Risco de terceiros - mais segurança ou apenas mais burocracia?

Risco de terceiros. Este termo aparentemente complicado do vocabulário da UE é, mais uma vez, de grande atualidade. Recentemente, um fabricante de software de segurança causou a mais importante falha informática da história. Esta foi causada por um erro de programação numa atualização automática. Presumivelmente, muitas equipas de TI confiaram numa atualização sem erros e não a testaram elas próprias - o que não é uma boa ideia, uma vez que existe um risco para terceiros.

A Lei da Resiliência Operacional Digital (DORA), que entrará em vigor nessa altura, obriga-as a considerar os riscos de terceiros, entre outras coisas. Outras disposições da DORA incluem a introdução da gestão dos riscos informáticos, a obrigação de apresentar relatórios e a obrigação de efetuar testes de segurança regulares. O objetivo é aumentar a segurança cibernética no sector financeiro.

Mas não temos medidas semelhantes no NIS-2? E as empresas não deveriam, de qualquer modo, estar certificadas com a norma ISO/IEC 27001? Então, será que o DORA é apenas um exagero burocrático?

A pergunta é compreensível, uma vez que as três normas estão empenhadas em reforçar a segurança das TIC. É útil separar os vários tópicos.

ISO/IEC 27001, NIS-2 e DORA: semelhanças e diferenças.

Em primeiro lugar, a ISO/IEC 27001: A norma reconhecida para sistemas de gestão da segurança da informação (ISMS) oferece uma abordagem sistemática à gestão da segurança das TI. Esta inclui a gestão dos riscos, a conformidade, a proteção dos activos, processos eficientes e a melhoria contínua. A norma ISO, que inicialmente era voluntária, tornou-se obrigatória devido à evolução do mercado. As empresas utilizam a certificação ISO/IEC 27001 como um sinal de confiança e prova dos seus esforços no domínio da segurança da informação. É difícil imaginar o negócio sem ela; a falta de certificação é frequentemente um critério de exclusão. "Na Europa", continua Säckel,"isto também se deve ao facto de a diretiva relativa à cibersegurança NIS-2 (Network and Information Security Directive 2) exigir implicitamente a certificação em conformidade com a norma ISO/IEC 27001".

Isto porque a NIS-2 define as empresas que pertencem às infra-estruturas críticas e às quais se aplicam normas de cibersegurança excecionalmente elevadas. As empresas em causa devem aplicar medidas técnicas e organizacionais de cibersegurança e proteger as redes e os sistemas de acordo com as normas mais avançadas. Isto inclui a introdução de um sistema de gestão correspondente e, como ponto central, uma obrigação de comunicação. As empresas devem notificar as autoridades do seu país sobre incidentes significativos num curto espaço de tempo e estão vinculadas a prazos curtos. Dependendo do tipo de organização e da natureza do incidente, a notificação inicial deve ser efectuada no prazo de 24 horas ou mesmo imediatamente. "Os sistemas de gestão, as obrigações de notificação, o estado da arte - tudo isto também se encontra no DORA", comenta Säckel.

No entanto, a Lei de Segurança da UE é dedicada exclusivamente ao sector financeiro e introduz regulamentos adicionais que vão para além do NIS-2. No fundo, trata-se de garantir que as instituições financeiras e os seus prestadores de serviços de nível 1 possam resistir e recuperar rapidamente de ciberataques e perturbações da atividade. Para o demonstrar, as empresas são obrigadas, por exemplo, a rever regularmente a sua segurança, nomeadamente através de exercícios de crise cibernética. Para além disso, a DORA está ciente da intervenção das autoridades de supervisão relativamente ao risco de terceiros: Os prestadores de serviços informáticos que operam no sector financeiro podem ser inspeccionados diretamente pelas autoridades de supervisão (incluindo no local). Se os resultados forem negativos, as autoridades de controlo podem obrigar as empresas financeiras a deixar de trabalhar com esses prestadores de serviços.

Se as coisas ficarem sérias, o Gabinete Federal Alemão para a Segurança das Tecnologias de Informação (BSI) entrará em ação.

O último ponto sublinha a especificidade do DORA: não se baseia apenas em auto-relatórios ou auditorias. No entanto, a sua estrutura é mais parecida com a da autoridade alemã de controlo do comércio, que pode inspecionar as empresas no local. Na Alemanha, o BaFin e o Bundesbank assumirão esse papel na DORA. A falha informática mencionada no início do artigo, que também teve consequências graves na Alemanha, poderia ser um caso que levou o BSI a intervir nas empresas afectadas do sector financeiro. No entanto, segundo Säckel, "ainda não é claro como seria essa auditoria em termos concretos - as autoridades também ainda têm de se adaptar ao DORA".

A nova Lei da Segurança mostra que muitos regulamentos da UE seguem uma lógica interna e não servem a auto-absorção burocrática: quanto mais crítico é o sector, mais rigorosas são as regras. Mas há boas notícias, diz ele, porque"as empresas financeiras que já têm certificação ISO estão numa excelente posição de partida".

Têm um sistema de gestão da segurança da informação (ISMS) como base sólida. O DORA alarga esta base para incluir requisitos específicos para melhorar a resiliência digital.

Tal como a ISO/IEC 27001, a DORA dá grande ênfase à gestão de activos de TI. Exige documentação e avaliação pormenorizadas de todos os recursos de TI para determinar a sua necessidade de proteção. Isto é complementado por uma gestão de risco abrangente que identifica e avalia as ameaças. A DORA também exige que os parceiros externos cumpram os requisitos. Por conseguinte, as empresas financeiras não terão outra alternativa senão verificar os seus prestadores de serviços e exigir-lhes declarações de conformidade.

Melhorar, porque os cibercriminosos nunca dormem

Na prática comercial, o DORA conduz a requisitos claros. Por exemplo, as empresas financeiras precisam de tomar precauções relativamente à cópia de segurança e ao restauro. Para o efeito, devem implementar processos que garantam a integridade e a disponibilidade das cópias de segurança. É particularmente importante determinar o risco de perda de dados, ou seja, o dano potencial causado por uma falha de TI e o tempo que a empresa precisa para retomar as operações normais. "Estas duas métricas ajudam a desenvolver uma estratégia de recuperação de desastres."

Esta é a componente mais importante da gestão da continuidade do negócio (BCM). Nas empresas financeiras, engloba muito mais do que apenas a recuperação das operações de TI. Por conseguinte, é importante que todos os planos de emergência no âmbito da GCA sejam práticos. Devem ser regularmente revistos e testados em simulacros de emergência para garantir que funcionam numa emergência. Isto inclui também um teste da cópia de segurança e da recuperação de dados do lado das TI. Ambos devem funcionar sem problemas e os dados e sistemas recuperados devem ser funcionais após o backup. Também isto só pode ser feito com testes práticos. As empresas devem, no entanto, "abster-se de implementar o DORA & Co. numa única etapa. Os requisitos da UE exigem um processo de melhoria contínua".

Isto faz sentido no domínio dinâmico das TI e nos desenvolvimentos por vezes tempestuosos da cibersegurança. Por conseguinte, o ciclo PDCA (Planear-Fazer-Verificar-Atuar) é uma componente central do DORA. Tendo em conta o carácter dinâmico da cibercriminalidade, este ciclo promove o desenvolvimento contínuo das medidas de segurança. As obrigações legais ao abrigo da NIS-2 e da DORA garantem que o sector financeiro, enquanto parte das infra-estruturas críticas, faz tudo o que está ao seu alcance para ser particularmente seguro.