Preparando-se para a Lei de Resiliência Operacional Digital da UE (DORA)
Os legisladores europeus estão cada vez mais preocupados com os ataques cibernéticos à infraestrutura digital crítica da região.
Para garantir que o setor financeiro possa lidar melhor com as ameaças em constante mudança, a UE elaborou o Regulamento da Lei de Resiliência Operacional Digital ( DORA ), que será aplicado a partir de janeiro de 2025.
O alcance da DORA é significativo, abrangendo mais de 22.000 entidades financeiras e seus provedores de serviços de TIC que operam na UE. Isso também afetará aqueles que estão fora da UE e que estão interagindo com essas organizações.
Em essência, a conformidade com a DORA é a base sobre a qual os participantes de serviços financeiros podem construir uma estratégia de segurança mais robusta e holística que reflita os riscos com os quais eles têm que lidar.
Embora a maioria dos bancos já tenha medidas de segurança rigorosas em vigor há muito tempo, o DORA foi criado para reforçar as defesas em todo o ecossistema financeiro envolvendo mais participantes especializados, incluindo instituições de crédito e pagamento, provedores de serviços de criptoativos, depositários centrais de títulos e empresas de classificação de crédito. Exige que as entidades financeiras minimizar o risco de corrupção ou perda de dados, evitar acesso não autorizado e falhas técnicas que podem prejudicar a atividade comercial e garantir que seus sistemas de TIC permaneçam disponíveis.
Garantindo a conformidade
Para entidades financeiras, e na verdade para a maioria das outras empresas hoje em dia, aplicativos e dados agora são essenciais. Proteger totalmente esses ativos com tecnologia como um firewall de aplicativo da web (WAF) robusto é essencial, tanto para cumprir com a DORA quanto para garantir operações contínuas durante um ataque de negação de serviço distribuído (DDoS) e outros ataques.
A DORA também exige que as entidades financeiras detectem prontamente atividades anômalas, incluindo problemas de desempenho de rede de TIC e incidentes relacionados, bem como a identificação de possíveis pontos únicos de falha. Em caso de incidente grave, a entidade financeira deve notificar os reguladores, clientes afetados e parceiros. Eles então terão que relatar o progresso na resolução do incidente e produzir um relatório final analisando as causas raiz.
Para atender a esses requisitos, as entidades financeiras precisam de visibilidade total do desempenho e do status de segurança de seus aplicativos. É aqui que o F5 Distributed Cloud Console pode desempenhar um papel importante. Projetado para fornecer visibilidade consolidada de ponta a ponta de todo o patrimônio do aplicativo, ele atende à maioria dos requisitos de conformidade com a resiliência digital da DORA.
O F5 Distributed Cloud Console também ajuda com algumas das demandas mais complexas do DORA. Por exemplo, entidades financeiras devem testar suas ferramentas, sistemas e processos de TIC pelo menos a cada três anos usando testes de penetração.
Até recentemente, esse tipo de atividade era domínio de hackers “white hat” especialistas e, muitas vezes, caros. Isso não é mais o caso e agora é possível automatizar todo o processo.
No início deste ano, a F5 lançou sua solução Distributed Cloud Web App Scanning , que permite que as organizações monitorem continuamente a Internet, repositórios públicos, servidores expostos e outras fontes para consolidar serviços de aplicativos externos, dados e vulnerabilidades. Além disso, eles também podem conduzir testes de penetração automatizados, identificar vulnerabilidades potenciais, obter evidências de problemas e receber orientação de correção para melhorar a segurança e garantir a conformidade.
Maior automação significa que é mais econômico executar testes de penetração contínuos, em vez de fazê-lo projeto por projeto, para garantir o lançamento oportuno de novos produtos e serviços.
Projetando a segurança no patrimônio de TIC
Todas as empresas devem buscar uma abordagem holística à segurança digital, em vez de tentar implantar soluções pontuais específicas para cumprir a DORA. O aumento da automação, possibilitado pelos avanços na IA, torna muito mais fácil incorporar segurança ao design, desenvolvimento e implantação de infraestrutura de TIC, componentes, aplicativos e interfaces de programação de aplicativos (APIs) que os acompanham.
As APIs, que agora são essencialmente o sistema nervoso central da economia digital, são particularmente importantes. As organizações devem se esforçar ao máximo para incorporar a detecção de vulnerabilidades aos processos de desenvolvimento de aplicativos, garantindo que os riscos sejam identificados e as políticas implementadas antes que as APIs entrem em produção.
Como resposta direta a essa necessidade crescente, a F5 Distributed Cloud Services oferece a solução de segurança de API mais abrangente e pronta para IA do setor . Já se foram os dias em que as empresas eram forçadas a usar conjuntos de ferramentas e recursos diferentes para proteger suas APIs enquanto elas eram criadas e durante o tempo de execução. O F5 permite a detecção de vulnerabilidades e a observabilidade no processo de desenvolvimento de aplicativos, garantindo que os riscos sejam identificados e as políticas implementadas antes que as APIs entrem em produção. Em um momento em que a segurança de API nunca foi tão importante ou complexa, a F5 está eliminando a necessidade de os clientes pagarem e gerenciarem soluções de segurança de API separadas. Descoberta de API, testes, gerenciamento de postura e proteção de tempo de execução — tudo em uma única plataforma — podem ser uma grande vantagem para antecipar as complexidades iminentes do DORA.
Em última análise, o DORA não deve ser visto como uma dor de cabeça. Em vez disso, é uma grande oportunidade para refinar e reforçar medidas essenciais de segurança em todas as organizações. No entanto, é uma jornada e alguns provavelmente precisarão mudar suas percepções sobre o que a segurança realmente significa e como ela é articulada.
Felizmente para todos que enfrentam os desafios futuros, a F5 tem muitas das ferramentas necessárias para cumprir com os requisitos de monitoramento e relatórios da DORA, sem mencionar a redução substancial dos riscos de ataques de segurança cibernética incapacitantes.