O Digital Operational Resilience Act (DORA), ou Lei de Resiliência Operacional Digital em português, é uma regulamentação da União Europeia (UE) que define requisitos específicos criando um framework para gerenciamento de riscos de tecnologia da informação e comunicação no setor financeiro da UE, incluindo requisitos de segurança da informação, com o objetivo de garantir uma resiliência operacional mais robusta a fim de evitar e atenuar riscos cibernéticos.
Diante do crescimento da importância da tecnologia da informação no setor, se tornou necessário um normativo que abrangesse os vários riscos enfrentados pelo setor financeiro nesse contexto digital, com isso o surgimento da DORA traz essa perspectiva de uniformizar os requisitos sobre esse assunto.
Essa lei foi proposta pela primeira vez pela Comissão Europeia em setembro de 2020, mas a adoção foi formalizada em novembro de 2022. Esses padrões técnicos devem ser implementados por entidades financeiras e seus provedores críticos de serviços de tecnologia terceirizados até 17 de janeiro de 2025.
Dentre os requisitos, cinco grandes pilares são trazidos nesta Lei:
1. Gestão de Riscos de Tecnologia da Informação (TIC) e Comunicação: a organização deve possuir e seguir uma estrutura de gerenciamento de riscos de TIC que dê suporte a estratégia de continuidade de negócios, políticas e recuperação.
2. Relatórios de Incidentes de TIC: a DORA terá um canal de comunicação para envio de relatórios simplificados para relatar grandes incidentes relacionados a TIC.
3. Teste de resiliência operacional digital: a organização deve passar por testes regulares de resiliência da operação, conduzidos por partes independentes internas ou externas, para garantir a confiabilidade da estratégia de proteção definida.
4. Compartilhamento de informações e inteligência sobre ameaças: a lei permite e incentiva a troca de informações sobre ameaças cibernéticas entre entidades da comunidade financeiras confiáveis.
5. Gestão de Risco de Terceiros em TIC: a organização deverá implementar processos robustos para a gestão de riscos de terceiros, podendo considerar os contratos e controles com terceiros.
Através da estrutura do IAM na empresa, as instituições financeiras podem demonstrar a conformidade com a DORA, sendo uma disciplina essencial para estar aderente a essa lei. Implementar uma estrutura confiável e robusta de gerenciamento de identidade e acesso ajuda na proteção da identidade e a mitigar riscos de incidentes de segurança e tecnologia da informação. Dentre os controles de IAM, podemos destacar os seguintes para contribuição a conformidade a DORA:
Visibilidade e controle sobre o acesso a recursos dentro e fora da organização.
Processos de gestão de acesso de terceiros
Processos de gestão de acesso de clientes
Logs de IAM que rastreiam as atividades de acesso do usuário
Revisão e certificação dos acessos
Segregação de acesso
Implementação de autenticação multifator
Conclusão
A implementação da lei DORA irá fortalecer requisitos já existentes em outras regulamentações e frameworks, porém trará uma visão mais clara, ativa e resiliente do ambiente de tecnologia da informação e comunicação a fim de evitar interrupções locais e globais, como visto no último ano em diversas organizações.
Para ler a lei na íntegra, utilize os links abaixo:
