A base de qualquer estratégia eficaz de resiliência digital está na identificação correta dos ativos, funções e riscos tecnológicos. O Regulamento DORA impõe às entidades financeiras a obrigação de manter um inventário claro e atualizado de todos os componentes de TIC e suas interdependências, além de mapear as fontes de risco cibernético.
Neste artigo, explicamos o que a legislação exige, como deve ser feita essa identificação, e quais são as boas práticas para manter-se em conformidade com a legislação europeia.
O QUE DEVE SER IDENTIFICADO E DOCUMENTADO?
O DORA exige que as entidades financeiras:
1. Identifiquem e classifiquem as funções operacionais dependentes de TIC
- Quais são os processos operacionais que dependem de tecnologia?
- Quem são os responsáveis?
- Quais são os ativos tecnológicos e informacionais associados?
Essa classificação deve considerar papéis, responsabilidades, interdependências e riscos associados.
2. Criem e atualizem inventários de ativos
- Ativos de TIC (softwares, servidores, redes, dispositivos)
- Ativos de informação (dados, bases, arquivos)
- Recursos de rede e equipamentos, inclusive os localizados remotamente
- Processos críticos apoiados por terceiros prestadores de TIC
Além disso, é obrigatório descrever a configuração de cada ativo, mapear ligações e dependências entre eles e realizar levantamento dos ativos críticos.
3. Avaliem riscos e ciberameaças continuamente
As entidades devem:
- Identificar todas as fontes de risco TIC
- Avaliar a exposição a outras entidades financeiras
- Avaliar as vulnerabilidades e ciberameaças relevantes
- Rever cenários de risco pelo menos anualmente
Esse processo deve ser dinâmico e contínuo, com atualização sempre que houver mudança significativa no ambiente tecnológico.
4. Avaliem riscos em sistemas legados e novas tecnologias
Para entidades que não sejam microempresas, é obrigatório:
- Realizar avaliações de risco específicas antes e depois de conectar novas aplicações ou sistemas, e em todos os sistemas legados (tecnologias antigas ainda em uso)
- Atualizar essas avaliações ao menos uma vez por ano
5. Mapeiem dependências de terceiros
As entidades devem:
- Identificar todos os processos que dependem de terceiros prestadores de TIC
- Documentar as interconexões com esses fornecedores
- Atualizar os registros sempre que houver alteração significativa
PORQUE ESSE MAPEAMENTO É ESSENCIAL?
A identificação completa de funções e ativos TIC é a base para a gestão de risco, a resposta a incidentes, e a continuidade de negócios. Sem esse conhecimento, é impossível:
- Avaliar vulnerabilidades reais;
- Definir prioridades em testes de resiliência;
- Garantir segurança em contratos com fornecedores;
- Responder com agilidade a incidentes críticos.
Além disso, os inventários e análises são documentos exigíveis pelas autoridades competentes, e a ausência deles pode implicar sanções regulatórias.
CONCLUSÃO
A identificação e classificação de ativos, funções e riscos TIC deixou de ser uma boa prática para se tornar uma obrigação legal para todas as entidades financeiras sob o escopo do DORA.
Mais do que um requisito documental, esse processo fortalece a governança digital, melhora a tomada de decisão estratégica e prepara a organização para responder a desafios tecnológicos com eficiência.
