Dois anos após sua aprovação, a Lei de Resiliência Operacional Digital (DORA) da União Europeia entrou oficialmente em vigor no dia 17 de janeiro. Isso significa que empresas de serviços financeiros e fornecedores de tecnologias da informação e comunicação  (TIC) que operam ou atendem clientes da União Europeia agora precisam estar em conformidade com a regulamentação.

Como muitas indústrias, o setor financeiro depende de tecnologia e, em última análise, das empresas que fornecem essas soluções tecnológicas. Embora a transformação digital dos serviços financeiros tenha gerado enormes benefícios em áreas como experiência do cliente e para a eficiência operacional, também resultou em estruturas de TI cada vez mais complexas que podem ser difíceis de gerenciar e proteger.

Como o setor é muito importante para as economias nacionais, regionais e globais, qualquer parada nos serviços pode ter consequências significativas. É nesse ponto que a DORA entra em ação. Seu foco é fortalecer a segurança de TI de bancos, seguradoras e empresas de investimento em toda a Europa, melhorando a resiliência operacional e atenuando o impacto de uma interrupção relacionada à TI – e isso não é uma questão de “se” vai acontecer, mas de “quando”.

De acordo com o Fundo Monetário Internacional (FMI), o setor financeiro sofreu mais de 20.000 ataques cibernéticos globalmente, causando perdas de US$ 12 bilhões nos últimos 20 anos, com o número de ataques dobrando desde antes da pandemia. Diante desse cenário, podemos dizer que as consequências de um ataque ou de uma interrupção já são bem conhecidas: receita afetada, operações interrompidas, danos à confiança do cliente e de outros stakeholders e, cada vez mais, multas regulatórias.

O fato de novas regras, como a DORA, não serem negociáveis não significa que o cumprimento delas seja simples. Em termos gerais, a conformidade com a DORA apresenta quatro desafios que as empresas precisam superar:

1 – Complexidade tecnológica contínua: Os serviços financeiros operam em ambientes complexos com várias aplicações, infraestruturas de nuvem híbrida e fornecedores terceirizados. Mais da metade (54%) das empresas desse segmento prevê que elas se tornarão  mais complexas nos próximos 12 meses, segundo pesquisa da Dynatrace. Essa complexidade aumenta os riscos de segurança cibernética e complica a governança – 84% dos líderes de tecnologia afirmam que a complexidade trazida por múltiplas nuvens torna mais difícil proteger as aplicações contra vulnerabilidades e ataques. Ela também amplia as chances de perder os prazos apertados – de 24 horas – dos relatórios iniciais de incidentes críticos

2 – Preocupações com a segurança da cadeia de suprimentos: Embora a DORA enfatize o gerenciamento de riscos associados a provedores de serviços de TIC terceirizados, as instituições financeiras têm controle limitado sobre as práticas de segurança deles.

A avaliação e a mitigação eficazes desses perigos externos exigem termos contratuais robustos e monitoramento contínuo da postura de segurança cibernética.

3 – Pressão sobre equipes já sobrecarregadas: A conformidade com a DORA exige times qualificados, tecnologias avançadas e investimentos significativos. No entanto, os prazos curtos para a apresentação de relatórios podem desviar recursos importantes  antes voltados para a inovação e melhorias na experiência do cliente.

4 – O ônus administrativo de novas regulamentações: O gerenciamento de mudanças e a introdução de processos para novas regulamentações são demorados e propensos a erros. A conformidade com a DORA deve se integrar perfeitamente aos processos existentes  de gerenciamento de riscos, resposta a incidentes e continuidade dos negócios para enfrentar esses desafios e gerenciar os recursos com eficiência.

Vale a pena observar, porém, que muitos desses desafios já existiam antes da DORA. O aumento da complexidade, a sobrecarga da força de trabalho e as preocupações com a segurança de fornecedores são pontos problemáticos constantes. A observabilidade fim a fim  surge como um facilitador eficiente para operações melhores e mais eficazes, pois fornece às equipes acesso a insights por meio do monitoramento de toda a pilha de tecnologia de uma organização. Isso aumenta a transparência e busca criar uma imagem clara de  tudo o que está acontecendo no ambiente de TI da empresa. Com a necessidade de conformidade contínua com a DORA e a importância de mitigar paradas, essa visibilidade e resiliência são inestimáveis.

No âmbito da DORA, responder a incidentes não é mais suficiente; o gerenciamento proativo de riscos é a nova palavra de ordem. A convergência da observabilidade e da segurança permite a detecção de anomalias em tempo real utilizando Inteligência Artificial  (IA), essencial para identificar ameaças antes que elas se transformem em incidentes de grande porte que também violam os limites de conformidade. Os recursos de automação em uma plataforma de observabilidade também podem ajudar a reduzir o peso dos relatórios de conformidade sobre as forças de trabalho sobrecarregadas e remover parte da carga administrativa, enquanto a visibilidade aprimorada ajuda a lidar com a complexidade das pilhas de tecnologia em expansão.

A DORA agora faz parte da vida. A conformidade não é negociável; o que as empresas podem escolher é como ajustar suas abordagens para atender aos requisitos regulatórios. A combinação de observabilidade e segurança pode fornecer visibilidade fim a fim em todo o ambiente de TI para ajudar proativamente as organizações a prevenir, detectar e corrigir riscos de cibersegurança e de resiliência operacional.

Bob Wambach, Vice-Presidente de Portfólio de Produtos da Dynatrace.