A nova era da resiliência operacional: lições-chave para Portugal

A resiliência operacional tornou se um dos pilares da estabilidade do setor financeiro europeu. A digitalização acelerada, a adoção crescente de serviços cloud e a rápida evolução das ameaças tornam a cibersegurança essencial para garantir a continuidade do negócio, a confiança dos clientes e a robustez do sistema financeiro.
Neste contexto, o mais recente relatório CBEST Thematic do Banco de Inglaterra oferece uma visão aprofundada do estado real da ciber resiliência em entidades financeiras críticas. Embora focado no Reino Unido, as suas conclusões são altamente relevantes para Portugal e alinham se com o regulamento DORA (Digital Operational Resilience Act) da União Europeia, bem como com os requisitos do Banco de Portugal e de outros reguladores europeus.
Destaco as principais conclusões aplicáveis ao setor financeiro português:
Persistência de falhas básicas de higiene cibernética – Grande parte das vulnerabilidades identificadas resulta de patches atrasados, configurações incorretas ou ausência de controlos mínimos. Num setor altamente regulado, estes aspetos representam riscos significativos.
Aumento do risco sistémico devido à interdependência tecnológica – A implementação generalizada da cloud, IA e modelos operacionais distribuídos aumenta a complexidade e exige uma supervisão contínua de fornecedores críticos e cadeias de fornecimento tecnológicas.
Necessidade de frameworks TLPT (Threat-Led Penetration Testing) realistas e baseados em inteligência – Exercícios que simulam ataques reais, como o CBEST, TIBER EU e outros modelos utilizados na Europa, permitem avaliar o grau de preparação perante ameaças avançadas e alinham se com os requisitos do DORA.
Déficits de deteção e capacidade de resposta – Muitas instituições ainda não dispõem de níveis adequados de visibilidade, correlação de eventos ou mecanismos de resposta suficientemente preparados para cenários complexos.
Planos de remediação insuficientes – Identificar vulnerabilidades não é suficiente; são necessários programas estruturados, priorizados e rastreáveis de remediação.
Fragilidades em processos, formação e cultura organizacional – A resiliência operacional depende também de processos sólidos, papéis claramente definidos e uma cultura que favoreça prevenção, resistência e recuperação.
Necessidade de maior partilha de inteligência – A colaboração ativa entre instituições, fornecedores e supervisores é essencial para reforçar a defesa coletiva do setor.
A implementação do DORA representa uma mudança significativa, já que obriga as instituições financeiras europeias a seguirem modelos avançados de resiliência, incluindo TLPT, gestão melhorada de terceiros, relatórios unificados de incidentes e monitorização contínua.
Com o DORA e o aumento da sofisticação das ameaças, as entidades portuguesas enfrentam a oportunidade e a responsabilidade de elevar o seu nível de maturidade. Parceiros especializados com experiência comprovada ajudam a avançar com confiança nesta nova era.

---