Risco de terceiros - mais segurança ou apenas mais burocracia?

Risco de terceiros. Esse termo aparentemente complexo do vocabulário da UE voltou a ganhar destaque. Recentemente, um fabricante de software de segurança causou a maior interrupção de TI da história, devido a um erro de programação em uma atualização automática. Presume-se que muitas equipes de TI confiaram em uma atualização sem erros e não a testaram previamente – uma má ideia, já que há o risco de terceiros envolvido.

O Regulamento de Resiliência Operacional Digital (DORA), que entrará em vigor na época, obriga as empresas a considerarem riscos de terceiros, entre outras exigências. Outras disposições do DORA incluem a introdução de uma gestão de riscos de TI, a obrigatoriedade de relatórios e a realização de testes de segurança regulares. O objetivo é aumentar a cibersegurança no setor financeiro.

Mas não temos medidas semelhantes no NIS-2? E as empresas não deveriam ser certificadas de qualquer forma na ISO/IEC 27001? Então, o DORA é apenas um excesso burocrático?

A pergunta é compreensível, já que os três padrões estão comprometidos em fortalecer a segurança das TIC. Separar os diferentes tópicos é útil.

ISO/IEC 27001, NIS-2 e DORA: semelhanças e diferenças

Primeiramente, ISO/IEC 27001: a norma reconhecida para sistemas de gestão de segurança da informação (SGSI) oferece uma abordagem sistemática para a gestão da segurança de TI. Isso inclui gestão de riscos, conformidade, proteção de ativos, processos eficientes e melhoria contínua. A norma ISO, inicialmente voluntário, tornou-se obrigatório devido às mudanças no mercado. As empresas utilizam a certificação ISO/IEC 27001 como um sinal de confiança e prova de seus esforços na área de segurança da informação. É difícil imaginar o mercado sem essa certificação, cuja ausência é frequentemente um critério de exclusão. "Na Europa," continua Säckel, "isso também ocorre porque a diretiva de cibersegurança NIS-2 (Diretiva de Segurança de Redes e Informações 2) exige implicitamente a certificação em conformidade com a ISO/IEC 27001."

Isso ocorre porque o NIS-2 define as empresas que pertencem à infraestrutura crítica, para as quais se aplicam normas de cibersegurança excepcionalmente elevadas. As empresas afetadas devem implementar medidas técnicas e organizacionais para a cibersegurança e garantir redes e sistemas de acordo com as normas mais avançadas. Isso inclui a introdução de um sistema de gestão correspondente e, como ponto central, a obrigatoriedade de relatórios. As empresas devem notificar as autoridades do seu país sobre incidentes significativos em um curto período, estando sujeitas a prazos rigorosos. Dependendo do tipo de organização e da natureza do incidente, a notificação inicial deve ser feita em até 24 horas ou, em alguns casos, imediatamente. "Sistemas de gestão, obrigatoriedade de relatórios e padrões de ponta — tudo isso também está presente no DORA", comenta Säckel.

No entanto, o Regulamento de Segurança da UE é dedicado exclusivamente ao setor financeiro e introduz regulamentações adicionais que vão além do NIS-2. Seu foco principal é garantir que as instituições financeiras e seus provedores de serviços Tier 1 sejam capazes de resistir e se recuperar rapidamente de ataques cibernéticos e interrupções operacionais. Para demonstrar isso, as empresas são obrigadas, por exemplo, a revisar regularmente sua segurança, como por meio de exercícios de crise cibernética. Além disso, o DORA prevê a intervenção das autoridades reguladoras no que diz respeito ao risco de terceiros: os provedores de serviços de TI que operam no setor financeiro podem ser inspecionados diretamente pelas autoridades supervisoras (incluindo inspeções presenciais). Caso os resultados sejam negativos, as autoridades podem obrigar as instituições financeiras a interromper a colaboração com esses provedores de serviços.

Se a situação ficar séria, o Escritório Federal Alemão de Tecnologia de Segurança da Informação (BSI) entrará em contato.

O último ponto destaca a natureza especial do DORA: ele não se baseia apenas em auto-relatórios ou auditorias, mas é estruturado de forma mais semelhante à supervisão comercial alemã, que pode realizar inspeções presenciais nas empresas. Na Alemanha, o BaFin e o Bundesbank assumirão esse papel no escopo do DORA. O problema de TI mencionado no início do artigo, que também teve consequências graves na Alemanha, pode ter sido um caso que trouxe o BSI à cena nas empresas do setor financeiro afetadas. No entanto, segundo Säckel, "ainda não está claro como será, na prática, uma auditoria desse tipo – as autoridades também precisam se adaptar ao DORA".

O novo regulamento de segurança demonstra que muitas normas da UE seguem uma lógica interna e não servem à autossuficiência burocrática: quanto mais crítico o setor, mais rigorosas são as regras. Mas há uma boa notícia, ele afirma, pois "as empresas financeiras que já possuem certificação ISO estão em uma excelente posição inicial."

Essas empresas já contam com um sistema de gestão de segurança da informação (SGSI) como base sólida. O DORA amplia essa base ao incluir requisitos específicos para melhorar a resiliência digital.

Assim como a ISO/IEC 27001, o DORA dá grande ênfase à gestão de ativos de TI. Ele exige uma documentação detalhada e a avaliação de todos os recursos de TI para determinar suas necessidades de proteção. Isso é complementado por uma gestão de riscos abrangente que identifica e avalia ameaças. Além disso, o DORA exige que parceiros externos também cumpram os requisitos. Por isso, as empresas financeiras não terão escolha a não ser verificar seus provedores de serviços e exigir deles declarações de conformidade.

Melhore, porque os cibercriminosos nunca dormem

Na prática empresarial, o DORA leva a requisitos claros. Por exemplo, empresas financeiras precisam de precauções para backup e restauração. Ao fazer isso, elas devem implementar processos que garantam a integridade e a disponibilidade dos backups. É particularmente importante determinar o risco de perda de dados, ou seja, o dano potencial causado por uma falha de TI e o tempo que a empresa precisa para retomar as operações normais. " Essas duas métricas ajudam a desenvolver uma estratégia de recuperação de desastres."

Na prática empresarial, o DORA leva a requisitos claros. Por exemplo, empresas financeiras precisam implementar precauções para backup e restauração. Isso inclui processos que garantam a integridade e a disponibilidade dos backups. É particularmente importante determinar o risco de perda de dados, ou seja, o potencial dano causado por uma falha de TI e o tempo necessário para que a empresa retome as operações normais. "Essas duas métricas ajudam a desenvolver uma estratégia de recuperação de desastres."

Esse é o componente mais importante da gestão de continuidade de negócios (BCM). Em empresas financeiras, abrange muito mais do que apenas a recuperação das operações de TI. Por isso, é fundamental que todos os planos de emergência dentro do framework de BCM sejam práticos. Eles devem ser regularmente revisados e testados em simulações de emergência para garantir que funcionem em caso de necessidade. Isso inclui, por exemplo, um teste de backup e recuperação de dados no âmbito de TI. Ambos os processos precisam funcionar perfeitamente, e os dados e sistemas recuperados devem ser totalmente funcionais após o backup. Isso também só pode ser garantido com testes práticos. As empresas, entretanto, devem "evitar implementar o DORA e outros regulamentos de uma só vez. Os requisitos da UE pedem um processo de melhoria contínua."

Isso faz sentido no campo dinâmico da TI e nos desenvolvimentos frequentemente turbulentos em cibersegurança. Por essa razão, o ciclo PDCA (Plan-Do-Check-Act) é um componente central do DORA. Dado o caráter dinâmico do cibercrime, ele promove o desenvolvimento contínuo de medidas de segurança. As obrigações legais sob o NIS-2 e o DORA garantem que o setor financeiro, como parte da infraestrutura crítica, faça tudo o que estiver ao seu alcance para ser particularmente seguro.