- About DORA
- Core areas of DORA
- Comply with DORA
Estabeleça integridade operacional para entidades financeiras e aumente a resiliência na era digital.
A transformação digital no setor financeiro trouxe inúmeras vantagens, mas também tornou as empresas mais vulneráveis a vários riscos tecnológicos, como ataques cibernéticos, falhas de sistema e interrupções em serviços de TIC (Gestão de riscos de Tecnologia da Informação e Comunicação) de terceiros.
A União Europeia introduziu a Lei de Resiliência Operacional Digital (Digital Operational Resilience Act, DORA), que define requisitos específicos para instituições financeiras sediadas na UE para garantir que o setor financeiro possa combater essas ameaças e proteger suas operações comerciais.
A DORA entrou em vigor em 16 de janeiro de 2023, e a aplicação total começou em 17 de janeiro de 2025. A política tem como objetivo padronizar as regulamentações referentes à resiliência operacional para o setor financeiro, abrangendo 20 tipos diferentes de entidades financeiras e provedores de serviços de TIC terceirizados.
A DORA é uma regulamentação transformadora criada para aprimorar a
capacidade de sua organização de resistir, recuperar-se e adaptar-se a interrupções relacionadas à TIC.
Veja a seguir o que a DORA significa para sua organização:
Você precisa implementar medidas sólidas para proteger sua infraestrutura digital contra ameaças cibernéticas e interrupções operacionais. Avaliações regulares de risco e atualizações de segurança se tornarão uma parte essencial de suas operações.
A DORA coloca a responsabilidade no nível da diretoria, exigindo que você alinhe sua estrutura de governança com os objetivos de resiliência digital.
Você precisa estabelecer mecanismos eficientes para detectar, relatar e se recuperar de incidentes relacionados à TIC, garantindo um impacto mínimo nas operações e na confiança do cliente.
A DORA enfatiza a importância de avaliar e mitigar os riscos apresentados pelos fornecedores terceirizados de TIC. Espera-se que você garanta que os seus fornecedores atendam aos mesmos padrões de resiliência que a sua organização.
Teste o gerenciamento de riscos de ICT para
identificar quaisquer pontos fracos.
O Parlamento Europeu recomenda testes anuais de
Resiliência Operacional Digital em seus
serviços de ICT. No entanto, os testes
avançados são necessários apenas
uma vez a cada três anos.
Desenvolvimento de uma estrutura para
monitorar e gerenciar riscos com fornecedores
terceirizados de TIC, abrangendo aspectos
críticos como capacidades, níveis e locais.
Implementação de procedimentos uniformes para
monitorar e classificar incidentes de TIC
e relatá-los às autoridades competentes.
Garantir relações de serviço eficazes para
um melhor gerenciamento de riscos.
Os contratos de serviço devem abranger monitoramento, níveis
de serviço e locais de processamento de dados.
Facilitar o compartilhamento de informações
sobre ameaças à segurança cibernética e, ao
mesmo tempo, proteger os dados confidenciais para ficar a
par de quaisquer ameaças e riscos recentes.
O conjunto de soluções de gerenciamento de TI da ManageEngine pode ajudá-lo a atender aos requisitos técnicos do DORA, apoiando assim sua conformidade com esse regulamento.
Se a sua organização se qualificar como uma empresa de investimento pequena ou não interconectada ou uma instituição de pagamento isenta nos termos da Diretiva (UE) 2015/2366, instituições isentas nos termos da Diretiva 2013/36/UE, os artigos 5 a 15 do Regulamento DORA não se aplicam a você, e você pode seguir diretamente para o artigo 16. Para obter mais detalhes, consulte o guia DORA ou o documento oficial.
As entidades financeiras devem ter uma estrutura de governança para o gerenciamento eficaz de riscos de TIC, a fim de garantir a resiliência operacional digital.
Oferece aos administradores visibilidade de alto nível, controle detalhado e governança sobre atividades privilegiadas em toda a empresa.
Fornece uma plataforma unificada e compatível com ITIL orientada por IA para orquestrar fluxos de trabalho automatizados para tratamento de incidentes, acesso de usuários, gerenciamento de alterações e liberações e gerenciamento de ativos de TI.
Aplique controles de acesso rigorosos e mantenha trilhas de auditoria, fornecendo visibilidade e responsabilidade essenciais para o gerenciamento de riscos de TIC.
Oferece um painel de monitoramento de segurança unificado, permitindo o rastreamento de eventos de segurança, a detecção de anomalias e a avaliação de riscos em tempo real..
Desenvolva soluções robustas de governança personalizada com estruturas integradas que permitam à entidade aderir facilmente aos padrões globais de governança.
As entidades financeiras devem estabelecer uma estrutura abrangente de gerenciamento de riscos de TIC para garantir a resiliência operacional digital. Isso inclui estratégias e ferramentas para proteger as informações e os ativos de TIC contra riscos como danos e acesso não autorizado.
Oferece amplos recursos de relatórios e insights detalhados sobre os ativos de endpoint para fornecer insights aprofundados sobre o ambiente de endpoint.
Os recursos dinâmicos de pontuação de confiança, bem como a análise do comportamento de usuários privilegiados, oferecem às organizações a capacidade de implementar o gerenciamento de riscos em tempo real.
Gerencia os riscos do domínio fornecendo visibilidade, identificando ameaças, garantindo a validade do SSL e monitorando a expiração.
Cria painéis de gerenciamento de riscos para rastrear o acesso dos usuários, monitorar a integridade dos ativos e analisar as pontuações de risco para melhorar a conformidade.
Identifica riscos de segurança no AD e no Microsoft 365 e detecta ameaças internas. Protege os recursos com MFA forte.
Automatiza as respostas a incidentes, a governança de mudanças de TI e o inventário e gerenciamento de ativos de TI para mitigação eficaz de riscos. Inclui orquestração e insights orientados por IA.
Oferece um serviço de auditoria de segurança para auditoria de firewalls, que inclui os relatórios necessários e melhorias na postura de segurança.
Usa análise comportamental e detecção de anomalias para identificar atividades suspeitas, como escalonamento de privilégios, tentativas de acesso não autorizado e exfiltração de dados.
Desenvolve soluções personalizadas de mitigação e dissuasão de riscos que capacitam a entidade financeira a proteger-se e blindar-se contra acesso e danos não autorizados.
As entidades financeiras devem atualizar regularmente os sistemas de TIC para gerenciar riscos, garantir a confiabilidade, lidar com o aumento da demanda durante períodos de pico e garantir a resiliência ao operar em situações adversas.
Fornece um modo FIPS 140-2 com algoritmos aprovados para aumentar a segurança. Seu design multilocatário permite a integração fácil de novos endpoints.
Garante monitoramento e fornecimento de serviços confiáveis, mesmo durante picos de demanda e desafios tecnológicos em evolução.
Desenvolve soluções personalizadas de gerenciamento de riscos de TIC que tenham alto tempo de atividade e persistência.
As instituições financeiras devem revisar e documentar regularmente todas as funções de negócios, papéis e ativos de TIC, identificando riscos potenciais como ameaças cibernéticas. Elas devem avaliar as mudanças na infraestrutura de rede ou nos sistemas legados e manter um inventário atualizado das informações críticas e das dependências de terceiros.
Coleta detalhes abrangentes do inventário de seu ambiente de TI e fornece gerenciamento contínuo de vulnerabilidades por meio de uma única interface.
As trilhas de auditoria do PAM360 registram automaticamente todas as atividades de contas privilegiadas, incluindo tentativas de login e execuções de tarefas, proporcionando visibilidade clara para auditorias e investigações internas.
Descobre todos os dispositivos de rede e oferece gerenciamento de configuração de rede para gerenciamento de mudanças, aumentando a segurança e o desempenho da rede.
Obtenha insights sobre a integridade dos ativos, registros de alterações, atividade de contas privilegiadas e pontuações de risco a partir de painéis consolidados.
Detecta riscos de segurança do AD e do Microsoft 365, monitora atividades suspeitas, ajuda a gerenciar e certificar direitos e oferece insights.
Permite o rastreamento e o controle de ativos de hardware e software, tanto no local quanto remotamente. O CMDB simplifica o mapeamento da infraestrutura para as equipes de TI, identificando riscos durante as respostas a incidentes e implementações de mudanças.
Garante o gerenciamento proativo da rede e a restauração eficiente do serviço, mesclando informações sobre o desempenho do dispositivo em tempo real com a visualização da dependência do serviço, crucial para manter a estabilidade da infraestrutura.
Monitora a infraestrutura de rede e os sistemas legados em busca de vulnerabilidades, configurações incorretas e alterações não autorizadas.
Crie e mantenha um repositório que possa servir como um inventário atualizado de informações críticas, ativos de TIC e dependências de terceiros.
As entidades financeiras devem monitorar e controlar continuamente a segurança de seus sistemas de TIC para minimizar os riscos. Os principais objetivos da segurança de TIC incluem garantir a resiliência, a continuidade e a disponibilidade dos sistemas, especialmente aqueles que dão suporte a funções críticas, mantendo altos padrões de disponibilidade, autenticidade, integridade e confidencialidade dos dados.
Aprimora a segurança com DLP, antivírus, aplicação de patches, criptografia e controles administrativos robustos para dispositivos.
Cofre centralizado para o gerenciamento de informações confidenciais, incluindo senhas, certificados, chaves e documentos de dados.
Fornece análises de segurança detalhadas, correlacionando vulnerabilidades de ativos, conformidade com patches e riscos potenciais com painéis acionáveis.
Faz o backup seguro do AD, Microsoft 365 e muito mais. Usa MFA, detecta riscos, evita violações e revisa o acesso regularmente.
Gerencia o acesso com sincronização automatizada de funções e gerenciamento de acesso em massa. Protege dados e recursos usando métodos MFA robustos.
Ajuda a proteger os serviços e ativos de TIC por meio de fluxos de trabalho proativos de resposta a incidentes de segurança cibernética, fluxos de trabalho personalizados de gerenciamento de solicitações de acesso e fluxos de trabalho robustos de gerenciamento de alterações.
Oferece monitoramento 24 horas por dia, 7 dias por semana, de dispositivos, aplicativos e serviços de rede, garantindo a resiliência e a disponibilidade do sistema para funções críticas. Os alertas em tempo real e a visibilidade abrangente permitem a detecção precoce de ameaças e uma resposta mais rápida a incidentes.
Oferece monitoramento contínuo da segurança, detecção de ameaças e resposta a incidentes para proteger os sistemas de TIC. Ele garante a resiliência, a disponibilidade e a integridade dos dados do sistema por meio de análise de logs em tempo real, controles de acesso e detecção de anomalias.
Os dados armazenados no AppCreator são criptografados em repouso com padrões de criptografia de nível industrial, em conformidade com as normas globais de segurança de dados.
As entidades financeiras devem detectar rapidamente as anomalias de TIC (conforme o Artigo 17) e realizar testes regulares (conforme o Artigo 25). Elas devem estabelecer várias camadas de controle e alertas de incidentes automatizados, alocar recursos para monitorar a atividade do usuário e as ameaças cibernéticas e garantir que os serviços de relatórios de dados possam verificar a integridade dos relatórios comerciais e lidar com erros.
Notifica os administradores de SOC e TI para isolar o sistema durante um ataque de malware. O sistema pode ser recuperado após análise forense.
Oferece monitoramento em tempo real, detecção de anomalias e limites personalizáveis e dinâmicos para operações de TI mais tranquilas.
A detecção de anomalias com tecnologia de IA, os alertas em tempo real e a análise preditiva orientada por ML identificam atividades anômalas e evitam possíveis ameaças.
Detecta riscos de segurança em ambientes híbridos com relatórios de avaliação de riscos e utiliza o UBA para investigar e mitigar ameaças maliciosas.
Detecta alertas e alarmes de diferentes ferramentas de ITOM, SIEM e de gerenciamento de alertas de TI e os converge em incidentes que são triados e escalados para os responsáveis pela resposta correta aos incidentes.
Um mecanismo de detecção de anomalias, alimentado por ML, identifica desvios do desempenho da linha de base e permite a detecção rápida de anomalias de TIC.
Oferece alertas em tempo real para incidentes de segurança, acesso não autorizado e anomalias do sistema. Oferece suporte a configurações de alerta personalizadas com base na gravidade do evento, ajudando as equipes de segurança a priorizar as ameaças e responder de forma proativa.
As entidades financeiras devem implementar uma política abrangente de continuidade de negócios de TIC em sua estrutura de gerenciamento de riscos para garantir funções críticas e resposta a incidentes. Elas devem estabelecer e auditar planos de resposta e recuperação de TIC, testando regularmente as funções terceirizadas.
Protege os endpoints contra ransomware com backups inalteráveis e recursos de quarentena.
A arquitetura escalável oferece suporte a vários servidores de aplicativos e depende de um único grupo de disponibilidade SQL, cluster ou Cloud RDS para o back-end.
Garante a continuidade dos negócios por meio de monitoramento em tempo real, alertas automatizados e testes regulares do plano de resposta.
Detecta preventivamente indicadores de comprometimento e automatiza a análise da causa raiz para agilizar a resposta e a resolução de incidentes.
Faz o backup do AD, Microsoft 365 e outros como versões criptografadas com imutabilidade. Protege o acesso aos dados usando MFA.
Permite que as equipes de resposta a incidentes detectem e registrem incidentes, dando início a fluxos de trabalho predefinidos de resposta a incidentes que automatizam notificações, atribuições, escalonamentos e recuperação.
Garante a continuidade dos negócios de TIC com monitoramento e failover em tempo real, enquanto os fluxos de trabalho automatizados e os backups de configuração permitem uma recuperação rápida e a proteção de dados para uma recuperação eficaz de desastres de TIC.
Os mecanismos automatizados de resposta e recuperação de incidentes ajudam a minimizar o tempo de inatividade e a garantir a continuidade dos negócios. O Log360 permite a detecção de ameaças em tempo real, fluxos de trabalho de correção automatizados e análise forense para conter incidentes de segurança com eficiência.
Um repositório de interrupções pode ser desenvolvido e mantido, com registros, para acessibilidade e referência futura.
As entidades financeiras devem criar e documentar políticas de backup e recuperação para minimizar o tempo de inatividade.
Protege os pontos de extremidade contra ransomware com backups instantâneos e coloca em quarentena os suspeitos para análise forense.
Quando um servidor falha, os usuários podem fazer uma nova instalação do PAM360 e restaurar o banco de dados com a ajuda do arquivo de backup e da chave mestra em menos de 15 minutos.
Faz o backup do AD, Microsoft 365 e muito mais com criptografia, recuperação rápida, MFA e imutabilidade para proteção de dados.
Automatiza o backup de configurações de dispositivos de rede (roteadores, switches, firewalls) e realiza verificações de conformidade para restauração rápida e continuidade dos negócios.
Permite o armazenamento de longo prazo de registros de segurança, garantindo que dados críticos estejam disponíveis para análise forense e auditorias de conformidade.
As organizações financeiras devem avaliar as ameaças cibernéticas, analisar os incidentes, rastrear as tendências de risco e fornecer treinamento de segurança para a equipe e para terceiros a fim de aumentar a maturidade cibernética e se adaptar às mudanças.
Registra e resume todos os detalhes da resposta a incidentes para revisões pós-incidente, a fim de promover o conhecimento e o aprendizado compartilhados.
Agrega e analisa dados de eventos de segurança de todo o ambiente de TI, permitindo que as organizações identifiquem vulnerabilidades, avaliem ameaças cibernéticas e refinem as estratégias de gerenciamento de riscos.
As entidades financeiras precisam de planos de comunicação de crise para divulgar incidentes ou vulnerabilidades de TIC a clientes, contrapartes e ao público, conforme exigido pelo Artigo 6(1). Isso envolve políticas para as partes interessadas internas e externas, com uma pessoa designada responsável por gerenciar as consultas da mídia.
Permite que as organizações alertem os responsáveis pela resposta a incidentes, as equipes internas, as autoridades competentes e todas as partes interessadas externas em todos os estágios do fluxo de trabalho de resposta a incidentes.
As Autoridades Europeias de Supervisão (ESAs) e a ENISA estabeleceram padrões técnicos regulatórios para melhorar a segurança de TIC em entidades financeiras. Esses padrões abrangem a força da rede, a integridade dos dados, o gerenciamento de acesso, a resposta a incidentes, os planos de continuidade e o gerenciamento de riscos de TIC. Elas também foram adotadas pela Comissão Europeia.
Ajuda as empresas a cumprir os RTS para o gerenciamento de riscos de TIC e aprimora as estruturas com o gerenciamento aprimorado de privilégios de endpoint.
Protege as redes empresariais com MFA resistente a phishing, rastreia riscos e revisa as permissões de acesso regularmente.
Automatiza o gerenciamento de acesso e usa MFA para proteger dados, ativos e toda a rede de negócios.
Garante que todas as ações de resposta a incidentes, impactos, CIs, conversas e anotações sejam registradas e resumidas para gerar análises detalhadas pós-incidente e facilitar o compartilhamento de conhecimento e o aprendizado coletivo.
Reforça a conformidade das entidades financeiras com as normas ESAs e ENISA por meio de controles de acesso granular e detecção proativa de dispositivos desonestos, garantindo segurança de ICT robusta e resiliência operacional.
Permite que as instituições financeiras gerenciem os privilégios de acesso de forma eficaz e monitorem a autenticação de usuários, o acesso baseado em funções e a detecção de anomalias em conformidade com as normas regulamentares.
As organizações devem estabelecer uma estrutura de gerenciamento de riscos de TIC com um plano claro, monitorar continuamente os sistemas e responder rapidamente aos riscos. Elas devem reconhecer sua dependência de fornecedores terceirizados e desenvolver planos de continuidade de negócios com backups.
Observação: este artigo só se aplica a empresas pequenas e não interconectadas, conforme descrito acima. Você pode consultar o regulamento DORA para obter mais detalhes.
Ajuda a cumprir o RTS para ferramentas, métodos, processos, políticas e estrutura simplificada de gerenciamento de riscos de TIC.
Detecta riscos do AD e do Microsoft 365, evita violações e faz backup de dados com imutabilidade para recuperação rápida.
Ajuda empresas pequenas e não interconectadas a aprimorar o gerenciamento de riscos com as práticas recomendadas da ITIL, incluindo gerenciamento de incidentes, solicitações de serviços, mudanças e ativos de TI.
Mantém a integridade da rede e simplifica o gerenciamento de riscos de TIC para a continuidade dos negócios. Os backups automatizados e o monitoramento de firewall em tempo real garantem a conformidade e a resposta rápida aos riscos.
As entidades financeiras devem gerenciar os incidentes relacionados a TIC detectando, registrando e monitorando-os. As principais etapas incluem o estabelecimento de indicadores de alerta antecipado, a atribuição de funções, o planejamento da comunicação com as partes interessadas, a comunicação dos principais incidentes à gerência sênior e o desenvolvimento de procedimentos de resposta para a recuperação oportuna do serviço.
Fornece dados importantes aos administradores de rede ou à equipe do SOC, incluindo tempo de detecção, status do ataque, ações do agente e detalhes do endpoint para eventos suspeitos, como malware ou ransomware.
Detecta incidentes, gerencia respostas e notifica as partes interessadas com ferramentas de monitoramento em tempo real e relatórios detalhados.
Use a IA para identificar indicadores antecipadamente e automatizar fluxos de trabalho para notificar as partes interessadas e resolver incidentes rapidamente.
Acelera a resposta a incidentes por meio de fluxos de trabalho visuais de resposta a incidentes, triagem inteligente, resumo com tecnologia GenAI e relatórios e análises robustos.
Painéis de controle em tempo real e alertas ajustáveis servem como avisos antecipados. Simplifique o rastreamento, o monitoramento e a geração de relatórios de incidentes para a pronta recuperação do serviço com protocolos de resposta predefinidos.
Simplifica a detecção, a classificação e a resolução de incidentes para entidades financeiras com seus recursos SOAR.
Crie um repositório para incidentes de TIC e ameaças cibernéticas. Gere relatórios para as partes interessadas para ajudar nas avaliações de impacto e nos esforços de mitigação.
As entidades financeiras devem classificar os incidentes de TIC por impacto e perda de dados. Os padrões regulatórios esclarecerão os relatórios de ameaças significativas à segurança cibernética, ajudando as pequenas empresas.
Fornece recursos de classificação de incidentes baseados em condições e orientados por IA, com base nos quais os fluxos de trabalho de resposta a incidentes podem ser invocados.
As entidades financeiras devem comunicar os principais incidentes de TIC a uma autoridade designada, fornecendo informações detalhadas para avaliação e possíveis efeitos transfronteiriços. Para isso, use os modelos do Artigo 20.
Auxilia as organizações financeiras na notificação oportuna de autoridades e partes interessadas durante a resposta a incidentes.
Confira o infográfico para ver como os produtos ManageEngine podem ajudar com os vários requisitos de conformidade com o DORA.
Para obter informações mais detalhadas, faça o download do guia.
Confira nosso guia para download para obter informações de alto nível sobre a DORA e como a ManageEngine pode ajudá-lo a implementar a maioria dos controles de conformidade do DORA.
A implementação completa da DORA exige uma variedade de processos, políticas, pessoas e controles de tecnologia. As soluções mencionadas acima são algumas das maneiras pelas quais as ferramentas de gerenciamento de TI ajudam nos requisitos de conformidade da DORA. Juntamente com outras soluções, processos, controles de pessoas e políticas apropriados, as soluções da ManageEngine podem ajudar as organizações a se alinharem com a DORA. As organizações devem fazer sua avaliação independente dos recursos da ManageEngine e até que ponto eles podem ajudá-las a cumprir essa diretriz. Este material é fornecido apenas para fins informativos e não deve ser considerado como aconselhamento jurídico para conformidade com a DORA. A ManageEngine não oferece garantias, expressas, implícitas ou estatutárias, com relação às informações contidas neste material. Entre em contato com seu consultor jurídico para saber como a DORA afeta sua organização e o que você precisa fazer para estar em conformidade com a DORA.