Como Equipes de Engenharia e Segurança Podem Atender aos Requisitos Técnicos da DORA

Todas as entidades financeiras que operam na União Europeia devem cumprir a Lei de Resiliência Operacional Digital (DORA). A DORA centra-se na capacidade dos sistemas de resistir, responder e recuperar de perturbações relacionadas com as TIC e na possibilidade de demonstrar essa capacidade com provas.

Para as equipas de engenharia, segurança e risco, isso introduz um requisito prático. A resiliência operacional deve ser observável em sistemas ativos, testada continuamente e rastreável ao longo do tempo.

Este artigo explica as expectativas técnicas da DORA e como Aikido apoia a sua implementação.

TL;DR

A DORA exige que as entidades financeiras da UE demonstrem resiliência operacional na prática. Aikido apoia a execução técnica da DORA, fornecendo visibilidade contínua das vulnerabilidades, validação da explorabilidade, testes de resiliência e evidências de conformidade em ambientes de código, nuvem e tempo de execução.

O que é a DORA

A DORA aplica-se desde 17 de janeiro de 2025 a bancos, seguradoras, empresas de investimento, prestadores de serviços de pagamento e outras entidades financeiras regulamentadas na UE.

Foi introduzida para resolver as repetidas interrupções das TIC causadas por vulnerabilidades de software, falhas de terceiros e tratamento inconsistente de incidentes nos Estados-Membros. A DORA estabelece um quadro único e específico para o setor, centrado em resultados mensuráveis.

Os reguladores esperam que as organizações demonstrem que são capazes de:

• Detete rapidamente incidentes de TIC
  
• Responder e recuperar de forma eficaz
  
• Fornecer evidências de que os controlos funcionam em condições operacionais
  

Os cinco pilares da DORA

De uma perspetiva técnica, a DORA está estruturada em torno de cinco pilares:‍‍

1. Gestão de riscos de TIC: saber quais sistemas utiliza, onde estão os riscos e como os gere no dia a dia.
2. Relatório de incidentes: Detectar incidentes rapidamente e relatá-los dentro de prazos regulamentares rigorosos.
   
3. Testes de resiliência operacional digital: testar regularmente a capacidade dos seus sistemas de resistir e recuperar-se de interrupções.
   
4. Gestão de riscos de terceiros em TIC: Compreender e gerir os riscos introduzidos por fornecedores, prestadores de serviços e dependências.
5. Partilha de informações: Partilha Threat Intelligence fortalecer a resiliência em todo o ecossistema financeiro.

Cada pilar tem implicações diretas na forma como os sistemas são construídos, monitorados e testados.

O que a DORA significa para as equipas de engenharia

Práticas de desenvolvimento seguro

O Artigo 9(4)(e) exige que as organizações documentem práticas de segurança, rastreiem vulnerabilidades e demonstrem como a resiliência é incorporada na entrega de software. Os controlos de segurança devem ser integrados nos fluxos de trabalho de desenvolvimento e nos pipelines de CI/CD.

Responsabilidade pela dependência

Nos termos do artigo 28.º, as dependências de terceiros e de código aberto estão totalmente abrangidas. Se uma dependência causar perturbações ou exposição, a responsabilidade continua a ser da entidade financeira. As equipas devem saber quais as dependências que estão a ser utilizadas, onde são executadas e com que rapidez os problemas podem ser resolvidos.

Rastreabilidade e evidência

As equipas de engenharia devem ser capazes de mostrar o que foi implementado, quando entrou em funcionamento, quais verificações de segurança foram executadas e quem aprovou a alteração. Os registos de compilação, o controlo de versões e as ferramentas de segurança devem produzir um rasto auditável.

O que a DORA significa para as equipas de segurança e risco

visibilidade de riscos contínua visibilidade de riscos

A DORA espera uma consciência contínua sobre o que está a ser executado em produção, quais vulnerabilidades existem e quais riscos são exploráveis a qualquer momento. Avaliações periódicas são insuficientes.

Tratamento automatizado de vulnerabilidades

O rastreamento manual não é escalável. Os prazos de detecção, priorização e correção devem ser suportados por sistemas automatizados com responsabilidades bem definidas.

Documentação alinhada com a realidade

Quando ocorrem incidentes, as organizações devem mostrar quando o problema foi detetado, como foi avaliado, quem o tratou e com que rapidez foi resolvido. As evidências devem refletir o comportamento real do sistema.

Como o DORA difere de outras estruturas

A DORA não substitui a ISO 27001, a NIS2 ou a SOC 2. Ela introduz requisitos mais rigorosos e específicos para cada setor, com foco nos resultados operacionais.

A DORA atua como lex specialis, o que significa que , se houver um conflito entre a DORA e a NIS2, por exemplo, a DORA prevalece. As regras são adaptadas especificamente aos riscos do setor financeiro e são mais rigorosas do que as encontradas em outros quadros regulamentares.

Por que a conformidade com a DORA é difícil na prática

Bases de código grandes e em rápida evolução dificultam o acompanhamento de todas as alterações e aprovações. As aplicações modernas dependem de centenas de dependências, muitas vezes sem visibilidade clara da implementação e exposição. As ferramentas de segurança são fragmentadas, produzindo dados em vários sistemas que devem ser correlacionados durante as auditorias.

Como Aikido os requisitos técnicos da DORA

Aikido é uma plataforma alimentada por IA que centraliza a visibilidade da segurança em código-fonte, dependências, infraestrutura em nuvem, contentores e ambientes de tempo de execução.

Aikido substitui as estruturas de governança, os procedimentos de resposta a incidentes ou os relatórios regulatórios. Ele fornece os sinais técnicos e as evidências nos quais esses processos se baseiam.

Testes de resiliência operacional digital e Aikido

A DORA exige que as organizações testem a resiliência operacional em condições realistas. Identificar vulnerabilidades por si só não é suficiente.

Aikido os testes de resiliência através de:

• DAST contínuo DAST aplicações ativas
  
• segurança Kubernetes de Container segurança Kubernetes
  
• Aikido , que utiliza testes de penetração baseados em IA para simular caminhos de ataque realistas e validar a explorabilidade
  
• AutoFix e Auto Triage para reduzir o tempo de correção e acompanhar a eficácia da recuperação
  

Apoiando a DORA na prática

A DORA exige resiliência operacional comprovada e apoiada por evidências. Aikido fornece visibilidade técnica, recursos de teste e dados prontos para auditoria que ajudam as organizações a atender a essas expectativas em sistemas ativos.

A governança, a resposta a incidentes e o envolvimento regulatório continuam sendo essenciais. Aikido esses processos sejam baseados em dados técnicos precisos e atualizados.

Você também pode gostar:

• Por que Empresas Europeias Escolhem o Aikido como Seu Parceiro de Cibersegurança
• Em Conformidade com a Lei de Ciber-Resiliência (CRA) usando Aikido Security
• Como Aikido Deloitte trazer segurança voltada para o desenvolvedor a empresa
• Como Cumprir o Projeto de Lei de Cibersegurança e Resiliência do Reino Unido: Um Guia Prático para Equipes de Engenharia Modernas