Alerta importante: O Google e o Yahoo vão exigir DMARC a partir de abril de 2024.
PowerDMARC

O que é Dora? Lei da Resiliência Operacional Digital para Serviços Financeiros

O que é o Dora. Lei da Resiliência Operacional Digital

O que é o Dora. Lei da Resiliência Operacional Digital

Tempo de leitura: 3 min

Com o objectivo de melhorar a resiliência contra ciberataques iminentes no sector financeiro, a Lei da Resiliência Operacional Digital (DORA) é uma proposta legislativa que ainda se encontra em fase de elaboração. É importante notar que esta lei não substitui os regulamentos existentes, mas antes complementa-os, proporcionando um quadro para a gestão do risco operacional num ambiente digital. 

O objectivo da DORA é assegurar que as instituições financeiras sejam capazes de resistir aos ciberataques, implementando as melhores práticas como a protecção de dados e o planeamento da resposta a incidentes. Isto significa que as empresas precisam de ter um plano para quando um ataque acontece, para que possam manter as operações enquanto recuperam de qualquer dano causado por um ataque.

Ver: As novas regras da Deloitte para o cumprimento da DORA

O que significa a Lei da Resiliência Operacional Digital (DORA) para o seu negócio?

A Lei da Resiliência Operacional Digital (DORA) vai introduzir alterações significativas na forma como as empresas de serviços financeiros lidam com as suas práticas de segurança de dados. Ao abrigo da DORA, todas as instituições financeiras devem implementar um programa de cibersegurança que inclua políticas, procedimentos e actividades de gestão de riscos. Estas políticas devem ser revistas anualmente por um regulador financeiro externo que avaliará se são ou não adequadas com base nas normas do sector. 

As instituições financeiras devem também implementar um plano de resposta a incidentes que descreva como responderão quando ocorrer uma violação cibernética ou quando houver indícios de que uma possa ocorrer num futuro próximo. Este plano deve incluir uma estratégia para lidar com diferentes tipos de ataques (por exemplo, esquemas de phishing), bem como procedimentos para a recuperação de um ataque. 

A DORA delineia certos cenários em que pode ser aplicável: 

Por exemplo, todas as organizações que trabalham directamente com instituições financeiras e empresas como prestadores de serviços, estão sujeitas à DORA como uma obrigação e seriam directamente supervisionadas por uma autoridade reguladora financeira.

Isto seria feito para determinar se os protocolos e práticas de segurança do fornecedor estão em conformidade com as normas especificadas pela DORA e se são capazes de proporcionar um ambiente sem riscos para o tratamento de dados financeiros sensíveis.

As organizações que não trabalhem directamente com qualquer instituição financeira podem optar voluntariamente por atingir o cumprimento da lei DORA através de um auditor independente. 

Para atingir a conformidade com a DORA, é importante que as organizações tenham um plano de segurança e gestão de riscos bem definido. Este plano deve incluir medidas como avaliações regulares de vulnerabilidade, planos de resposta a incidentes e programas de formação de funcionários. Uma proposta abrangente que descreva estas medidas e a sua implementação pode ajudar as organizações a atingir a conformidade com a DORA e a estabelecerem-se como fornecedores de serviços fiáveis no sector financeiro.

A Lei DORA: Principais Condições & Objectivos 

A Lei da Resiliência Operacional Digital (DORA) assegura a capacidade do sector financeiro de operar de forma segura e resiliente. A lei tem os seguintes requisitos primários:

  1. As empresas devem ter um plano de resposta a incidentes que inclua uma descrição detalhada do que constitui um ataque cibernético, como os empregados devem responder, e como as operações serão restauradas se houver uma violação.
  2. As empresas devem manter um programa de ciber-segurança que inclua uma avaliação dos riscos colocados pelos ciberataques e um plano de acção para mitigar esses riscos.
  3. As empresas devem manter controlos de segurança adequados sobre as suas infra-estruturas digitais. Estes controlos incluem encriptação, autenticação, controlos de acesso, pistas de auditoria, sistemas de monitorização, sistemas de gestão de eventos, e planos de resposta a incidentes.
  4. As empresas devem comunicar incidentes quando estes ocorrem para que os reguladores possam avaliar as suas vulnerabilidades e fazer recomendações para melhorar a sua postura de segurança.
  5. As empresas devem dispor de um plano para assegurar a continuidade do serviço durante quaisquer perturbações que possam ocorrer.

Aproximação à DORA-Conformidade com PowerDMARC

As organizações estão a aumentar a sua postura de segurança devido à lei DORA, que exige segurança digital, de rede e de nuvem, bem como segurança de correio eletrónico. Uma vez que o correio eletrónico é a base das comunicações actuais e constitui a plataforma de comunicação central para a maioria das empresas, proteger a sua infraestrutura de correio eletrónico é crucial para alcançar a conformidade com a lei DORA. 

PowerDMARC é uma plataforma SaaS multi-tenant que protege os seus canais de correio electrónico alavancando um pacote completo de autenticação de correio electrónico. Somos compatíveis com a ISO 27001, SOC Tipo 2, e GDPR, e temos trabalhado com sucesso com várias organizações financeiras para proteger os seus dados de correio electrónico e domínio contra riscos de segurança. 

Nós ajudamo-lo: 

Contacte-nos hoje para conseguir a conformidade com os seus e-mails!

Últimas mensagens de Yunes Tarada (ver todas)
Sair versão móvel