Navegando no DORA: conformidade por meio da resiliência cibernética

01:20 Raghu Nandakumara

Olá a todos. Bem-vindo a outro episódio de The Segment. É um grande prazer receber Tristen Morgan, diretor administrativo de segurança cibernética do BT Group, e Mark Hendry, parceiro de serviços digitais da Evelyn Partners. Tris, Mark, bem-vindos ao The Segment.

01:34 Mark Hendry

Obrigado, ótimo estar aqui.

01:35 Tristan Morgan

Obrigado por nos receber.

01:38 Raghu Nandakumara

Bem, o prazer é todo meu, e eu posso conversar com duas pessoas em vez da habitual. Então, é o dobro da diversão, o dobro do problema. Estamos falando sobre conformidade, especialmente quando ela se aplica ao setor de serviços financeiros, e o que isso significa para o setor cibernético. Um pouco de história sobre vocês dois. Então, Tris, por que você não nos fala sobre você primeiro?

01:56 Tristan Morgan

Sim, obrigado. É ótimo estar aqui e, você sabe, tenho o prazer de ajudar a proteger todos os clientes do BT Group, especialmente no domínio comercial. Então, analiso os produtos e serviços que queremos levar ao mercado, como os atendemos e, em última análise, de acordo com os dias de hoje, como garantimos que eles permaneçam seguros. Você sabe, você pode se defender contra o maior número possível de violações, mas também permanecer em conformidade. Então, eu fiz isso por vários anos e, antes disso, tinha uma sólida experiência trabalhando no setor governamental, tanto no Reino Unido quanto internacionalmente.

02:29 Raghu Nandakumara

Incrível. Obrigado, Tris. Mark.

02:33 Mark Hendry

Boa, obrigado por me receber. Então, sim. Mark Hendry, sou parceiro de serviços digitais da Evelyn Partners, que é uma empresa de consultoria de negócios com foco no Reino Unido e na Irlanda. Passei muito tempo antes de ingressar neste escritório em várias empresas, empresas de tecnologia, quatro grandes consultores e escritórios de advocacia. A partir de 2014, grande parte da minha prática foi formada por advogados ou trabalhando como parte de uma equipe jurídica, como especialista técnico e operacional interpretando requisitos regulatórios, alinhando-os ou até mesmo desafiando os regulamentos e a fiscalização regulatória. Isso inclui coisas como grandes programas de mudança regulatória digital nos anos do GDPR e o trabalho com clientes que foram afetados por violações de dados de incidentes de segurança cibernética e precisaram investigar, remediar e lidar com o escrutínio e a fiscalização regulatória. Então, é um momento divertido para viver no mundo das regulamentações digitais — e obrigado por nos receber neste podcast para falar sobre elas.

03:43 Raghu Nandakumara

Bem, como eu disse, certo, o prazer é nosso. Então, Tris, Mark, muito obrigado. Então, na verdade, Mark, a última parte de sua introdução, eu acho, mostra onde eu acho que vamos começar com o início desta conversa. E está obtendo suas duas perspectivas sobre o que você considera as maiores ameaças cibernéticas que estão afetando não apenas em geral, mas também especificamente o setor de serviços financeiros. Então, Tris, seus pensamentos.

04:13 Tristan Morgan

Quero dizer, as ameaças são numerosas. E acho que a única coisa a lembrar sobre segurança é que ela não é um tipo de ameaça, são muitas. E mesmo esses muitos continuam evoluindo e mudando com base em uma ampla gama de fatores. Podem ser desafios econômicos, desafios geopolíticos, podem ser outras ideologias. Portanto, muitos de nossos clientes se deparam com esse tipo de ataque em constante mudança de uma variedade deles. O que vimos, embora extensivamente, é que muitos dos ataques costumavam se concentrar principalmente em organizações multinacionais maiores, organizações com infraestrutura crítica e dados críticos. E, cada vez mais, esse não é o caso. Eles ainda são absolutamente alvos, mas as pequenas e médias empresas agora estão realmente sendo afetadas por isso. Então, quando você olha para ela do ponto de vista da ameaça, ela está em todo lugar agora, afetando empresas de todos os tamanhos e formas. E eu acho que isso representa algumas das mudanças, você sabe, que vimos.

05:17 Raghu Nandakumara

Sim, absolutamente certo. E acho que os dados mostram com certeza que a ampliação do impacto, desde o que as vírgulas invertidas consideravam as metas mais valiosas, até agora algo que está impactando organizações de todos os tamanhos em todos os setores. Como Mark, quais são suas perspectivas para continuar com o que Tris estava dizendo?

05:40 Mark Hendry

Sim, eu acho que, considere o ponto histórico: grande empresa, muitos ativos, grande alvo, escolhas ricas. Empresas menores sendo alvo. Por quê? Muitos motivos. Mas o retorno do cibercrime é muito bem compreendido nas comunidades criminosas. Risco relativamente baixo. Não é entrar em um banco com uma espingarda, e as recompensas são enormes. Além disso, pegue a cadeia de suprimentos digital. Então, na verdade, essas empresas menores estão potencialmente sendo alvo porque estão ligadas a grandes empresas. Assim, você pode direcioná-los e, em seguida, mover-se lateralmente pelas redes até organizações conectadas e ter impactos indiretos e múltiplos. Então, isso tem tudo a ver com a forma como o mundo mudou e se digitalizou ao longo do tempo. Interconexão: conversamos há alguns anos sobre o ano do ataque à cadeia de suprimentos, agora que isso não parou. E o ano do ransomware; não parou, apenas evoluiu, apenas mudou. Reduza as barreiras de entrada de organizações criminosas e atores criminosos que transmitem seus métodos, ferramentas, ransomware como serviço, manuais disponíveis e surgirem serviços de atendimento ao cliente para organizações criminosas. É muito interessante e, sim, as modalidades de ameaças mudam com frequência. Suponho que as motivações dos agentes de ameaças permaneçam em grande parte estáticas, e isso depende de quem eles são, se são um estado-nação, um grupo do crime organizado, algum grupo criminoso de nível inferior ou um frequentador. Todos eles estão atrás de algo, e as maneiras pelas quais eles podem fazer isso simplesmente mudam e evoluem com o tempo. Então, a forma como precisamos defender os defensores também muda com o tempo.

07:30 Tristan Morgan

E se você não se importa, entre lá. Você pensa em muitas dessas empresas. Você pensa em muitas organizações que estão tentando prejudicar os negócios. Na verdade, eles são administrados como empresas, porque são empresas. Então, quando analisamos a adoção de tecnologia e a transformação digital, eles estão analisando as tecnologias para entender como elas podem ser exploradas, como podemos usá-las para fazer o mal líquido. E então você tem dois modelos de negócios semelhantes, mas muito diferentes.

07:56 Raghu Nandakumara

Absolutamente. Então, definitivamente existe esse modelo de negócios de lucratividade semelhante, e eu acho que a economia do ransomware e do ransomware como um negócio, ou dos ataques cibernéticos como um negócio. E vocês dois mencionaram várias coisas sobre motivação, sobre não ser apenas o ano do ransomware, mas eu diria que os anos do ransomware, no plural. E, na verdade, é a modalidade dos ataques e, embora as táticas em si, as táticas de alto nível, não mudem de ataque para ataque, de atacante para atacante, algumas de suas técnicas e procedimentos evoluem. Mas vamos detalhá-los pouco a pouco, analisar a motivação e uma das coisas. Analisando os vários relatórios semelhantes dos últimos dois anos, uma coisa que está surgindo é a mudança para mais ataques focados em comprometer a disponibilidade e a produtividade, além da abordagem de extorsão. A abordagem da lucratividade. Como você está vendo isso? E você está vendo isso como uma preocupação crescente entre as organizações? Como podemos garantir que continuemos sendo produtivos porque sabemos que esse ataque está ao virar da esquina?

09:15 Mark Hendry

Você está certo. Então, o termo resiliência, do qual você está falando, é, eu diria, sempre presente na mente, porque mesmo quando há uma violação em andamento, não é uma questão que eu pense que a empresa não é capaz de operar. Tudo bem, como podemos continuar operando, mesmo que haja coisas em andamento em nossa empresa? Portanto, se você observar o mundo digital e conectado, a maioria das empresas definiu a partir de tamanhos que se interceptam em pouquíssimos pontos no novo modelo SaaS hiperescalador que temos. Portanto, o foco está na resiliência da TI. Caso haja uma interrupção não relacionada à Internet e, de fato, uma interrupção cibernética agora é fundamental, porque você faz uma observação válida: não se trata apenas de ransomware e de exigir pagamento para que seus dados sejam liberados para você novamente ou estejam bem. Na verdade, é muito mais sobre, bem, se você pode derrubar um site para não vender novos pedidos, ou pode evitar, você sabe, que todos os seus 50.000 funcionários entrem e façam qualquer coisa que, por si só, também custe uma quantia enorme de dinheiro para essa empresa.

10:21 Raghu Nandakumara

E sim, e acho que está ligado a isso. Eu estava analisando um dos relatórios mais recentes de violação de dados que falava sobre como, quando você analisa o custo médio de uma violação de dados, cerca de 33% de um terço dela é atribuído à perda de negócios. E essa porcentagem como custo total geral está aumentando, o que, anteriormente, o impacto significativo era como pagar o resgate ou a recuperação. Mas esse impacto na própria empresa, a produtividade, está aumentando dia a dia. Então, Mark, como em suas conversas com seus clientes, qual é a natureza dessa conversa quando se trata de resiliência operacional e resiliência cibernética?

11:02 Mark Hendry

Depende de com quem você está falando, do que é importante para eles e do setor em que estão, e muitas vezes é o caso de contar uma história. Por exemplo, um dos incidentes de ransomware em que trabalhei há algum tempo, foi há algum tempo, mas é uma história muito boa. Eles sofreram um ransomware massivo, um prolífico ataque de ransomware que basicamente os impediu de operar. E eles estavam perdendo milhões por dia. Eles eram uma organização de bens de consumo em rápida evolução, então não podiam transportar mercadorias para dentro e para fora do armazém, não podiam imprimir etiquetas, não sabiam dizer aos trabalhadores da economia de trabalho quando e onde trabalhar, não podiam pagar fornecedores, não podiam pagar funcionários, muitas coisas que impactavam o dia a dia. E eles estavam perdendo milhões de dólares, mas absolutamente se opunham filosoficamente a pagar um agente criminoso para recuperar seus sistemas e dados. Então, se eu estiver conversando com uma organização que produz algo que tem linhas de fábrica e tem pessoas entrando e saindo em regime de trabalho, trabalhadores contratados de zero horas, essa é uma boa história para contar e aguçar suas mentes sobre como seria o tipo de impacto e como eles tomarão decisões quando enfrentarem uma crise como essa. Já uma organização de serviços financeiros é muito diferente em termos de como opera e gera receita de primeira linha. E, portanto, como é provável que eles precisem tomar decisões, como vão se coordenar em uma falha de comunicação, como planejam essas coisas e, em seguida, como fazem essas escolhas filosóficas, bem como as escolhas práticas, operacionais e técnicas. E, é claro, diferentes setores têm diferentes obrigações de conformidade regulatória, encargos, supervisão e supervisão. Portanto, se você trabalha com serviços financeiros, se está falando sobre o custo total de um ataque disruptivo de ransomware ou de outra interrupção digital, é provável que uma boa parte desse custo venha de uma notificação de penalidade monetária de seu supervisor, sua autoridade supervisora. Por outro lado, se você é, sabe, por enquanto, uma organização produtora de alimentos, não está realmente esperando uma grande multa por falhas em manter seus sistemas resilientes. Também pode receber um por violação de dados pessoais, isso é um pouco diferente. É a natureza da supervisão, e a fiscalização pode variar drasticamente de acordo com seu setor, o que pode realmente mudar drasticamente sua perspectiva de custos gerais desse tipo de interrupção.

13:47 Raghu Nandakumara

Sim, com certeza. Você está indo para uma área que queremos explorar sobre como a conformidade e os setores regulamentados, ou como os setores em conformidade e altamente regulamentados impulsionam melhores padrões e, nesse caso, melhor segurança e melhor resiliência. Então, com isso em mente, o que você vê como a mudança? Porque eu meio que vi experiências pessoais em carreiras anteriores. A lista de verificação, do ponto de vista da conformidade, era muito abrangente: ok, analise essa lista, verifique se você faz todas essas coisas e, em seguida, forneça, essencialmente, suas evidências. Mas muitas vezes faltava contexto quanto ao impacto desses controles, então eles são estáticos em vez de realmente mostrarem uma melhoria significativa na postura de segurança. Qual é a sua perspectiva sobre isso? Chegando à DORA em um segundo, há algumas mudanças interessantes que DORA está promovendo a esse respeito. Mas, por exemplo, qual é a sua perspectiva sobre uma análise histórica da conformidade e da eficácia desses requisitos?

14:48 Tristan Morgan

Acho que em muitas organizações, a conformidade era frequentemente vista como algo desafiador, mas também como pontos de interrogação sobre o porquê. E você faz uma observação válida, onde muitas vezes era conhecido como um exercício de caixa de seleção. E se você observar, se você observar alguns dos desenvolvimentos recentes, como a estrutura de avaliação cibernética desenvolvida pelo NCSC do Reino Unido, você sabe, não é uma caixa de seleção. Na verdade, trata-se de uma classificação em uma escala. Então, o que você pode fazer em uma base organizacional é dizer que, em algumas empresas, essas coisas importam mais do que outras. Assim, você pode aumentar e diminuir as áreas em que precisa estar em conformidade e também entender até que ponto você precisa estar em conformidade com a balança? Acho que isso é muito importante porque um bom exemplo seriam os manuais operacionais no caso de uma violação. Bem, que tipo de cenários você está tentando simular? Até que ponto você esperaria que uma violação se espalhasse por toda a empresa? São todos esses tipos de coisas que você precisa fazer julgamentos sobre o grau em que realmente precisa implementá-las com base no risco para os clientes e em uma cadeia de suprimentos mais ampla.

15:55 Raghu Nandakumara

Sim, absolutamente certo. Acho que isso remete à questão da proporcionalidade. O que é relevante para você com base no que é importante para sua empresa. Então, acho que Mark, qual é a sua perspectiva sobre isso em termos do que você vem fazendo, considerando sua experiência, o que você fez com os clientes historicamente e como isso mudou com o tempo?

16:15 Mark Hendry

Suponho que, bem, veja, o ambiente regulatório no espaço digital — vamos chamá-lo de espaço digital e de dados — mudou e está mudando massivamente. Então, em meus anos de prática, eu costumava aconselhar clientes sobre a Lei de Proteção de Dados de 1998, e depois tivemos o GDPR e o GDPR do Reino Unido e a Lei de Proteção de Dados do Reino Unido. Além disso, a maneira como praticamos isso, ou a forma como clientes e empresas precisaram de ajuda com isso, mudou com o tempo. Acho que talvez isso tenha um pouco a ver com minha própria posição como profissional, e talvez tenha um pouco a ver com a sofisticação do ecossistema digital, do mundo e, suponho, com a conformidade do ambiente regulatório ou de padrões em que todos vivemos agora. Então, por exemplo, antigamente, eu costumava percorrer call centers e armazéns de dados e me certificar de que os controles estavam presentes ou ausentes e operando até certo ponto, e fazer procedimentos, auditorias e tudo mais. Tenho certeza de que algumas dessas coisas ainda acontecem. Mas se você olhar o texto dos padrões, você sabe, a estrutura de segurança cibernética do NIST ou a estrutura de avaliação cibernética para MCSC, como Tris acabou de dizer, ou na verdade para NIS2 e DORA. Então, o NIS2 é um bom exemplo. Diz algo como levar em conta o estado da arte que não é nem um pouco estático. Isso muda o tempo todo. E, portanto, há uma grande quantidade de interpretações. E por que diz isso? Porque o estado da arte de proteger, detectar e responder precisa mudar, assim como o estado da arte de causar ataques e danos. E essas regulamentações precisam resistir ao teste de 20 a 30 anos e precisam evoluir por meio de orientações de apoio. Mas aponta, você sabe, o NIS2, que tem um relacionamento com DORA. NIS2 em suas definições, ele tem uma definição de padrão. O que queremos dizer com padrão é que se esse regulamento se refere ao padrão, está se referindo aos padrões internacionais, está se referindo aos padrões europeus, está se referindo aos padrões técnicos. Então, eles imediatamente o direcionam para outros lugares que se movem mais rápido do que os próprios regulamentos. E, portanto, a maneira como aconselhamos os clientes, a maneira como os clientes devem considerar essas coisas e agir, tudo muda com muita, muita frequência.

18:58 Raghu Nandakumara

Sim, acho que você expressou isso muito bem. E é mais ou menos assim, Tris, porque tendo isso em mente, parece que o que estamos vendo agora é, e você mencionou o NIS2, mas deixe-me apresentar a DORA aqui, que ela fala sobre como ela aproveitou a ISO 27001 como uma inspiração sobre a qual construir. Porque tem muita coisa lá dentro que já é meio relevante, em vez de tentar reinventar a roda. Então, acho que, de acordo com o que Mark estava dizendo, há um alinhamento mais próximo entre regulamentações e estruturas e padrões seguros que as organizações estão adotando de qualquer maneira para evitar a duplicação de esforços. Isso é consistente com o que você está observando?

19:46 Tristan Morgan

Oh, 100%, e na verdade, isso é, você sabe, isso está realmente ajudando os negócios. Você pensa em alguns desses grandes padrões globais, como a ISO, que muitas empresas adotam em vários domínios. Se você construísse algo completamente separado e pedisse a todas as empresas que cumprissem algo diferente, não só haveria um custo significativo, mas acho que, na verdade, você terá uma resistência muito maior, ao passo que essas regulamentações, como a DORA, se baseiam nas melhores práticas reconhecidas pelo setor que muitas empresas já estão adotando até certo ponto e, na verdade, são sensatas, mas também reduzem a barreira à conformidade. Quero dizer, ainda há muitas coisas a fazer para chegar lá, mas, na verdade, isso diminui. Mas isso também significa que há mais comunidades disponíveis para as empresas falarem, para ajudar a entender o que precisam fazer, e também áreas com as quais não se preocupar. Vejo que, em vários setores, embora haja desafios em fazer isso, também há a facilidade de satisfação de que isso seja algo que tenha sido usado universalmente, e as empresas não precisem cumprir diferentes legislações locais e países diferentes, porque muitas empresas que atendemos e você atenderá trabalham além das fronteiras do país.

20:57 Raghu Nandakumara

Sim, com certeza. E, na verdade, esse é um ponto interessante para falar um pouco mais, porque o NIS2, em sua natureza, com a UE definindo o NIS2 como uma diretiva e, em seguida, essencialmente pedindo aos países membros que o adotem nas regulamentações locais relevantes. Mas, em comparação com o caso da DORA, a UE disse: “Na verdade, vamos assumir a responsabilidade de fazer com que isso seja aplicado em todos os setores”. Por que existe essa diferença de abordagem entre o NIS2, que é mais amplo e abrange mais indústrias, e o DORA, que está se tornando um regulamento em toda a UE, certo? Por que há uma diferença na abordagem?

21:46 Tristan Morgan

Eu diria que reconhece e eleva um nível superior e, na verdade, vê isso como a economia europeia. Portanto, reconhecendo o impacto que pode acontecer, não apenas em um país individual, mas em um nível geográfico mais amplo e amplo, a menos que você analise algumas dessas questões fundamentais sobre resiliência e segurança cibernética, porque sem isso, se você tiver interpretações diferentes, não terá harmonização e não está se movendo na mesma direção. Também há outra coisa, é claro, na segurança. Olhando para isso como um esporte coletivo, é preciso compartilhar informações entre organizações para sermos melhores juntos. E acho que, novamente, quando você analisa essas regulamentações em todo o continente e na Europa, elas são importantes porque essa é uma das pedras angulares delas.

22:32 Raghu Nandakumara

E, sim, acho que esse é um ponto importante. E acho que também o setor de serviços financeiros, tanto na UE quanto no mundo, está muito mais interconectado além das fronteiras do que qualquer outro setor crítico que o NIS2 cobre. Então, Mark, quais são seus pensamentos?

22:50 Mark Hendry

Sim, eu concordo totalmente com o que você disse. Acho que há um pouco sobre herança. O NIS2 é o segundo. Vem do NIS. Tivemos e temos o NIS do Reino Unido, que para quem não conhece a rede NIS original e os sistemas de informação, seja o que for, o regulamento 2018 estava realmente focado nos operadores de serviços essenciais. Então, essa é a infraestrutura nacional crítica, serviços públicos, transporte, coisas assim, bem como o que eles chamaram de RDSPs, provedores de serviços digitais relevantes. E tudo isso foi uma lei internacional transposta. Foi mais ou menos na mesma época do GDPR. O GDPR recebeu toda a atenção e, na verdade, praticamente toda a fiscalização e supervisão. E o NIS2 é a segunda mordida na cereja porque reconhece que um escopo mais amplo de indústrias deve ser considerado crítico ou importante em uma base nacional e internacional, econômica e social. Mas eles não são realmente coordenados, não há coordenação entre, sei lá, o Serviço Postal Francês e a economia de infraestrutura de hidrogênio do Reino Unido, sei lá. Portanto, seria muito difícil criar algo adequado para todos esses setores dentro do escopo do NIS2. E harmonioso, já que, como você disse, os serviços financeiros, a economia, a sociedade e o regime de supervisão europeus são coordenados há muito tempo, e é por isso que o DORA, uma lei harmonizada e geral, tem uma chance muito maior. Você sabe, o tempo será a prova, mas tem uma chance muito maior de alcançar o que precisa alcançar ou os princípios que foram estabelecidos para serem alcançados usando esse instrumento harmonizado.

24:45 Raghu Nandakumara

Então, com tudo isso dito, e acho que estamos familiarizados historicamente com a natureza das regulamentações de gerenciamento de risco de TIC no setor de serviços financeiros, qual você diria que foi o gatilho ou o ponto de inflexão para a UE reformular muito disso na forma de e realmente tornar a resiliência operacional o objetivo principal? Qual foi o ponto de inflexão, Mark?

25:14 Mark Hendry

Eu falo sobre isso como provavelmente a maior intervenção de resiliência em serviços financeiros desde o crash de 2008. Depois do crash de 2008, tratava-se de resiliência financeira, dinheiro no sistema. Muita coisa mudou desde 2008, e falamos sobre isso anteriormente, sobre a interconexão entre a economia e todos os seus atores e o quanto a sociedade depende da infraestrutura digital em uma medida que eu acho que está chegando, mas tem sido potencialmente um pouco surpreendente ao ver o quão dominó os efeitos podem ser quando ocorre algum tipo de interrupção. Acho que há muita apreensão e nervosismo em toda a Europa sobre o que acontece se aquele player de enésimo grau que ninguém realmente percebe porque está enterrado nas profundezas da cadeia de suprimentos digital, ninguém realmente fez a devida diligência sobre ele, mas todos confiamos nele. Nós simplesmente não sabemos ainda. Então, você vê isso em coisas como os objetivos de identificação no DORA, onde você precisa realmente mapear sua cadeia de suprimentos de forma completa e profunda, ver quem está conectado a quem, quem está conectado a eles e em quem todos confiam. Recentemente, houve um exemplo muito bom em que, em meio a todos esses processos e programas da DORA, identificamos a cadeia de suprimentos e determinamos como entidade de serviços financeiros, sujeita à DORA, quem consideramos um fornecedor crítico ou importante de TIC. Como provedor de TIC, participará de muitas dessas instituições de serviços financeiros que não sofreram um ataque cibernético, mas tiveram seus widgets e dongles conectados e implantados em muitos servidores e laptops. E algo que eles fizeram causou uma grande interrupção operacional disruptiva. E isso não tinha a ver com um ataque cibernético, e é por isso que isso tem elementos de gerenciamento de risco de TIC, que você e eu veríamos como objetivos cibernéticos, mandatos cibernéticos, requisitos cibernéticos. Mas é mais do que isso, é resiliência operacional digital porque não foi um ataque cibernético e, sim, teve um impacto semelhante a um ataque disruptivo de ransomware por um curto período de tempo. E é por isso que isso aconteceu. Trata-se de intervir com base em como o mundo funciona agora.

27:40 Raghu Nandakumara

Sim, com certeza. Vou voltar a algumas coisas que você disse. Tris, algo a acrescentar?

27:44 Tristan Morgan

Acho que eles também poderiam prever isso. E se você observar a economia altamente interconectada, mas oportuna que temos em setores críticos, e Mark a relaciona, você começa a perceber que, a qualquer momento, em qualquer momento, em qualquer momento, o fato de não ser apenas um impacto pequeno e localizado pode ter ramificações muito maiores. Então, acho que há uma maior previsão no planejamento disso, mas também, e para as empresas com as quais trabalho, também peço às organizações maior orientação e padronização sobre algumas dessas coisas, para que certas empresas ou setores não precisem arcar com todo o custo disso.

28:28 Raghu Nandakumara

Há algumas coisas lá dentro. Vamos pensar no impacto porque vocês dois o mencionaram. E posso pensar em um exemplo recente, que foi um ataque cibernético relacionado ao ataque de ransomware ICBC no final do final de 2023, que então impactou seu principal componente de valores mobiliários dos EUA, o mercado de valores mobiliários dos EUA. E então houve um efeito indireto para poder liberar negociações, etc., entre todas as suas contrapartes. E esse é um ótimo exemplo do que, como o DORA e os controles que ele está trazendo, está literalmente procurando reduzir o impacto, mas acho que a questão de terceiros é muito interessante. E a primeira pergunta que farei para vocês dois é: como você identifica um provedor de serviços terceirizado crítico versus um produto de serviço terceirizado não crítico? Porque isso, esse tipo de corrente, aquela cadeia, aquela tartaruga até o fim, porque você poderia continuar cavando e dizer: “Bem, isso é fundamental para o meu processo, e aquela é, e aquela é”. Quero dizer, tudo é crítico. Então, como você se diferencia?

29:35 Mark Hendry

Quero dizer, há um ponto em que isso não existe, ou seja, é uma questão de interpretação e, portanto, uma questão de profundidade e exaustividade, e há um equilíbrio de riscos entre eles, é o princípio da proporcionalidade. Todos esses regulamentos contêm um princípio de proporcionalidade, que tem a ver com ter em mente o risco de X, Y e Z, portanto, o GDPR trata do risco de danos a pessoas físicas, você e eu, se nossos dados forem hackeados ou roubados. E se são dados médicos e alguém que não queremos obter, ou dados financeiros, qual é o risco de danos? Então, você coloca em prática salvaguardas proporcionais para lidar com isso. E então, quando se trata de mapeamento da cadeia de suprimentos, se você quiser, o que é crítico e importante? Bem, ressalte que não sou advogado, mas veja quais são as definições e interprete-as para sua organização. E na verdade existem dois. Eu estava dando alguns conselhos sobre isso outro dia. Na verdade, existem duas maneiras de considerar isso, pelo menos no cenário do cliente com o qual eu estava lidando, que é que elas são críticas e importantes se sofrerem uma interrupção ou desaparecerem, e isso impede que você consiga concluir as coisas que são importantes no setor de serviços financeiros e na economia. E são coisas como concluir transações ou fazer negócios ou qualquer outra coisa, você sabe, pessoas tirando dinheiro das máquinas. A segunda parte é sobre o que é importante para você. Então, isso é o que é importante para a economia, para as pessoas nela e para os outros atores que atuam. E então, na verdade, é crítico ou importante para você? E isso é mais sobre como você pode operar e cumprir as obrigações que tem consigo mesmo, com seu pessoal e com outras pessoas que confiam em você e esperam que você faça alguma coisa. Então, por exemplo, nessa conversa com o cliente, foi: “Ah, e a nossa gestão de riscos?” “Usamos X, Y e Z, portal ou plataforma em nuvem para fazer isso, e isso é aplicado por X, Y e Z.” Então, eles são extremamente importantes? Bem, na verdade, se eles caírem por mais de uma semana em um determinado momento, você não cumpre sua obrigação regulatória. Então, sim, eles são um dos dois. Eles são extremamente importantes. Você decide quem pode resolver isso, mas é assim que eu faço isso.

31:58 Raghu Nandakumara

Então, Tris, só para combater isso, acho que a proporcionalidade faz parte da propriedade desses regulamentos, e no DORA em particular, acho que os torna altamente dinâmicos, altamente flexíveis e muito personalizáveis para todas as organizações. Mas isso também não é um desafio quando se trata de identificar e determinar: “Ok, isso é o que vamos fazer”, mas também de provar que você fez as escolhas certas? Isso não representa um desafio, o que significa que as organizações normalmente optam por fazer o máximo possível? Como você decide e como prova que tomou as decisões certas?

32:45 Tristan Morgan

Então eu acho que você faz uma observação válida, ou seja, você realmente precisa evidenciar sua tomada de decisão e chegar a uma posição em torno de seu ponto de vista, em torno da proporcionalidade, é fundamental. Então, como você chegou a uma decisão e a uma evidência? E para Mark, na verdade, buscar aconselhamento também, eu sugeriria, em termos de como você chegou lá, porque obviamente o que você não quer fazer é fazer suposições e depois provar que são inválidas no futuro. Também é importante notar que todas as decisões que você toma hoje precisam ser revisadas regularmente para entender se elas são muito rígidas? Eles não são rigorosos o suficiente em termos do que implementamos? Mas eu gostaria de voltar há um segundo e dizer que essa não é uma pergunta sobre seu binário, você sabe, um ou zero. Na verdade, isso é em torno de uma escala chave. E quando você analisa as partes críticas de que precisa, também é importante pensar na classificação dos diferentes sistemas e funções da plataforma. E algo sobre o qual sempre conversei com os clientes é que eles costumam pensar, bem, você sabe, se não pudéssemos escrever um pedido de compra, isso realmente importaria? Dissemos, bem, na verdade, se você precisasse contratar alguns especialistas em resposta a incidentes, seria um problema. Portanto, há várias coisas que você precisa resolver de forma bastante detalhada como parte de sua simulação e raciocínio ao determinar em que nível e em que grau você deseja estar em conformidade?

34:03 Raghu Nandakumara

Esse é um ponto muito bom. Por exemplo, qual é aquele conjunto menor de processos-chave de negócios que você precisa garantir que continuem funcionando para permanecer nos negócios, em operação. Acho que isso sustenta todo o resto. Então é aí que a conversa geralmente começa? É isso que é o mínimo definido para você como empresa?

34:28 Tristan Morgan

Sim, eu sempre defendo que você comece com um cliente e diga, na verdade, se eu sou um cliente, o que é que eu sei, quais são os serviços que eu precisaria para continuar sendo atendido? E haverá decisões difíceis sobre as coisas mínimas que seriam. Mark mencionou sobre receber dinheiro ou poder transferir dinheiro. Essas são algumas das coisas que são fundamentalmente importantes para, você sabe, nos serviços financeiros. Depois de fazer isso por meio de uma organização, o risco de fazer o contrário é realmente analisar quais sistemas de plataforma, etc. precisam ser mantidos, mas depois perder de vista aquela coisa importante, que na verdade significa que você pode chegar até um cliente. Por isso, defendo que você o veja da frente para trás.

35:08 Raghu Nandakumara

Absolutamente certo. Porque quando você começa aí, depois de ter essa lista, você pode falar sobre: “Ok, bem, quais são as ameaças que essas coisas enfrentam? Do que eles correm risco?” Em seguida, prossiga com a forma de identificar onde estão as lacunas de seus controles e, em seguida, determinar quais controles adicionais você precisa implementar para aliviar isso e continuar testando e melhorando.

35:32 Tristan Morgan

E, à medida que avança, você identificará muitas lacunas nos controles. E é importante dizer: “Bem, quais delas vamos priorizar? Quais são os mais importantes?” Em vez de apenas criar uma lista de 700 coisas que você precisa fazer. Trata-se de saber quais estão causando o maior impacto para garantir que a empresa possa continuar funcionando e atendendo seus clientes.

35:51 Raghu Nandakumara

Sim, então Mark, acho que, na sequência disso, essa é aquela abordagem baseada nos negócios que se vincula à proporcionalidade que, em seguida, mapeia, essencialmente, quais são as ameaças que você e seus processos enfrentam e que, em seguida, orientam a forma como você testa. Acho que essa é uma parte fundamental do DORA, que acho que o diferencia de outras regulamentações que tivemos no espaço de gerenciamento de risco para serviços financeiros no passado. Tipo, é assim que você vê?

36:18 Mark Hendry

Sim, acho que sim. Eu concordo totalmente, Tris, com o que você está dizendo. Digamos, quais são as coisas que, se forem atacadas, as pessoas perceberão, seja porque é inconveniente ou doloroso, ou se as pessoas disserem que você é uma organização de serviços financeiros de empresa para consumidor ou de empresa para empresa, mas você sabe que isso atrairá o escrutínio regulatório mais rapidamente. O que são essas coisas e funcionam de trás para frente a partir daí, com o que elas se interconectaram? Em que eles confiam? E a pista está no nome: análise de impacto nos negócios. Estamos fazendo isso com burros, caras, e só porque temos um bastão afiado atrás de nós, nos forçando, na forma de DORA, a fazer isso agora. Sempre tivemos isso nos serviços financeiros. De qualquer forma, outras indústrias estão enfrentando a barreira afiada pela primeira vez. Mas estamos realmente falando principalmente sobre DORA aqui. Há outro ponto aqui, que é que, sim, estamos no caminho certo para a fiscalização do DORA, e ainda não sabemos o que isso parece, mas sabemos que os serviços financeiros, as autoridades de supervisão, geralmente são pessoas mais bem equipadas, bem treinadas, bons recursos, você sabe. Eles provavelmente discordarão se você tiver um regulador ou alguém que trabalha para um supervisor na linha. Agora, eles podem discordar, mas, em comparação com os outros, eles estão à frente do grupo e mais ativos, porque isso importa muito. Mas estamos, o que, a quatro meses de DORA agora? Então, e se você não estiver no caminho certo? O que você vai priorizar? O que você vai tocar mais profundamente ou mais leve? E direto ao ponto de falar sobre responsabilidade anterior. Se algo der errado, como você vai contar a história sobre por que esse foi um conjunto apropriado de decisões e ações a serem tomadas com base nas informações que você tinha à sua disposição no momento em que as tomou? Tudo isso influencia quando as investigações acontecem e a fiscalização está sendo calculada e decidida. E isso não significa que a fiscalização não aconteça, mas nessas circunstâncias atenuantes, se você pudesse contar uma boa história sobre elas e provar que foram decisões boas e sábias, ou pelo menos não negligentes, você sabe que está se colocando em boa posição. Então, se você está atrasado em seu programa DORA no momento, pense no que dissemos: o que vai doer mais, o que você vai priorizar, o que você vai ultrapassar os limites e o que vai fazer no próximo ano, um pouco de forma equilibrada em termos de riscos?

38:50 Tristan Morgan

Você está exatamente certo quando pensa que as empresas de serviços financeiros geralmente estão muito acostumadas com a regulamentação. Mas você sabe, você pensa no escopo da DORA, como mencionou anteriormente, incluindo empresas de TIC e muitas delas, é a primeira vez que realmente está sujeita a esse tipo de regulamentação. E, portanto, não há apenas a sobrecarga de tentar se tornar compatível, mas também o custo. E algumas delas podem ser empresas relativamente pequenas e, portanto, é muito oneroso para elas não apenas embarcar na jornada, mas também o custo de se tornarem compatíveis.

39:20 Mark Hendry

Você está absolutamente certo. É a extensão do escopo dessas coisas para empresas não regulamentadas. Portanto, as empresas não regulamentadas se enquadram no escopo da Dora porque são um fornecedor crítico ou importante de TIC para a economia europeia de serviços financeiros. E, na verdade, há algo muito interessante em DORA. Há um mecanismo no DORA, e estou muito interessado em ver como ele funciona, por meio do que é chamado de registro de ativos. Onde as entidades de serviços financeiros precisam preencher essas planilhas que dizem que esses são nossos importantes sistemas de informação, TIC e ativos de terceiros, e essas precisam ser divulgadas às Autoridades Supervisoras mediante solicitação e com certa frequência, até certo ponto. Depois disso, os fornecedores de TIC serão designados como críticos e importantes pelas autoridades de supervisão. Agora posso prever uma situação em que há um mecanismo de coordenação, um mecanismo de cooperação, pelo qual todos esses registros de ativos sofrem um grande vazamento de big data e, de repente, pela primeira vez na história no nível da comissão europeia, eles têm camadas e camadas brilhantes de como todas essas interconexões e interseções estão operando. Para mim, se eles conseguirem isso com DORA, é extremamente poderoso manter a resiliência e quase esquecer por um segundo o que será necessário para chegar lá. Obter essa visão é o trabalho de décadas, e podemos estar à beira disso, o que é meio legal de uma forma nerd.

40:55 Raghu Nandakumara

Sim, com certeza. Acho que tenho duas reações a isso. A primeira reação é sua sobre: é incrível entender completamente todo o conjunto de interdependências entre o setor de serviços financeiros bancários, os provedores de serviços de tecnologia e como eles estão interligados e todas as profundezas em que isso acontece. Mas também trabalhando para um fornecedor de tecnologia. Meu medo é o seguinte: como posso saber se estou nessa lista e se, se não estou nessa lista, sou fundamental? Eu não sou crítico? E como diferenciar um de nossos clientes dizendo: “Ah, eles são um fornecedor essencial de tecnologia e outro cliente, não nós, que não nos tem nessa lista”. Como isso afeta minhas obrigações, porque essa é a parte que eu acho que ainda não está clara.

41:48 Mark Hendry

Então, minha empresa acabou de ganhar o prêmio FinTech Advisor of the Year. Então, você pode imaginar, trabalhamos com muitas empresas que estão na extremidade final desse espectro e elas são regulamentadas porque são basicamente um banco digital ou algo parecido. E se eles estiverem operando nos mercados da UE ou supervisionados por reguladores europeus, adivinhe qual é o escopo deles. Mas se eles estão no lado tecnológico porque são técnicos, são basicamente fornecedores de tecnologia e seus clientes são entidades de serviços financeiros. Basta ver onde esses clientes de serviços financeiros estão operando e o que fazem por eles. E se você acha que é importante o suficiente para eles para que, se você caísse, eles deixassem de ser capazes de fazer algumas coisas, então é um exercício lógico que você está fazendo. Se você é uma empresa de tecnologia mais ampla que tem clientes em varejo, manufatura farmacêutica e serviços financeiros. Basta fazer o mesmo exercício. Quem são seus clientes de serviços financeiros? Você sabe quem eles são porque está cobrando e pensa que sabe o que significa para eles e o que acontece se você cair um dia e planejar isso e, novamente, fazer um exercício lógico. Mas, na opinião de Tris, se você não tiver certeza, procure um conselho.

43:00 Tristan Morgan

Acho que escolher o último ponto sobre procurar o Conselho. Então, você sabe, ninguém pode fazer isso sozinho. E há muitos terceiros que podem ajudar, tipo, você fala sobre proporcionalidade em termos de onde e para onde ir primeiro, e sabe o que outros setores fizeram. E ajude a tomar essa posição de julgamento para que as pessoas possam se adequar ao nível certo sem o grau certo de sobrecarga, especialmente empresas que não vêm naturalmente dessa esfera mais regulamentada. E Mark falou sobre as empresas de tecnologia que se ramificaram em serviços financeiros. Acho que algumas delas são aquelas em que eu acho que é mais importante trabalhar com outras pessoas.

43:42 Raghu Nandakumara

Então, estamos chegando perto do tempo, e este é um podcast de confiança zero, e não mencionamos o termo confiança zero nenhuma vez, então eu sinto que sou obrigado a fazer isso agora. Então Tris está começando com você primeiro. Então, a DORA fala muito sobre o que pretende fazer e tem como objetivo melhorar a resiliência do setor de serviços financeiros na UE para que, mesmo em meio a um ataque cibernético, possa continuar e ser produtivo. E há muitos requisitos técnicos em relação à redução, ao escopo do acesso e assim por diante. Mas não menciona o termo confiança zero uma vez e de forma muito intencional. Qual é a sua perspectiva sobre a relevância da confiança zero para a DORA e também por que ela foi intencionalmente deixada de fora?

44:28 Tristan Morgan

Se eu abordar seu segundo ponto, primeiro explico por que ele foi deixado de fora. Portanto, confiança zero é obviamente um termo de segurança mais amplo que reúne um agrupamento de recursos para impulsionar fundamentalmente a posição de segurança de todas as empresas. Portanto, precisamos estar cientes de que confiança zero pode mudar como terminologia no futuro, mas os princípios que a sustentam, e acho que é uma das razões pelas quais não foi nomeada, permanecem fundamentalmente importantes. E eu realmente os vejo de quatro maneiras. Trata-se de identificar ameaças, você sabe, mapear o que são críticas ou não críticas e esses tipos de dependências de terceiros. Como você pode, então, sem confiança, ajudar a proteger e evitar ataques e onde você precisa colocar o monitoramento correto, o controle certo, mas também reconhecendo que há coisas mais avançadas que você precisa fazer para coisas que você não tem certeza se são ataques. E é aqui que a segurança mais avançada, como as tecnologias que parecem, é realmente fundamental para ajudar a fazer isso, a caça de ameaças mais avançada, especialmente quando se trata de atividades do tipo estado-nação. E então você sabe que a outra parte importante da confiança zero é analisar como você responde e se recupera desses ataques. Lembre-se de que a maioria das empresas deseja continuar vendendo capacidade. Então, confiança zero é um bom agrupamento de várias delas, mas, fundamentalmente, é por isso que é importante. E, claro, para algumas empresas, pode ser que você queira ampliar ou diminuir uma das quatro coisas sobre as quais acabei de falar, porque elas são mais relevantes para o que você faz, você sabe, mas, em geral, quando você analisa o princípio da confiança zero, trata-se do conceito de menor privilégio. Então, você quer dar à sua força de trabalho, aos seus clientes, o mínimo de privilégios possíveis para fazer o que eles precisam fazer e seguir esse caminho quando não precisarem, em vez de dar às pessoas acesso administrativo para sempre como funcionário. Sabe, não é isso que queremos fazer. O que a confiança zero precisa fazer é, fundamentalmente, dificultar a entrada das pessoas. Mas se as pessoas entrarem em uma organização, serão capazes de detectar, responder e se recuperar disso de uma forma realmente oportuna.

46:32 Raghu Nandakumara

Sim, com certeza. E limite até onde eles podem chegar dentro da organização. Se eles entrarem, até onde eles podem se mover? Sim, colocado de forma absolutamente fantástica. Certo? É um conjunto de princípios que se aplicam não apenas à DORA, mas também muito além disso. E DORA, eu acho, se beneficia de alguns desses princípios aumentados ou reduzidos conforme necessário. Mark, alguma ideia?

46:56 Mark Hendry

Sim, está lá. A confiança zero está aí. É um padrão pelo qual aspiramos e trabalhamos hoje. A terminologia pode evoluir com o tempo, e é por isso que o termo provavelmente não está presente no ponto de vista de Tris, mas elementos de confiança zero estão lá. Se você fez uma pesquisa no DORA e procurou a palavra segmentado, como em microssegmentação, separação instantânea de elementos da rede para conter e o que você tem, ela está lá. Está absolutamente lá. Então, você só precisa saber o que está procurando e encontrará. E a confiança zero evoluirá. Pode evoluir para um nome diferente ou um conjunto diferente de características que buscamos alcançar. Mas DORA deve durar. E podemos descobrir que termos como confiança zero comecem a surgir em padrões técnicos regulatórios ou na implementação de padrões técnicos que os acompanham. Mas está absolutamente presente, porque é uma ótima maneira de proteger nossas organizações contra danos, os tipos de danos sobre os quais falamos.

47:53 Raghu Nandakumara

E acredite em mim, como fornecedor de segmentação, pesquisei muito nesses documentos todos os termos e sinônimos, e encontrei todos eles. Então, acho que estamos perto do tempo. Tris, eu vou junto, venha até você primeiro. Então, ao concluirmos, como vocês gostariam, ouvintes, de realmente pensar não apenas no DORA, mas na conformidade com os riscos de segurança hoje e como ela evoluirá no futuro?

48:17 Tristan Morgan

Então, o que concluímos disso é que sabemos que, assim como somos um setor, aumentaremos o uso da tecnologia digital, também sabemos que os adversários a usarão para tentar cada vez mais atingir e obter ganhos com tudo isso. Portanto, quando você analisa a segurança, percebe-se que todos são a coisa fundamental e mais importante dentro dessas organizações para garantir que elas possam identificar e se defender melhor contra isso e, finalmente, atender melhor seus clientes. E quero dizer, é aqui que a regulamentação e o DORA também entram para ajudar a fornecer essa orientação, a padronização e, finalmente, a colaboração necessária para fazer isso, não apenas neste ano, não no próximo ano, mas você sabe, nos próximos 5 a 10 anos.

49:02 Raghu Nandakumara

Portanto, melhor colaboração e melhores padrões. Para que possamos melhorar a segurança coletivamente.

49:09 Tristan Morgan

Sim, melhor colaboração, melhores padrões. Acho que essa é a chave para o sucesso.

49:16 Raghu Nandakumara

Incrível, Mark?

49:18 Mark Hendry

Sim, concordo com Tris. Isso é perene. Está chegando. Ainda não está aqui, mas chegará em breve e é perene. Então, vamos para um bom lugar, vamos continuar construindo a partir disso, e tentar não nos arrastar chutando e gritando para o lugar que ele está tentando te levar. Tente pensar nos benefícios. É sobre proteção de valor. É sobre estabilidade, resiliência. Pense em resiliência. Sim, essa é a mensagem. Pense em resiliência. Tente não pensar muito em conformidade, mas faça isso de uma forma compatível que faça sentido para sua empresa. Interprete corretamente. Tenha uma boa história para contar e faça o que é proporcional e certo para você, e você terá uma boa reputação.

49:55 Raghu Nandakumara

Bem, acho que são palavras muito sábias e informativas de vocês dois para encerrar isso. Então, Tris, Mark, muito obrigado pelo seu tempo hoje. Foi ótimo falar com vocês dois e agradeço toda a sabedoria. Saúde pessoal, obrigado.

‍