A crescente digitalização dos serviços financeiros expõe as instituições a riscos tecnológicos cada vez mais complexos. No contexto do Regulamento DORA (Digital Operational Resilience Act), as entidades financeiras que não sejam microempresas devem implementar um programa robusto de testes de resiliência operacional digital. Estes testes são fundamentais para avaliar a preparação da organização para enfrentar incidentes relacionados com as TIC, identificar vulnerabilidades e adotar medidas corretivas eficazes.
O QUE SÃO OS TESTES DE RESILIÊNCIA OPERACIONAL DIGITAL?
Os testes de resiliência operacional digital são avaliações sistemáticas que permitem às entidades financeiras testar a eficácia dos seus sistemas de TIC, identificando falhas e assegurando a continuidade de funções críticas em caso de incidentes. Estes testes fazem parte integrante do quadro de gestão do risco associado às TIC, exigido pelo DORA.
ELEMENTOS DO PROGRAMA DE TESTES
As entidades financeiras devem manter um programa sólido e abrangente, que inclua:
- Avaliações e testes regulares;
- Metodologias e práticas bem definidas;
- Ferramentas apropriadas e atualizadas.
Este programa deve ser revisto periodicamente para garantir que permanece alinhado com os riscos emergentes no domínio das TIC.
ABORDAGEM BASEADA NO RISCO
Ao planear e executar os testes, deve ser adotada uma abordagem baseada no risco, tendo em conta:
- O contexto evolutivo do risco associado às TIC;
- Riscos específicos da entidade;
- Criticalidade dos ativos de informação e dos serviços prestados;
- Outros fatores relevantes identificados pela própria organização.
Isto garante que os testes são relevantes, proporcionais e eficazes na prevenção de falhas sistémicas.
INDEPENDÊNCIA E QUALIDADE NA EXECUÇÃO DOS TESTES
Os testes devem ser conduzidos por partes independentes, internas ou externas.
No caso de testadores internos, a entidade deve alocar recursos suficientes e evitar qualquer conflito de interesses.
A independência durante a conceção e execução dos testes é crucial para assegurar resultados confiáveis.
GESTÃO DE RESULTADOS E CORREÇÃO DE VULNERABILIDADES
As entidades devem estabelecer procedimentos e políticas para priorizar e corrigir os problemas identificados nos testes, bem como utilizar metodologias internas de validação para confirmar que todos os pontos fracos, deficiências ou lacunas foram resolvidos de forma eficaz.
A gestão eficaz do feedback dos testes fortalece a postura de cibersegurança da organização.
PERIODICIDADE DOS TESTES
É obrigatório que as entidades financeiras realizem testes adequados pelo menos uma vez por ano em todos os sistemas e aplicações que suportam funções críticas ou importantes. Esta prática permite detetar falhas a tempo e garantir a continuidade dos serviços em caso de perturbações tecnológicas.
CONCLUSÃO
A realização de testes de resiliência operacional digital deixou de ser uma boa prática para se tornar uma exigência legal para entidades financeiras no espaço europeu. Ao adotar uma abordagem baseada no risco, garantir independência nos testes e responder de forma eficaz às vulnerabilidades identificadas, as organizações estarão mais preparadas para enfrentar os desafios do mundo digital e cumprir com o DORA.
