Resiliência operacional da tecnologia e da informação: exigência legal e de sobrevivência!

As organizações para sua sobrevivência e manutenção precisam implementar a Resiliência Operacional da Tecnologia e da Informação. Na União Europeia já é lei aprovada e com vigência em janeiro de 2025. Mais do que legislação, as organizações somente continuarão realizando seus negócios se forem Resilientes. Neste artigo, resumo os principais controles exigidos pela DORA – Digital Operational Resilience Act aprovado pelo parlamento Europeu.

Leia também: Cultura e confiabilidade em cibersegurança pela transformação digital da organização

O que é a legislação DORA?

DORA – Digital Operational Resilience Act, ou em tradução livre, Lei de Resiliência Operacional Digital é a legislação já aprovada pela União Europeia em 10 de setembro de 2023 (Parlamento Europeu) e que entrará em vigor em 17 de janeiro de 2025 que obriga um gerenciamento de riscos de tecnologia da informação e comunicação para todo eco tecno sistema do setor financeiro: instituições financeiras tradicionais (bancos, empresas de investimento e instituições de crédito), parceiros, fornecedores, provedores de serviços de ativos de criptografia, plataformas de crowdfunding, serviços de tecnologia em nuvem, data centers, serviços de classificação de créditos, provedores de análise de dados e demais serviços que possibilitam o funcionamento do sistema financeiro.

Qual o objetivo da legislação DORA?

De uma maneira simplificada a Resiliência Operacional Digital é um conjunto de vários macro controles que tem o objetivo de, se implementados de maneira adequada e efetiva, possibilitar que as organizações consigam resistir as ameaças cibernéticas (criminosas, erros, negligencias, colaboradores inadequados e similar), sem chegar a uma “quebra” dos serviços prestados ou indisponibilidade dos dados que permitem o funcionamento da organização.

Escopo e abrangência da legislação DORA?

Apesar do escopo desta regulamentação ser o setor das instituições financeiras, ele também considera os prestadores de serviço e parceiros que possibilitam o funcionamento deste sistema crítico para os Estados da Comunidade Europeia. Complementando, lembramos que provavelmente estes controles serão expandidos para os demais segmentos de negócio e serão seguidos pelos demais países fora da União Europeia, de maneira similar ao GDPR (General Data Protection Regulation), que se tornou base para a legislação de vários países em relação à proteção de dados pessoais.

Qual a essência da legislação DORA?

Gestão de Riscos de resiliência. São definidas diretrizes de gestão de riscos para a criação e sustentação de uma infraestrutura mais resiliente, isto é, receba ações indevidas, mas consiga prevenir, evitar ou resistir e retornar a situação original de normalidade. Tudo isto priorizado por análises de impacto organizacional e que testes regulares, mínimo a cada 12 (doze) meses, sejam realizados pela própria empresa e também por profissionais independentes com o objetivo de posicionar o Corpo Diretivo de maneira transparente e verdadeira, para que os corretos direcionamentos sejam definidos e implementados para a minimização do risco até o patamar adequado ao negócio da organização.

Qual o impacto na relação entre as organizações?

Além da exigência legal para as organizações com submissão à União Europeia, as organizações do mercado vão exigir que seus parceiros críticos para a operacionalização e sustentação do negócio, estejam em conformidade com a legislação DORA.

Quais os Domínios da Legislação DORA?

I. Governança e Gestão de Riscos

A DORA responsabiliza o órgão de administração da entidade, tipo Conselho de Administração, pela gestão dos recursos de tecnologia, informação e comunicação.

Os membros do conselho, os líderes executivos e outros gestores sêniores têm a responsabilidade de desenvolver estratégias apropriadas de gerenciamento de riscos, participar ativamente de sua implementação e manter-se informados sobre a evolução do cenário de riscos em tecnologia, informação e comunicação. Os líderes também podem ser individualmente responsáveis pelo não cumprimento de uma entidade.

É obrigatório que as organizações realizem avaliações de riscos contínuas em seus sistemas de tecnologia, informação e comunicação, documentem, gerem evidências, classifiquem as ameaças e definam medidas para diminuir os riscos e/ou ameaças identificadas.

Como parte do processo de avaliação de risco, as organizações devem realizar análises de impacto nos negócios para avaliar como cenários específicos e interrupções graves podem afetar os negócios. Os resultados dessas análises devem ser usados para definir os níveis de tolerância ao risco e implementar medidas apropriadas para minimização de riscos para um patamar adequado e aceitável.

II. Resposta a Incidentes e Relatórios

As organizações devem estabelecer controles para monitorar, gerenciar, registrar, classificar e relatar incidentes relacionados aos recursos de tecnologia, informação e comunicação.

Dependendo da gravidade do incidente, as entidades podem precisar fazer relatórios tanto para os reguladores quanto para os clientes e parceiros afetados. As entidades deverão apresentar três tipos diferentes de relatórios para incidentes críticos: um relatório inicial notificando as autoridades, um relatório intermediário sobre o progresso na resolução do incidente e um relatório final analisando as causas Raiz do incidente.

As regras sobre como os incidentes devem ser classificados, quais incidentes devem ser relatados e prazos para notificação ainda serão detalhados em legislação específica.

III. Testes de Resiliência

As organizações devem testar regularmente, pelo menos a cada 12 (doze) meses, seus sistemas de tecnologia, informação e comunicação para avaliar a efetividade de suas proteções e identificar vulnerabilidades: não identificadas, não combatidas adequadamente ou situações geradas por controles implementados.

Os resultados desses testes, bem como os planos para corrigir quaisquer fraquezas encontradas, devem ser executados e devem ficar disponíveis para serem comunicados e validados pelas autoridades competentes pertinentes.

IV. Gestão de Riscos de Terceiros

As empresas sob o escopo da Legislação DORA são obrigadas a assumir um papel ativo na gestão do risco de terceiros em ralação aos sistemas de tecnologia, informação e comunicação.

Ao terceirizar funções críticas e importantes, as organizações devem negociar acordos contratuais específicos relacionados a estratégias de saída, auditorias e metas de desempenho para acessibilidade, integridade e segurança, entre outros aspectos. As entidades não poderão contratar fornecedores que não possam atender a esses requisitos.

As organizações devem mapear suas dependências terceiros e serão obrigadas a garantir que suas funções críticas e importantes não estejam excessivamente concentradas em um único provedor ou pequeno grupo de provedores.

Provedores de serviços que não atendam aos padrões da Legislação DORA para um fornecedor, estarão proibidas de prestarem serviços para outras organizações que estão na abrangência da Legislação DORA.

Quais os principais macro controles do DORA?

Registramos os 50 principais controles e uma pequena definição. Recomendamos a leitura detalhada da Legislação DORA sobre cada um destes macro controles. Alguns pontos aparentam repetição e na medida do possível juntamos estas situações, mas estamos seguindo o roteiro da Legislação DORA.  

1. Políticas, normas e demais regulamentos

Definição de responsabilidades, diretrizes e arquitetura dos controles.

2. Planos para a Continuidade

Planejamento prévio, estruturado e testado para situações de indisponibilidade de recursos de tecnologia, informação e comunicação.

3. Gestão de Riscos

Gestão de Riscos para os recursos de tecnologia, informação e comunicação, de maneira a possibilitar que a organização entenda sua maturidade de proteção e estruture, planeje e implemente os controles necessários.

Rever anualmente Quadro Gestão de Riscos. Submeter o Quadro de Gestão de Riscos à Auditoria Interna. 

4. Governança em Tecnologia, Informação e Comunicação

Sistemas de Governança sólidos, que incluam uma estrutura organizativa clara, com linhas de responsabilidade bem definidas, transparentes e coerentes, processos eficazes para identificar, gerir, monitorizar e comunicar os riscos a que estão ou podem vir a estar expostas, mecanismos adequados de controlo interno, incluindo procedimentos administrativos e contabilísticos sólidos, sistemas de rede e informação criados e geridos em conformidade com as estruturas de controle e legislação, bem como políticas e práticas de uma gestão sólida e eficaz do risco e que promovam esta gestão.

5. Testes de resiliência operacional

Definição, planejamento e execução de testes periócicos, com escopo, cenário e complexidade compatíveis com os recursos de tecnologia, informação e comunicação.

6. Proprietários (Gestores) dos Sistemas e Recursos

Identificação ou definição dos proprietários (gestores) dos sistemas ou recursos de tecnologia, informação e comunicação.

7. Dependência de Terceiros

A fim de assegurar uma robusta monitorização do risco associado aos devido a terceiros, convém estabelecer um conjunto de regras com base em princípios para orientar as organizações ao monitorar os riscos decorrentes da externalização de funções a terceiros prestadores de serviços, principalmente no caso de serviços de apoio a funções críticas ou importantes, bem como, de modo mais geral, no contexto de todas as dependências de terceiros no domínio das atividades operacionais e de sustentação da organização.

8. Acompanhar a evolução tecnológica

Garantir que os novos recursos de tecnologia, informação e comunicação são considerados e acompanhados na sua evolução com o objetivo de também evoluir a gestão de riscos para este novo patamar de sofisticação.

9. Testes de Invasão

Realizar e monitorar periodicamente testes de invasão em todo o perímetro de tecnologia, informação e comunicação. Gerar relatórios e evidencias e planejar e executar ações para a minimização dos riscos.

10. Responsabilidade e Investimento

Princípio da responsabilidade total e última do órgão de administração pela gestão do risco associado à tecnologia, informação e comunicação da organização está estreitamente ligado à necessidade de garantir um nível de investimento e um orçamento que lhe permita alcançar um nível elevado de resiliência operacional digital.

11. Ciberameaças – Acompanhamento e combate

Garantir o acompanhamento do ritmo de um cenário de Ciberameaças em rápida evolução.

12. Retorno Confiável

Garantir um retorno confiável, porém não pode, de modo algum, pôr em risco a integridade e segurança dos sistemas de tecnologia, informação e comunicação nem a disponibilidade, autenticidade, integridade ou confidencialidade, dos dados.

13. Prestadores de Serviço

Deve abranger uma vasta gama de terceiros prestadores de serviços de tecnologia, informação e comunicação, incluindo, mas não limitando, prestadores de serviços de computação em nuvem, de programas informáticos e de serviços de análise de dados e prestadores de serviços de centros de dados.

14. Acordos Contratuais

A celebração formal dos acordos contratuais deverá preceder uma análise exaustiva na fase pré-contratual, centrando-se, em especial, em elementos como a criticalidade ou importância dos serviços a serem contratados

15. A segurança e a proteção de dados pessoais

Considerar os controles necessários para a conformidade com a legislação de proteção de dados pessoais.

16. Recuperação e devolução de dados

Permitir o acesso, a recuperação e a devolução de dados em caso de insolvência, resolução ou cessação da atividade do terceiro prestador de serviços, bem como as disposições que exigem que o terceiro prestador de serviços disponibilize estas informações.

17. Contratos e Funções críticas

Os contratos relativos à prestação de serviços de tecnologia, informação e comunicação de apoio a funções críticas ou importantes deverão conter igualmente disposições que prevejam os direitos de acesso, inspeção ou auditoria por parte da organização ou de um terceiro designado para o efeito, bem como o direito a fazer cópias, e ter da plena cooperação do prestador de serviços durante as inspeções.

18. Fiscalização

Possibilitar a fiscalização das atividades dos prestadores de serviços em sistemas ou recursos de tecnologia, informação e comunicação.

19. Normas técnicas

Devem existir normas ou equivalente, definindo padrões para os controles de proteção de sistemas ou recursos de tecnologia, informação ou comunicação.

20. Notificação de Incidentes

Quando da ocorrência de incidentes as autoridades definidas devem ser comunicadas, bem como as partes envolvidas e com responsabilidade na proteção dos sistemas ou recursos de tecnologia, informação e comunicação.

21. Governança Interna de Riscos

Políticas e normas para garantir confidencialidade, integridade e disponibilidade, com definição de responsabilidades.

Política de continuidade e Plano de Auditoria Interna devem também ser considerados.

22. Função/Cargo para Gestão de Terceiros

Deve existir uma função ou cargo para a Gestão de Terceiros ou Prestadores de Serviços.

23. Órgão de Administração

Os membros do órgão de administração da organização devem atualizar ativamente os seus conhecimentos e competências para poderem compreender e avaliar o risco associado aos recursos e sistemas de tecnologia, informação e comunicação e o respetivo impacto no funcionamento da entidade, inclusive frequentando regularmente formações específicas, adequadas à gestão de riscos.

24. Implementação

Devem ser implementadas as estratégias, políticas, procedimentos, protocolos e ferramentas adequados para uma efetiva resiliência e gestão de proteção dos sistemas e recursos de tecnologia, informação e comunicação.

25. Arquitetura de Referência

Deve ser definida uma arquitetura de Gestão da Resiliência Operacional Digital, considerando controles, necessidade da organização e legislação pertinente.

26. Gestores de Recursos

Todos os ativos, recursos, elementos, configurações e processos devem ter explicitamente o se Gestor com a responsabilidade de garantir a efetiva proteção, inventário e resiliência do mesmo.

27. Documentação de Processos

É obrigatório a existência e documentação dos processos de maneira de fácil entendimento e utilização. Esta documentação deve estar disponível para todos os profissionais que necessitam da mesma para o melhor desempenho das suas funções.

28. Ferramentas, políticas e procedimentos de segurança

Devem existir e serem inventariadas todas as ferramentas, regulamentos e procedimentos de proteção de sistemas de tecnologia, informação e comunicação.

29. Internalização de conceitos

Resiliência, continuidade e disponibilidade são controles, conceitos e direcionadores que devem fazer parte do conhecimento internalizado de todos os profissionais e colocados em prática de maneira efetiva, registrada, com evidências e sempre aprimoradas.

30. Acesso não autorizado

Os acessos aos sistemas e recursos de tecnologia, informação e comunicação devem ser controlados e somente pessoas ou outros recursos previamente autorizados podem ter acesso. Acessos não autorizados não devem acontecer e devem ser impedidos.

31. Corrução e perda de dados.

Os dados devem ter a garantia da sua integridade e validado constantemente pelos controles adequados. Não é aceitável a perda ou corrução de dados, perdendo o mesmo a sua integridade.

32. Violações de controles

Devem existir controles efetivos para evitar as violações da autenticidade e da integridade, a quebra da confidencialidade e a perda de dados.

33. Política de Segurança da Informação

Deve existir um conjunto de regulamentos que forma a Política de Segurança da Informação que defina regras para proteger a disponibilidade, autenticidade, integridade e confidencialidade dos dados, dos ativos de informação, e dos ativos da organização, incluindo os dos seus clientes, se for caso.

34. Proteção física

A proteção dos sistemas e recursos de tecnologia, informação e comunicação também deve ser física e da infraestrutura.

35. Gestão de mudanças

Deve existir Gestão de Mudanças efetiva garantindo que qualquer alteração do ambiente real onde são executados os sistemas e recursos de tecnologia, informação e comunicação foi autorizado, testado e considerado todos os elementos que entrarão em produção.

36. Autenticação robusta

A autenticação de usuário ou de qualquer outro recurso deve ser robusta e compatível com a criticidade do ambiente ou recurso a ser acessado.

37. Incidentes de segurança e ciberataques

Deve existir uma Gestão de Incidentes e Combate a Ciberataques de maneira a garantir a continuidade e sustentação dos recursos, ambientes e sistemas de tecnóloga, informação e comunicação.

38. Política de continuidade.

Deve existir uma política de gestão de continuidade para recursos, ambientes e sistemas de tecnologia, informação e comunicação.

Devem ser obrigatórios a realização de teste de planos de continuidade, tendo sido considerada a Análise de Impacto (BIA) e existência de local de tratamento de dados secundário.

39. Gestão de Crises.

Em conjunto com Gestão de Continuidade deve obrigatoriamente existir a Gestão de Crise de maneira independente. Com responsabilidades e etapas de execução previamente definidas.

A Gestão de Crise deve ser testada periodicamente em períodos máximos de 12 (doze) meses.

Também deve ser considerado o Plano de Comunicação de Crises.

40. Copias de segurança

Devem existir cópias de segurança com a devida guarda atendendo as necessidades da organização e da legislação em vigor.

O Gestor do Recurso ou Sistema de tecnologia, informação ou comunicação tem a responsabilidade de definir o tempo de guara das informações.

41. Ciberataques.

Os Ciberataques devem ser previamente combatidos e na sua ocorrência devem ter a avaliação pós incidentes.

42. Programas de sensibilização

Devem existir programas de sensibilização e conscientização para todas as pessoas da organização e prestadores de serviço, considerando controles e comportamento para a proteção adequada dos recursos e sistemas de informação, tecnologia e comunicação.

O objetivo é a internalização dos conceitos para um adequado comportamento humano na proteção da tecnologia, informação e comunicação.

43. Quadro de Gestão de Riscos

Deve existir um quadro resumo da Gestão de Crises com o objetivo de facilitar o entendimento e as decisões sobre a Gestão de Riscos.

44. Comunicação de incidentes aos clientes.

Deve ser avaliado a adequação e a conformidade com a legislação em relação à comunicação de incidentes aos clientes.

45. Testes de Resiliência Operacional Digital

Periodicamente devem ser realizados os testes de resiliência operacional digital, cobrindo todo o escopo da organização em um período máximo de 12 (doze) meses.

46. Teste de sistemas e ferramentas

Periodicamente devem ser realizados os testes de sistemas e ferramentas, cobrindo todo o escopo da organização em um período máximo de 12 (doze) meses.

47. Gestão de riscos devido a terceiros

A Gestão de Riscos deve contemplar explicitamente todos os terceiros e/ou prestadores de serviços ou outros elementos não organização que são críticos para a operacionalização e sustentação do funcionamento da organização.

48. Obrigações contratuais com terceiros.

Quando de contratos com partes fora da organização devem estar explicitas as responsabilidades destes terceiros e da organização.

Devem ser considerados todos os aspectos e controles para garantir a Resiliência Operacional Digital necessária para a organização.

49. Partilha de informações de ciberataques

Quando de ciberataques devem ser compartilhadas informações com as autoridades conforme legislação, mas também com organizações parceiras com o objetivo de melhor combater situações de ciberataques. 

50. Melhoria Contínua

A Resiliência Operacional Digital não é estática e precisa sempre e constantemente estar melhorando os seus controles, efetividade, escopo e tudo que envolve este processo.

É de responsabilidade da organização implementar um processo de melhoria contínua para a Resiliência Operacional Digital que protege sistemas e recursos de tecnologia, informação e comunicação.

Cada um destes macro controles é um mundo de controles. Se desejar, podemos conversar. Grande abraço.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!