Voltar
Formazione Cybersecurity per Aziende | MetaCompliance

Produtos

Descubra o nosso conjunto de soluções personalizadas de formação em sensibilização para a segurança, concebidas para capacitar e educar a sua equipa contra as ciberameaças modernas. Desde a gestão de políticas a simulações de phishing, a nossa plataforma equipa a sua força de trabalho com os conhecimentos e as competências necessárias para proteger a sua organização.

eLearning em Cibersegurança

Cyber Security eLearning para explorar a nossa biblioteca de eLearning premiada, adaptada a cada departamento

Automação da Sensibilização para a Segurança

Programe a sua campanha anual de sensibilização em apenas alguns cliques

Simulação de phishing

Impeça os ataques de phishing no seu caminho com o premiado software de phishing

Gestão de políticas

Centralize as suas políticas num único local e faça uma gestão sem esforço dos ciclos de vida das políticas

Gestão de privacidade

Controlar, monitorizar e gerir a conformidade com facilidade

Gestão de Incidentes

Assuma o controlo dos incidentes internos e corrija o que é importante

Voltar
Indústria

Indústrias

Explore a versatilidade das nossas soluções em diversos sectores. Desde o dinâmico sector tecnológico até aos cuidados de saúde, descubra como as nossas soluções estão a fazer ondas em vários sectores. 


Serviços Financeiros

Criando uma primeira linha de defesa para organizações de serviços financeiros

Governos

Uma solução de sensibilização para a segurança para os governos

Empresas

Uma solução de formação de sensibilização para a segurança para grandes empresas

Trabalhadores à distância

Incorporar uma cultura de sensibilização para a segurança - mesmo em casa

Sector da Educação

Formação de sensibilização para a segurança no sector da educação

Trabalhadores do sector da saúde

Veja a nossa sensibilização para a segurança personalizada para profissionais de saúde

Indústria tecnológica

Transformar a formação em sensibilização para a segurança na indústria tecnológica

Conformidade NIS2

Apoie os seus requisitos de conformidade Nis2 com iniciativas de sensibilização para a cibersegurança

Voltar
Recursos

Recursos

Desde cartazes e políticas a guias definitivos e estudos de casos, os nossos recursos de sensibilização gratuitos podem ser utilizados para ajudar a melhorar a sensibilização para a cibersegurança na sua organização.

Cyber Security Awareness For Dummies - MetaCompliance

Um recurso indispensável para criar uma cultura de ciberconsciência

Guia de Segurança Cibernética para Principiantes Elearning

O melhor guia para implementar uma aprendizagem eficaz sobre cibersegurança

Guia definitivo para phishing

Educar os funcionários sobre como detetar e prevenir ataques de phishing

Cartazes de consciencialização gratuitos

Descarregue estes cartazes gratuitos para aumentar a vigilância dos empregados

Política anti-phishing

Criar uma cultura consciente da segurança e promover a sensibilização para as ameaças à cibersegurança

Estudos de casos

Saiba como estamos a ajudar os nossos clientes a promover comportamentos positivos nas suas organizações

Terminologia de Segurança Cibernética A-Z

Glossário de termos de cibersegurança obrigatórios

Modelo de maturidade comportamental em cibersegurança

Audite a sua formação de sensibilização e compare a sua organização com as melhores práticas

Coisas grátis

Descarregue os nossos activos de sensibilização gratuitos para melhorar a sensibilização para a cibersegurança na sua organização

Voltar
MetaCompliance | Formazione Cybersicurezza per Aziende

Sobre

Com mais de 18 anos de experiência no mercado da cibersegurança e da conformidade, a MetaCompliance oferece uma solução inovadora para a sensibilização do pessoal para a segurança da informação e para a automatização da gestão de incidentes. A plataforma MetaCompliance foi criada para responder às necessidades dos clientes de uma solução única e abrangente para gerir os riscos pessoais relacionados com a cibersegurança, a proteção de dados e a conformidade.

Porquê escolher-nos

Saiba por que a Metacompliance é o parceiro de confiança para o treinamento de conscientização sobre segurança

Especialistas em envolvimento de empregados

Facilitamos o envolvimento dos funcionários e a criação de uma cultura de consciencialização cibernética

Automação da Sensibilização para a Segurança

Automatize facilmente a formação de sensibilização para a segurança, o phishing e as políticas em minutos

Liderança

Conheça a Equipa de Liderança da MetaCompliance

MetaBlog

Mantenha-se informado sobre tópicos de formação de sensibilização cibernética e mitigue os riscos na sua organização.

O que é a Lei da Resiliência Operacional Digital (DORA)?

DORA

sobre o autor

Partilhar esta publicação

A DORA afecta o sector dos serviços financeiros da UE, e esta legislação está prestes a fazer ondas no sector financeiro. Eis um olhar sobre algumas das obrigações da DORA a que as instituições financeiras devem aderir.

O sector dos serviços financeiros é há muito tempo um inovador tecnológico e o primeiro motor. Os avanços na banca e nas finanças significaram que a transformação digital no sector tem vindo a crescer. Mas novas tecnologias e novas formas de trabalho seduzem os cibercriminosos. O resultado é que os ataques contra o sector financeiro estão a subir em flecha.

Em 2021, a banca registou umaumento de1,318% nos ataques de resgate, e 65% das grandes organizações financeiras sofreram um ataque cibernético em 2020. A natureza severa dos ataques cibernéticos cada vez mais complexos e prejudiciais no sector financeiro levou a nova legislação a entrar no léxico de regulação dos serviços financeiros, e o seu nome é DORA (Digital Operational Resilience Act).

DORA Basics

O primeiro projecto da DORA foi publicado a 24 de Setembro de 2020, e a 10 de Setembro de 2022, o Parlamento Europeu aprovou. A legislação desempenhará um papel central no "pacote financeiro digital", utilizado para permitir a inovação e a concorrência nas finanças digitais, mitigando simultaneamente os riscos decorrentes da digitalização da indústria.

Como tal, o artigo 114 do Tratado sobre o Funcionamento da União Europeia (TFUE) é utilizado como base jurídica da DORA; a legislação centra-se na harmonização das directrizes de segurança cibernética em todo o sector. 

A UE gosta de utilizar meios regulamentares para consolidar e harmonizar as melhores práticas; o GDPR é um exemplo de um regulamento harmonizado sobre privacidade de dados; a DORA é a tentativa da UE de consolidar e actualizar a gestão de risco das TIC em todo o sector financeiro, com a DORA a ter impacto nas empresas de serviços financeiros da UE e nos seus fornecedores (críticos) de TIC.

A DORA exigirá que as empresas do sector financeiro implementem medidas que as protejam contra riscos relacionados com as TIC: como tal, a DORA alarga os requisitos para incluir terceiros, tais como os fornecedores de nuvens.

Que Obrigações Exige a DORA do Sector Financeiro?

O objectivo é criar um ambiente resiliente em todo o ecossistema dos serviços financeiros. O quadro subjacente à DORA é construído sobre um conjunto de regras que são concebidas para ajudar as instituições financeiras a desenvolver processos robustos de gestão de risco. Alguns dos principais requisitos e cobertura da DORA incluem o seguinte:

Âmbito da DORA

Quase todos os tipos de entidades financeiras ficarão sob a DORA. As entidades abrangidas incluem instituições de crédito, instituições de pagamento, instituições de dinheiro electrónico, empresas de investimento, fornecedores de serviços crypto-asset, fundos de investimento alternativos, gestores de seguros, etc. A excepção são os auditores, que actualmente não estão sujeitos às regras da DORA, mas isto é susceptível de mudar em futuras versões da Lei. Para uma lista completa das entidades abrangidas, ver Artigo 2 da DORA.

Os fornecedores de TIC que prestam serviços às entidades abrangidas pela DORA devem também aderir à Lei. Os fornecedores de TIC são vistos como fulcrais para o sector financeiro e, como tal, estão sujeitos a regras rigorosas ao abrigo da DORA. Os prestadores de serviços TIC críticos não baseados na UE a entidades financeiras na UE devem estabelecer uma filial dentro da UE.

Provedores de TIC e DORA

A gestão de risco por terceiros é uma parte fundamental da DORA. O foco nos fornecedores de TIC é uma reacção ao aumento de ataques na cadeia de fornecimento, tais como a actualização do software SolarWinds Orion. A Agência de Segurança Cibernética da União Europeia (ENISA) relatou um aumento da sofisticação e do volume de ataques à cadeia de abastecimento, com atacantes a visarem a cadeia de abastecimento para roubar dados e bens financeiros. A DORA coordena os requisitos utilizando estruturas existentes, tais como as Directrizes de Outsourcing da Autoridade Bancária Europeia (EBA). (Ver também Artigo 14 da DORA)

Sob a DORA, as empresas financeiras podem definir alguns fornecedores de TIC como 'críticos'. Como tal, um fornecedor de TIC crítico que preste serviços a uma entidade coberta pela DORA ficará sujeito a regras rigorosas aplicadas através de um compromisso directo com as autoridades FS (serviços financeiros) da UE.

Medidas Chave de Segurança Cibernética

Os valores centrais da legislação DORA são a manutenção de sistemas de TIC resistentes. Para o conseguir, foram estabelecidas as seguintes directrizes:

Gestão de Risco e Resiliência

No cerne da DORA estão directrizes de gestão de risco para ajudar o sector dos serviços financeiros a construir infra-estruturas mais resilientes. Os programas e avaliações de gestão de risco resultantes são utilizados como base para testar a resiliência. Além disso, a legislação espera que sejam efectuadas análises de impacto empresarial com base em cenários de "graves perturbações empresariais".

Espera-se que os testes de resiliência e vulnerabilidade sejam realizados por peritos independentes e incluam testes regulares de penetração conduzidos por ameaças. É importante notar que todos os sistemas TIC críticos devem ser testados anualmente.

Medidas de protecção (ver também artigo 8º)

Exemplos de medidas de protecção necessárias incluem:

  • Utilizar políticas apropriadas e abrangentes para correcções e actualizações.
  • Implementar políticas e protocolos para mecanismos de autenticação fortes
  • Seguir uma abordagem baseada no risco para estabelecer uma boa gestão da rede e das infra-estruturas
  • Implementar políticas que limitem o acesso físico e virtual aos recursos e dados do sistema TIC
  • Prevenir fugas de informação

Gestão de Incidentes TIC

O artigo 15º contém pormenores sobre os requisitos para gerir e controlar incidentes de segurança, incluindo procedimentos para "detectar, gerir e notificar incidentes relacionados com as TIC e criar indicadores de alerta precoce como alertas".

Comunicação de Incidentes de Segurança Cibernética

As entidades abrangidas devem fornecer um meio de monitorizar, descrever e comunicar quaisquer incidentes significativos baseados nas TIC às autoridades relevantes. As regras de notificação são rigorosas para os fornecedores de TIC críticas. Incluem a notificação inicial o mais tardar no final do dia útil, ou se o incidente significativo tiver ocorrido 2 horas antes do final do dia útil, o mais tardar 4 horas a partir do início do dia útil seguinte.

A partir daí, é necessário um relatório intermédio o mais tardar uma semana após a notificação inicial; este é seguido por um relatório final quando a análise da causa raiz tiver sido concluída o mais tardar um mês após o envio do relatório inicial.

Responsabilidade de Gestão e Segurança

A DORA coloca a responsabilidade pelos riscos das TIC e ameaças cibernéticas à porta do grupo de gestão dos serviços financeiros. A prestação de Formação de Sensibilização para a Segurança ajudará a assegurar o nível C, e toda a empresa está focada na segurança.

A DORA também cobre aspectos essenciais de gestão e resposta de segurança cibernética, tais como a partilha de informação (ver Artigo 40).

O que se segue para a DORA?

O regulamento tem um período de implementação de 24 meses para as entidades financeiras e os seus prestadores de serviços críticos de terceiros a partir da legislação em vigor. Por conseguinte, as entidades abrangidas são aconselhadas a utilizar os 24 meses entre a data de entrada em vigor da legislação e a implementação de medidas conformes para fazer uma análise de lacunas: medidas tais como testes de penetração induzidos por ameaças e regras rigorosas de notificação poderiam de outra forma colmatar essa lacuna.

Formação de Sensibilização de Segurança para Fornecedor de Terceiros

Outros artigos sobre a formação em sensibilização para a cibersegurança que poderão ser do seu interesse