Ključni koraki, ki jih morajo finančne organizacije sprejeti za skladnost z DORA
Če mora vaša finančna organizacija izpolnjevati zahteve uredbe DORA, potrebujete celovit pristop, da zagotovite skladnost z vsemi zahtevami. Koraki v tem članku predstavljajo najboljše prakse za pokrivanje vseh teh kompleksnih zahtev.
Za skladnost z DORA morajo finančne organizacije upoštevati 18 korakov, ki vključujejo opredelitev upravljanja in organizacije, vzpostavitev okvirja za upravljanje IKT, opredelitev strategije digitalne operativne odpornosti, izvajanje ukrepov kibernetske varnosti in neprekinjenega poslovanja itd.
Na podlagi izkušenj vam bo naslednjih 18 korakov omogočilo učinkovito izpolnjevanje zahtev DORA. Pred predstavitvijo korakov nekaj pomembnih opomb:
- Koraki so zasnovani za finančne organizacije.
- V 16. členu DORA določa posebna pravila za manjše finančne organizacije, imenovane “poenostavljen okvir za upravljanje IKT tveganj”. Kljub temu so tudi za takšne manjše organizacije spodaj navedeni koraki veljavni, razlika je le v tem, da so zahteve lahko nekoliko manj stroge.
1) Začnite z analizo vrzeli
Najprej, ker vaša finančna ustanova verjetno že izpolnjuje mnoge zahteve DORA, je koristno ugotoviti, kaj vam še manjka.
Ko poznate svoje vrzeli, se lahko odločite, kateri izmed naslednjih korakov so za vas relevantni.
2) Pridobite podporo višjega vodstva
Čeprav je skladnost z DORA obvezna, boste pri njenem izvajanju morda naleteli na težave. Zato je pomembno, da za projekt pridobite formalno odobritev s strani najvišjega vodstva, skupaj z zadostnim časom, osebjem in proračunom za izvedbo.
Na ta način boste lahko premagali večino težav, s katerimi se boste soočili med projektom.
3) Vzpostavite upravljanje projekta
Da bi vaš projekt potekal bolj gladko, morate opredeliti:
- Odgovornosti — kdo je zadolžen (vodja projekta), kdo iz višjega vodstva vam bo pomagal, če boste naleteli na težave (sponzor projekta), in s kom iz srednjega vodstva morate najbolj sodelovati (projektna skupina). Če že imate varnostni odbor, lahko ta služi kot projektna skupina.
- Mejnike — določite glavne korake projekta in njihov časovni potek.
- Rezultate projekta — natančno določite, kakšne dokumente, aktivnosti in druge rezultate bo projekt prinesel.
4) Izvedite začetno usposabljanje
Ker sta DORA in njena povezana Delegirana uredba Komisije precej zapleteni, je priporočljivo, da projektno skupino usposobite že v zgodnji fazi projekta. Na začetku je smiselno pričeti s splošnimi temami o DORA, nato pa se osredotočiti na specifične zahteve.
Na ta način boste imeli usposobljeno skupino, ki bo projekt izvajala veliko bolj učinkovito.
5) Določite upravljanje in vlogo višjega vodstva
V 5. členu je DORA zelo specifična glede odgovornosti višjega vodstva in kako vzpostaviti upravljanje tveganj IKT. To vključuje oblikovanje politik, vlog in odgovornosti; odobritev strategij, načrtov revizij in proračunov; vzpostavitev komunikacijskih poti ipd.
Takšno upravljanje je temelj, na katerem je zgrajeno upravljanje tveganj IKT.
6) Vzpostavite okvir za upravljanje tveganj IKT
6. člen določa, kako naj okvir za upravljanje tveganj izgleda. Po njem morate vzpostaviti ustrezne “strategije, politike, postopke, protokole IKT in orodja, ki so potrebna za ustrezno zaščito vseh informacijskih in IKT sredstev.”
Takšen dokumentiran okvir vam bo omogočil izvajanje naslednjih korakov, začenši z oceno in obravnavo tveganj.
7) Opravite identifikacijo sredstev, oceno tveganj in obravnavo tveganj
8. člen zahteva, da finančne organizacije “identificirajo, razvrstijo in ustrezno dokumentirajo vse IKT podprte poslovne funkcije, vloge in odgovornosti, informacijska sredstva in IKT sredstva, ki podpirajo te funkcije, ter njihove vloge in odvisnosti,” ter da identificirajo grožnje, ranljivosti in tveganja.
Poleg tega je treba razvrstiti tista sredstva, ki se štejejo za ključna, in ugotoviti, ali kateri koli ponudniki storitev IKT podpirajo ključne ali pomembne funkcije.
Takšna analiza je pomembna za odločanje, katere ukrepe kibernetske varnosti je treba uvesti.
8) Pripravite in odobrite strategijo digitalne operativne odpornosti
6. odstavek 8. člena zahteva pripravo obsežnega dokumenta, imenovanega strategija digitalne operativne odpornosti, ki mora vključevati več elementov, kot so podpora okvirja za upravljanje tveganj poslovni strategiji in ciljem, raven tolerance tveganja, varnostni cilji in razlaga, kako mora biti okvir za upravljanje tveganj implementiran.
To je ključen korak, saj omogoča izvedbo konkretnih ukrepov za kibernetsko varnost in odpornost.
9) Izvajajte ukrepe za kibernetsko varnost
9. in 10. člen določata različne ukrepe kibernetske varnosti, ki jih je treba izvajati, vključno z upravljanjem omrežij, nadzorom dostopa, avtentikacijo, upravljanjem sprememb, nameščanjem popravkov, odkrivanjem nenormalnih aktivnosti itd.
Ti ukrepi bodo verjetno zahtevali največ časa za izvedbo, vendar predstavljajo samo jedro kibernetske varnosti.
10) Izvajajte ukrepe za odpornost
11. in 12. člen sta usmerjena v neprekinjeno poslovanje in vključujeta splošno politiko neprekinjenega poslovanja IKT, analizo vpliva na poslovanje (BIA), načrte odzivanja in obnovitve, krizno upravljanje in komunikacijo, testiranje ter tudi varnostno kopiranje in obnovo podatkov.
Ti ukrepi so nekoliko bolj abstraktni kot ukrepi kibernetske varnosti iz prejšnjega koraka, vendar so kljub temu enako pomembni, še posebej, ko se finančna organizacija sooča z večjimi incidenti.
11) Vzpostavite upravljanje tveganj za IKT ponudnike tretjih oseb
DORA posveča 28. do 30. člen temu, kako ravnati s podjetji IT, ki zagotavljajo storitve finančnim organizacijam. To vključuje oceno tveganj, povezanih s posameznim ponudnikom IT, specifične pogodbene obveznosti, določitev strategije izstopa ipd.
DORA prepoznava, da je obvladovanje tveganj v dobavni verigi izrednega pomena, saj uvaja vladni nadzor nad ključnimi ponudniki IT-storitev, čeprav finančne organizacije s tem niso neposredno obremenjene.
12) Vzpostavite redno usposabljanje na področju kibernetske varnosti
Členi 5, 13 in 16 zahtevajo, da finančne organizacije vzpostavijo redno usposabljanje in ozaveščanje za vse zaposlene, vključno z višjim vodstvom. Člena 13 in 30 gredo še korak dlje in zahtevata, da finančne organizacije vključijo tudi ponudnike storitev IKT v ustrezne programe usposabljanja.
Ta korak je očiten — s tako kompleksnimi pravili in zahtevami bi bilo težko pričakovati, da jih bodo zaposleni upoštevali brez ustreznega usposabljanja in ozaveščanja.
13) Vzpostavite klasifikacijo in poročanje o incidentih in grožnjah
Členi 17 do 19 zahtevajo, da finančne organizacije “določijo, vzpostavijo in izvajajo proces upravljanja incidentov, povezanih z IKT, za odkrivanje, upravljanje in obveščanje o takih incidentih,” vključno z njihovo klasifikacijo in poročanjem ustreznim organom.
Kljub vsem (preventivnim) ukrepom kibernetske varnosti bo nemogoče preprečiti vse incidente, zato mora biti odzivanje nanje učinkovito, vse zainteresirane strani pa morajo biti obveščene.
14) Vzpostavite redno testiranje digitalne operativne odpornosti
Celotno poglavje IV je posvečeno testiranju digitalne operativne odpornosti in zahteva “izvedbo ustreznih testov, kot so ocene ranljivosti, analize odprtokodnih rešitev, ocene varnosti omrežij, analize vrzeli, pregledi fizične varnosti, vprašalniki, rešitve za skeniranje, pregledi izvorne kode, kjer je to izvedljivo, testi na podlagi scenarijev, testi združljivosti, testi zmogljivosti, end-to-end testi in testi penetracije,” “za namen ocene pripravljenosti na obravnavo incidentov, povezanih z IKT, identifikacijo slabosti, pomanjkljivosti in vrzeli v operativni odpornosti ter hitro implementacijo korektivnih ukrepov.” To vključuje tudi “penetracijsko testiranje, vodeno z grožnjami.”
Takšno testiranje je ključno za ugotavljanje dejanskega stanja. Notranja revizija, opisana v koraku 16, ima podoben namen, vendar se izvaja na drugačen način.
15) Vzpostavite merjenje, spremljanje in pregledovanje
Nemogoče je upravljati karkoli, še manj pa kibernetsko varnost in odpornost v finančni organizaciji, če nimate vpogleda v njeno delovanje.
Zato 13. člen zahteva, da ustrezni vodje prejmejo več vrst poročil in informacij, vključno s pregledi po incidentih, nauki iz operativnega testiranja, učinkovitostjo izvajanja strategije digitalne operativne odpornosti, tehnološkim razvojem ipd.
Na ta način lahko vodstvo hitro in ustrezno ukrepa glede na morebitne trende ali tveganja.
16) Izvedite redne notranje revizije
Člena 5 in 6 zahtevata, da finančne organizacije izvajajo redne notranje revizije, ki jih opravijo revizorji z dovolj neodvisnosti ter “zadostnim znanjem, veščinami in strokovnim znanjem na področju tveganj IKT.”
Takšne revizije so ključne za ugotavljanje dejanskega stanja v podjetju, saj pogosto politike in postopki določajo eno stvar, zaposleni pa v praksi izvajajo nekaj povsem drugega.
17) Izvedite redne preglede s strani vodstva
5. člen določa več preglednih aktivnosti, ki jih mora redno izvajati višje vodstvo — to vključuje pregled politike neprekinjenega poslovanja, načrtov odzivanja in obnove, politike uporabe IKT storitev tretjih oseb, različnih poročil, notranjih revizij, proračuna za digitalno odpornost ipd.
Takšni pregledi so ključni, saj vodstvu omogočajo, da je obveščeno o ključnih tveganjih in aktivnostih, povezanih s kibernetsko varnostjo in odpornostjo.
18) Izvajajte nadaljnje aktivnosti in korektivne ukrepe
Nadaljnje aktivnosti in korektivni ukrepi so omenjeni v različnih kontekstih v DORA — npr. 6. člen zahteva nadaljnji postopek po notranji reviziji, 17. člen zahteva nadaljnje ukrepe po incidentih, 24. člen zahteva korektivne ukrepe po testiranju digitalne operativne odpornosti, medtem ko 30. člen zahteva, da so korektivni ukrepi vključeni v pogodbe z IT dobavitelji.
Vse to je ključno za stalno izboljševanje upravljanja tveganj IKT in posledično dvigovanje digitalne operativne odpornosti na višjo raven.
Če vas zanima pridobitev standarda DORA in potrebujete pomoč pri tem procesu, se lahko obrnete na Advisero, ki je strokovnjak na tem področju in vam lahko zagotovi celovito podporo.
Mi, Actioma, smo poslovni partner Advisere in z veseljem delimo njihovo strokovno vsebino. Če želite izvedeti več o standardu DORA ali imate dodatna vprašanja, nas kontaktirajte in usmerili vas bomo k pravim virom.
