Defesa Coletiva em Ciber segurança: Como os Regulamentos Moldam Sua Estratégia de Cadeia de Suprimentos
Na economia global interconectada de hoje, a segurança da cadeia de suprimentos tornou-se uma preocupação crítica para empresas e governos.
As cadeias de suprimentos são muitas vezes grandes e complexas. Proteger efetivamente a cadeia de suprimentos pode ser difícil porque as vulnerabilidades podem ser inerentes ou introduzidas e exploradas em qualquer ponto da cadeia de suprimentos. Apesar desses riscos, muitas empresas perdem de vista suas cadeias de suprimentos. De fato, de acordo com o Pesquisa de Violações de Segurança 2023, poucas empresas do Reino Unido estabelecem padrões mínimos de segurança para seus fornecedores. Com a crescente complexidade e vulnerabilidade das cadeias de suprimentos, as regulamentações e estruturas desempenham um papel cada vez mais crucial na definição de estratégias para garantir a segurança e a resiliência dessas redes.
Apresentando DORA
O Lei de Resiliência Operacional Digital (sigla em inglês: DORA) tem por objetivo reforçar a resiliência operacional do setor financeiro da UE contra ameaças e incidentes cibernéticos e garantir a continuidade dos serviços financeiros críticos. O objetivo do Actilis é melhorar a capacidade das entidades financeiras de prevenir, detectar, responder e se recuperar de ataques cibernéticos e interrupções de TI. Tem como objetivo:
- Melhorar os Padrões de Segurança Cibernética: A DORA exige padrões mais altos de segurança cibernética para instituições financeiras, incluindo bancos, bolsas de valores, plataformas de negociação e provedores de serviços de pagamento.
- Garantir a Comunicação e Cooperação de Incidentes: As empresas de serviços financeiros devem relatar prontamente os incidentes cibernéticos às autoridades relevantes e cooperar com elas para mitigar seu impacto.
- Melhorar a Gestão de Riscos de Terceiros: A Lei destaca a importância de gerenciar os riscos de segurança cibernética associados a provedores de serviços terceirizados e exige que as organizações financeiras avaliem e monitorem as práticas de segurança de seus fornecedores.
- Implementar Testes e Planejamento de Resiliência: Essas organizações devem realizar testes regulares de resiliência à segurança cibernética e desenvolver planos robustos de resposta a incidentes e recuperação para garantir a continuidade dos serviços caso ocorra um evento de segurança.
Impacto da DORA na Segurança da Cadeia de Suprimentos
A segurança da cadeia de suprimentos é fundamental no cenário bancário moderno por várias razões. A integração de APIs bancárias, o surgimento de neo-bancos que alavancam software de código aberto, IA e automação, entre outros, e a dependência de redes complexas de fornecedores de TIC introduz vulnerabilidades que vão além do controle direto das entidades bancárias.
Essas dependências criam caminhos potenciais para ameaças cibernéticas e violações de dados, representando riscos à confidencialidade, integridade e disponibilidade de dados financeiros confidenciais. Os bancos são obrigados a exercer medidas rigorosas de controle e mitigação para neutralizar essas ameaças antes que elas se transformem em riscos existenciais.
A DORA surge como um marco regulatório crítico que aborda esses riscos da cadeia de suprimentos. A DORA exige padrões rígidos de segurança cibernética e protocolos de gerenciamento de riscos para instituições financeiras e seus provedores terceirizados. Ao promover avaliações abrangentes de riscos de TIC (Tecnologia da Informação e Comunicação), relatórios de incidentes e testes de penetração, a DORA obriga as organizações a fortalecer suas cadeias de suprimentos. Isso promove maior transparência e mitigação proativa de riscos, fortalecendo a resiliência geral do setor financeiro.
Para superar as ameaças cibernéticas em evolução, o setor bancário e financeiro também deve adotar o compartilhamento de inteligência. Isso permite alertas oportunos sobre vetores de ataque emergentes, auxiliando na detecção proativa de ameaças e reforçando os recursos de resposta.
DORA Complementa Outros Regulamentos
Além do DORA, existem regulamentações e padrões relevantes que as empresas precisam ter em mente. Em primeiro lugar, Diretiva Redes e Sistemas de Informação 2 (NIS2) centra-se no reforço da resiliência à ciber segurança dos operadores de serviços essenciais, como o setor bancário. Então, aí está o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS 4.0), que estabelece medidas de segurança para organizações que lidam com dados de cartão de pagamento para evitar violações de dados e proteger as informações do titular do cartão.
Embora a diretiva NIS2 estabeleça padrões amplos de segurança cibernética para setores críticos, a DORA visa especificamente o setor financeiro. O foco profundo da DORA na resiliência operacional e no gerenciamento de riscos de TIC complementa o NIS2, fornecendo orientações personalizadas e requisitos mais rigorosos para as instituições financeiras.
Da mesma forma, o PCI DSS e o DORA convergem na proteção de dados confidenciais e na prevenção de violações, introduzindo requisitos semelhantes para riscos de terceiros e resposta a incidentes. Há também um alinhamento entre GDPR e DORA como eles priorizam a segurança e integridade dos dados e os direitos dos titulares de dados.
Gerenciando a Segurança em Vários Fornecedores
Esses padrões são úteis porque gerenciar a segurança em toda a cadeia de suprimentos apresenta vários desafios. Cada parceiro pode estar sujeito a diferentes requisitos regulatórios, dependendo de sua indústria, localização geográfica e natureza dos serviços prestados.
As organizações também podem enfrentar restrições de recursos, pois a realização de avaliações de risco completas, a realização de due diligence e o monitoramento da conformidade do fornecedor podem ser tarefas intensivas em recursos, particularmente para organizações com extensas redes de fornecedores.
Garantir que os novos parceiros atendam aos requisitos de segurança e que os que partem adequadamente transitem responsabilidades e dados também vem com desafios logísticos e de segurança.
Defesa Coletiva como Solução
A defesa coletiva está emergindo como uma abordagem altamente eficaz para reforçar a segurança da cadeia de suprimentos. Esta é uma perspectiva colaborativa em que as organizações unem forças para detectar, prevenir e responder às ameaças em evolução.
Requer compartilhando inteligência de ameaças, melhores práticas e recursos entre as partes interessadas para reforçar sua postura coletiva de segurança cibernética. Ao reunir conhecimentos e capacidades da indústria, as organizações podem identificar e mitigar os riscos cibernéticos de forma mais rápida e eficaz e melhorar a resiliência geral do ecossistema.
Várias iniciativas lideradas pelo governo e pela indústria estão em vigor para promover a defesa coletiva. Por exemplo, o Lei de Ciber-Solidariedade da UE visa reforçar a cooperação entre os Estados-Membros na resposta a ciber ataques e na gestão dos riscos de ciber segurança. Incentiva a partilha de informações, os exercícios conjuntos e as iniciativas de reforço das capacidades para reforçar a resiliência europeia em matéria de ciber segurança.
A defesa coletiva alimenta a detecção precoce de ameaças, melhorando a conscientização situacional para melhor gerenciamento de riscos e aprimorando as capacidades de resposta por meio de esforços coordenados. Essa abordagem também promove a eficiência de custos compartilhando recursos e alavancando economias de escala, o que é particularmente benéfico para entidades menores com orçamentos limitados.
Construindo Mecanismos de Defesa Coletiva Eficazes
Existem várias práticas recomendadas a serem consideradas na construção de mecanismos de defesa coletiva eficazes. Estabelecer confiança entre as partes interessadas e garantir que as informações compartilhadas permaneçam confidenciais é fundamental. Políticas claras, estruturas legais e medidas técnicas devem ser implementadas para proteger dados confidenciais e os interesses dos participantes.
Os mecanismos de defesa coletiva devem ser interoperáveis e compatíveis com as ferramentas e processos de segurança cibernética existentes. A padronização de formatos, protocolos e APIs ajuda na integração e interoperabilidade contínuas entre as partes interessadas.
Divisão de trabalho, aproveitando a automação, e compartilhar o ônus da responsabilidade também pode garantir a sustentabilidade e o sucesso a longo prazo. Além disso, o cenário de segurança cibernética é dinâmico, com novas ameaças e vulnerabilidades surgindo regularmente, portanto, qualquer abordagem de defesa coletiva deve se adaptar continuamente para permanecer eficaz contra ameaças em evolução. Avaliações regulares também são cruciais para manter a relevância e a eficácia.
Engajamento Ativo é Crítico
Diante da evolução das regulamentações e do aumento dos riscos cibernéticos, reavaliar continuamente as estratégias de gerenciamento de riscos é vital. A DORA e outras regulamentações exigem um foco renovado na segurança cibernética e na resiliência operacional. A defesa coletiva através do envolvimento ativo em iniciativas de colaboração em todo o setor tornou-se essencial para reforço da segurança da cadeia de abastecimento e proteger o ecossistema financeiro mais amplo.
