Dora e segurança do SaaS

O que é DORA?

A DORA (Digital Operational Resilience Act, Lei de Resiliência Operacional Digital) da União Europeia entrou em vigor em 16 de janeiro de 2023, mas as organizações tinham até 17 de janeiro de 2025 para se adequarem a ela. Instituições financeiras, incluindo bancos, seguradoras e empresas de investimento, devem cumprir as rigorosas normas da legislação em relação às capacidades de proteção, detecção, contenção, recuperação e reparo de cibersegurança, sob pena de sofrerem penalidades.

Qual é o papel da DORA na segurança do SaaS?

A DORA foi criada pela UE para reforçar a resiliência operacional das suas entidades financeiras. A UE reconheceu que a transformação digital em curso no setor de serviços financeiros impôs uma dependência de tecnologia sem precedentes. Os serviços financeiros seriam afetados caso essa tecnologia fosse alvo de comprometimento por um ataque cibernético. A DORA abrange as tecnologias de informação e comunicação (TIC), incluindo aplicações SaaS baseadas na nuvem.

Quais são os requisitos que a DORA impõe às empresas de serviços financeiros?

A DORA abrange cinco domínios principais cruciais para o funcionamento robusto das operações digitais nos serviços financeiros:

• Gestão de riscos de TIC: estratégias e protocolos para identificar, avaliar e mitigar os riscos associados aos sistemas de tecnologias de informação e comunicação (TIC).
• Relatórios: procedimentos e normas para a elaboração de relatórios abrangentes sobre resiliência operacional e atividades de gestão de riscos.
• Testes de resiliência operacional digital: metodologias e frameworks de teste para avaliar a resiliência e a confiabilidade das operações digitais em diversos cenários de estresse.
• Gestão de riscos de terceiros: práticas e protocolos para gerenciar os riscos representados por prestadores de serviços terceirizados, fornecedores e parceiros no ecossistema digital.
• Compartilhamento de informações e inteligência: mecanismos para a troca de informações críticas e de inteligência relacionadas a ciberameaças, vulnerabilidades e incidentes entre as partes interessadas relevantes.

Para garantir a conformidade com a DORA e manter a resiliência operacional, os prestadores de serviços financeiros devem demonstrar capacidade nas seguintes áreas-chave:

• Identificação: a capacidade de documentar todos os usuários, suas funções e suas responsabilidades dentro da aplicação.
• Proteção e prevenção: é necessário desenvolver políticas e implementar ferramentas que monitorem as configurações para garantir a resiliência e a disponibilidade contínua da aplicação.
• Detecção: monitoramento imediato do comportamento do usuário para detectar IOCs (indications of compromise, indícios de comprometimento) na aplicação.
• Aprendizado e evolução: criação de uma trilha de auditoria para a análise pós-ataque depois de qualquer incidente de cibersegurança.
• Gerenciamento de riscos de terceiros: garantir que todas as aplicações integradas mantenham os mesmos padrões de segurança impostos às aplicações SaaS do hub.

Como a DORA afeta a segurança do SaaS?

A segurança do SaaS é um subconjunto do gerenciamento de riscos de TIC e se concentra na proteção de aplicações e plataformas de SaaS que são utilizadas em operações de serviços financeiros. Organizações que buscam a conformidade com a DORA devem proteger esses aplicativos contra todos os vetores de ataque conhecidos.

Configurações incorretas

As organizações devem adotar medidas para identificar configurações inadequadas que possam levar a comprometimentos de dados e interrupções de serviço.

Segurança de identidade

As equipes de segurança devem monitorar e gerenciar todos os usuários e garantir que as permissões sigam o princípio do privilégio mínimo. Além disso, as organizações devem ser capazes de identificar usuários que mantiveram o acesso após o término do contrato, contas de usuários inativas e contas de usuários externos.

Dispositivos

Cada dispositivo do usuário traz um elemento de risco para a aplicação de SaaS. As equipes de segurança devem eliminar esse risco identificando dispositivos de alto risco e associando-os a usuários específicos.

Segurança de aplicações de terceiros

Muitas aplicações solicitam escopos intrusivos além do necessário para sua funcionalidade, expondo a empresa a possíveis apps maliciosos ou a apps legítimos que são comprometidos por um agente de ameaças.

Gerenciamento de dados

As organizações devem proteger documentos e outros ativos digitais por meio de controles de acesso e permissões de compartilhamento. Documentos compartilhados com qualquer pessoa por meio de um link, por exemplo, não podem ser protegidos sem que as configurações de compartilhamento sejam alteradas.

Além disso, a DORA exige que as entidades financeiras implementem mecanismos para detectar atividades anômalas e identificar pontos únicos de falha relevantes. Esses mecanismos devem oferecer múltiplos níveis de controle e conduzir a atividades de resposta a incidentes.

Quais ferramentas protegem a stack de SaaS e estão em conformidade com a DORA?

Organizações que buscam a conformidade com a DORA devem implementar uma plataforma de SSPM (SaaS Security Posture Management, gerenciamento de postura de segurança do SaaS) e de ASPM (application security posture management, gerenciamento de postura de segurança de aplicações). Os SSPMs revisam automaticamente as configurações da aplicação e alertam as partes interessadas sobre desvios de configuração. Essa visibilidade das aplicações em um painel de controle permite que administradores e equipes de segurança protejam a aplicação.

Os SSPMs também revisam os logs do usuário. Eles podem identificar usuários com permissões excessivas, encontrar contas inativas, monitorar usuários externos e garantir que os funcionários desligados percam totalmente o acesso a aplicações corporativas. Eles também podem associar dispositivos a usuários, facilitando a localização de dispositivos de alto risco que estão sendo usados por contas com privilégios elevados. 

A detecção e o monitoramento de terceiros são outras funções essenciais do SSPM. Os SSPMs revisam as aplicações conectadas, identificam aquelas que estão se comportando de maneira anômala ou que possuem escopos excessivos e permitem que os usuários sejam desvinculados da aplicação. 

Um SSPM consegue detectar ameaças?

Os SSPMs com capacidades de ITDR (identity threat detection & response, detecção e resposta de ameaças a identidades) usam dados de toda a stack de SaaS para encontrar ameaças e alertar as equipes de segurança. A equipe de ITDR identifica anomalias no comportamento do usuário e analisa os logs de auditoria para detectar IOCs (indicators of compromise, indicadores de comprometimento) e ameaças.

As ameaças podem ter diversas origens, de dados de IP até o comportamento do usuário. Os dados provêm de toda a stack de SaaS, resultando em um conjunto de dados muito mais rico e mais contexto sobre a ameaça. Esse tipo de detecção de ameaças geralmente cumpre os requisitos da DORA.

Práticas recomendadas para provedores de SaaS

Algumas das práticas recomendadas para provedores de SaaS incluem:

• Aproveite as plataformas de segurança: utilize plataformas abrangentes de segurança e conformidade, adaptadas às necessidades específicas de aplicações de SaaS no setor financeiro. Essas plataformas podem facilitar o gerenciamento de identidades, o gerenciamento de configurações incorretas, a detecção de ameaças e o gerenciamento de dados, garantindo o alinhamento com os requisitos da DORA.
• Testes regulares de resiliência: realize testes regulares de resiliência operacional digital, incluindo cenários nos quais um provedor de serviços em nuvem falhe. Isso garante o preparo e a capacidade de executar transições sem problemas, minimizando o impacto para o cliente.
• Backup e recuperação robustos: implemente políticas e procedimentos de backup que garantam a proteção dos dados contra riscos decorrentes do gerenciamento de dados, incluindo erros humanos. Teste regularmente esses procedimentos para garantir o restabelecimento rápido após interrupções relacionadas à TIC.