A verdadeira resiliência digital vai além da preparação: exige aprendizagem constante, adaptação a novas ameaças e melhoria contínua. O Regulamento DORA impõe que as entidades financeiras cultivem uma cultura de evolução organizacional, com base em lições aprendidas e análise sistemática de incidentes TIC.
Neste artigo, exploramos como o DORA estrutura essa dimensão de aprendizagem e evolução, os mecanismos obrigatórios de avaliação pós-incidente e como desenvolver uma cibercomunidade proativa e informada.
APRENDIZAGEM NO CONTEXTO DO DORA
O DORA exige que as entidades financeiras disponham de capacidades técnicas e humanas para:
- Recolher e analisar informações sobre ciberameaças, vulnerabilidades e incidentes TIC;
- Realizar avaliações pós-incidente sempre que ocorra um incidente severo;
- Rever e melhorar continuamente o seu quadro de gestão do risco associado às TIC.
Estas práticas não são opcionais: fazem parte integrante da estratégia de resiliência operacional digital.
AVALIAÇÕES PÓS-INCIDENTE TIC: COMO DEVEM SER CONDUZIDAS?
Após qualquer incidente TIC de caráter severo, a entidade deve realizar uma análise completa, que inclua:
- Causas da perturbação: para identificar falhas técnicas, humanas ou processuais;
- Avaliação da resposta: destinada a verificar se os procedimentos foram seguidos, medir a prontidão e eficácia da reação interna e avaliar a qualidade da análise forense (quando aplicável);
- Comunicação e coordenação: avaliar a fluidez da comunicação interna e examinar o nível de informação transmitido externamente.
As entidades que não sejam microempresas devem também comunicar às autoridades competentes as alterações implementadas com base nas avaliações pós-incidente.
INTEGRAÇÃO DAS LIÇÕES APRENDIDAS
Todos os ensinamentos devem ser incorporados no processo de avaliação de risco TIC, usados para ajustar a estratégia de resiliência operacional digital e aproveitados para rever e melhorar os planos de continuidade, procedimentos de resposta e políticas de segurança TIC.
A evolução das ameaças e o comportamento dos cibercriminosos tornam essa integração contínua uma prioridade estratégica.
MONITORIZAÇÃO DA EVOLUÇÃO DO RISCO TIC
As entidades financeiras devem realizar:
- Levantamento contínuo da evolução dos riscos;
- Análise de tendências, padrões e frequência de incidentes TIC;
- Avaliação do impacto nas funções críticas ou importantes.
Os quadros superiores responsáveis pelas TIC devem apresentar, pelo menos uma vez por ano, relatórios ao órgão de gestão, com resultados e recomendações.
FORMAÇÃO E SENSIBILIZAÇÃO OBRIGATÓRIA
A cultura de aprendizagem inclui a capacitação de todos os níveis hierárquicos, através de:
- Formação obrigatória para todo o pessoal, incluindo direção de topo;
- Conteúdo adaptado à função e nível de responsabilidade;
- Inclusão de terceiros prestadores de serviços TIC, quando necessário
Esses programas visam desenvolver a consciência de ciberameaças, a capacidade de resposta a incidentes e a compreensão do impacto dos riscos TIC nas operações.
INOVAÇÃO E VIGILÂNCIA TECNOLÓGICA
Para combater ameaças emergentes, o DORA exige que as entidades:
- Monitorizem os desenvolvimentos tecnológicos relevantes;
- Avaliem o impacto de novas tecnologias na segurança TIC;
- Atualizem práticas de gestão de risco TIC com base em tendências de cibersegurança.
Trata-se de um compromisso com a inovação responsável e a preparação contínua.
CONCLUSÃO
A aprendizagem contínua e a evolução constante são elementos centrais do Regulamento DORA.
As entidades financeiras que internalizarem esse princípio terão vantagem competitiva e regulatória, assegurando maior resiliência frente a ciberataques, maior conformidade e confiança perante supervisores, fortalecendo uma cultura institucional preparada para o futuro digital.
