Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

BT e Illumio: simplificando a conformidade com DORA

Maritza Marie Dubec
Gerente sênior de marketing de conteúdo
Illumio Editorial
Outubro 18, 2024
23 minutos. ler

Os ataques cibernéticos a instituições financeiras europeias dobraram em 2023 — um lembrete gritante de como os riscos estão crescendo no setor. Esse aumento deixa claro que a Lei de Resiliência Operacional Digital (DORA) não é apenas importante — é crucial para ajudar as empresas financeiras a se defenderem contra ameaças e se recuperarem rapidamente.

Em um webinar recente, Raghu Nandakumara, diretor sênior de marketing de soluções industriais da Illumio, e Justin Craigon, especialista sênior em consultoria da BT, compartilharam sua experiência no gerenciamento de riscos de TIC e na preparação para o prazo de 17 e 2025 de janeiro da DORA.

Serviços financeiros liderando o caminho

“O setor bancário sempre esteve na vanguarda da segurança. Legislações como NIS2 e DORA estão impulsionando mudanças e fortalecendo as defesas”, diz Justin.

No entanto, a mentalidade está mudando. As empresas estão reconhecendo que as violações acontecerão. O foco agora é: " Quando os atacantes entram, o que eu mais preciso proteger? " Priorizar ativos críticos é fundamental para limitar os danos.

“Os dias da defesa perimetral tradicional acabaram. O perímetro mudou e não é mais uma simples bolha que você pode desenhar.” — Justin Craigon, BT

Ataques recentes provam a necessidade de resiliência

Mesmo os maiores bancos do mundo não estão imunes. O ICBC foi vítima duas vezes — em novembro de 2023 e novamente em outubro de 2024. “Você será atingido em algum momento”, afirma Justin. O objetivo não é apenas interromper cada ataque, mas controlar os danos quando eles acontecem.

Raghu acrescenta que o setor de serviços financeiros está tão interconectado que uma violação em uma organização pode ter um impacto global. “Quando uma organização é afetada, ela pode criar um efeito cascata, espalhando-se pelas fronteiras e interrompendo mercados. É isso que o DORA foi projetado para evitar. "

Da prevenção à resiliência

As empresas devem aceitar que os ataques são inevitáveis e planejar adequadamente.

“Como mostrou o ICBC, se você for atingido uma vez, isso não significa que não será um alvo novamente”, diz Raghu.

A mudança é em direção à resiliência. “A prevenção não é mais suficiente”, enfatiza Justin. As empresas precisam de planos sólidos de resposta a incidentes. A recuperação rápida é tão crucial quanto interromper o ataque em si.

Os 5 pilares da conformidade com DORA

Para cumprir o DORA, as organizações precisam se concentrar nessas cinco áreas principais:

  • Gerenciamento de riscos: “Trata-se de estar pronto para qualquer coisa”, diz Justin. Planos de crise claros são essenciais.
  • Gerenciamento de incidentes: quando ocorre um ataque, contê-lo limita rapidamente os danos aos sistemas críticos.
  • Teste de resiliência: “Não espere apenas que você esteja seguro, teste seus sistemas”, aconselha Justin. Testes regulares detectam pontos fracos antes que os atacantes o façam.
  • Resiliência operacional: proteja as partes mais importantes do seu negócio. “Você não pode parar tudo, mas pode minimizar os danos”, observa Justin.
  • Relatórios de incidentes: seja transparente sobre incidentes e, ao mesmo tempo, proteja informações confidenciais.  
Os cinco pilares da DORA

Como o DORA limita os danos

“O DORA ajuda a limitar os danos de uma violação por meio de correções técnicas e políticas”, explica Justin. Ela incentiva as empresas a adotarem padrões técnicos e melhores práticas, reduzindo o impacto dos ataques.

“É como fechar as portas das anteparas de um submarino para evitar que a água se espalhe.” O objetivo é conter o ataque, interromper o movimento lateral e evitar que problemas na cadeia de suprimentos afetem você e seus clientes.

Priorizando o que importa

DORA enfatiza a proporcionalidade. " Não se espera que você proteja tudo”, diz Raghu. O DORA permite que as empresas priorizem o que importa em vez de exigir que distribuam recursos muito pequenos.

Justin concorda: “Não é como outras estruturas em que você passa ou falha. É uma questão de priorização. Você precisa saber onde estão suas funções críticas.” A DORA ajuda as empresas a usar seus recursos com sabedoria.

Gerenciando os riscos da cadeia de suprimentos

O risco da cadeia de suprimentos é outra grande preocupação que a DORA aborda. As empresas dependem de fornecedores terceirizados, que podem se tornar elos fracos. “Se seu fornecedor for atingido, isso também pode impactar você, avisa Justin. Verificações regulares e gerenciamento de fornecedores críticos são necessários.

Um dos principais riscos é a dependência excessiva de um único provedor. Se todos os seus ovos estão na mesma cesta, você está procurando problemas”, diz Justin. As empresas devem distribuir seus riscos usando vários fornecedores.

Testando defesas

Testes regulares revelam vulnerabilidades nas defesas de uma empresa. Suponha uma violação — aja como se os atacantes já estivessem lá dentro e veja até onde eles podem chegar”, aconselha Justin. Esses testes destacam possíveis fraquezas.

Em um caso, a equipe de penetração da BT violou 400 dos 800 servidores devido à segmentação deficiente. Os testes regulares aumentam a conscientização e fortalecem as defesas, ajudando a impedir o movimento lateral e a propagação dos ataques.

Responsabilidade no topo

A DORA garante que a responsabilidade pela resiliência não recaia apenas sobre as equipes de TI. A DORA faz da resiliência uma responsabilidade do conselho.

“No final das contas, o conselho é responsável por manter a empresa funcionando”, explica Justin.

Essa abordagem de cima para baixo garante que a resiliência seja integrada à estratégia geral de negócios. Com a diretoria envolvida, a resiliência se torna fundamental para as operações, não apenas uma caixa de seleção de conformidade.

Principais conclusões para a conformidade com o DORA

Para atender aos requisitos da DORA, as empresas devem:

  • Proteja suas funções mais críticas concentrando os recursos no que é mais importante.
  • Teste regularmente os sistemas para encontrar e corrigir pontos fracos.
  • Gerencie os riscos da cadeia de suprimentos verificando regularmente fornecedores terceirizados.
  • Envolva o conselho no planejamento de resiliência para se alinhar às metas de negócios.
“Não é uma questão de se um ataque cibernético acontecerá, mas de quando. As empresas devem estar preparadas para se manterem fortes e operacionais quando esse momento chegar.” — Raghu Nandakumara, Iluminismo

Moldando o futuro da cibersegurança

A DORA está reformulando a forma como as instituições financeiras e seus fornecedores pensam sobre segurança. Em vez de se concentrar apenas na prevenção, a DORA incentiva a resiliência. Ao proteger os principais sistemas, testar defesas e gerenciar os riscos da cadeia de suprimentos, as empresas financeiras podem estar prontas para a próxima ameaça cibernética.

Assista ao webinar completo sob demanda para saber mais sobre como a DORA está impulsionando mudanças no setor financeiro.

Quer se aprofundar na conformidade com o DORA? Baixe nosso eBook, Estratégias para conformidade com DORA: o papel fundamental da microsegmentação. Saiba como a microssegmentação pode ser um divisor de águas para a segurança da sua organização. Obtenha sua cópia gratuita agora.

Capa do e-book DORA da Illumio

Tópicos relacionados

Compliance

Artigos relacionados

Resiliência cibernética: a principal prioridade de segurança do setor bancário
Cyber Resilience

Resiliência cibernética: a principal prioridade de segurança do setor bancário

Neste discurso de dezembro de 2021, Bo Li, vice-diretor administrativo do Fundo Monetário Internacional (FMI), reforçou como a tecnologia digital permeia todos os aspectos da sociedade, aumentando nossa dependência da interconectividade e das redes que a sustentam.

Read more
5 dicas de Zero Trust do estrategista-chefe de segurança da Cylera
Cyber Resilience

5 dicas de Zero Trust do estrategista-chefe de segurança da Cylera

Saiba mais sobre HIoT e segurança de OT médica e como você pode reforçar melhor as operações de saúde com o Zero Trust.

Read more
8 perguntas que os CISOs deveriam fazer sobre IA
Cyber Resilience

8 perguntas que os CISOs deveriam fazer sobre IA

Descubra oito questões que os CISOS devem considerar ao proteger suas organizações contra ataques de ransomware assistidos por IA.

Read more
Illumio e WWT fazem parceria para guiar sua jornada de Zero Trust
Integrações do Partners &

Illumio e WWT fazem parceria para guiar sua jornada de Zero Trust

Saiba como a parceria entre a Illumio e a WWT facilita que as organizações obtenham os benefícios da segmentação Zero Trust e alcancem suas metas.

Read more
Como alcançar a conformidade do DORA com o Illumio
Cyber Resilience

Como alcançar a conformidade do DORA com o Illumio

Conheça as três ferramentas disponíveis na plataforma Illumio Zero Trust Segmentation (ZTS) que ajudarão você a criar conformidade com o DORA.

Read more
Preparando-se para o DORA: insights de dois especialistas em conformidade de cibersegurança
Cyber Resilience

Preparando-se para o DORA: insights de dois especialistas em conformidade de cibersegurança

Obtenha informações de Tristan Morgan, diretor administrativo de segurança cibernética da BT, e Mark Hendry, parceiro de serviços digitais da Evelyn Partners, sobre como lidar com a conformidade com o DORA.

Read more

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Learn more