Quando a Lei de Resiliência Operacional Digital (DORA) foi adotada pela UE, ela sinalizou uma mudança fundamental na forma como as instituições financeiras devem abordar a segurança cibernética, o gerenciamento de riscos e a continuidade operacional. Pela primeira vez, os órgãos reguladores não mencionaram a segurança de identidade apenas de passagem - eles a incorporaram diretamente na estrutura da conformidade.
Essa evolução reconhece uma realidade que muitos profissionais de segurança conhecem há anos: que a identidade é a base da segurança digital e um elemento fundamental da resiliência operacional. Vejamos o que mudou, os impactos que o DORA terá sobre a segurança de identidade, os desafios que as instituições financeiras enfrentam e como os CISOs devem se preparar para garantir que suas organizações atendam aos requisitos do DORA até o prazo final de 2025.
De acordo com o DORA, todas as operações digitais de uma instituição financeira - desde pagamentos até a integração de clientes e sistemas de negociação - devem ser seguras, resilientes e estar continuamente disponíveis. E isso coloca a segurança de identidade no centro das atenções. Porque se não for possível verificar quem está acessando o quê, quando e de onde, sua estratégia de identidade entra em colapso.
Na nova realidade normativa do DORA, a identidade não é mais uma função de TI de back-office. Agora, ela é um imperativo estratégico dos líderes de risco, dos diretores de conformidade e dos executivos de negócios.
Vários artigos do DORA exigem, direta ou implicitamente, recursos robustos de gerenciamento de identidade e acesso (IAM). Por exemplo:
- Controle de acesso e governança: O DORA exige que as instituições gerenciem os direitos de acesso dos usuários em tempo real e realizem revisões regulares de acesso para evitar o aumento de privilégios e o acesso não autorizado.
- Requisitos de autenticação: Espera-se que métodos de autenticação fortes, como a autenticação multifatorial (MFA), protejam os sistemas contra acesso não autorizado.
- Continuidade operacional: As instituições devem garantir que as funções essenciais permaneçam disponíveis durante incidentes cibernéticos, interrupções ou interrupções. Isso inclui a manutenção de serviços de identidade sob coação.
- Monitoramento e detecção de anomalias: As organizações precisam detectar, responder e se recuperar rapidamente de incidentes cibernéticos. Anomalias relacionadas à identidade, como padrões de acesso incomuns, são indicadores cruciais.
Esses requisitos enfatizam a necessidade de um programa de segurança de identidade moderno e consciente dos riscos.
2025 marca o ano em que a conformidade passa para os estágios de aplicação, o que significa que as organizações que não estiverem em conformidade com a DORA enfrentarão multas de 2% do volume de negócios global médio ou 1% do volume de negócios diário médio, com a adição de multas diárias cobradas das organizações que não estiverem em conformidade até que elas atinjam a conformidade. Os riscos agora são altos.
Apesar do aumento dos investimentos em segurança, muitas instituições financeiras ainda enfrentam lacunas relacionadas à identidade em suas funções operacionais e de segurança, incluindo:
- Sistemas IAM legados que carecem de adaptabilidade e visibilidade
- Ferramentas de identidade isoladas em ambientes locais e na nuvem
- Métodos de autenticação fracos que são vulneráveis a phishing
- Processos manuais de governança que tornam os relatórios de conformidade lentos e propensos a erros
Esses desafios deixam as organizações expostas, não apenas aos invasores, mas também ao escrutínio regulatório e às multas de conformidade.
Os CISOs do setor financeiro devem assumir a liderança no alinhamento da estratégia de identidade com a DORA. Isso significa que:
- Adoção acesso baseado em risco modelos que ajustam os controles com base no contexto e no comportamento
- Garantir continuidade dos negócios com failover híbrido para autenticação e acesso
- Fortalecimento governança com provisionamento, análises e certificação de acesso automatizados
- Abraçando autenticação sem senha para eliminar vetores de ataque comuns
Na RSA, ajudamos as instituições financeiras a operacionalizar a identidade como um pilar da resiliência. Nossa plataforma de identidade que prioriza a segurança, RSA ID Plus, O sistema de gerenciamento de dados, o sistema de gerenciamento de dados, foi desenvolvido para ambientes regulamentados, como o setor financeiro.
- IA de risco da RSA analisa sinais comportamentais e contextuais para aplicar políticas de acesso adaptáveis
- Bloqueio móvel RSA Protege o acesso em dispositivos não gerenciados ou comprometidos
- RSA iShield Série Key 2 Os autenticadores permitem autenticação FIDO e OTP resistente a phishing
- Governança e ciclo de vida da RSA automatiza a governança de acesso e os fluxos de trabalho de conformidade
- Failover híbrido RSA garante autenticação ininterrupta durante interrupções
Juntas, essas soluções fornecem os controles necessários para o alinhamento com a DORA e fortalecem a sua organização além da conformidade.
O DORA marca um ponto de virada para a identidade nos serviços financeiros. Ele eleva o IAM de uma preocupação técnica para um mandato regulatório - e um facilitador estratégico da resiliência operacional.
As instituições financeiras que adotarem estratégias de segurança que priorizam a identidade não apenas atenderão aos requisitos do DORA, mas também obterão uma vantagem competitiva em termos de segurança, agilidade e confiança do cliente. Agora é a hora de repensar sua postura de identidade antes do início da aplicação do DORA.
