17 de janeiro de 2025 vai ser uma sexta-feira, espero que não seja uma sexta-feira tipo dia 13, azarada. Parece muito longe, mas não. De 3 abril de 2023 a 17 de janeiro de 2025, é um pulinho, distam 656 dias dos quais apenas 450 úteis.
Mas porquê esta fixação com esta data?Apesar de ter sido a 16 de janeiro de 2023 que entrou em vigor o Regulamento Digital Operacional Resilience Act (DORA) , terá a sua aplicação direta a partir de 17 de janeiro de 2025, por outras palavras, terá força de lei direta nos Estadosmembros da União Europeia a partir desse dia e irá afetar muitos diretamente, pois o DORA tem aplicação direta a todas as entidades financeiras reguladas a nível da UE e a vários prestadores de serviços TIC que operem na Europa ou que forneçam serviços para entidades financeiras europeias. Como por exemplo, bancos, instituições de pagamento, seguradoras, firmas de investimentos, ao todo são 17 tipos entidades, cuja lista está no artigo 2.º do capítulo I do regulamento. E agora?Acredito que se o planeamento não foi muito bem feito, não duvido que alguns dos 186 dias de fim-de- -semana e / ou 26 dias feriados, que distam do dia 17 de janeiro de 2025, terão de ser sacrificados. Creio ser relevante lembrar que as empresas precisarão adaptar as suas práticas operacionais e cibersegurança para atender aos requisitos do DORA e, assim, garantir a resiliência e a segurança dos serviços financeiros digitais. E numa perspetiva mais pessoal, porque estou a trabalhar numa seguradora, o que fazer? Por onde começar? Que requisitos-chave a empresa onde trabalho terá de cumprir para estar em conformidade com o DORA? Parece-me uma boa ideia começar pelo princípio que é fazer o levantamento do ponto de partida, ou seja, começar a desenhar o mapa do tesouro. Devemos começar por avaliar o nível atual de resiliência digital, para isso, a empresa deverá avaliar e identificar todos os seus sistemas e serviços críticos que podem ser impactados pelo regulamento. Isso incluirá todos os sistemas relacionados à cibersegurança, privacidade de dados, continuidade dos negócios e resiliência operacional. Deste (dantesco) exercício serão identificadas as lacunas ou áreas que necessita de ser melhoradas. Em seguida, a empresa deverá rever e atualizar as suas políticas, procedimentos e planos de contingência para garantir que estamos em conformidade com o DORA. Isso incluirá a revisão de políticas de cibersegurança, gestão de riscos, privacidade de dados e gestão de incidentes. Não esquecer de desenvolver um plano estratégico para implementar as medidas necessárias para cumprir com o regulamento dentro do prazo estabelecido pela legislação, pois 17 de janeiro de 2025, é um pulinho. Porque uma coisa desta magnitude não se faz numa folha de Excel e pronto, já está, é necessário alocar recursos adequados, sejam eles humanos, financeiros e técnicos, para apoiar a transição para o DORA e acompanhar continuamente o progresso e os resultados. Deveremos investir em formação e capacitação dos colaboradores para garantir que estão conscientes das ameaças cibernéticas e possam tomar medidas para minimizar os riscos, é que sem uma ver dadeira consciencialização de todos, é impossível termos sucesso. É necessário rever os contratos com os prestadores de serviços terceirizados e com isso garantir que cumprem os requisitos do DORA, como fornecer informações sobre o desempenho dos serviços, permitir auditorias ou inspeções pelas autoridades competentes e cooperar na gestão dos incidentes relacionados com as tecnologias de informação. Como se sabe, a definição de provedores de tecnologia é muito ampla, não apenas para serviços na nuvem. Não é de todo fácil o rastear as dependências de terceiros tecnológicos dentro da cadeia de serviços, por isso mesmo é mesmo muito relevante ter o mapa com uma visão 360 sobre tudo o que suporta a operativa da companhia. Uma corrente é tão forte quando o seu elo mais fraco, certo? O forte da globalização tem um reverso da medalha menos positivo, ficamos dependentes de terceiros, é preciso saber quanto e de quem. Portanto, a empresa deverá garantir que esteja em conformidade com todas as outras regulamentações de cibersegurança e privacidade de dados relevantes. Isso incluirá o Regulamento Geral de Proteção de Dados (GDPR) e outras regulamentações, como por exemplo no vertical segurador, a norma regulamentar 6/2022-R “Segurança e governação das tecnologias da informação e comunicação e Subcontratação a prestadores de serviços de computação em nuvem”. Em resumo, a preparação para o DORA exigirá uma revisão completa dos sistemas, políticas e práticas de uma empresa, bem como investimentos em tecnologias e capacitação de colaboradores para garantir a conformidade contínua. Consequências do não cumprimento com o DORA?É que se o atrás não for devidamente tido em consideração, o DORA impõe penalidades significativas pelo não cumprimento das suas disposições, as entidades financeiras e os prestadores de serviços terceirizados podem estar sujeitos a uma sanção pecuniária compulsória não displicente, mas, para mim, isso até poderá nem ser o mais importante, creio que o mais importante é que se uma empresa financeira não for resiliente, colocará em xeque algo mais relevante que uma coima: A sua sobrevivência pois no final tudo se resume à confiança. Uma empresa neste vertical, terá de fazer tudo para transmitir aos seus clientes que é merecedora da sua confiança, pela forma como comprovadamente está em conformidade com regulamentos como o DORA. Por último, gostaria de deixar um tema para um pensamento mais profundo: A chegada do blockchain e em especial a avalanche de possibilidades com o potencial da IA, sobejamente na ordem do dia via o ChatGPT, cria para o setor financeiro um grande desafio no processo de compatibilização da inovação com a regulação. Há um outro aspeto que numa perspetiva mais holística considero não displicente que é a implicação geopolítica que o DORA poderá provocar pois como sabemos, na Europa não temos provedores globais de tecnologia, estão na sua grande maioria do outro lado do Atlântico. |
Sérgio Martinho
CISO
Lusitania Seguros
34 anos de vida profissional, sempre ligada ao fantástico mundo das tecnologias de informação. Mais um que se iniciou com o saudoso ZX Spectrum, nos anos 80, onde o interesse foi muito mais do que jogos, pois foi aqui que iniciei o gosto de criar, através da programação quer em BASIC quer em código de máquina. A vida profissional ficou ligada ao COBOL, passagem por várias empresas sendo que uma delas por mim construída, aquilo que se chama agora de uma start-up, não deu grande resultado a não ser um enorme processo de aprendizagem. Desde há seis anos a trabalhar no setor financeiro, na Lusitania, Companhia de Seguros, SA, 6 anos como CIO. No agora a servir como CISO, pois desde há muito que a segurança dos sistemas de informação tem para mim um interesse muito especial.
Outros artigos deste autor