Jorge Monteiro
A entrada em vigor do regulamento europeu DORA (Digital Operational Resilience Act) marca um ponto de viragem na forma como as empresas que operam no ecossistema financeiro têm de encarar a cibersegurança. Numa indústria que lida diariamente com volumes massivos de dados sensíveis, a resiliência contra ciberameaças deixou de ser apenas uma preocupação para se tornar um requisito regulatório.
A complexidade do ecossistema financeiro moderno, onde os riscos não se limitam a falhas técnicas ou ataques isolados, mas a cadeias inteiras de fornecedores e infraestruturas interligadas, implica que as organizações adotem um modelo de cibersegurança capaz de identificar e mitigar vulnerabilidades antes que sejam exploradas. Para tal, é fundamental implementar abordagens que combinem a criatividade humana com a rapidez e persistência da inteligência artificial, criando um novo paradigma de defesa cibernética: o hacking ético autónomo. Este conceito baseia-se na interação entre especialistas humanos em cibersegurança e ferramentas de IA avançadas que operam em tempo real, identificando continuamente anomalias, detetando portas de entrada e reforçando as defesas antes que qualquer ameaça cause danos reais.
O sector financeiro sempre foi um alvo atrativo para os cibercriminosos, mas o nível de sofisticação dos ataques tem aumentado de forma exponencial. Hoje, os adversários exploram vulnerabilidades de forma automatizada, utilizando IA para encontrar brechas antes que as próprias empresas se apercebam da sua existência. Neste cenário, os métodos tradicionais de defesa, assentes em firewalls, antivírus, monitorização de ameaças e auditorias pouco frequentes, já não são suficientes.
Perante esta realidade, a resposta tem de passar forçosamente por ferramentas que testem a chamada superfície de ataque, ou seja, ferramentas capazes de mapear e testar continuamente todos os ativos digitais e identificar as vulnerabilidades. Trata-se, na prática, de fazer testes de segurança ofensivos contínuos, que permitem identificar vulnerabilidades em tempo real, com precisão e impacto, e, assim, prevenir proactivamente eventuais ciberataques.
Uma solução que tem outras vantagens. Uma delas, é uma realidade ainda escondida, conhecida por “vulnerability burnout”, que resulta da quantidade de novas vulnerabilidades publicadas diariamente e do excesso de ruído e dos falsos positivos gerados pela maioria dos scanners, ou do “cybersecurity burnout”, que resulta do facto de os profissionais de segurança estarem cada vez mais pressionados pela quantidade de ataques verificados, sofrendo de falta de reconhecimento quando as coisas correm bem e, agora, porque podem ser responsabilizados legalmente quando as coisas correm mal.
A boa notícia, no meio disto tudo, é que as entidades reguladoras já começam a aceitar relatórios provenientes destas soluções para comprovar a conformidade das empresas com as exigências do DORA, um reconhecimento claro de que a automação é uma aliada poderosa na mitigação de riscos.
A questão central que se coloca agora é a de como podem as empresas do setor financeiro garantir a conformidade com o DORA e, simultaneamente, fortalecerem as suas defesas, sem comprometerem a eficiência operacional. A resposta, passa por uma combinação estratégica de tecnologia, talento humano e uma mudança de mentalidade. Em vez de encararem o DORA apenas como um novo fardo regulatório, as instituições devem vê-lo como uma oportunidade para elevar o seu nível de segurança digital e consolidar a confiança dos seus stakeholders. Adotar um hacking ético autónomo e integrá-lo nos processos internos é uma das soluções, não só porque facilita a conformidade, como reduz os riscos associados aos danos financeiros e reputacionais que podem advir de ataques bem-sucedidos.
Por fim, o DORA não é apenas mais um regulamento. É um reflexo da necessidade urgente de transformarmos a cibersegurança numa prioridade absoluta no setor financeiro, e não só. À medida que as ameaças evoluem, a capacidade de resposta das organizações deve acompanhar esse ritmo.
Quem investir agora em abordagens inovadoras e na fusão entre inteligência humana e artificial estará mais bem posicionado para enfrentar os desafios do futuro e garantir a proteção dos seus ativos, dos seus clientes e da integridade do sistema financeiro como um todo.
Jorge Monteiro é CEO da Ethiack
