No vasto e dinâmico universo cibernético, os ataques estão cada vez mais sofisticados e devastadores. Em 2023, um ataque de ransomware alegadamente roubou 27 terabytes de dados de uma organização, demandando um resgate com custos de 51 mil milhões de euros.
No mesmo ano, uma rede de hotéis foi atacada e viu dados de mais de 10,6 milhões de clientes serem roubados. Perante esta realidade global, a União Europeia (UE) tem em vista fortalecer a resiliência cibernética das organizações em todo o continente por meio de regulamentações.
O Digital Operations Resilience Act (DORA) e a Diretiva NIS 2 (NIS II) representam as “novas regras do jogo” para a segurança cibernética na Europa. Estas regulamentações estabelecem um conjunto de requisitos e obrigações para organizações de diversos setores. Juntas, estas visam o aumento de maturidade em cibersegurança e asseguram a resiliência das organizações contra ataques cibernéticos.
O que é o DORA e a NIS 2?
O DORA, com foco no setor financeiro, fortalece a resiliência operacional destas instituições contra incidentes cibernéticos. Já a NIS 2, direcionada a diversos setores, amplia o escopo da NIS de 2016, incluindo infraestruturas críticas como energia, transporte, saúde e água.
Ambas as regulamentações concentram-se em 3 pilares fundamentais:
Gestão de riscos cibernéticos robusto:
As organizações devem implementar um sistema robusto de gestão de riscos, para identificar, analisar e avaliar os seus riscos cibernéticos. Isto inclui a implementação de controlos adequados, como:
Firewalls: barreiras que impedem o acesso não autorizado às redes;
Sistemas de Deteção de Intrusão (IDS): monitora redes e sistemas em busca de atividades maliciosas;
Encriptação de dados: protege dados em repouso e em trânsito;
Monitorização de logs: regista e analisa atividades em sistemas para detetar comportamentos anormais;
Testes de intrusão regulares: simulam ataques reais para identificar e corrigir vulnerabilidades de segurança.
Planos de resposta a incidentes eficazes:
A capacidade de responder rapidamente a incidentes cibernéticos é crucial para minimizar os danos e permitir a recuperação rápida das operações. Para isso, as organizações devem desenvolver e manter planos de resposta a incidentes, com base em:
Deteção: identificação rápida de um incidente cibernético;
Contenção: limitação do impacto do incidente e impedimento da sua propagação;
Erradicação: eliminação da causa do incidente e remoção de qualquer malware ou software malicioso;
Recuperação: restauração dos sistemas e dados afetados pelo incidente;
Análise pós-incidente: investigação das causas do incidente para evitar que ele se repita no futuro.
Notificação de autoridades e transparência:
Incidentes cibernéticos graves devem ser notificados às autoridades competentes imediatamente. Isto permite que as autoridades investiguem o incidente, tomem medidas para conter a ameaça e possam alertar outras organizações. A transparência é fundamental para fortalecer a confiança dos clientes e Parceiros.
Os desafios da conformidade
Enquanto as regulamentações DORA e NIS 2 estabelecem diretrizes abrangentes para fortalecer a resiliência cibernética, as organizações enfrentam desafios significativos ao procurar a conformidade. Além disso, os custos associados à implementação de medidas de segurança podem ser uma barreira para muitas organizações, especialmente as de menor porte.
Perante estes desafios, as Parcerias estratégicas desempenham um papel crucial na promoção da segurança cibernética e na conformidade com as regulamentações. A colaboração entre organizações, autoridades regulatórias, fornecedores e instituições académicas podem facilitar a partilha de conhecimento, recursos e melhores práticas.
Já as novas tecnologias, como Inteligência Artificial, Machine Learning e Blockchain, também possuem o potencial de impulsionar a conformidade, além da capacidade de fortalecer a ciber resiliência das organizações. No entanto, é importante reconhecer que a conformidade com o DORA e a NIS 2 não é apenas uma questão de tecnologia. As organizações devem incentivar uma cultura de segurança cibernética, por meio de ações de consciencialização e treino dos colaboradores.
Conclusão
O DORA e a NIS 2 representam uma mudança de paradigma na segurança cibernética europeia, estabelecendo um novo padrão para a resiliência operacional e a proteção contra ameaças cibernéticas. Portanto, a conformidade com estas regulamentações não deve ser vista apenas como uma obrigação, mas também como uma oportunidade para as organizações se destacarem, protegerem os seus ativos e construírem a confiança de clientes e Parceiros.