Microsoft Entra considerações do cliente no DORA

Observação

Esta informação não é legal, financeira ou profissional e não deve ser vista como uma declaração completa nem as ações necessárias para cumprir, os requisitos da lei. É fornecido apenas para fins informativos.

A Lei de Resiliência Operacional Digital (DORA) é um quadro regulamentar estabelecido pela União Europeia, destinado a fortalecer a resiliência operacional do sector dos serviços financeiros no meio do cenário em rápida evolução dos riscos das Tecnologias de Informação e Comunicação (TIC). As entidades reguladas podem considerar incorporar Microsoft Entra funcionalidades e capacidades nas suas arquiteturas, políticas e planos para se alinharem com determinados requisitos ao abrigo do DORA.

Embora Microsoft Entra ID ofereça controlos que podem ajudar a cumprir determinados requisitos do DORA e fornece funcionalidades modernas de gestão de identidades e acessos (IAM), confiar apenas numa plataforma IAM não é suficiente para proteger dados de entidades financeiras. É importante rever este artigo e todos os requisitos do DORA para estabelecer um programa de resiliência operacional digital abrangente. Para obter recursos oficiais do DORA, visite o site oficial da Autoridade Europeia de Seguros e Pensões ocupacionais.

Microsoft Entra e DORA

Microsoft Entra, que consiste em Microsoft Entra ID (anteriormente Azure Active Directory) e outras capacidades de Microsoft Entra é um serviço de identidade empresarial que pode ajudar a proteger aplicações, sistemas e recursos para suportar os esforços de conformidade do DORA. Microsoft Entra ID sustenta as ofertas empresariais da Microsoft, como o Microsoft 365, o Azure e o Dynamics 365, melhora a segurança geral e a proteção de identidades e pode desempenhar um papel crucial no alinhamento com os requisitos de gestão de riscos de TIC mais amplos ao abrigo do DORA.

As entidades reguladas podem considerar incorporar Microsoft Entra capacidades nas suas estruturas, políticas e planos para se alinharem com determinados requisitos no ÂMBITO DORA:

• Arquitetura de gestão de riscos de TIC
• Política de continuidade de negócio de TIC
• Planos de resposta e recuperação de TIC

Cada um dos itens mencionados acima pode abranger várias estratégias, políticas, procedimentos, protocolos de TIC e ferramentas que as entidades financeiras são necessárias para implementar. A lista acima não deve ser considerada exaustiva.

Além disso, um quadro de governação e controlo interno que garanta uma gestão eficaz e prudente do risco de TIC é fundamental para mitigar os riscos que o DORA procura resolver. Quando tal estrutura é suportada através da utilização de controlos Microsoft Entra, deve haver uma avaliação regular dos controlos e outras mitigações de risco para as cargas de trabalho suportadas, com especial atenção aos que são parte integrante da prestação de serviços financeiros.

Microsoft Entra documentação de orientação para clientes no âmbito do DORA

A arquitetura distribuída geograficamente do Microsoft Entra combina monitorização extensiva, reencaminhamento automatizado, ativação pós-falha e capacidades de recuperação para proporcionar elevada disponibilidade e desempenho contínuos. A Microsoft também tem uma abordagem abrangente à gestão de incidentes de segurança, gestão de fornecedores e gestão de vulnerabilidades.

Microsoft Entra ID funcionalidade pode ajudar as entidades financeiras a cumprirem as suas obrigações de conformidade do DORA. A tabela seguinte descreve as funcionalidades, capacidades e ofertas de serviços da Microsoft, juntamente com orientações relacionadas e uma lista não anexestiva de exemplos de artigos do DORA para consideração como parte de um programa de resiliência operacional digital abrangente.

Os artigos referenciados na tabela abaixo fornecem orientações para entidades financeiras sobre como Microsoft Entra ID podem ser configurados e operacionalizados de forma a promover as melhores práticas de Gestão de Identidades e Acessos (IAM) eficazes como parte das suas obrigações de conformidade do DORA.

Observação

Por questões de brevidade, referimo-nos ao RTS sobre a arquitetura de gestão de riscos de TIC e à estrutura de gestão de riscos de TIC simplificada (Ref. JC 2023 86) como "RTS em estruturas de gestão de riscos de TIC".

Oferta de funcionalidades, capacidades ou serviços da Microsoft	Documentação de orientação para consideração do cliente	Artigos do DORA de exemplo para consideração do cliente
Várias capacidades de Microsoft Entra ID permitem que as organizações criem resiliência na gestão de identidades e acessos.	As entidades financeiras podem melhorar a resiliência em sistemas protegidos por Microsoft Entra ID, seguindo as recomendações incluídas e referenciadas no seguinte artigo: Resiliência na gestão de identidades e acessos com Microsoft Entra ID	Lei DORA: Artigo 7.º: Sistemas de TIC, protocolos e ferramentas
Microsoft Entra sistema de Autenticação de Cópia de Segurança	As Entidades Financeiras podem considerar o Microsoft Entra sistema de autenticação de cópia de segurança, o que aumenta a resiliência da autenticação se ocorrer uma falha. As entidades financeiras podem tomar medidas para ajudar a garantir que os utilizadores podem autenticar-se com o sistema de autenticação de cópia de segurança em caso de indisponibilidade, tais como: Considere os Requisitos da aplicação para o sistema de autenticação de cópia de segurança para determinar se os protocolos e fluxos suportados são utilizados pelas aplicações. Certifique-se de que as predefinições de resiliência do Acesso Condicional estão ativadas. A Microsoft recomenda vivamente que deixe as predefinições de resiliência ativadas sempre que possível para mitigar o impacto de uma falha. Avalie cuidadosamente a utilização das capacidades de Acesso Condicional que podem reduzir a resiliência, como políticas que utilizam o controlo de frequência de início de sessão. Considere a utilização de serviços criados na Infraestrutura do Azure com identidades geridas e serviços do Azure a autenticar entre si, uma vez que estes serviços estão protegidos pelo sistema de autenticação de cópia de segurança. Considere os ambientes da Microsoft Cloud que suportam o sistema de autenticação de cópia de segurança.	Lei DORA: Artigo 7.º: Sistemas de TIC, protocolos e ferramentas Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras.
Avaliação de Acesso Contínuo Microsoft Entra	As entidades financeiras podem considerar a utilização da Avaliação de Acesso Contínuo (CAE), que permite aos Microsoft Entra ID emitir tokens de maior duração ao mesmo tempo que permitem que as aplicações revoguem o acesso e forcem a reautenticação apenas quando necessário. O resultado líquido deste padrão é menos chamadas para adquirir tokens, o que significa que o fluxo ponto a ponto é mais resiliente. Para utilizar o CAE, o serviço e o cliente têm de ser compatíveis com CAE. Por conseguinte, as entidades financeiras podem considerar estes passos de implementação para atualizar código para utilizar APIs compatíveis com CAE, garantir que as versões compatíveis das aplicações nativas do Microsoft Office são utilizadas e otimizar os pedidos de reautenticação.	Lei DORA: Artigo 7.º: Sistemas de TIC, protocolos e ferramentas Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras.
Opções de arquitetura de autenticação híbrida da Microsoft	As entidades financeiras que requerem uma arquitetura de autenticação híbrida podem considerar a resiliência dos mecanismos de autenticação híbrida, incluindo dependências no local e potenciais pontos de falha. A Microsoft considera que a sincronização do hash de palavras-passe (PHS) é a opção de arquitetura híbrida mais resiliente, uma vez que tem dependências no local apenas para sincronização e não para autenticação. Isto significa que os utilizadores podem continuar a autenticar com Microsoft Entra ID em caso de indisponibilidade do PHS. A Autenticação Pass-through (PTA) tem um espaço no local sob a forma de Microsoft Entra agentes PTA. Estes agentes têm de estar disponíveis para que os utilizadores se autentiquem com Microsoft Entra ID. A federação requer a utilização de um serviço de federação, como Serviços de Federação do Active Directory (AD FS) (ADFS). A federação tem a maior dependência na infraestrutura no local e, por conseguinte, mais pontos de falha de autenticação. As organizações que utilizam o PTA ou a federação também podem considerar ativar o PHS para relatórios de credenciais vazados e a capacidade de mudar para a autenticação na cloud em caso de uma falha no local (por exemplo, devido a um ataque de ransomware).	Lei DORA: Artigo 7.º: Sistemas de TIC, protocolos e ferramentas Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras.
Várias capacidades de Microsoft Entra ID permitem que as organizações apertem a postura de segurança do inquilino.	As entidades financeiras podem implementar ações recomendadas críticas: Reforçar as suas credenciais Reduzir a área da superfície de ataque Automatizar a resposta a ameaças Utilizar a cloud intelligence Ativar a gestão personalizada do utilizador final	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras
O início de sessão único (SSO) para aplicações empresariais no Microsoft Entra ID ajuda a garantir os benefícios das políticas de credenciais, deteção de ameaças, auditoria, registo e outras funcionalidades adicionadas a essas aplicações.	As entidades financeiras podem configurar aplicações para utilizar Microsoft Entra ID como fornecedor de identidade para beneficiarem de políticas de credenciais, deteção de ameaças, auditoria, registo e outras funcionalidades que podem ajudar a proteger e monitorizar adequadamente as aplicações. Siga as recomendações de gestão de aplicações para ajudar a garantir que as aplicações são protegidas, governadas, monitorizadas e limpas.	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras. Artigo 18.º: Classificação de incidentes relacionados com TIC e ameaças cibernéticas. RTS sobre estruturas de gestão de riscos de TIC: Artigo 20: Gestão de Identidades
A autenticação multifator no Microsoft Entra ID requer dois ou mais métodos de autenticação para aumentar a segurança.	As entidades financeiras podem implementar a autenticação multifator (MFA) no Microsoft Entra ID para ajudar a reduzir substancialmente o risco de acesso não autorizado e garantir a segurança dos sistemas de TIC: Os métodos de autenticação no Microsoft Entra ID incluem métodos de MFA fortes e resistentes a phish, como Windows Hello, Passkeys (incluindo chaves de segurança FIDO2 e chaves de acesso vinculadas ao dispositivo no Microsoft Authenticator) e autenticação baseada em certificados. A Microsoft fornece opções para criar resiliência com a gestão de credenciais, incluindo a opção de utilizar métodos de autenticação sem palavra-passe. As predefinições de segurança no Microsoft Entra inquilinos podem ser utilizadas para ativar rapidamente o Microsoft Authenticator para todos os utilizadores. As políticas de descrição geral do Acesso Condicional podem ser utilizadas para um controlo mais granular de eventos ou aplicações que necessitam de MFA.	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras Artigo 15.º: Harmonização adicional das ferramentas, métodos, processos e políticas de gestão de riscos das TIC RTS sobre estruturas de gestão de riscos de TIC: Artigo 11.º: Segurança dos dados e do sistema Artigo 21.º: Controle de Acesso Artigo 33.º: Controle de Acesso (Estrutura simplificada)
O Acesso Condicional no Microsoft Entra ID é o motor de política Confiança Zero da Microsoft que tem em conta sinais de várias origens ao impor decisões de política.	As entidades financeiras podem implementar os seguintes controlos no Acesso Condicional, para todos os utilizadores: Microsoft Entra autenticação multifator (MFA), utilizando a força de autenticação para impor mecanismos de autenticação fortes, como a autenticação resistente ao phishing Políticas de risco para detetar e automatizar a resposta a riscos, com base no nível de risco determinado pela entidade financeira como aceitável Bloquear a autenticação legada, uma vez que os pedidos que utilizam protocolos legados não suportam a MFA Utilizar políticas de acesso condicional baseadas no dispositivo para reduzir o risco de acesso de dispositivos desconhecidos e não conformes Também recomendamos que as entidades financeiras revejam e considerem as políticas recomendadas nas nossas orientações de implementação de Acesso Condicional. A implementação dos controlos acima para contas com privilégios pode ser considerada um requisito crítico, uma vez que estas contas podem ter um impacto grave na segurança e no funcionamento dos Microsoft Entra ID.	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras Artigo 15.º: Harmonização adicional das ferramentas, métodos, processos e políticas de gestão de riscos das TIC RTS sobre estruturas de gestão de riscos de TIC: Artigo 11.º: Segurança dos dados e do sistema Artigo 21.º: Controle de Acesso Artigo 22.º: Política de gestão de incidentes relacionada com TIC Artigo 23.º: Deteção e critérios anómalos das atividades para a deteção e resposta de incidentes relacionados com as TIC Artigo 33.º: Controle de Acesso (Estrutura simplificada)
Privileged Identity Management (PIM) é um serviço no Microsoft Entra ID que lhe permite gerir, controlar e monitorizar o acesso a recursos importantes na sua organização.	Podem ser implementados controlos de segurança robustos para funções com privilégios para ajudar a evitar a disponibilidade de Microsoft Entra ID acidental ou maliciosa, a configuração incorreta e/ou a perda de dados: Podem ser tomadas medidas para proteger o acesso privilegiado para implementações híbridas e na cloud no Microsoft Entra ID, incluindo desenvolver e seguir um mapa de objetivos para proteger o acesso privilegiado contra atacantes virtuais. As entidades financeiras podem configurar todas as funções privilegiadas para exigir aprovação para ativação, exceto para contas de acesso de emergência. O PIM pode ser utilizado para criar revisões de acesso para acesso privilegiado a funções de recursos e Microsoft Entra ID do Azure, reduzindo o risco associado a atribuições de funções obsoletas. As entidades financeiras que sincronizaram Microsoft Entra ID com Active Directory local podem seguir as orientações em Proteger o Mapa de Acesso Privilegiado, incluindo, mas não se limitando, à criação de contas de administrador separadas para os utilizadores que precisam de realizar tarefas administrativas no local.	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras. RTS sobre estruturas de gestão de riscos de TIC: Artigo 11.º: Segurança dos dados e do sistema Artigo 21.º: Controle de Acesso Artigo 33.º: Controle de Acesso (Estrutura simplificada)
Microsoft Entra ID fornece controlos de acesso baseados em funções (RBAC), incluindo funções incorporadas e funções personalizadas.	As entidades financeiras podem seguir o princípio do menor privilégio para limitar o acesso ao que é necessário para funções e atividades legítimas e aprovadas, ajudando a minimizar o impacto potencial de uma falha de segurança. Como parte de uma estratégia de menor privilégio, recomendamos que as entidades financeiras sigam as melhores práticas para Microsoft Entra funções.	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras. RTS sobre estruturas de gestão de riscos de TIC: Artigo 11.º: Segurança dos dados e do sistema Artigo 21.º: Controle de Acesso Artigo 33.º: Controle de Acesso (Estrutura simplificada)
As ações protegidas no Microsoft Entra ID são permissões às quais foram atribuídas políticas de Acesso Condicional. Quando um utilizador tenta efetuar uma ação protegida, primeiro tem de satisfazer as políticas de Acesso Condicional atribuídas às permissões necessárias.	Para ajudar a aumentar o número de ações administrativas que estão no âmbito das ações protegidas e reduzir o risco de bloqueio do inquilino, siga as melhores práticas para ações protegidas no Microsoft Entra ID. Para ajudar a proteger contra eliminações duras acidentais ou maliciosas de alguns objetos de diretório eliminados de forma recuperável da reciclagem e perda de dados permanente, pode adicionar uma ação protegida para a seguinte permissão: Microsoft.directory/deletedItems/delete Esta eliminação aplica-se a utilizadores, grupos do Microsoft 365 e aplicações.	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras. RTS sobre estruturas de gestão de riscos de TIC: Artigo 11.º: Segurança dos dados e do sistema Artigo 21.º: Controle de Acesso Artigo 33.º: Controle de Acesso (Estrutura simplificada)
Microsoft Entra ID suporta várias opções de integração do registo de atividades para armazenamento ou análise, para ajudar a cumprir os objetivos de resolução de problemas, armazenamento a longo prazo ou monitorização.	As entidades financeiras podem selecionar e implementar uma abordagem de integração do registo de atividades que permite uma análise e monitorização contínuas e um período de retenção de dados suficiente: O envio de Microsoft Entra ID registos de auditoria e registos de início de sessão para Microsoft Sentinel fornece ao seu centro de operações de segurança deteção de segurança quase em tempo real e investigação de ameaças, o que pode permitir a identificação proativa de potenciais ameaças que possam prejudicar o seu sistema Microsoft Entra definições de diagnóstico para registos de atividades podem ser utilizadas para selecionar registos relevantes e detalhes de destino com base nas funcionalidades utilizadas pela entidade financeira Pode encontrar uma lista abrangente de categorias de auditoria e ações recomendadas no guia de operações de segurança Microsoft Entra	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras. Artigo 18.º: Classificação de incidentes relacionados com TIC e ameaças cibernéticas Artigo 19.º: Relatórios de incidentes importantes relacionados com as TIC e notificação voluntária de ameaças cibernéticas significativas RTS sobre estruturas de gestão de riscos de TIC: Artigo 12.º: Registo Artigo 21.º: Controle de Acesso Artigo 22.º: Política de gestão de incidentes relacionada com TIC Artigo 23.º: Deteção e critérios anómalos das atividades para a deteção e resposta de incidentes relacionados com as TIC Artigo 33.º: Controle de Acesso (Estrutura simplificada)
A Classificação de Segurança de Identidade da Microsoft indica o nível de alinhamento de uma organização com determinadas recomendações da Microsoft relativas à segurança.	As entidades financeiras podem rever regularmente a Classificação de Segurança de Identidade da Microsoft para medir e controlar a postura de segurança de identidade e planear melhorias de segurança de identidade. A Microsoft também oferece vários serviços, como o Microsoft Confiança Zero Workshop, que podem ajudar as organizações a avaliar a sua postura de segurança de inquilino Microsoft Entra, conforme detalhado noutras partes desta tabela.	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras. RTS sobre estruturas de gestão de riscos de TIC: Artigo 34.º: Segurança das Operações de TIC
A funcionalidade Microsoft Entra recomendações ajuda a garantir a segurança e o estado de funcionamento dos inquilinos através da monitorização e alertas de e-mail.	As entidades financeiras podem marcar Microsoft Entra recomendações regularmente para garantir o reconhecimento de quaisquer novas recomendações, uma vez que estas podem ajudar a identificar oportunidades para implementar as melhores práticas e otimizar as configurações para funcionalidades relacionadas com Microsoft Entra ID.	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras. RTS sobre estruturas de gestão de riscos de TIC: Artigo 34.º: Segurança das Operações de TIC
Os Livros do Azure para Microsoft Entra ID fornecem uma representação visual dos dados do inquilino, permitindo a consulta e visualização para vários cenários de gestão de identidades.	As entidades financeiras podem selecionar e rever regularmente modelos de livros no Microsoft Entra ID que podem ajudar a monitorizar a segurança e o funcionamento de casos de utilização Microsoft Entra ID relevantes. Como exemplos do Microsoft Entra modelos de livros públicos atuais que podem ajudar: O analisador de lacunas de Acesso Condicional pode ajudar a garantir que os recursos estão devidamente protegidos pelo Acesso Condicional no Microsoft Entra ID O livro do relatório de operações confidenciais destina-se a ajudar a identificar atividades suspeitas de aplicações e principais de serviço que possam indicar compromissos no seu ambiente	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras Artigo 17.º: Processo de gestão de incidentes relacionado com TIC
O Microsoft Graph fornece acesso baseado em API a Microsoft Entra ID e a vários serviços do Microsoft 365.	Para ajudar a reduzir a superfície de ataque de uma aplicação e o impacto de uma falha de segurança, as entidades financeiras podem seguir o princípio do menor privilégio ao criar, atribuir acesso e auditar plataforma de identidade da Microsoft aplicação integrada.	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras RTS sobre estruturas de gestão de riscos de TIC: Artigo 12.º: Artigo 21.º do Registo: Controle de Acesso Artigo 33.º: Controle de Acesso (Estrutura simplificada)
O Microsoft365DSC permite a gestão automatizada da configuração do inquilino. O Microsoft365DSC suporta determinadas configurações de Microsoft Entra ID.	Para registar determinadas definições de configuração Microsoft Entra ID e registar alterações, as entidades financeiras podem considerar ferramentas de gestão de configuração automatizadas, como o Microsoft365DSC. Pode ser necessária documentação manual para quaisquer definições de configuração que não estejam disponíveis através da API.	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras
Microsoft Entra ID Protection ajuda as organizações a detetar, investigar e remediar riscos baseados na identidade.	Para ajudar a detetar, investigar e remediar riscos baseados na identidade (incluindo atividades anómalas), as entidades financeiras podem considerar um serviço como Microsoft Entra ID Protection. As entidades financeiras que implementam Microsoft Entra ID Protection podem integrar o serviço com o Acesso Condicional no Microsoft Entra ID para remediação automatizada e ferramentas de Gestão de Informações e Eventos de Segurança (SIEM), como Microsoft Sentinel para arquivo, investigação adicional e correlação. As identidades humanas e de carga de trabalho podem estar dentro do âmbito destas proteções. Recomendamos que as ferramentas de defesa empresarial sejam utilizadas para coordenar a deteção, prevenção, investigação e resposta. Por exemplo, Microsoft Defender XDR ajuda as equipas de segurança a proteger e detetar as suas organizações através da utilização de informações de outros produtos de segurança da Microsoft, incluindo Microsoft Entra ID Protection.	Lei DORA: Artigo 10:Deteção Artigo 15.º: Harmonização adicional das ferramentas, métodos, processos e políticas de gestão de riscos das TIC Artigo 17.º: Processo de gestão de incidentes relacionado com TIC RTS sobre estruturas de gestão de riscos de TIC: Artigo 22.º: Política de gestão de incidentes relacionada com TIC Artigo 23.º: Deteção e critérios anómalos das atividades para a deteção e resposta de incidentes relacionados com as TIC
Microsoft Entra ID funcionalidades de recuperação, incluindo a eliminação recuperável e as APIs do Microsoft Graph para muitos tipos de recursos diferentes (por exemplo: APIs do Graph de Acesso Condicional).	As entidades financeiras podem incorporar melhores práticas de recuperação em procedimentos de recuperação e testes de continuidade de negócio de TIC (ou atividades semelhantes), incluindo, mas não se limitando a: As APIs do Microsoft Graph podem ser utilizadas para exportar regularmente o estado atual das configurações de Microsoft Entra ID suportadas. M365DSC fornece uma estrutura que pode ajudar a alcançar este objetivo. Os registos de auditoria e os Livros do Azure podem ser utilizados para monitorizar a configuração incorreta da configuração do inquilino. Os procedimentos para recuperar de eliminações no Microsoft Entra ID podem ser ensaiados num inquilino de teste para determinados tipos de objeto, juntamente com o processo de comunicação correspondente. As APIs do Graph de Acesso Condicional podem ser utilizadas para gerir políticas como código. Os procedimentos de recuperação podem ser realizados com uma abordagem menos privilegiada, juntamente com o escalamento just-in-time de privilégios do PIM para reduzir o risco associado a tarefas como a eliminação de objetos rígidos. Para manuais de procedimentos de Resposta a Incidentes e cenários de recuperação, as entidades financeiras podem rever e adotar manuais de procedimentos de resposta a incidentes da Microsoft A frequência dos passos acima pode ser determinada pela entidade financeira com base na criticidade das informações contidas no Microsoft Entra ID, tendo em conta os intervalos de tempo especificados pelo DORA.	Lei DORA: Artigo 11.º: Resposta e Recuperação Artigo 12.º: Políticas e procedimentos de cópia de segurança, restauro e métodos de recuperação RTS sobre estruturas de gestão de riscos de TIC: Artigo 25.º: Testar os planos de continuidade do negócio das TIC Artigo 26.º: Planos de resposta e recuperação de TIC
Recursos da Microsoft que fornecem informações e recursos de formação relacionados com vulnerabilidades, ameaças cibernéticas, incidentes relacionados com TIC e funcionalidades de produtos relacionadas com segurança.	As entidades financeiras podem rever, controlar e agir de forma rotineira sobre estes recursos fornecidos pela Microsoft relacionados com vulnerabilidades e ameaças cibernéticas que podem incluir: O Blogue de Segurança da Microsoft Blogue do Centro de Resposta de Segurança da Microsoft As entidades financeiras podem desenvolver programas de sensibilização para a segurança das TIC que incorporam Microsoft Entra ID formação para pessoal relevante que pode incluir: Microsoft Certified: Associação de Administrador de Identidade e Acesso Microsoft Certified: Noções Básicas de Segurança, Conformidade e Identidade Tenha em atenção que alguns dos recursos acima abrangem uma variedade de produtos e tecnologias de Segurança Microsoft. Não estão limitados a Microsoft Entra.	Lei DORA: Artigo 13: Aprendizagem e Evolução Artigo 25.º: Testar ferramentas e sistemas de TIC RTS sobre estruturas de gestão de riscos de TIC: Artigo 3:Gestão de riscos de TIC Artigo 10: Gestão de vulnerabilidades e patches
Microsoft Entra ID Governance é uma solução de governação de identidades que permite às organizações melhorar a produtividade, reforçar a segurança e cumprir mais facilmente os requisitos de conformidade e regulamentação.	As entidades financeiras podem considerar a implementação de uma solução de Governação de Identidades para controlar os direitos de gestão de acesso. Microsoft Entra ID Governance inclui as seguintes capacidades que podem ajudar a aplicar o princípio do menor privilégio a recursos protegidos por Microsoft Entra ID: A gestão de direitos permite a automatização de fluxos de trabalho de pedidos de acesso, atribuições de acesso, revisões e expiração. As verificações de separação de deveres também são suportadas para impedir a alocação de combinações de direitos de acesso que podem permitir que os controlos sejam ignorados. As revisões de acesso no Microsoft Entra ID ativar a gestão regular do ciclo de vida do acesso a recursos. Os fluxos de trabalho de ciclo de vida permitem a automatização de processos de ciclo de vida em cenários de associação, mudança e abandono. Isto pode incluir a revogação de direitos de acesso. Privileged Identity Management (PIM) é um serviço no Microsoft Entra ID que lhe permite gerir, controlar e monitorizar o acesso a recursos importantes na sua organização. Funções com menos privilégios para gerir em funcionalidades de Governação de Identidade	Lei DORA: Artigo 9.º: Proteção e Prevenção de riscos de TIC, garantindo simultaneamente a resiliência e a segurança das operações das entidades financeiras. Artigo 15.º: Harmonização adicional das ferramentas, métodos, processos e políticas de gestão de riscos das TIC RTS sobre estruturas de gestão de riscos de TIC: Artigo 20: Gestão de Identidades Artigo 21.º: Controle de Acesso Artigo 33.º: Controle de Acesso (Estrutura simplificada)
Recursos da Microsoft que fornecem orientações relacionadas com Microsoft Entra ID operações de segurança e resposta a incidentes.	As entidades financeiras podem rever e considerar operacionalizar Microsoft Entra ID operações de segurança e orientações de resposta a incidentes, incluindo, mas não se limitando a: Implementar operações de segurança com guias de operações de segurança Microsoft Entra Siga os manuais de procedimentos de resposta a incidentes Microsoft Entra relevantes	Lei DORA: Artigo 17.º: Processo de gestão de incidentes relacionado com TIC
Recursos que fornecem informações relacionadas com (e potencialmente relacionadas com) disponibilidade de Microsoft Entra ID	As entidades financeiras podem rever, controlar e considerar informações incluídas nestes artigos e sites: O desempenho do SLA para Microsoft Entra ID mostra como o serviço de Microsoft Entra ID teve um desempenho de acordo com o SLA para Microsoft Entra ID Os incidentes que afetam seriamente Microsoft Entra ID desempenho estão documentados no histórico de status do Azure O Blogue de Segurança da Microsoft Blogue do Centro de Resposta de Segurança da Microsoft Tenha em atenção que alguns dos recursos acima abrangem uma variedade de produtos e tecnologias de Segurança Microsoft. Não estão limitados a Microsoft Entra.	Lei DORA: Artigo 18.º: Classificação de incidentes relacionados com TIC e ameaças cibernéticas Artigo 19.º: Relatórios de incidentes importantes relacionados com as TIC e notificação voluntária de ameaças cibernéticas significativas RTS sobre estruturas de gestão de riscos de TIC: Artigo 10: Gestão de vulnerabilidades e patches
Ofertas de serviço da Microsoft que podem ajudar as organizações a avaliar a sua postura de segurança de inquilino Microsoft Entra como parte dos testes de resiliência operacional digital	O programa de teste de resiliência operacional digital implementado por uma entidade financeira pode incluir uma série de avaliações, ferramentas e metodologias, incluindo, mas não se limitando a: O Microsoft Entra ID avaliação a pedido, que analisa e fornece orientações de gestão de identidades e acessos (IAM) para Microsoft Entra ID e componentes relacionados. O Microsoft Confiança Zero Workshop é um guia técnico abrangente para ajudar os clientes e parceiros a adotar uma estratégia de Confiança Zero e implementar soluções de segurança ponto a ponto para proteger as suas organizações. As entidades financeiras podem realizar regularmente essas avaliações, com frequência em conformidade com os requisitos atuais do DORA.	Lei DORA: Artigo 24.º: Requisitos gerais para o desempenho dos testes de resiliência operacional digital Artigo 25.º: Testar ferramentas e sistemas de TIC
Recursos que fornecem informações relacionadas com alterações Microsoft Entra	As entidades financeiras podem controlar e considerar regularmente as informações incluídas nos artigos e sites abaixo. As ações tomadas por entidades financeiras podem incluir, por exemplo, testes de regressão e atualizações para processos e testes relacionados com a resiliência operacional digital. O Centro de Mensagens do Microsoft 365 pode ser utilizado para controlar alterações futuras, incluindo funcionalidades novas e alteradas, manutenção planeada e outros anúncios importantes As novidades (pré-visualização) podem ser utilizadas para controlar Microsoft Entra ID alterações no centro de administração do Microsoft Entra	Lei DORA: Artigo 25.º: Testar ferramentas e sistemas de TIC RTS sobre estruturas de gestão de riscos de TIC: Artigo 16.º: Aquisição, desenvolvimento e manutenção de sistemas de TIC Artigo 17.º: Gestão de alterações de TIC Artigo 34 – Segurança das Operações de TIC
Recursos que fornecem informações relacionadas com testes de penetração e Microsoft Entra ID	As entidades financeiras que pretendam realizar testes de penetração no Microsoft Cloud podem considerar as regras de cativação listadas neste artigo: Regras de Interação dos Testes de Penetração da Microsoft Cloud As entidades financeiras podem considerar as regras de compromissos acima referidas no contexto deste relatório das Autoridades Europeias de Supervisão (ESA): JC 2024 29: Relatório Final sobre DORA RTS sobre Testes de Penetração Liderados por Ameaças (TLPT) ao abrigo do artigo 26.º do DORA.	Lei DORA: Artigo 25.º: Testar ferramentas e sistemas de TIC Artigo 26.º: Testes avançados de ferramentas, sistemas e processos de TIC com base no TLPT Artigo 27.º: Requisitos para os técnicos de teste para a execução do TLPT RTS sobre estruturas de gestão de riscos de TIC: Artigo 25.º: Testar os planos de continuidade do negócio das TIC Artigo 26.º: Planos de resposta e recuperação de TIC
Recursos relacionados com a ativação, imposição e gestão de controlos criptográficos e de encriptação ao transmitir dados de ou para Microsoft Entra ID.	Por motivos de segurança, Microsoft Entra ID em breve deixará de suportar protocolos e cifras TLS (Transport Layer Security) antes do TLS 1.2 e está a implementar suporte para o TLS 1.3. As entidades financeiras podem considerar os seguintes passos para ajudar a garantir a utilização e a gestão de controlos criptográficos e de encriptação adequados: Ativação do TLS 1.2 em clientes e funções de servidor comuns que comunicam com Microsoft Entra ID. Microsoft Entra encriptação de tokens SAML para aplicações e/ou registos de aplicações aplicáveis. Microsoft Entra Recomendações podem ser utilizadas para remover credenciais não utilizadas das aplicações e renovar as credenciais da aplicação prestes a expirar (incluindo certificados).	RTS sobre estruturas de gestão de riscos de TIC: Artigo 6.º: Encriptação e controlos criptográficos Artigo 7.º: Gestão de chaves criptográficas Artigo 14.º: Proteger informações em trânsito RTS sobre estruturas de gestão de riscos de TIC: Artigo 6.º: Encriptação e controlos criptográficos Artigo 7.º: Gestão de chaves criptográficas Artigo 14.º: Proteger informações em trânsito Artigo 35.º: Dados, sistema e segurança de rede
Recursos relacionados com Microsoft Entra ID capacidades e características de desempenho	As entidades financeiras podem considerar rever e controlar a seguinte documentação para compreender determinadas características de capacidade e desempenho Microsoft Entra ID: Os limites e restrições do serviço contêm a capacidade atual e os limites relacionados com o desempenho.	RTS sobre estruturas de gestão de riscos de TIC: Artigo 9.º: Gestão de capacidade e desempenho RTS sobre estruturas de gestão de riscos de TIC: Artigo 34.º: Segurança das Operações de TIC
O Acesso Seguro Global é uma solução do Microsoft Edge (SSE) do Serviço de Segurança da Microsoft	Os Serviços Financeiros podem implementar controlos para proteger o acesso à Internet pública e a redes privadas através do Acesso Seguro Global	RTS sobre estruturas de gestão de riscos de TIC: Artigo 13:Gestão de segurança de rede Artigo 14.º: Proteger informações em trânsito Artigo 35.º: Dados, sistema e segurança de rede
Recursos relacionados com aquisição, desenvolvimento e manutenção de aplicações	Os Serviços Financeiros podem incluir os seguintes aspetos como parte da aquisição ou criação de novas aplicações: Protocolos de Autenticação que permitem controlos modernos, como autenticação multifator e Políticas de Acesso Condicional Capacidade de implementar controlos de gestão de acesso, tais como Revisões de Acesso, Aprovisionamento de identidades, aprovisionamento de direitos	RTS sobre estruturas de gestão de riscos de TIC: Artigos 16.º– Aquisição, desenvolvimento e manutenção de sistemas de TIC Artigos 37:Aquisição, desenvolvimento e manutenção de sistemas de TIC (Simplified Framework)

Recursos

• Mapeamento de Regulamentos do Produto Microsoft para DORA - Guia para Clientes