O que é Dora? Lei da Resiliência Operacional Digital para Serviços Financeiros

Blog

A Lei da Resiliência Operacional Digital (DORA) fornece um quadro para a gestão do risco operacional num ambiente digital para o sector financeiro.

por YunesTarada

Tempo de leitura: 4 min
O que é Dora? Lei da Resiliência Operacional Digital para Serviços Financeiros
Índice-
  • A Lei DORA: Principais Condições & Objectivos 
  • Aproximação à DORA-Conformidade com PowerDMARC

    • Com o objectivo de melhorar a resiliência contra ciberataques iminentes no sector financeiro, a Lei da Resiliência Operacional Digital (DORA) é uma proposta legislativa que ainda se encontra em fase de elaboração. É importante notar que esta lei não substitui os regulamentos existentes, mas antes complementa-os, proporcionando um quadro para a gestão do risco operacional num ambiente digital. 

    O objectivo da DORA é assegurar que as instituições financeiras sejam capazes de resistir aos ciberataques, implementando as melhores práticas como a protecção de dados e o planeamento da resposta a incidentes. Isto significa que as empresas precisam de ter um plano para quando um ataque acontece, para que possam manter as operações enquanto recuperam de qualquer dano causado por um ataque.

    View: Deloitte’s new rules for DORA compliance
    <

    Takeaways de chaves

    1. O DORA tem por objetivo reforçar a resistência das instituições financeiras contra os ciberataques, estabelecendo um quadro para a gestão do risco operacional.
    2. Todas as organizações financeiras devem implementar um programa de cibersegurança que inclua avaliações regulares e planeamento de resposta a incidentes.
    3. A conformidade com o DORA exige a manutenção de controlos de segurança rigorosos sobre a infraestrutura digital, incluindo sistemas de encriptação e monitorização.
    4. As organizações são obrigadas a comunicar os incidentes cibernéticos aos reguladores para facilitar a avaliação das vulnerabilidades e melhorar as medidas de segurança.
    5. Um plano de gestão de riscos sólido é essencial para alcançar a conformidade com a DORA e garantir um serviço de confiança no sector financeiro.

    h2>O quesignifica a Lei da Resiliência Operacional Digital (DORA) para a sua empresa?

    A Lei da Resiliência Operacional Digital (DORA) vai introduzir alterações significativas na forma como as empresas de serviços financeiros lidam com as suas práticas de segurança de dados. Ao abrigo da DORA, todas as instituições financeiras devem implementar um programa de cibersegurança que inclua políticas, procedimentos e actividades de gestão de riscos. Estas políticas devem ser revistas anualmente por um regulador financeiro externo que avaliará se são ou não adequadas com base nas normas do sector. 

    As instituições financeiras devem também implementar um plano de resposta a incidentes que descreva como responderão quando ocorrer uma violação cibernética ou quando houver indícios de que uma possa ocorrer num futuro próximo. Este plano deve incluir uma estratégia para lidar com diferentes tipos de ataques (por exemplo, esquemas de phishing), bem como procedimentos para a recuperação de um ataque.

    Simplifique Dora com PowerDMARC!

    Teste grátis 15 diasMarcar demo

    A DORA delineia certos cenários em que pode ser aplicável: 

    Por exemplo, todas as organizações que trabalham diretamente com instituições financeiras e empresas como prestadores de serviços estão sujeitas ao DORA como uma obrigação e seriam diretamente supervisionadas por uma autoridade reguladora financeira. Esta supervisão garante o cumprimento dos regulamentos DORA para manter um ambiente sem riscos no tratamento de dados financeiros sensíveis

    Isto seria feito para determinar se os protocolos e práticas de segurança do fornecedor estão em conformidade com as normas especificadas pela DORA e se são capazes de proporcionar um ambiente sem riscos para o tratamento de dados financeiros sensíveis.

    As organizações que não trabalhem directamente com qualquer instituição financeira podem optar voluntariamente por atingir o cumprimento da lei DORA através de um auditor independente. 

    Para atingir a conformidade com a DORA, é importante que as organizações tenham um plano de segurança e gestão de riscos bem definido. Este plano deve incluir medidas como avaliações regulares de vulnerabilidade, planos de resposta a incidentes e programas de formação de funcionários. Uma proposta abrangente que descreva estas medidas e a sua implementação pode ajudar as organizações a atingir a conformidade com a DORA e a estabelecerem-se como fornecedores de serviços fiáveis no sector financeiro.

    A Lei DORA: Principais Condições & Objectivos 

    A Lei da Resiliência Operacional Digital (DORA) assegura a capacidade do sector financeiro de operar de forma segura e resiliente. A lei tem os seguintes requisitos primários:

    1. As empresas devem ter um plano de resposta a incidentes que inclua uma descrição detalhada do que constitui um ataque cibernético, como os empregados devem responder, e como as operações serão restauradas se houver uma violação.
    2. As empresas devem manter um programa de ciber-segurança que inclua uma avaliação dos riscos colocados pelos ciberataques e um plano de acção para mitigar esses riscos.
    3. As empresas devem manter controlos de segurança adequados sobre as suas infra-estruturas digitais. Estes controlos incluem encriptação, autenticação, controlos de acesso, pistas de auditoria, sistemas de monitorização, sistemas de gestão de eventos, e planos de resposta a incidentes.
    4. As empresas devem comunicar incidentes quando estes ocorrem para que os reguladores possam avaliar as suas vulnerabilidades e fazer recomendações para melhorar a sua postura de segurança.
    5. As empresas devem dispor de um plano para assegurar a continuidade do serviço durante quaisquer perturbações que possam ocorrer.

    Aproximação à DORA-Conformidade com PowerDMARC

    As organizações estão a aumentar a sua postura de segurança devido à lei DORA, que exige segurança digital, de rede e de nuvem, bem como segurança de correio eletrónico. Uma vez que o correio eletrónico é a base das comunicações actuais e constitui a plataforma de comunicação central para a maioria das empresas, proteger a sua infraestrutura de correio eletrónico é crucial para alcançar a conformidade com a lei DORA. 

    PowerDMARC é uma plataforma SaaS multi-tenant que protege os seus canais de correio electrónico alavancando um pacote completo de autenticação de correio electrónico. Somos compatíveis com a ISO 27001, SOC Tipo 2, e GDPR, e temos trabalhado com sucesso com várias organizações financeiras para proteger os seus dados de correio electrónico e domínio contra riscos de segurança. 

    Nós ajudamo-lo: 

    • Proteja os seus e-mails contra falsificações e imitações com DMARC
    • Defenda-se contra as escutas cibernéticas e os ataques de homem no meio com MTA-STS
    • Monitorize os resultados da autenticação do seu e-mail e resolva os incidentes forenses com Relatório DMARC
    • Mantenha-se abaixo do limite de pesquisa do SPF para evitar Permerrors com achatamento do SPF

    Contacte-nos hoje para obter conformidade com os seus e-mails!

    Últimas mensagens de Yunes Tarada (ver todas)
    Top 5 Ferramentas de Segurança de Email de 2022As 5 principais ferramentas de segurança de correio electrónicoComo recuperar de um ataque de ransomwareComo Recuperar de um Ataque de Ransomware?