A resiliência operacional das instituições do setor financeiro tem vindo a ser apontada nos últimos anos como um dos aspetos regulatórios mais críticos e uma prioridade para os seus reguladores. As previsões para 2022 não foram diferentes [1] e mantiveram a tendência de um crescente impulso dado a este tópico, sem, contudo, antecipar que o início de uma guerra paredes-meias com a União Europeia viria agudizar o contexto geopolítico e económico e aumentar significativamente os riscos associados à cibersegurança.
Efetivamente, a ameaça trazida por este conflito vem somar-se a muitos outros fatores de risco de ciberataques já conhecidos do setor financeiro:
- a crescente dependência da tecnologia e as vulnerabilidades que lhe estão associadas;
- a inevitável automatização e digitalização dos processos (quer ao nível da relação com clientes, quer a nível operacional) que acarretam novos desafios e implicam repensar controlos;
- a maior oferta de canais (e uma utilização mais intensa desses canais, como se tem verificado com a popularidade do trabalho remoto, consequência da pandemia de COVID-19) que funcionam como pontos de entrada para ataques externos;
- a relação de interdependência do setor com um pequeno número de grandes empresas que prestam serviços de tecnologias de informação e comunicação, multiplicando o risco de propagação de eventos adversos; e
- as necessidades crescentes de transformação (por exemplo, ao nível das atividades que as instituições financeiras desenvolvem e dos serviços que prestam; dos mercados e países nos quais operam; dos seus processos internos; dos sistemas que utilizam; da composição da equipa de gestão) e os desafios decorrentes de change management, nomeadamente a emergência de ameaças desconhecidas e vulnerabilidades que, não sendo adequadamente endereçadas, podem ser exploradas.
Posto isto, é fundamental que as instituições do setor financeiro procedam, numa base regular, a uma autoanálise das suas estruturas de governo interno e dos seus sistemas de controlo, no sentido de assegurarem que estão preparadas para responder aos desafios de hoje.
A nível das estruturas de governo interno, as instituições devem implementar um programa abrangente de segurança de informação que (i) contemple um corpo consistente de políticas de segurança, processos e orientações que apliquem as normas legais ao contexto interno; (ii) defina funções, responsabilidades e linhas de reporte a este nível; (iii) assegure formação continua; e (iv) preveja uma identificação dos ativos tecnológicos internos e uma gestão dos riscos desses ativos.
Ao nível dos sistemas de controlo, devem reavaliar até que ponto os seus controlos estão ajustados ao nível crescente de risco operacional, incluindo pela realização frequente de testes, de revisões de conformidade e auditorias internas e externas, que cumpram com as boas práticas emitidas por organizações internacionais. Adicionalmente poderão, conforme necessário, ajustar os seus planos de contingência e continuidade de negócio para fazer face a eventos inesperados, de reduzida probabilidade, mas com elevado impacto (conhecidos como black swans). [2]
Igualmente crítico para a gestão dos riscos operacionais, será assegurar um acompanhamento adequado da subcontratação de funções críticas e importantes que foram confiadas a terceiros. No caso desses terceiros subcontratados serem alvo de ataques cibernéticos ou não garantirem um nível equivalente de controlo de riscos operacionais, tal afetará diretamente os serviços que estes prestam e de forma mais abrangente a atividade das entidades financeiras subcontratantes, podendo deitar por terra os seus esforços internos de gestão de risco e manutenção de um sistema de controlo interno robusto. [3]
Finalmente, as instituições do setor financeiro devem estar preparadas para a deteção atempada de eventos e para desencadearem de forma imediata os processos de análise e classificação desses eventos; garantindo os consequentes reportes externos e uma comunicação adequada e transparente com os seus stakeholders.
__________________________________________________
[1] No contexto nacional, o Banco de Portugal divulgou no “Relatório de Estabilidade Financeira do Banco de Portugal” (dezembro 2021) que uma das prioridades de supervisão para 2022 será a resiliência cibernética e a CMVM identificou no seu “Risk Outlook para 2022” o risco associado à digitalização como um dos principais riscos que as empresas de investimento terão de gerir este ano.
[2] Estas obrigações resultam de legislação e orientações em vigor, como é o caso do artigo 25º do Aviso do Banco de Portugal n.º 3/2020, da Instrução do Banco de Portugal n.º 4/2021 sobre a gestão e reporte, pelos prestadores de serviços de pagamento, dos riscos operacionais e de segurança; das Recomendações do Conselho Nacional de Supervisores Financeiros (CNSF) sobre Gestão da Continuidade de Negócio; e das Orientações da EBA relativas à gestão dos riscos associados às tecnologias de informação e comunicação e à segurança (EBA/GL/2019/04).
[3] A respeito da subcontratação, recordem-se as regras constantes do Aviso do Banco de Portugal n.º 3/2020 sobre a matéria e as Orientações da EBA relativas à subcontratação da (EBA/GL/2019/02).