Além da Recuperação: O que você ainda não ouviu falar sobre o DORA

Parte 5 de uma série de 5 partes

Acho que é justo dizer que a maioria de nós que trabalha com segurança ou conformidade já ouviu falar sobre o DORA, a Lei de Resiliência Operacional Digital da UE, que entrará em vigor no próximo ano.

A lei afeta não apenas as entidades financeiras (que incluem tudo, desde bancos a empresas de investimento, seguradoras e outras) que oferecem serviços em solo da UE, mas também muitos provedores de serviços que fornecem serviços críticos de TIC a essas entidades.

Mais de alguns fornecedores do setor de armazenamento e recuperação promoveram suas soluções como a resposta para a conformidade com o DORA. Depois de ouvir mais ou menos as mesmas coisas de uma infinidade de departamentos de marketing, podemos ser até perdoados por pensar que o DORA tem tudo a ver com o tipo de “resiliência” que vem da sua capacidade de se recuperar de uma violação. Certamente pensei assim.

Mas, depois de ler toda a lei, a maioria das publicações de apoio da UE, bem como as interpretações jurídicas de vários escritórios de advocacia sobre o impacto da lei, eu entendi melhor e gostaria de compartilhar um pouco do que aprendi.

DORA é mais do que resiliência e recuperação

Escrevendo para um provedor de infraestrutura de dados como a Hitachi Vantara, eu também gostaria de dizer que o DORA tem tudo a ver com a resiliência dos negócios por meio da recuperação rápida. Mas não é. Em muitos aspectos, o DORA diz respeito tanto a resistir a ataques (ou seja, não ser derrubado em primeiro lugar) quanto a se recuperar caso algo dê errado.

Aqui está um pequeno segredo. Quando me propus a escrever este artigo, minha intenção inicial era tratá-lo como um artigo separado e não como parte da série Além da Recuperação, pois achei que ele não se encaixaria muito bem. Para minha surpresa, depois de fazer a pesquisa, muitos dos conceitos que discutimos sobre a adoção de uma abordagem holística, estratégica e focada na causa-raiz da segurança são muito relevantes para a conformidade com DORA. Eles podem até ser necessários.

DORA exige que você gerencie continuamente seu risco. E, como já discutimos nesta série, o gerenciamento de risco puro é insustentável ou, pelo menos, muito caro – e ficará muito mais caro com o DORA. Acredito que mudar para uma abordagem de gerenciamento de qualidade mais proativa para reduzir a quantidade de gerenciamento de risco necessária é sua melhor aposta a longo prazo.

Uma nova abordagem para lidar com o DORA

Devido às tendências atuais que discutimos, que mostram que os riscos estão aumentando cada vez mais, a conformidade com os critérios dos reguladores será desafiadora. E eles continuarão a se tornar cada vez mais desafiadores à medida que os riscos se acumulam, de forma insustentável.

Um exemplo de como o DORA é muito mais do que apenas recuperação, e de como isso pode ser sério, é que os reguladores podem exigir que as organizações abordem vulnerabilidades específicas a seu critério. A falha ou a incapacidade de fazer isso pode resultar em multas e até mesmo em penalidades criminais.

Então, é muito mais do que backups e recuperação. Na verdade, se você olhar para os Projetos de Normas Técnicas Regulatórias (Seção 3), um dos primeiros requisitos do DORA é o gerenciamento de ativos.

Isso faz sentido. Como você pode decidir o que é importante para sua organização, o que precisa ser protegido e o que você pode precisar recuperar primeiro, se não sabe quais sistemas impulsionam quais processos de negócios e receita, ou onde eles estão? E como pode proteger sistemas dos quais não está ciente ou sobre os quais não tem controle?

Essa conexão entre os ativos de TI e o processo de negócios é um tema recorrente no DORA e, pessoalmente, fico feliz em ver isso.

A responsabilidade vai direto para o topo

Após o gerenciamento de ativos, os requisitos continuam para gerenciamento de incidentes, classificação e relatórios e testes de resiliência. Tudo isso alimenta uma estrutura obrigatória de governança e controle de TIC para minimizar o risco para ativos críticos de negócios e TI.

E a responsabilidade por essa estrutura está no nível mais alto da organização.

Citando Kemp IT Law, "O órgão de gestão da entidade financeira (geralmente o conselho) será responsável por essa estrutura, incluindo políticas, funções, planos de continuidade de negócios, auditoria, supervisão de provedores de serviços de TIC, treinamento, etc."

Agora, nada disso significa que a recuperação não faça parte do DORA. É um grande problema, e algumas partes dele são realmente muito rigorosas. Um que não vi mencionado por nenhum fornecedor é que serviços críticos, como aqueles que fazem o processamento de fim de dia, devem ser recuperáveis em duas horas.

Duas horas.

Novamente, sob pena de multas e, potencialmente, acusações criminais.

Prepare-se para a recuperação e seja capaz de provar isso

E depois há o que poderia ser um dos fatores ou diferenciais mais significativos do DORA; o requisito de demonstrabilidade.

Em outras palavras, o regulador pode exigir que você prove que pode se recuperar em duas horas, ou realizar correção de vulnerabilidade, ou que seu registro de ativos é abrangente.

Não fazer isso pode resultar em não conformidade e penalidades, mesmo sem a ocorrência de um incidente. E exacerbá-los significativamente caso ocorra uma violação.

Considere também que cada país tem seu próprio regulador. Isso significa que cada regulador específico do país pode optar por aplicar o DORA com o rigor que achar adequado. Um incidente, ou mesmo a falha em responder a um desafio do regulador em um estado da UE, pode resultar em desafios em outros estados da UE onde você pode operar à medida que seus reguladores ficam sabendo disso.

Então, vamos recapitular um pouco do que sabemos agora sobre o DORA:

• Demanda uma abordagem holística e de “todo o negócio” em relação ao risco, com riscos aprovados e continuamente revisados, do nível executivo para baixo.
• Requer uma visão abrangente dos ativos e processos de negócios para avaliar, reduzir e mitigar seus riscos associados; não apenas um foco de TI em segurança.
• Exige um programa ou "estrutura" para lidar com o risco em todos os processos de negócios e TI de seu negócio específico; não uma estrutura genérica de conformidade de TI.
• Sua natureza rigorosa significa que devemos considerar cuidadosa e proativamente como fazemos as coisas para minimizar o risco e a complexidade de qualquer processo de negócios. Isso para que possamos introduzir menos problemas e gerenciar os restantes com mais facilidade. Simplesmente adicionar mais capacidade de detecção e resposta não será suficiente – não seremos capazes de acompanhar.
• Problemas de dívida técnica, como sistemas que não podem ser facilmente incorporados a um esquema de recuperação, atualizados, corrigidos ou ter controles de segurança aplicados, causarão desafios significativos ao risco legal e de conformidade.
• Isso exige que nos recuperemos com extraordinária rapidez e que sejamos capazes de demonstrar nossa capacidade de fazer isso.

É tudo uma questão de resiliência inerente

Portanto, embora a maioria das vozes tenha falado sobre o DORA como se fosse sobre recuperação, na verdade, trata-se principalmente do que chamei anteriormente de “resiliência inerente”. É um termo que criei porque sempre achei que a verdadeira resiliência deveria ser tanto (se não mais) sobre não ser derrubado em primeiro lugar, em vez de apenas se levantar. E, considerando que a grande maioria das violações é causada por problemas conhecidos, essa é uma área em que podemos nos sair muito melhor aplicando os conceitos apresentados ao longo desta série.

Repito, precisamos nos tornar mais estratégicos e nos concentrar nas causas básicas de nossos problemas, nos processos de TI e de negócios que introduzem os riscos e as vulnerabilidades evitáveis que, por sua vez, são responsáveis pela maioria das violações. Como exploramos anteriormente, a rede de segurança de nossa capacidade de recuperação é o maior facilitador e acelerador dessa mudança.

Além disso, há o poder da simulação, conforme discutido em nossa última edição, que pode não apenas acelerar ainda mais nossa mudança para ambientes de menor risco, mas também nos ajudar a demonstrar conformidade de forma mais fácil e econômica. Isso sem falar no aumento da velocidade com que as empresas podem inovar e se adaptar.

As poderosas possibilidades de simulação oferecidas pela Hitachi Vantara possibilitam simular e demonstrar a recuperação de uma forma realmente realista (aproveitando os gêmeos digitais de seus backups) que satisfaça tanto a empresa quanto os órgãos reguladores. Isso é mais importante do que muitas pessoas imaginam, pois os esforços de recuperação muitas vezes podem falhar devido à dificuldade de antecipar as relações e dependências entre sistemas e cargas de trabalho em um cenário de desastre ou violação.

A simulação é essencial para o processo

É semelhante ao motivo pelo qual a dívida técnica costuma ser tão difícil de resolver. Sabemos que provavelmente existem dependências desconhecidas ou imprevisíveis que geram receios de fazer alterações devido a seus possíveis impactos. Mas o aproveitamento do recurso de simulação para criar uma “cópia” de sua infraestrutura nos permite remover essa barreira e resolver muito mais rapidamente os problemas de débito técnico que poderiam nos impedir de entrar em conformidade e muito mais.

Naturalmente, a recuperação também é uma parte importante do DORA, e eu poderia dizer que o Hitachi Vantara, que tem a solução de recuperação mais rápida do mundo, é sua melhor aposta para atender aos rigorosos requisitos de tempo de recuperação.

Mecanismos adicionais, como a verdadeira imutabilidade de dados, fortalecem ainda mais sua chance de uma recuperação bem-sucedida.

Mas não devemos nos esquecer da liberdade e das possibilidades que essa rede de segurança nos proporciona ao fazermos mudanças proativas em vez de apenas esperarmos que o pior aconteça. São essas coisas, além da recuperação, que tornam esses recursos tão valiosos o tempo todo, não apenas quando ocorre um desastre.

Quanto mais rápida, confiável e abrangente for sua solução de recuperação, mais rápido você poderá conduzir essa mudança proativa e obter conformidade abrangente com o DORA. E se as coisas derem errado, esses mesmos atributos não apenas farão com que você volte aos negócios mais rapidamente, mas também protegerão sua conformidade em termos de objetivos de tempo de recuperação.

Usando o DORA como uma oportunidade de mudança

Para finalizar, devo dizer que as opiniões que apresento nesta série são minhas e que você deve consultar seu próprio advogado e tomar suas próprias decisões. Tenho certeza de que alguns acharão que minha opinião sobre o DORA é mais abrangente do que o necessário. Mas responder ao DORA dessa forma significa que podemos aproveitar o impulso para promover mudanças reais, melhorias reais em nossas formas de trabalho, acelerar a transformação, aumentar a agilidade e impulsionar nossos resultados, reduzindo os riscos.

Então, por que tratar o DORA como apenas um custo extra de conformidade e correr o risco de entrar em conflito com ele por não fazer o suficiente? Em vez disso, como uma oportunidade não apenas de mudança, mas de melhores resultados, melhor TI e melhores negócios.

A escolha é sua.

Ler os artigos anteriores desta série

• Além da Recuperação: Além da Tecnologia, parte 1 de 5
• Além da Recuperação: Explorando o Problema, parte 2a de 5
• Além da Recuperação: Explorando o Problema, parte 2b de 5
• Além da Recuperação: O Dinheiro Fala Mais Alto, parte 3 de 5
• Além da Recuperação: Rompendo a paralisia do legado, parte 4 de 5