acesso a sistemas críticos. Controle quanto acesso os fornecedores têm aos sistemas críticos.

Contagem regressiva para 17 de janeiro

O tempo está passando. Testes, supervisão terceirizada e planejamento de resiliência não são opcionais. Isso requer estratégias proativas e uma mudança cultural em direção à resiliência.

Como explicou Raghu, “A UE quer progresso, não perfeição. Eles querem ver como as organizações interpretam os requisitos e o que elas alcançaram.”

Você está interessado em aprender mais sobre a conformidade com o DORA? Baixe nosso e-book gratuito, Estratégias para conformidade com DORA: o papel fundamental da microssegmentação. Descubra como a microssegmentação pode melhorar a segurança da sua organização.

Tópicos relacionados

Serviços bancários e financeiros

Artigos relacionados

Telhio impulsiona o crescimento e constrói resiliência cibernética com a Illumio
Resiliência cibernética

Telhio impulsiona o crescimento e constrói resiliência cibernética com a Illumio

Quem gosta de fusões e aquisições? Não são profissionais de cibersegurança. Para eles, esses negócios aumentam a complexidade quase da noite para o dia: novas redes, novos aplicativos e novos requisitos de treinamento em segurança.

Leia mais
Swish: O que Steph Curry pode nos ensinar sobre segurança corporativa
Resiliência cibernética

Swish: O que Steph Curry pode nos ensinar sobre segurança corporativa

Os melhores profissionais de segurança são aqueles que conseguem pensar como hackers. Sua perspectiva sobre defesa é baseada em uma compreensão fundamental de como vasculhar um sistema em busca de pontos fracos que possam ser facilmente explorados.

Leia mais
O que a ordem executiva de segurança cibernética do presidente Biden significa para as agências federais
Resiliência cibernética

O que a ordem executiva de segurança cibernética do presidente Biden significa para as agências federais

A ordem executiva de segurança cibernética do presidente Biden visa aumentar a resiliência e reduzir o risco para agências governamentais.

Leia mais
BT e Illumio: simplificando a conformidade com DORA
Resiliência cibernética

BT e Illumio: simplificando a conformidade com DORA

Saiba como aumentar a resiliência cibernética, gerenciar os riscos de TIC e preparar sua instituição financeira para o prazo de conformidade com o DORA de janeiro de 2025.

Leia mais
Como alcançar a conformidade do DORA com o Illumio
Resiliência cibernética

Como alcançar a conformidade do DORA com o Illumio

Conheça as três ferramentas disponíveis na plataforma Illumio Zero Trust Segmentation (ZTS) que ajudarão você a criar conformidade com o DORA.

Leia mais
Preparando-se para o DORA: insights de dois especialistas em conformidade de cibersegurança
Resiliência cibernética

Preparando-se para o DORA: insights de dois especialistas em conformidade de cibersegurança

Obtenha informações de Tristan Morgan, diretor administrativo de segurança cibernética da BT, e Mark Hendry, parceiro de serviços digitais da Evelyn Partners, sobre como lidar com a conformidade com o DORA.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais