Companhias financeiras e suas empresas de suprimentos de tecnologia precisarão de muito trabalho para ficarem em conformidade com uma lei de cibersegurança europeia que e entra em vigo no ano que vem.

A lei vem chamando atenção porque faz com que as companhias mudem significativamente como gerenciam riscos. Ela se aplica a grandes e pequenas fornecedoras de tecnologia ou companhias provedoras de serviço, como as hospedeiras do serviço em nuvem.

Leia mais:

“Será uma quebra de paradigma mesmo aos que já estão totalmente preparados”, opinou Sabrina Feng, líder de tecnologia, ciber e resiliência de riscos na Londres Stock Exchange Group, em fala realizada na terça-feira (13) em conferência realizada em Bruxelas (Bélgica).

publicidade

Companhias menores que ainda não prepararam processos para gerenciais riscos digitais podem ter que reconsiderar seus respectivos modelos de negócio enquanto se preparam, ela disse, segundo o The Wall Street Journal.

Nova lei ciber

  • A lei, aprovada no ano passado, fará com que as empresas mudem aspectos como testam sistemas de segurança e reportam ataques cibernéticos a reguladores;
  • Sob as regras, empresas financeiras precisarão abordar “totalmente” os pontos fracos que encontraram em testes de segurança de sistemas críticos;
  • Companhias maiores precisarão lidar com testes de penetração mais avançados a cada três anos, incluindo testes de cada serviço tecnológico provido a terceiros.

As empresas que não se adequarem às novas regras poderão ser multadas e receberem ordens para mudarem seus processos de segurança. As sanções serão aplicadas em companhias que fizerem negócios na União Europeia (UE) a partir de janeiro de 2025.

Apesar de a lei trazer certos desafios, Feng pontuou que ajudará a elevar padrões de segurança entre fornecedores de tecnologia que fornecem seus serviços a bancos e demais instituições financeiras. Isso está “nos dando condições de igualdade”, afirmou.

Auxílio aos menores players

Autoridades que participaram da supervisão da nova lei defendem que ela pode, ainda, ajudar empresas que reclamam não ter poder de barganha ante grandes fornecedores tecnológicos.

Barbara Daskala, funcionária da Autoridade Europeia de Valores Mobiliários e Mercados, que regula os mercados financeiros na UE, falou, na mesma conferência, que “esperamos que a lei lhes dê mais influência contratual para exigir melhorias de segurança dos seus fornecedores”.

Como supervisionar os fornecedores terceirizados?

Boa parte das instituições financeiras já estabeleceu processos para gerenciar riscos cibernéticos de seus fornecedores de tecnologia atuais, podendo, contudo, não ter o mesmo nível de supervisão sobre provedores que trabalham com seus fornecedores, segundo Rigo Van den Broeck, vice-presidente executivo de inovação de produtos de segurança cibernética da Mastercard.

Os denominados fornecedores terceirizados poderiam representar riscos para as empresas financeiras. “Muitas instituições financeiras ainda estão tentando descobrir isso”, prosseguiu.

Instituições financeiras vs. hackers

As empresas financeiras e provedoras de serviços tecnológicos sofrem constantemente com ataques hackers.

Na segunda-feira (12), a Infosys, que presta serviços ao Bank of America, informou, em divulgação ao Procurador-Geral do Maine (EUA) que dados pessoais de cerca de 57 mil clientes bancários foram expostos após ataque cibernético.

Informações dão conta de que as informações foram acessadas em novembro passado.

A lei da UE faz com que os membros superiores dessas empresas assumam a responsabilidade pela supervisão de riscos cibernéticos, contudo, não diz claramente qual cargo o funcionário responsável precisa ter.

Por sua vez, Feng afirmou que a exigência poderia forçar as equipes de informática cibernéticas e de risco a trabalharem em uníssono. Anteriormente, Feng atuou como diretora de segurança da informação na Equiiti, que fornece tecnologia a instituições financeiras.

Ainda de acordo com ela, empresas de risco podem ajudar seus homólogos na segurança cibernética sem interferência em seu trabalho, concentrando-se em gestão de risco ampla e não em proteções de segurança específicas.

“Quando eu era CISO, odiava nossa equipe de risco. Eu estava pensando que esses caras não sabiam nada sobre segurança e vieram até mim tentando me dar conselhos”, finalizou.