Nowoczesny Bank Spółdzielczy | Technologie – MIS | Jak zapewnić bezpieczeństwo zgodnie z wymaganiami regulacji DORA?
dr inż. Bożena Skibicka
Dla zapewnienia zgodności z wymaganiami DORA banki potrzebują opracowania i wdrożenia dwóch strategii – cyberbezpieczeństwa, która ma na celu zminimalizowanie ryzyka ataków hakerskich oraz cyberodporności, która opisuje czynności mające zminimalizować ich skutki.
Wiele banków podjęło już działania zmierzające do przeprowadzenia samooceny stopnia przygotowania do spełnienia wymagań zawartych w regulacjach DORA i zidentyfikowania luk, które trzeba opisać i zapewnić ich eliminację albo przynajmniej zminimalizowanie.
W środowisku banków spółdzielczych popularna jest elektroniczna ankieta służąca takiej samoocenie – Digital Regulatory Check (DRC) dostarczana przez E&Y.
Jest to bardzo dobre narzędzie ułatwiające zdefiniowanie obszarów, w których należy podjąć opracowane wcześniej strategię cyberbezpieczeństwa i cyberodporności oraz – zmodyfikować opracowane wcześniej strategie cyberbezpieczeństwa i cyberodporności oraz wdrożyć odpowiednie rozwiązania w obszarach, w których zidentyfikowane zostały luki.
Będzie to pierwszy krok do zapewnienia zgodności działania banku z regulacjami DORA.
Niezależnie od merytorycznego przygotowania poprzez wykonanie samooceny, niezwykle istotnym elementem rozporządzenia są wymogi dotyczące technicznych działań banków. Działy IT muszą się odpowiednio przygotować i na bieżąco realizować prace mające na celu zapewnienie bezpieczeństwa i odporności cyfrowej.
Zespoły informatyczne w bankach są obciążone wieloma zadaniami związanymi z zabezpieczeniem ciągłości działania i obsługą zarówno klientów zewnętrznych, jak i wewnętrznych. Zarządzają wieloma programami i aplikacjami. Wśród nich jest na pewno co najmniej kilka takich, które pomagają spełnić wymagania regulacji DORA.
Zapewne marzeniem każdego członka zarządu banku odpowiedzialnego za IT czy każdego dyrektora zarządzającego tym obszarem jest posiadanie takich programów i aplikacji, które w znacznym stopniu zautomatyzują proces zarządzania wymaganiami regulacji DORA i pomogą nie tylko w wyłapywaniu luk, ale również w ich eliminowaniu. A już najlepiej byłoby, żeby było to jedno narzędzie, co znacznie ułatwiłoby proces nadzoru.
Potrzebne jest jedno narzędzie, które potrafi:
- automatyzować proces zarządzania lukami w zabezpieczeniach poprzez ciągłe skanowanie pod tym kątem punktów końcowych;
- szybko identyfikować luki w zabezpieczeniach w całej infrastrukturze IT, co pomaga w ustalaniu priorytetów i korygowaniu tych luk;
- zarządzać poprawkami, których ciągłe i terminowe instalowanie ma kluczowe znaczenie dla utrzymania bezpieczeństwa środowiska IT;
- szybko wykrywać cyberzagrożenia w punktach końcowych infrastruktury IT;
- zapewnić w czasie rzeczywistym wgląd w stan zabezpieczeń punktów końcowych, tak by w razie potrzeby szybko reagować i izolować systemy, które stały się przedmiotem cyberataku;
- automatycznie tworzyć kompleksowe raporty o stanie bezpieczeństwa punktów końcowych na potrzeby audytów zewnętrznych;
- monitorować i egzekwować przyjęte zasady bezpieczeństwa w całej infrastrukturze IT, szczególnie w punktach końcowych*, gwarantując w ten sposób to, że wszystkie punkty końcowe działają zgodnie z wypracowanymi i przyjętymi standardami bezpieczeństwa.
Rozwiązanie oferowane przez firmę mis pozwala na realizację testów technicznych infrastruktury, zarządzanie implementacją poprawek oraz bieżącą weryfikację przyjętych poziomów PLA (Protection Level Agreement). Bez względu na wykorzystywane przez bank systemy operacyjne, typy urządzeń mobilnych, możliwy jest pełny nadzór nad podatnościami i dozwolonymi funkcjami.
Zapraszamy do kontaktu. Zapewniamy możliwość przeprowadzenia bezpłatnego pilota poprzez wdrożenie rozwiązania misDORA. Więcej informacji znajdziecie Państwo na stronie www.mis.com.pl/dora
* Określenie „punkty końcowe” oznacza wszystkie urządzenia, które mają dostęp do infrastruktury IT banku, np. stacje robocze banku, urządzenia klientów (dostępy z domu, z kafejki internetowej), połączenia z bankomatów, ale i połączenia z urządzeń IoT, połączenia i integracje z chmurą obliczeniową.