Com a crescente dependência das tecnologias da informação e comunicação (TIC), o Regulamento DORA exige que as entidades financeiras adotem um programa rigoroso e abrangente de testes aos seus sistemas e ferramentas digitais. Estes testes são fundamentais para assegurar a resiliência operacional digital, prevenir falhas e garantir que as funções críticas podem continuar mesmo perante ciberataques ou incidentes graves.
OBJETIVO DOS TESTES DE SISTEMAS E FERRAMENTAS TIC
O objetivo principal dos testes no domínio das TIC é avaliar a robustez, segurança e capacidade de recuperação dos sistemas, detetando vulnerabilidades antes que estas possam ser exploradas. O DORA exige que esses testes façam parte de um programa de resiliência operacional digital estruturado, com critérios claros e objetivos definidos.
TIPOS DE TESTES PREVISTOS PELO DORA
O regulamento prevê uma variedade de testes que devem ser aplicados de forma apropriada e proporcional ao risco:
- Avaliações e rastreamento de vulnerabilidades: detetam falhas nos sistemas antes que sejam exploradas;
- Análises de fonte aberta: permitem monitorizar ameaças conhecidas em bases de dados e fóruns públicos;
- Avaliações da segurança das redes: verificam a robustez das redes internas e externas;
- Análises de lacunas: identificam discrepâncias entre o que é necessário e o que é implementado;
- Análises da segurança física: avaliam o risco de acessos indevidos aos locais e equipamentos;
- Questionários e soluções automatizadas: recolhem dados e avaliam práticas através de software de rastreamento;
- Revisões de código fonte: sempre que possível, para identificar vulnerabilidades na programação;
- Testes baseados em cenários e de compatibilidade: simulam situações reais e verificam se sistemas interagem corretamente;
- Testes de desempenho e de extremo a extremo: garantem que o sistema aguenta a carga e funciona como um todo;
- Testes de penetração (pentests): simulam ataques reais para medir a capacidade de defesa dos sistemas.
RESPONSABILIDADES DAS ENTIDADES FINANCEIRAS
As entidades como centrais de valores mobiliários e contrapartes centrais têm a obrigação de realizar avaliações de vulnerabilidades antes do lançamento ou relançamento de serviços e aplicações, especialmente quando envolvem funções críticas.
ABORDAGEM ESPECÍFICA PARA MICROEMPRESAS
As microempresas, apesar de não estarem totalmente isentas, devem equilibrar os testes com os seus recursos disponíveis. Para isso, devem:
- Adotar uma abordagem baseada no risco;
- Planear estrategicamente os testes;
- Avaliar a criticalidade dos ativos e serviços TIC;
- Considerar a sua capacidade de tolerância ao risco
Este planeamento permite que mesmo entidades de menor dimensão cumpram as exigências do DORA sem comprometer a sua capacidade operacional.
CONCLUSÃO
A realização de testes aos sistemas e ferramentas TIC é uma pedra angular do DORA. Ao aplicar testes rigorosos e variados, as entidades financeiras não só cumprem as obrigações legais como também reforçam a confiança dos seus clientes e do mercado. A aplicação de uma estratégia de testes contínua e baseada no risco é essencial para garantir a segurança digital e a continuidade das operações no setor financeiro.
