Cecabank participou na análise sobre o impacto do novo regulamento de obrigado cumprimento impulsionado pela União Europeia para abordar a cibersegurança financeira.
Depois de dois anos de preparativos, amanhã começa a aplicar-se na União Europeia o Regulamento de Resiliencia Operativa Digital (conhecido como DORA, pelas suas siglas em inglês), estabelecido pela UE o 16 de janeiro de 2023 e que tem como objetivos reforçar a segurança informática de algo mais de 10.000 entidades financeiras europeias – entre as que figuram bancos, companhias de seguros e empresas de investimento– e garantir que o setor financeiro europeu seja capaz de resistir em caso de ciberataques que tratem de comprometer a segurança das suas operações.
DORA harmoniza as normas relativas à resistência operativa do setor financeiro e se aplica a 20 tipos diferentes de entidades financeiras e fornecedores de serviços baseados em tecnologias da informação e as comunicações (TIQUE) a terceiros.
Para anunciar a implementação do regulamento, a multinacional estado-unidense Kyndryl, fornecedora de serviços de infra-estruturas TIQUE e nascida em 2021 como cisão do negócio de serviços de infra-estrutura do IBM , organizou esta manhã um encontro informativo no que se apresentou o Relatório DORA, que analisa o impacto e os principais desafios que supõe a implantação de tal regulamento nas entidades financeiras.
O relatório em questão, elaborado pela consultora financeira, econômica e tecnológica espanhola Analistas Financeiros Internacionais (AFI), por encargo de Kyndryl, se tem realizado mediante entrevistas confidenciais e anônimas com organismos e instituições financeiras como o Banco da Espanha, o INCIBE, a Banca March, Trabalhista Kutxa, Bankinter, Santander, Mapfre, Cecabank, Unicaja, Sanitas, CaixaBank, Sabadell e BBVA.
Depois das intervenções de David Soto, presidente de Kyndryl a Espanha e Portugal, e Borja Foncillas, presidente e conselheiro delegado de AFI, que explicaram a importância de DORA dentro da transformação digital das entidades financeiras, Esteban Sánchez Pajares, Managing Partner de AFI, resumiu as principais conclusões do relatório, entre as que destaca o trabalho que estão efetuando as entidades por fortalecer seu ciberresiliencia. Seguidamente, Kris Lovejoy, Global Security and Resilience Practice Leader em Kyndryl, entrevistou a Silvia Senabre, chefa do Grupo de Risco Tecnológico da Direção Geral de Supervisão do Banco da Espanha , e a continuação se chegou ao núcleo fundamental do ato: uma mesa redonda na que representantes de várias das empresas e organismos entrevistados para a elaboração do relatório – a citada Senabre; Òscar Domènech, diretor de Continuidade de Negócio de CaixaBank; Roberto Rodríguez, Chief Operational Resilience Officer do Banco Santander; Guillermo Llorente, diretor corporativo de Segurança do Mapfre e Ricardo López, diretor de Riscos não Financeiros e Cumprimento de Cecabank–, ofereceram os seus pontos de vista sobre este novo marco regulador.
A chefa do Grupo de Risco Tecnológico da Direção Geral de Supervisão do Banco da Espanha apontou que “DORA não é algo que se tenha que ver como que as empresas têm, entre comillas, que ir ‘preenchendo casinhas’ para que o supervisor não me sancione. O objetivo é que as empresas incorporem a resiliencia ao seu negócio. Esses negócios precisam de uma tecnologia resiliente que apoie ao negócio todo o tempo, porque o negócio e a tecnologia têm que ir da mão. Em todos os momentos do negócio se tem que ir pensando em seu resiliencia. Tem que ir embebido a todos os níveis. E todas as pessoas que integram a organização, desde o zelador até o CEO, têm que funcionar em atrás da resiliencia. DORA não é outro regulamento mais, nem outra petição mais do supervisor, senão todo o contrário: algo que ajuda, embora, certamente, também vai a gerar muito trabalho. E o que nos fica! Porque amanhã eu poderei celebrar que o regulamento começa a aplicar-se, mas amanhã não acaba o trabalho, nem muito menos”.
A visão das empresas reguladas foi proativa. Para Òscar Domènech, “a idéia chave é que a resiliencia é cultura corporativa”. Segundo ele, DORA vem “a simplificar ou, pelo menos, a situar-se como núcleo cohesionador de várias regulamentos, mas vão a continuar havendo normativas diversas e vamos a continuar tendo que reportar a diferentes reguladores em função dos nossos negócios e vai a continuar havendo atualizações de normativa. A normativa é um ser vivo. Se te adaptas ou cumpres as normativas simplesmente por cumprir e o fazes ‘a golpe de inspeção’ ou a golpe de atualização da norma, pois isso supõe uma disrupción na sua organização e nos seus processos, porque provocas sempre um engarrafamento e um esforço. No momento em que incorporas a resiliencia à cultura corporativa dos seus processos habituais, as normas te ajudam a ver por onde tens que ir e o esforço é muito menor”.
Para Roberto Rodríguez, “as entidades financeiras vimos sendo, historicamente, muito reguladas, de modo a DORA é parte de um processo quase continuista. E o facto de que se incluam no regulamento outro tipo de atores, como fornecedores tecnológicos, eu acho que ajuda, porque o objetivo final é que o setor seja mais residente e isso garante que vamos a oferecer melhor serviço aos clientes. Nesse sentido, ter essas regras comuns e uma linguagem comum nos está ajudando”.
Representante de uma das mais asseguradoras multinacionais, Guillermo Llorente, afundou em que “todos nós vimos aplicando medidas de resiliencia muito antes que chegasse DORA, porque se não não estaríamos vivos aqui. Todos nós queremos oferecer ao cliente o melhor serviço, em qualquer circunstância, como, por exemplo, em caso de uma DANA. DORA não é o que faz que ofereçamos o melhor serviço, mas somos multinacionais e DORA o que nos oferece é um standard comum de homogeneidade frente à dispersão normativa internacional, pelo menos em um território geográfico muito amplo”.
Finalmente, Ricardo López apontou que “os aspetos fundamentais de DORA é, por uma parte, que não se trata de ter cobertos aspetos marginais como continuidade, contingências, deteção de incidentes, notificação, etc. senão de coordenar todos esses elementos e isso é o realmente complicado: é o marco de gestão do risco. Por outra parte, DORA é uma ferramenta que te permite enfrentar permanentemente desafios a seu modelo de resiliencia operativo, porque é uma normativa universalmente reconhecida”.
A modo de conclusão
O setor financeiro depende cada vez mais da tecnologia e das empresas tecnológicas para emprestar serviços financeiros. Isto faz que as entidades financeiras sejam vulneráveis a ciberataques ou incidentes e desde há anos vêm estabelecendo protocolos e medidas de segurança informática, mas a situação das ameaças aumenta constantemente. Com o Regulamento de Resiliencia Operativa Digital (DORA), a UE proporciona um marco para ajudar a construir a ciberresiliencia de forma holística, dado que, quando não se gerem adequadamente, os riscos TIQUE podem provocar interrupções (ou, diretamente, o colapso) nos serviços financeiros transnacional. Isto, por sua vez, pode repercutir, como fichas de dominó que caem, noutras empresas, setores e, inclusive, o conjunto da economia, o que sublinha a importância da resistência operativa digital do setor financeiro. E é aqui onde entra em jogo DORA, que, embora inicialmente regulará a atividade de entidades financeiras e fornecedores de serviços baseados em tecnologias da informação e as comunicações, é mais que provável que no futuro seja de obrigado cumprimento noutros setores, aos que se aplique esta mesma ou outra normativa similar.
DORA aborda especificamente as vulnerabilidades existentes em matéria de TIQUE, segurança e gestão de riscos que se dão nos fornecedores de serviços financeiros e de serviços de TIQUE. Mas estas vulnerabilidades também podem dar-se em organizações de outros setores. Portanto, é provável que no futuro se aplique uma normativa similar a estes setores, especialmente nas empresas que trabalham em âmbitos sensíveis como as infra-estruturas críticas, que deveriam familiarizar-se com os principais aspetos do DORA em uma fase temporã.
