O Regulamento DORA (Digital Operational Resilience Act) estabelece um novo padrão para a resiliência digital das entidades financeiras. Um dos pilares centrais do regulamento é a exigência de um quadro sólido de gestão do risco associado às Tecnologias da Informação e Comunicação (TIC).
Esse quadro deve ser abrangente, documentado, auditável e integrado no sistema de gestão de risco da organização. Mas afinal, o que deve conter esse quadro? Como garantir conformidade com a legislação europeia? É isso que vamos responder neste artigo.
O QUE É O QUADRO DE GESTÃO DO RISCO TIC?
O quadro de gestão do risco TIC é o conjunto de estratégias, políticas, processos e ferramentas que permitem a uma entidade financeira identificar, prevenir, mitigar e responder a riscos relacionados com a tecnologia.
Segundo o DORA, esse quadro deve:
- Ser parte do sistema global de gestão de risco da organização;
- Permitir resposta rápida e eficiente a incidentes;
- Garantir um elevado nível de resiliência operacional digital
ELEMENTOS OBRIGATÓRIOS DO QUADRO DE GESTÃO DO RISCO TIC
O quadro de gestão de risco das TIC deve incluir:
- Estratégias e políticas de TIC;
- Procedimentos e protocolos de segurança;
- Ferramentas de proteção de ativos tecnológicos, incluindo programas e sistemas informáticos, equipamentos e servidores e infraestruturas físicas (data centers, salas técnicas, áreas sensíveis).
O objetivo é assegurar que todos os ativos de TIC estejam protegidos contra danos, uso indevido ou acesso não autorizado.
IMPLEMENTAÇÃO PRÁTICA E MONITORIZAÇÃO
As entidades financeiras devem:
- Minimizar o impacto de riscos TIC com medidas concretas;
- Fornecer informações atualizadas às autoridades competentes, quando solicitado;
- Documentar e rever o quadro anualmente, ou após incidentes severos, por orientação de auditoria, ou após testes de resiliência digital
Além disso, o quadro deve ser aperfeiçoado continuamente com base nas lições aprendidas e revisões.
SUPERVISÃO E INDEPENDÊNCIA DAS FUNÇÕES DE CONTROLO
As entidades financeiras (exceto microempresas) devem designar uma função de controlo do risco TIC e garantir a independência dessa função para evitar conflitos de interesse.
Além disso, devem aplicar o modelo das três linhas de defesa: gestão, controlo e auditoria interna.
AUDITORIA E VERIFICAÇÃO
O quadro deve ser sujeito a auditorias internas regulares, realizadas por profissionais com conhecimentos especializados em risco TIC, independência organizacional adequada. A frequência de auditoria deve ser proporcional ao risco.
Os resultados das auditorias devem ser acompanhados por um processo formal de correção.
A ESTRATÉGIA DE RESILIÊNCIA OPERACIONAL DIGITAL
O quadro de risco TIC deve incluir uma estratégia formal de resiliência digital, com:
- Integração com os objetivos operacionais da entidade;
- Níveis de tolerância ao risco TIC e análise de impacto;
- Indicadores e métricas de desempenho em segurança da informação;
- Explicação da arquitetura tecnológica atual e ajustes necessários;
- Mecanismos de prevenção e resposta a incidentes;
- Avaliação do estado atual da resiliência (número de incidentes, eficácia das medidas);
- Testes de resiliência operacional digital;
- Estratégia de notificação de incidentes relevantes.
GESTÃO DE TERCEIROS E SUBCONTRATAÇÃO
A estratégia pode incluir:
- Mapeamento de dependências de fornecedores TIC;
- Justificativa para múltiplos prestadores;
- Possibilidade de subcontratar auditorias ou verificações, mantendo a entidade como responsável final pela conformidade.
CONCLUSÃO
O quadro de gestão do risco associado às TIC exigido pelo DORA não é opcional nem decorativo. Trata-se de um instrumento essencial para garantir a continuidade das operações financeiras, proteger ativos digitais e estar em conformidade com os reguladores.
As empresas que cumprem o DORA estarão melhor preparadas para enfrentar ameaças cibernéticas, interrupções operacionais e as exigências do mercado europeu.
