Od 17 stycznia 2025 r. wszystkie instytucje finansowe działające na terenie Unii Europejskiej będą zobowiązane do przestrzegania przepisów Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Nowe regulacje mają na celu zwiększenie odporności cyfrowej sektora finansowego na zakłócenia technologiczne, cyberataki i awarie systemów IT.
Strategie zgodności z DORA
Istnieje wiele sposobów, aby pomóc Twojej organizacji osiągnąć zgodność z DORA. Poniżej wymienimy trzy z nich.
Wykorzystaj DORA jako okazję do wzmocnienia odporności operacyjnej
W dzisiejszym złożonym środowisku regulacyjnym jest to wartościowa rozmowa. Należy jednak zauważyć, że DORA została zaprojektowana specjalnie dla branży finansowej, zajmując się konkretnymi ryzykami i wyzwaniami, które są unikalne dla tej branży. Finanse są obecnie niemal całkowicie zależne od transakcji cyfrowych – bardziej niż jakakolwiek inna branża – i pomocne może być rozwiązanie tych wyzwań za pomocą konkretnych wytycznych i przepisów dostosowanych do unikalnych przypadków użycia w branży.
DORA to okazja do wzmocnienia odporności operacyjnej w niezwykle dynamicznym krajobrazie zagrożeń. Organizacje finansowe są lukratywnymi celami, a ich infrastruktura ICT (Information and Communication Technology) jest wysoce rozproszona i złożona. DORA umożliwia organizacjom finansowym rozwój skuteczniejszych strategii zarządzania ryzykiem i bezpieczeństwa cyfrowego.
Spełnienie wymogów DORA wymaga od organizacji identyfikacji ryzyka, zamykania luk w zabezpieczeniach i utrzymywania dobrej higieny cybernetycznej. Zamiast zaznaczać kilka pól, zespoły ds. bezpieczeństwa powinny wykorzystywać wymagania zawarte w DORA, aby zapewnić odporność cybernetyczną i operacyjną.
Udokumentuj wszystko w centralnym repozytorium informacji ICT
DORA wymaga od organizacji finansowych rejestrowania wszystkich ICT stron trzecich i wszelkich kluczowych podwykonawców w centralnym rejestrze informacji (ROI) – w tym informacji identyfikacyjnych stron trzecich, ich siedziby, danych kontaktowych, informacji umownych, zakresu świadczonych usług, kategoryzacji ryzyka, postanowień dotyczących monitorowania i własności wewnętrznej.
To repozytorium jest doskonałą okazją do sformalizowania informacji o cyberbezpieczeństwie i zarządzaniu ryzykiem dotyczących łańcucha dostaw dla ICT, gdzie można je aktualizować, odwoływać się do nich i udostępniać upoważnionym interesariuszom wewnątrz i na zewnątrz organizacji.
Ten dokument ROI może być używany jako podręcznik podczas ataków lub innych incydentów, zapewniając osobom reagującym kontekst, którego potrzebują, aby podejmować szybkie i zdecydowane działania w danej chwili. Dokument może również zawierać instrukcje krok po kroku, które zabezpieczą wiedzę i doświadczenie organizacyjne, nawet w przypadku rotacji personelu.
Skup się na podmiotach trzecich i ich wpływie na ryzyko biznesowe
Branża finansowa jest z natury powiązana, co pozwala firmom, konsumentom i innym podmiotom dokonywać transakcji cyfrowych w czasie niemal rzeczywistym. Ta wzajemna zależność sprawia, że organizacje są zależne od partnerów zewnętrznych, dostawców, a nawet klientów. Jeśli którykolwiek z tych punktów dostępu zostanie naruszony, osoby atakujące mogą mieć możliwość rozprzestrzeniania się na inne systemy w poszukiwaniu dodatkowych celów, co Bitdefender zaobserwował jako rosnący trend.
DORA rozumie zależność od stron trzecich i wymaga od organizacji lepszego zrozumienia, w jaki sposób ich dostawcy wpływają na ryzyko biznesowe. Obejmuje to dostawców usług ICT, dostawców usług zarządzanych, dostawców usług w chmurze, dostawców, platformy oprogramowania jako usługi (SaaS) i inne podmioty korzystające z niezarządzanych aplikacji, usług i urządzeń.
Ale skąd wiesz, czy dostawca aktualizuje swoje oprogramowanie najnowszymi poprawkami? Albo czy dostawca usług w chmurze używa najbardziej zaawansowanych narzędzi i technik cyberbezpieczeństwa, aby trzymać aktorów zagrożeń z dala od Twoich danych?
Testy penetracyjne i symulacje pozwalają zespołom ds. bezpieczeństwa badać aplikacje, które nie są pod bezpośrednią kontrolą organizacji. Testy mogą być przeprowadzane w celu sprawdzenia gotowości i odporności, dając organizacjom finansowym wgląd w ich postawę bezpieczeństwa, zapewniając, że wiedzą, jak reagować w przypadku incydentu, wspólnie ze swoimi dostawcami. Te spostrzeżenia mogą być następnie wykorzystane do rozwiązania tych luk, ponownej oceny partnerstw i wywierania pozytywnej presji na dostawców, aby działali lepiej.
DORA stanowi znacznie więcej niż tylko zestaw wymagań do odhaczenia na liście kontrolnej
– Spełnienie wymogów DORA może być świetną okazją dla organizacji finansowych do wzmocnienia ich odporności cybernetycznej i operacyjnej. Wymagania określone w rozporządzeniu są specjalnie zaprojektowane, aby sprostać wyzwaniom, przed którymi stoi branża finansowa, i mogą być dostosowane do innych standardów lub celów biznesowych – mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
W optymalnym scenariuszu organizacje będą wykorzystywać DORA jako okazję do właściwej oceny ryzyka, dokumentowania rejestru informacji (ROI) i brania pod uwagę partnerów zewnętrznych i dostawców. Robienie tego zgodnie z wytycznymi DORA pomaga organizacjom sprostać dynamicznym wyzwaniom, z którymi podmioty finansowe mierzą się w dzisiejszym stale aktywnym, hiperpołączonym świecie. Jeśli chcesz poznać więcej informacji dotyczących rozporządzeń DORA, to sprawdź bitdefender.pl/dora.