Raport Specjalny – IT@BANK 2023 | Bezpieczeństwo – ServiceNow | Strategiczny sposób podejścia do DORA
Krzysztof Wilczyński
Sr Advisory Solution Consultant w ServiceNow
RozporządzeniE DORA i jego cel
W odpowiedzi na te wyzwania Unia Europejska wprowadziła specjalne ramy znane jako Digital Operational Resilience Act (DORA) w celu ochrony odporności operacyjnej sektora finansowego. Przed wprowadzeniem DORA instytucje finansowe zarządzały głównymi kategoriami ryzyka operacyjnego, ale nie zarządzały wszystkimi elementami odporności operacyjnej. Po wprowadzeniu DORA muszą również przestrzegać zasad dotyczących zdolności do ochrony, wykrywania, powstrzymywania, odzyskiwania i naprawy incydentów związanych z ICT (Information and Communication Technology). DORA wyraźnie odnosi się do ryzyka ICT i określa zasady zarządzania nim, zgłaszania incydentów, testowania odporności operacyjnej i monitorowania ryzyka stron trzecich. Rozporządzenie to uznaje, że incydenty ICT i brak odporności operacyjnej mogą zagrozić stabilności całego systemu finansowego, nawet jeśli istnieją zdefiniowane strategie w obszarze zarządzania ryzykiem.
Jak przygotować się do spełnienia wymogów DORA w wyznaczonym terminie?
Instytucje finansowe mają bardzo mało czasu na wprowadzenie istotnych zmian wymaganych przez DORA, bowiem rozporządzenie zacznie obowiązywać od 17 stycznia 2025 r. Dlatego tak ważne jest, aby firmy strategicznie myślały o tym, w jaki sposób zamierzają wdrożyć nową regulację.
Oto osiem kluczowych spostrzeżeń, które mogą pomóc organizacjom w zaplanowaniu przyszłych działań.
- DORA dotyczy UE, ale odporność operacyjna jest dziś globalna
Instytucje finansowe powinny postrzegać DORA w kontekście globalnym. Państwa z całego świata budują swoje programy regulacyjne w zakresie operacyjnych i cyfrowych rozwiązań odpornościowych. Na przykład brytyjskie firmy finansowe wprowadzają nowe wymogi dotyczące odporności operacyjnej, a organy nadzoru finansowego będą mogły sprawować nadzór nad „krytycznymi” stronami trzecimi. Chociaż szczegóły techniczne zasad mogą się różnić, ogólne wymagania są zasadniczo podobne. W rezultacie firmy mogą odnieść korzyści z przyjęcia kompleksowego, strategicznego podejścia do zagadnień odporności. - Odporność cyfrowa nie jest „projektem” – to działania wymagające gotowości 24/7/365
Choć DORA ma określone wymagania, które należy wdrożyć, to jednak nie wystarczy tylko „odhaczyć” projekt zgodności z przepisami. Aby odnieść sukces w realizacji tej inicjatywy, odporność cyfrowa musi być wpisana w działalność firmy – koncentrując się na solidnym zarządzaniu ryzykiem, regularnych testach i ciągłym monitorowaniu. Aby właściwie skorzystać z DORA, firmy muszą osadzić odporność cyfrową w swojej własnej kulturze. - Ostateczną odpowiedzialność ponosi organ zarządzający
Podkreślając dążenie DORA do zagwarantowania, że kwestia odporności cyfrowej jest rozważana na poziomie strategicznym, przepisy stwierdzają, że organ zarządzający firmą powinien być odpowiedzialny za jej wdrożenie. - Instytucje finansowe muszą myśleć o ryzyku „pośrednim”
Przepisy wyraźnie podkreślają koncepcję ryzyka w ramach wzajemnych powiązań, a także ryzyka w ramach narzędzi lub procesów zależnych od technologii, oprócz samych systemów informatycznych. Rzeczywiście, zwiększone integracja i digitalizacja procesów były siłą napędową harmonizacji przepisów DORA. Organy regulacyjne są zaniepokojone ryzykiem pojawiającym się w przestrzeniach „pomiędzy” procesami o charakterze cyfrowym. Firmy muszą zbadać te potencjalne zagrożenia, budując swoją strategię odporności cyfrowej. - Testy odporności coraz istotniejsze
Firmy powinny spodziewać się jasnych zasad testowania ujętych w standardach technicznych, które podniosą poprzeczkę najlepszych praktyk dla wielu organizacji. Myśląc strategicznie, instytucje powinny ocenić stosowane testy pod kątem najlepszych praktyk branżowych i profilu ryzyka oraz rozważyć, czy raportowanie wyników testów – do organu zarządzającego i organów regulacyjnych – wymaga ulepszenia. - Zgłaszanie incydentów będzie zunifikowane
Zgłaszanie incydentów jest również przedmiotem unifikacji w całej UE w ramach jednolitych ram eliminujących różnorodność wymogów krajowych. Nowe ramy obejmą zasady dotyczące taksonomii zgłaszania incydentów, ram czasowych, zestawów danych, szablonów i obowiązujących progów. Istnieje również możliwość utworzenia jednego, scentralizowanego punktu zgłaszania incydentów w całej UE. Ponadto zachęca się firmy do częstszego dzielenia się informacjami na temat potencjalnych zagrożeń i incydentów. Mogą one mieć trudności z wykonywaniem zarówno wstępnego powiadomienia, jak i późniejszych działań przy użyciu metod manualnych. Z drugiej strony, korzystanie z rozwiązania wspierającego zarządzanie ułatwi informowanie kierownictwa wyższego szczebla o tych kluczowych incydentach, celem wsparcia procesu decyzyjnego w trakcie i po incydencie. - Zarządzanie ryzykiem stron trzecich wymaga lepszych relacji z podmiotami zewnętrznymi
Organy regulacyjne są szczególnie zaniepokojone podejściem podmiotów finansowych do prowadzenia działalności z coraz większą zależnością od stron trzecich. Aby zapobiec rozwojowi ryzyka „pomiędzy” firmą a podmiotem trzecim i kolejnymi, wymogi DORA rekomendują bliższą współpracę z podmiotami zewnętrznymi. Firmy powinny usprawnić wymianę informacji ze swoimi partnerami, w tym danych pochodzących z ich własnych rozwiązań w zakresie ryzyka i odporności ICT. Budowanie relacji ze stronami trzecimi opartych na ściślejszej współpracy może pomóc w zapewnieniu pozytywnego zaangażowania w przypadku wystąpienia incydentu ICT oraz zwiększyć wydajność i otworzyć więcej możliwości dalszej współpracy. - Wysoka odporność operacyjna wymaga dobrej współpracy
Jednym z głównych tematów poruszanych w ramach dyskusji o regulacji DORA jest kwestia znaczenia współpracy – między organami regulacyjnymi, między organami regulacyjnymi a firmami oraz między instytucjami finansowymi. Przykłady obejmują dzielenie się informacjami o zagrożeniach między firmami, utworzenie jednego punktu zgłaszania incydentów w celu wspierania wymiany informacji oraz zachęcanie do zacieśniania relacji między firmami i stronami trzecimi w zakresie ryzyka cybernetycznego. Większa współpraca pozwala branży finansowej lepiej walczyć ze wspólnym cybernetycznym przeciwnikiem. Relacje te muszą się jednak opierać na wymianie aktualnych i dokładnych informacji – ręczne procesy mogą w rzeczywistości zaszkodzić, dostarczając nieaktualnych, nieprawidłowych danych. Firmy muszą dokonać strategicznego wyboru co do sposobu, w jaki będą współpracować z innymi.
Wsparcie ze strony ServiceNow
W rezultacie instytucje finansowe muszą odejść od ręcznych lub odizolowanych procesów zarządzania ryzykiem i odpornością ICT. Strategiczne podejście musi być wspierane przez technologię, która jest w stanie zapewnić odpowiednie mechanizmy zarządzania procesami dla kluczowych obszarów, takich jak:
- Risk management
- Policy and compliance management
- Business continuity
- Operational resilience
- Continuous authorization and monitoring
- Operational risk management
- Privacy management.
Dzięki tym funkcjonalnościom firmy mogą zarządzać ryzykiem i odpornością w czasie rzeczywistym. Co więcej, jeśli rozwiązanie klasy GRC (governance, risk, compliance) jest już wbudowane w kompleksową platformę wspierającą procesy biznesowe i obejmuje takie elementy, jak zarządzanie operacjami IT, zarządzanie zasobami IT, bezpieczeństwo operacyjne i szereg innych, zgodność z DORA można szybko zwiększyć, zapewniając tym samym strategiczne korzyści dla organizacji.
Podsumowując, instytucje finansowe nie powinny czekać na opracowanie standardów technicznych przez Europejskie Urzędy Nadzoru, aby rozpocząć program zgodności z DORA. Istotne jest również to, aby w pracach tych uwzględnić strategiczne korzyści, które może zapewnić bardziej kompleksowe i solidne podejście do budowania odporności cyfrowej w perspektywie długoterminowej.