O que é Dora? Lei da Resiliência Operacional Digital para Serviços Financeiros

O que é o Dora. Lei da Resiliência Operacional Digital

Com o objectivo de melhorar a resiliência contra ciberataques iminentes no sector financeiro, a Lei da Resiliência Operacional Digital (DORA) é uma proposta legislativa que ainda se encontra em fase de elaboração. É importante notar que esta lei não substitui os regulamentos existentes, mas antes complementa-os, proporcionando um quadro para a gestão do risco operacional num ambiente digital. 

O objectivo da DORA é assegurar que as instituições financeiras sejam capazes de resistir aos ciberataques, implementando as melhores práticas como a protecção de dados e o planeamento da resposta a incidentes. Isto significa que as empresas precisam de ter um plano para quando um ataque acontece, para que possam manter as operações enquanto recuperam de qualquer dano causado por um ataque.

Ver: As novas regras da Deloitte para o cumprimento da DORA

O que significa a Lei da Resiliência Operacional Digital (DORA) para o seu negócio?

A Lei da Resiliência Operacional Digital (DORA) introduzirá alterações significativas na forma como as empresas de serviços financeiros lidam com as suas práticas de segurança de dados. Ao abrigo da DORA, todas as instituições financeiras devem implementar um programa de ciber-segurança que inclua políticas, procedimentos e actividades de gestão de risco. Estas políticas devem ser revistas anualmente por um regulador financeiro terceirizado que avaliará se são ou não adequadas com base nos padrões da indústria. 

As instituições financeiras devem também implementar um plano de resposta a incidentes que descreva como responderão quando ocorrer uma violação cibernética ou quando houver indícios de que uma possa ocorrer num futuro próximo. Este plano deve incluir uma estratégia para lidar com diferentes tipos de ataques (por exemplo, esquemas de phishing), bem como procedimentos para a recuperação de um ataque. 

A DORA delineia certos cenários em que pode ser aplicável: 

Por exemplo, todas as organizações que trabalham directamente com instituições financeiras e empresas como prestadores de serviços, estão sujeitas à DORA como uma obrigação e seriam directamente supervisionadas por uma autoridade reguladora financeira.

Isto seria feito para determinar se os protocolos e práticas de segurança do fornecedor estão em conformidade com as normas especificadas pela DORA e se são capazes de proporcionar um ambiente sem riscos para o tratamento de dados financeiros sensíveis.

As organizações que não trabalhem directamente com qualquer instituição financeira podem optar voluntariamente por atingir o cumprimento da lei DORA através de um auditor independente. 

Para atingir a conformidade com a DORA, é importante que as organizações tenham um plano de segurança e gestão de riscos bem definido. Este plano deve incluir medidas como avaliações regulares de vulnerabilidade, planos de resposta a incidentes e programas de formação de funcionários. Uma proposta abrangente que descreva estas medidas e a sua implementação pode ajudar as organizações a atingir a conformidade com a DORA e a estabelecerem-se como fornecedores de serviços fiáveis no sector financeiro.

A Lei DORA: Principais Condições & Objectivos 

A Lei da Resiliência Operacional Digital (DORA) assegura a capacidade do sector financeiro de operar de forma segura e resiliente. A lei tem os seguintes requisitos primários:

  1. As empresas devem ter um plano de resposta a incidentes que inclua uma descrição detalhada do que constitui um ataque cibernético, como os empregados devem responder, e como as operações serão restauradas se houver uma violação.
  2. As empresas devem manter um programa de ciber-segurança que inclua uma avaliação dos riscos colocados pelos ciberataques e um plano de acção para mitigar esses riscos.
  3. As empresas devem manter controlos de segurança adequados sobre as suas infra-estruturas digitais. Estes controlos incluem encriptação, autenticação, controlos de acesso, pistas de auditoria, sistemas de monitorização, sistemas de gestão de eventos, e planos de resposta a incidentes.
  4. As empresas devem comunicar incidentes quando estes ocorrem para que os reguladores possam avaliar as suas vulnerabilidades e fazer recomendações para melhorar a sua postura de segurança.
  5. As empresas devem dispor de um plano para assegurar a continuidade do serviço durante quaisquer perturbações que possam ocorrer.

Aproximação à DORA-Conformidade com PowerDMARC

As organizações estão a aumentar a sua postura de segurança devido à lei DORA, que exige segurança digital, de rede, e de nuvem, bem como, segurança de correio electrónico. Uma vez que o correio electrónico é a base das comunicações actuais e constitui a plataforma central de comunicação para a maioria das empresas, a segurança da sua infra-estrutura de correio electrónico é crucial para alcançar a conformidade com a DORA. 

PowerDMARC é uma plataforma SaaS multi-tenant que protege os seus canais de correio electrónico alavancando um pacote completo de autenticação de correio electrónico. Somos compatíveis com a ISO 27001, SOC Tipo 2, e GDPR, e temos trabalhado com sucesso com várias organizações financeiras para proteger os seus dados de correio electrónico e domínio contra riscos de segurança. 

Nós ajudamo-lo: 

  • Proteja os seus e-mails contra falsificações e imitações com DMARC
  • Defenda-se contra as escutas cibernéticas e os ataques de homem no meio com MTA-STS
  • Monitorize os resultados da autenticação do seu e-mail e resolva os incidentes forenses com Relatório DMARC
  • Fique abaixo do limite de pesquisa do SPF para evitar Permerrors com Aplainamento SPF

Contacte-nos hoje para conseguir a conformidade com os seus e-mails!

Acto de Resiliência Operacional Digital

Últimos posts de Ahona Rudra (ver todos)
/por
Top 5 Ferramentas de Segurança de Email de 2022As 5 principais ferramentas de segurança de correio electrónicoComo recuperar de um ataque de ransomwareComo Recuperar de um Ataque de Ransomware?