DORA, um antes e depois na regularização de ciberataques

Desde Setembro de 2020, o texto do Regulamento Europeu de Resiliência Operacional Digital (DORA), atualmente em fase de aprovação pelo Parlamento e pelo Conselho, está disponível e espera-se que seja publicado em breve. Como o seu nome sugere, este regulamento estabelece uma série de requisitos de resiliência para os meios digitais (redes e sistemas de informação) nos quais as instituições financeiras dependem para fornecer os seus serviços, de modo a gozarem das garantias de segurança necessárias para evitar que qualquer evento conduza a um mau funcionamento, modificação ou acesso indevido. Em suma, para mitigar as ameaças que podem comprometer a segurança dos processos empresariais dependentes da tecnologia em termos de integridade, confidencialidade e disponibilidade da informação gerida por estes meios tecnológicos.

O sector financeiro é um sector altamente regulamentado e, entre os requisitos a que estão obrigados, os relacionados com a segurança da informação/segurança dos operadores estão a tornar-se cada vez mais importantes. A este respeito, podemos mencionar a seguinte legislação: requisitos de segurança PSD2 (apoiados por diretrizes EBA), requisitos de segurança SWIFT, PCI-DSS, legislação NIS (para instituições financeiras que foram designadas como operadores críticos), proteção de infraestruturas críticas (LPIC - para instituições que foram declaradas críticas) e legislação de proteção de dados (RGPD/LOPDGDDD).

Além disso, muitas instituições financeiras decidiram adotar normas de segurança e continuidade que, embora não sejam legalmente obrigatórias, têm sido consideradas muito convenientes como uma alavanca para o cumprimento dos requisitos legais obrigatórios. Estas normas incluem a ISO 27001 (Information Security Management System: ISMS) e a ISO 22310 (Business Continuity Management System: BCMS), ambas certificáveis.  

Embora tenham sido mencionadas instituições financeiras, o regulamento não se concentra apenas no sector bancário, mas o âmbito de aplicação deste regulamento vai além disso, afetando também outros sectores, incluindo companhias de seguros e resseguros e agências de notação de crédito, embora no caso das microempresas, e seguindo o princípio da proporcionalidade, alguns dos requisitos sejam menos exaustivos. 

Neste contexto normativo e de normas aplicáveis, a DORA integra os requisitos existentes sob um único guarda-chuva e reforça-os com novos elementos que são necessários no complexo e crescente panorama da ameaça cibernética atual. Assim, a gestão de risco das TIC, a gestão de fornecedores de TIC e a necessidade de testes de resiliência abrangentes são enfatizadas.

Neste grande puzzle regulamentar de segurança, ao qual será acrescentada uma nova peça com a DORA, é essencial aplicar um modelo integrador multi-regulador, tendo em conta aspetos comuns e caminhando com um roteiro único e partilhado, ou seja, considerando o cumprimento da cibersegurança como um processo empresarial holístico e não como atividades separadas para cada regulamento. Neste modelo multi-regulamentar, o resultado será sem dúvida maior do que a soma das suas partes em termos de eficácia dos mecanismos de segurança cibernética, recursos internos, custos e investimentos, e sucesso da auditoria.

Dito isto, quais são estes pilares comuns dos diferentes regulamentos de segurança?

• Uma delas, que também é fundamental, é a gestão do risco de segurança das TIC, à qual a DORA dedica um capítulo inteiro. A análise dos riscos a que estão sujeitos os bens tecnológicos e a sua gestão de acordo com um quadro é fundamental para proteger de forma ideal, sem superproteger ou sub-proteger. É por isso que a gestão de riscos é exigida pela legislação NIS, legislação de proteção de dados, legislação de infraestruturas críticas e pela norma ISO 27001. E é aconselhável realizar análises de risco combinadas que reúnam os diferentes "objetos" afetados pelas diferentes legislações.

• Outro aspeto importante é a gestão de incidentes relacionados com as TIC. A gestão de incidentes (incluindo violações de privacidade para informação pessoal) é exigida pela legislação de proteção de dados, NIS, LPIC, PCI-DSS, ISO 27001, etc. Seria aconselhável ter um único procedimento de gestão e comunicação de incidentes que reúna as diferentes casuísticas (dados pessoais, dados de cartões bancários, etc.). Um processo que abrange todo o ciclo de gestão de incidentes, desde a identificação até à eventual recuperação, incluindo contenção e comunicação, sem esquecer as lições aprendidas para melhorar as medidas técnicas, organizacionais e legais, a fim de melhorar a prevenção.

• Continuando com os aspetos comuns, é dada ênfase à obrigação de realizar testes (ou auditorias) periódicos. O quadro da DORA dedica outro capítulo aos testes de resiliência operacional digital, que é um mecanismo de verificação periódica para verificar e fornecer provas de que as medidas de segurança são eficazes, e para poder adotar melhorias sugeridas pelos resultados destes testes. A ISO 27001 exige explicitamente auditorias internas (e auditorias externas para certificação), a PCI-DSS deve ser auditada por uma equipa técnica para verificar a adequação dos controlos técnicos de segurança para garantir o processamento dos dados de pagamento, a regulamentação da proteção de dados exige auditorias para cumprir o princípio da responsabilidade proactiva, etc. Os programas de auditoria devem considerar que o pessoal envolvido e o tema das entrevistas devem permitir o agrupamento de atividades de auditoria de diferentes legislações, poupando assim tempo e atenção aos resultados.

• Uma figura que se está a tornar cada vez mais importante é a gestão dos riscos de terceiros relacionados com as TIC, onde se entende por terceiros relacionados com as TIC as entidades que fornecem serviços e soluções TIC. A crescente externalização dos serviços TIC nos últimos anos criou um novo conjunto de ameaças. É essencial gerir terceiros para garantir um nível de segurança não inferior ao que se estes serviços fossem prestados internamente, e as armas desta gestão são, entre outras, o contrato de prestação de serviços e o direito de auditoria. A gestão de terceiros é referida em diferentes legislações e normas de segurança, onde terceiros são um "bem" a ser protegido como qualquer outro bem das TIC.

• Aos pontos acima referidos poderíamos acrescentar outros requisitos comuns conhecidos, tais como formação e sensibilização, definição de papéis e responsabilidades, mecanismos de segurança lógica (controlo de acesso, rede, proteção de dados e aplicações), segurança por conceção e ao longo de todo o ciclo de vida, incluindo software, e naturalmente documentação (política, regulamentos, procedimentos, planos)

Este modelo de integração multi-regulamentação deve basear-se num modelo de melhoria contínua PDCA (Plan, Do, Check, Act) e, portanto, não se trata apenas de implementação, mas também de manutenção e melhoria, e isto deve ser feito de uma forma comum para que acompanhe toda a regulamentação e seja o nosso quadro de governação da cibersegurança.

Na Babel, estamos atentos à publicação final do Regulamento DORA. Entretanto, os nossos especialistas em cibersegurança, com uma vasta experiência nos sectores financeiro e de seguros, continuam a ajudar os nossos clientes a lançar as bases para alavancar os vários pontos em comum na legislação, regulamentos e normas existentes. Estamos a trabalhar para um modelo global, que será mais eficaz, e terá um impacto positivo na qualidade e resiliência dos nossos serviços digitais, que são essenciais para facilitar os negócios e ser mais competitivos.