A Lei de Resiliência Operacional Digital (DORA) introduz um mandato de alto risco para os serviços financeiros que operam na UE: provar que suas operações - e suas defesas de segurança cibernética - podem resistir até mesmo às mais graves interrupções.
Para os CISOs, não se trata apenas de atualizações tecnológicas. Trata-se de criar um novo tipo de resiliência em que a identidade desempenha um papel central. Este blog fornece um guia prático para CISOs e líderes de IAM que desejam alinhar a estratégia de identidade com a DORA antes que os prazos de 2025 entrem em vigor.
Comece pela visibilidade. Mapeie seus sistemas e políticas de identidade atuais para as áreas principais do DORA:
- Controle de acesso e governança
- Segurança de autenticação e credenciais
- Continuidade operacional dos serviços de identidade
- Detecção e resposta a incidentes
Onde estão as lacunas? Onde você está confiando em processos manuais ou ferramentas legadas? Use essa auditoria para priorizar as áreas de risco e as necessidades de modernização.
As políticas estáticas são muito brandas para as ameaças atuais. A DORA espera controles mais inteligentes que se ajustem ao contexto. Implemente o acesso adaptativo usando:
- Análise do comportamento do usuário
- Avaliações da postura do dispositivo
- Sinais de geolocalização e de hora do dia
- Padrões históricos de acesso
IA de risco da RSA possibilita esses recursos, permitindo decisões em tempo real que reduzem os falsos positivos e impedem as ameaças reais.
Seus sistemas de IAM são de missão crítica. Mas eles podem sobreviver a uma interrupção?
O DORA exige que as instituições demonstrem a continuidade dos sistemas críticos de TIC. Isso inclui sua plataforma de identidade.
Failover híbrido da RSA garante que a autenticação possa continuar mesmo que sua nuvem, data center ou rede seja comprometida.
A MFA resistente a phishing não é mais opcional. A RSA oferece uma gama de soluções sem senha, incluindo:
- Chaves de hardware com certificação FIDO2 (iShield)
- Bloqueio móvel para dispositivos não confiáveis
- OTP e soft tokens baseados em push
Implemente-os nas identidades da força de trabalho e dos clientes para atender às expectativas do DORA e impedir o roubo de credenciais.
As campanhas de certificação manual e as revisões de direitos não são mais escalonáveis, nem podem gerenciar adequadamente o número crescente de usuários, dispositivos, direitos e ambientes. O DORA exige uma supervisão contínua.
Com Governança e ciclo de vida da RSA, você pode:
- Automatizar os processos de junção/movimentação/saída
- Aplicar o privilégio mínimo por meio de provisionamento baseado em políticas
- Forneça relatórios prontos para auditoria com apenas alguns cliques
O DORA separará o preparado do reativo. Não é suficiente ter o IAM implementado - ele deve ser inteligente, resiliente e rigorosamente controlado.
Com a RSA, os CISOs ganham as ferramentas não apenas para cumprir o DORA, mas também para criar uma infraestrutura de identidade que ofereça suporte à excelência operacional de longo prazo.
O momento de agir é agora - a fiscalização será uma realidade em 2025, e sua empresa corre o risco real de sofrer multas pesadas se não estiver em conformidade. Use este manual para fortalecer sua postura antes que os órgãos reguladores - ou invasores - testem sua resiliência.
Assista ao webinar da RSA, DORA & Digital Risk: Strengthening Identity Security in Financial Services, para saber o que a conformidade com o DORA realmente significa para a segurança de identidade, as práticas recomendadas de preparação para auditorias DORA e as principais obrigações de conformidade relacionadas à autorização de usuários, acesso, autenticação e continuidade dos negócios.
