Odporność operacyjna to dyscyplina, która wyprowadza organizacje poza ciągłość biznesową skupioną wewnętrznie program odzyskiwania po awarii technologii informatycznych (ITDR). spojrzenie na szerszy wpływ zakłóceń w świadczeniu usług przez pryzmat czynników zewnętrznych. Właściwie zdefiniowana odporność operacyjna to „zdolność firm, [financial] infrastruktury rynkowej oraz [financial] sektora jako całości, aby zapobiegać, dostosowywać się i reagować, odzyskiwać siły i wyciągać wnioski z zakłóceń operacyjnych.”
Regulacje takie jak Ustawa o cyfrowej odporności operacyjnej (DORA) podjęły uzupełniający krok polegający na uregulowaniu odporności operacyjnej nie tylko instytucji świadczących usługi finansowe w Unii Europejskiej (UE), ale także powiązanych z nimi technologii informacyjno-komunikacyjnych (ICT) i dostawców zewnętrznych. Jednak wraz z globalizacją branży usług finansowych organizacje zewnętrzne świadczące usługi finansowe w UE lub jako kluczowy zewnętrzny dostawca usług są zmuszone do ponownego rozważenia swoich wysiłków na rzecz zapewnienia odporności.
Niezależnie od tego, czy spojrzymy na DORA, czy inne najnowsze regulacje dotyczące odporności, istnieją między nimi wspólne wymagania; aby było to skuteczne, będzie wymagało ujednoliconego lub całościowego podejścia międzyresortowego. Niezależnie od tego, czy jest to organizacja podlegająca regulacjom, czy nie, te metody i praktyki są postrzegane jako przykłady doskonałości operacyjnej, która może przynieść korzyści wszystkim. Możliwość zobaczenia powiązań w całym modelu operacyjnym i zrozumienia, gdzie występują luki, pomaga zapewnić ciągłość świadczenia usług lub stron generujących przychody przedsiębiorstwa.
Ramy osiągania odporności cyfrowej
DORA oficjalnie weszła w życie w styczniu 2023 r. i będzie obowiązywać od stycznia 2025 r., po rundach konsultacji społecznych oraz wprowadzeniu regulacyjnych standardów technicznych (RTS) i wykonawczych standardów technicznych (ITS) od stycznia 2024 r. Ponieważ okres wdrażania jest już zaawansowany, zegar zachęca organizacje do nadania priorytetu wysiłkom związanym z przestrzeganiem przepisów, aby uniknąć konsekwencji regulacyjnych i finansowych.
DORA została opracowana w celu wzmocnienia wysiłków na rzecz zapewnienia zgodności i połączenia wielu istniejących przepisów z całej UE w jeden spójny akt. W związku z tym niektóre wymagania są już przestrzegane w ramach regularnych programów zgodności, np EUNB (Europejski Urząd Nadzoru Bankowego) Wytyczne dotyczące umów outsourcingowych lub zarządzania ryzykiem w zakresie ICT i bezpieczeństwa.
Jednak organy nadzoru finansowego będą teraz uprawnione do dokładniejszego monitorowania i audytowania podmiotów finansowych, wprowadzając jednolity mechanizm zgłaszania incydentów, którego celem będzie zapewnienie stabilności finansowej, ochrona konsumentów i zwiększenie wymiany wiedzy pomiędzy państwami członkowskimi UE.
Zbliżamy się do zgodności z DORA
Wiele organizacji nie wie, od czego zacząć, jeśli chodzi o działania mające na celu transformacyjną odporność. Najlepszym pierwszym krokiem, jaki należy podjąć, jest całościowe zrozumienie postawy odporności organizacji. Ocena funkcji, współzależności i ryzyka Twojej organizacji zapewni punkt odniesienia, na podstawie którego będziesz mógł przeprowadzić analizę luk w stosunku do wymogów regulacyjnych, aby sprawdzić, gdzie już spełniasz wymogi wynikające z istniejącego prawodawstwa regionalnego lub gdzie wymagane są dalsze działania.
Jednakże we wszystkich aspektach DORA i europejskie organy nadzoru (ESA) podczas sesji konsultacji społecznych na temat projekty standardów technicznych (opublikowane w czerwcu 2023 r.) wyraźnie przewidywały podejście proporcjonalne. Organizacje powinny wziąć pod uwagę swoją wielkość i profil ryzyka, a także charakter, skalę i złożoność swoich usług, a następnie odpowiednio zaplanować przed przystąpieniem do działania. Chociaż DORA jest o wiele bardziej normatywna niż poprzednie regulacje, jej aspekty mogą już zostać uwzględnione w ramach zapewniania odporności zespoły ds. ryzyka, cybernetyczne lub zewnętrzne; jest to po prostu szansa na przełamanie tych silosów i połączenie wszystkich wysiłków.
Na początek pięć obszarów działania
- Kategoryzuj i mapuj krytyczne lub ważne funkcje (CIF): Utworzenie map procesów biznesowych i współzależności to pierwszy krok do zrozumienia, jak działa Twoja organizacja. Musisz zmapować, które działy, właściciele procesów i strony trzecie przyczyniają się do ciągłego dostarczania funkcji krytycznych, aby zrozumieć, w jaki sposób mogą być zagrożone.
- Zidentyfikuj luki w swoich zasadach i procedurach zarządzania ryzykiem ICT: Zrozum, gdzie są luki w bezpieczeństwie Twojej sieci, szyfrowaniu danych, kontroli dostępu, szkoleniach z zakresu bezpieczeństwa, konserwacji i testowaniu obciążenia itp. i zacznij planować środki, aby je wyeliminować. W międzyczasie należy upewnić się, że istnieją odpowiednie procedury zapobiegawcze i środki kontroli, aby zminimalizować wszelkie skutki wynikające z nieprzestrzegania przepisów.
- Sprawdź swoje ramy raportowania incydentów: Większość organizacji będzie już posiadać środki zapobiegające (tam, gdzie to możliwe) incydentom ICT, a następnie zarządzać nimi, a także posiadać dzienniki zdarzeń; jednak wiele osób będzie musiało zastanowić się nad opracowaniem swoich mechanizmów analitycznych, aby wyciągnąć wnioski i naprawić je, a także przyjrzeć się, w jaki sposób wykorzystują dane monitorowane w różnych dyscyplinach do opracowania systemów wczesnego ostrzegania.
- Rozpocznij gromadzenie rejestru wszystkich outsourcingów związanych z ICT: Twoja organizacja prawdopodobnie będzie już mieć wdrożoną politykę outsourcingu materiałów i przeprowadzi dodatkową analizę due diligence w przypadku dostawców pierwszego poziomu. Jednakże może zaistnieć potrzeba dostosowania tej polityki, aby uwzględnić wykorzystanie usług ICT wspierających CIF, a także opracować metodologię ustalania, które usługi ICT wchodzą w zakres i powinny zostać uwzględnione w planie audytu.
- Sprawdź swój program testów odporności: Nie wystarczy już samo przeprowadzenie rocznego przeglądu planu ciągłości działania, ćwiczenia na komputerach stacjonarnych CMT i przełączanie awaryjne ITDR. Polityki odporności operacyjnej już wymagają od organizacji przyjęcia bardziej rygorystycznego, opartego na dowodach podejścia w szerokim zakresie poważnych, ale prawdopodobnych scenariuszy dotyczących ich ważnych usług biznesowych. DORA rozszerza tę kwestię, wymagając od organizacji powyżej pewnego progu przeprowadzania „zaawansowanych” testów penetracyjnych opartych na zagrożeniach (TLPT) co trzy lata, zgodnie z Testy TIBERA są już prowadzone przez niektóre organizacje.
Wyzwania wdrożeniowe
Jedną z największych przeszkód w przestrzeganiu przepisów dla DORA są silosy informacyjne lub wydziałowe w organizacji. Zgodność z ustawą będzie wymagała podejścia opartego na współpracy zespołów ds. cyberbezpieczeństwa, odporności, stron trzecich i zespołów ds. ryzyka, aby wszyscy korzystali z tych samych źródeł danych i dzielili się wynikami oraz wnioskami wyciągniętymi ze swojej pracy.
Łatwo jest dać się wciągnąć w wir żądań departamentów, ważne jest jednak, aby nie tracić z pola widzenia zmian w DORA, gdyż projekty standardów technicznych mają zostać przedłożone Komisji do dnia 17 stycznia 2024 r. do przyjęcia, a druga partia standardów technicznych należy przedłożyć Komisji do dnia 17 lipca 2024 r. Ten drugi zestaw powinien pomóc w wyjaśnieniu niektórych wymogów dotyczących testów penetracyjnych na podstawie zagrożeń, podwykonawstwa CIF oraz treści i harmonogramu zgłaszania incydentów.
Te zarządy i kadry kierownicze, które postrzegają zgodność z DORA jako inwestycję strategiczną, poprzez przydzielenie jej budżetu i zasobów, których obecnie potrzebuje, mają największe szanse nie tylko na spełnienie wymagań dotyczących zgodności, ale także na posiadanie organizacji o elastycznej i odpornej postawie, która może szybko dostosowywać się do stale zmieniającego się krajobrazu ryzyka, zapewniając im lepszą i bezpieczniejszą przyszłość w zakresie reputacji i finansów.
Kate Needham-Bennett jest starszym dyrektorem ds. innowacji w zakresie odporności w firmie Zarządzanie ryzykiem fuzji.
