No contexto da transformação digital do setor financeiro, garantir a segurança tecnológica deixou de ser uma recomendação para se tornar uma exigência legal. O Regulamento DORA obriga as entidades financeiras a proteger os seus ativos de TIC e prevenir incidentes através de políticas, processos e tecnologias adequadas.
Este artigo detalha o que o DORA exige em matéria de proteção e prevenção, e como a sua organização pode estruturar essas medidas para alcançar a resiliência operacional digital.
O QUE O DORA EXIGE EM TERMOS DE PROTEÇÃO E PREVENÇÃO?
Para minimizar os riscos tecnológicos, o DORA determina que as entidades financeiras:
- Monitorizem continuamente os sistemas TIC: devem controlar em tempo real a segurança e funcionamento das ferramentas de TIC, bem assim implementar políticas e procedimentos que minimizem o impacto de falhas, ataques ou erros humanos.
- Garantam a disponibilidade e integridade dos dados, mantendo níveis elevados de disponibilidade, autenticidade, integridade, confidencialidade.
Esses princípios aplicam-se tanto a dados em uso, quanto em trânsito ou em armazenamento.
FERRAMENTAS E PROCESSOS RECOMENDADOS
As soluções tecnológicas adotadas devem:
- Proteger os meios de transferência de dados
- Minimizar riscos de perda de dados, acesso não autorizado, corrupção de sistemas e falhas técnicas
- Isolar sistemas afetados automaticamente em caso de ataque (quando aplicável)
- Evitar riscos associados à gestão incorreta de dados
POLÍTICAS OBRIGATÓRIAS SEGUNDO O DORA
Para assegurar proteção contínua, as entidades devem documentar e implementar:
- Política de segurança da informação: com regras para proteger dados, ativos TIC e ativos de informação, abrangendo também os dados dos clientes.
- Gestão de redes e infraestruturas: com uma estrutura baseada em risco, protocolos adequados para segurança de rede e a possibilidade de isolar ativos em ciberataques;
- Controlo de acessos: limitação de acesso físico e lógico apenas ao necessário; controlo baseado em funções e atividades legítimas; e administração eficaz dos direitos de acesso;
- Autenticação e criptografia: sistemas robustos de autenticação; normas adequadas para uso de criptografia; proteção de chaves criptográficas com base em classificações de risco;
- Gestão de alterações: todos os processos de alteração de TIC devem ser registados, testados, aprovados, avaliados e verificados, incluindo alterações de software, hardware e parâmetros de segurança;
- Estratégia de correções e atualizações: deve ser abrangente, documentada e executada de forma sistemática.
PORQUE ISSO É CRÍTICO?
As falhas na prevenção e proteção podem levar a:
- Interrupções de serviços críticos;
- Perda de confiança do mercado e dos clientes;
- Multas regulatórias significativas;
- Comprometimento da integridade e confidencialidade dos dados.
O DORA impõe responsabilidade direta à administração pela implementação dessas medidas, exigindo estrutura, supervisão e melhoria contínua.
CONCLUSÃO
A proteção e prevenção contra riscos tecnológicos são elementos centrais do DORA. Para cumprir o regulamento, as entidades financeiras devem ir além da simples aquisição de ferramentas, sendo necessário construir um sistema completo de políticas, práticas e controlos documentados e auditáveis.
Essas medidas não só garantem conformidade, como também fortalecem a posição da organização diante das ameaças digitais crescentes.
