A conformidade geralmente é vista como um ônus necessário nos serviços financeiros - uma série de caixas a serem marcadas para evitar multas ou danos à reputação. Mas a Lei de Resiliência Operacional Digital (DORA) não é apenas mais um exercício de caixa de seleção. Ela representa uma mudança mais profunda na forma como os órgãos reguladores esperam que as organizações europeias gerenciem o risco digital.
Para os CISOs e os líderes de identidade, o DORA é uma oportunidade de transformar a conformidade em um impulsionador da redução de riscos e da resiliência a longo prazo. Para aproveitar essa oportunidade, eles precisarão começar pela identidade.
Toda transação digital em uma instituição financeira começa com uma pergunta básica de segurança: quem está solicitando acesso? Em um ambiente cada vez mais híbrido, conectado à nuvem e habilitado remotamente, a verificação e o controle da identidade são mais complexos - e mais críticos - do que nunca.
A DORA reconhece que, sem sistemas de identidade seguros e resilientes, nenhuma organização pode manter a continuidade operacional durante uma crise. Se você perder o controle da identidade, perderá o controle dos negócios.
Os sistemas de identidade tradicionais não foram projetados para o atual cenário de ameaças ou para as expectativas regulatórias. Em geral, eles são reativos, orientados por políticas e dependem muito de senhas e processos manuais.
As lacunas comuns incluem:
- Políticas de acesso estático que não levam em conta o risco contextual
- Falta de visibilidade no comportamento de identidade em tempo real
- Resposta lenta a incidentes devido a ferramentas de identidade em silos
- Sem estratégia de backup se os sistemas IAM ficarem off-line
O DORA espera mais. Ela espera que as instituições gerenciem proativamente o risco de identidade como parte de seu programa de resiliência operacional. As organizações financeiras que operam na UE agora devem estar em conformidade com esses requisitos, pois o dia 17 de janeiro de 2025 marcou o início dos estágios de aplicação da DORA.
O Identity Risk Management vai além da aplicação de controles de acesso. Significa avaliar continuamente o risco representado por usuários, dispositivos e tentativas de acesso e adaptar dinamicamente as respostas de segurança.
Por exemplo:
- Um usuário está fazendo login de um local conhecido em um dispositivo confiável?
- O comportamento deles é consistente com os padrões históricos?
- Há um aumento nas solicitações de help desk que pode indicar engenharia social?
Esses sinais ajudam a criar um perfil de risco em tempo real que orienta as decisões de autenticação e acesso.
A plataforma de identidade da RSA foi desenvolvida especificamente para atender aos requisitos de risco de identidade do DORA.
- IA de risco analisa sinais comportamentais para detectar e bloquear acessos arriscados
- Help Desk Live Verify impede ataques de engenharia social no ponto de interação humana
- Soluções sem senha (incluindo soluções com certificação FIDO2, OTP, biometria e muito mais) reduzem as violações relacionadas a credenciais
- Governança e ciclo de vida da RSA simplifica a aplicação de políticas e os relatórios de conformidade
- Failover híbrido garante que a autenticação continue mesmo quando os sistemas estão fora do ar
Juntas, essas ferramentas permitem que as instituições gerenciem a identidade como uma função de risco dinâmica e orientada por dados.
A conformidade regulatória é o ponto de partida. Mas as instituições que forem além dos requisitos mínimos do DORA criarão operações mais seguras, mais ágeis e mais confiáveis.
Ao investir no gerenciamento de risco de identidade agora, os CISOs podem:
- Reduzir a probabilidade e o impacto das violações
- Reduzir o custo e a complexidade das auditorias
- Melhore a experiência do usuário por meio de acesso adaptável e sem senha
- Crie uma resiliência duradoura em todas as operações digitais
O DORA é um alerta para repensar a identidade. Não apenas como um guardião de acesso, mas como um sinal de risco crítico e uma pedra angular da resiliência.
Com a RSA, as instituições financeiras podem enfrentar esse desafio e usar a identidade não apenas para cumprir, mas para liderar.
Assista ao webinar da RSA, DORA & Digital Risk: Strengthening Identity Security in Financial Services, para saber o que a conformidade com o DORA realmente significa para a segurança da identidade, as práticas recomendadas de preparação para auditorias do DORA e as principais obrigações de conformidade relacionadas à autorização de usuários, acesso, autenticação e continuidade dos negócios.
