آماده سازی DORA | امنیت حرفه ای

سایمون پترسون، تصویر، CISO در می گوید: با یک سر در مقررات DORA از سردرد خود خلاص شوید. CSI Ltd، که ارائه می دهد خدمات امنیت سایبری.

برای بسیاری از مشاغل مالی، صنعت انطباق روز به روز پیچیده تر می شود. شما فقط نگاه کردن به یک قانون را به پایان می رسانید تا مطمئن شوید که مطابق با آن هستید، سپس قانون بعدی می آید. با افزایش شدید تهدیدات امنیت سایبری که همه شرکت‌ها با آن مواجه هستند، و سخت‌تر شدن معیارهای بیمه سایبری، DORA (قانون مقاومت عملیات دیجیتال اتحادیه اروپا) مجموعه‌ای از مقرراتی است که شرکت‌های مالی باید در حال حاضر از آن پیروی کنند، حتی اگر نمی‌کنند. تا ژانویه 2025 لازم الاجرا می شود.

DORA امنیت سایبری و فرآیندهای عملیاتی را برای محافظت از سیستم‌های مالی مهم در برابر تمام وقفه‌ها افزایش می‌دهد. هدف آن تقویت انعطاف پذیری عملیاتی بخش مالی و اطمینان از تداوم خدمات حیاتی است تا حوادثی مانند شکست TSB 2018 تکرار نشود. TSB 48 میلیون پوند به PRA و PRA پرداخت کرد FCA (مرجع رفتار مالی) به اضافه 33 میلیون پوند برای جبران خسارت بیش از پنج میلیون مشتری هنگامی که یک مهاجرت فناوری اطلاعات باعث قفل شدن مشتریان از حساب هایشان شد.

DORA حول پنج ستون می چرخد:

• مدیریت ریسک.
• گزارش رویداد.
• تست تاب آوری عملیاتی دیجیتال.
• مدیریت ریسک شخص ثالث.
• به اشتراک گذاری اطلاعات در مورد تهدیدات امنیت سایبری.

اتحادیه اروپا این مقررات را برای محافظت از موسسات مالی که به طور فزاینده ای خدمات خود را دیجیتالی می کنند و با اشخاص ثالث مهم مانند سرویس های ابری و ارائه دهندگان تجزیه و تحلیل داده ها کار می کنند ضروری می بیند. بدون یک چارچوب مناسب برای انعطاف پذیری عملیاتی، آنها معتقدند که یک حادثه فناوری اطلاعات به طور بالقوه می تواند کل سیستم مالی اتحادیه اروپا را بی ثبات کند. DORA برای جلوگیری از این امر طراحی شده است و برای همه شرکت‌ها در بخش خدمات مالی، از بانکداری گرفته تا سرمایه‌گذاری و تامین مالی جمعی، اعمال می‌شود.

بنابراین، خبر خوبی برای مصرف کنندگان است، اما کسب و کارها فقط کمتر از دو سال فرصت دارند تا آماده شوند.

و شرکت‌های بریتانیایی نمی‌توانند از آن اجتناب کنند – زیرا دامنه DORA اساساً به هر شرکتی که خدمات فناوری اطلاعات و ارتباطات (ICT) را ارائه می‌کند که برای زنجیره تأمین حامی بخش مالی اروپا حیاتی تلقی می‌شود – بدون توجه به اینکه آن شرکت یا خدمات در داخل مستقر است گسترش می‌یابد. اتحادیه اروپا در واقع، تحت DORA، پیچیدگی زنجیره تامین شما یا عدم حضور واقعی اتحادیه اروپا از عوامل خطر بیشتر در نظر گرفته می شود. همچنین احتمالاً معادل DORA در بریتانیا در اینجا به قانون تبدیل خواهد شد.

بنابراین، برای شروع آماده شدن برای DORA چه کاری باید انجام دهید؟ در اینجا چند مرحله ساده وجود دارد که باید در حال حاضر انجام دهید:

محدوده پروژه

اول، مهم است که یک تیم پروژه DORA را تعیین کنید که مسئول بررسی جزئیات مقررات و تعیین میزان پیشرفت آنها برای سازمان شما باشد. سپس آنها باید شروع به تعریف سطح پروژه برای سازمان شما در زمینه خطراتی کنند که احتمالاً به عنوان یک تجارت با آنها روبرو خواهید شد. و من به شما توصیه می‌کنم که تیمی از افراد از بخش‌های مختلف کسب‌وکارتان از جمله حقوقی، فناوری اطلاعات و تدارکات همراه با یک رهبر پروژه که به هیئت مدیره گزارش می‌دهد داشته باشید.

کاهش خطرات نرم افزار و زیرساخت موجود

از دیدگاه فناوری اطلاعات، برای بخش فناوری اطلاعات شما مهم است که مشخص کند سازمان شما در حال حاضر چه خطراتی دارد که آنها را در معرض خطر عدم رعایت مقررات DORA قرار می دهد. به عنوان مثال، در نرم افزار و زیرساخت موجود خود چقدر در برابر حملات سایبری آسیب پذیر هستید؟ از چه برنامه های قدیمی استفاده می کنید و ایمن هستند؟ آیا شبکه موجود شما در برابر حمله آسیب پذیر است؟ ذخیره سازی اطلاعات شما چقدر خوب است؟ آیا سیستم‌های بازیابی غیرقابل تغییر و پشتیبان‌گیری شده و آزمایش‌شده‌ای دارید؟ هنگامی که ارزیابی ریسک انجام شد، باید نقشه راه برای هرگونه تغییر با مقیاس های زمانی مورد توافق قرار گیرد و آزمایش نفوذ و اصلاح منظم انجام شود.

ابزارهای نظارت و تشخیص تهدید را بپذیرید

برای انطباق با مقررات DORA بسیار مهم است که اطمینان حاصل شود که لایه‌های مناسبی از فناوری برای کاهش خطرات عملیاتی روزانه در اختیار دارید. این ممکن است به معنای اتخاذ فناوری نظارتی جدید باشد که می‌تواند خطرات شما را در زمان واقعی ارزیابی کند و در صورت بروز مشکل، اقدامات فوری انجام دهد. با قرار دادن کنترل های مناسب اکنون در دراز مدت در زمان خود صرفه جویی خواهید کرد. داشتن دید کامل در زمان واقعی از آنچه در سراسر املاک IT شما اتفاق می افتد ضروری است. و فراموش نکنید که ریسک خود را از نظر نحوه استفاده از اشخاص ثالث ارزیابی کنید – آنها همچنین باید بتوانند دید کاملی را در تمام تامین کنندگان و زنجیره تامین شما نشان دهند تا اطمینان حاصل کنند که شما کاملاً مطابقت دارید.

در حالت ایده‌آل، ارائه‌دهنده خدمات IT یا مدیریت‌شده شما تضمین می‌کند که هیچ سیستم قدیمی‌ای ندارید که به فناوری کمتر به‌روز متکی باشد و بتواند انعطاف‌پذیری عملیاتی شما را به خطر بیندازد. آنها همچنین باید تخصص امنیت سایبری، قابلیت‌های ذخیره‌سازی و پردازش داده‌ها را در طیف وسیعی از مناطق در دسترس و مناطق جغرافیایی ارائه دهند تا اطمینان حاصل شود که شما تمام الزامات را برآورده می‌کنید. وجود فناوری مناسب، توانایی سازمان شما را برای مقاومت در برابر اختلال و بهبود سریع از اختلال افزایش می دهد

اجرای بهترین روش آموزش کاربر نهایی

کارکنان – هرچند ناخواسته – هنوز هم شایع ترین نقطه شکست برای امنیت در سازمان ها هستند. با ارائه آموزش منظم و با کیفیت بالا به کاربران و اجرای لایه‌های فناوری برای کاهش خطرات عملیاتی روزانه ناشی از حملات فیشینگ یا باج‌افزار بسیار مهم است. بدون نوع آموزش صحیح و پرورش درونی فرهنگ اعتماد صفر، تمام تلاش شما ممکن است به دلیل خطای انسانی از بین برود. و همانطور که تهدیدات سایبری روزانه تغییر می کنند، آموزش نیز باید مداوم و جذاب باشد تا از بهترین محافظت اطمینان حاصل شود.

دید تامین کنندگان شخص ثالث را به دست آورید

شما باید خطرات تامین کننده شخص ثالث را مشاهده کنید و از آنها بخواهید اقدامات مناسبی را که برای محافظت از زیرساخت شما و رسیدگی به خطرات و تهدیدها انجام می دهند را به موقع نشان دهند. در حالی که خدمات ICT ارائه شده توسط اشخاص ثالث، مانند ارائه دهندگان خدمات ابری (CSP)، می تواند انعطاف پذیرتر از زیرساخت های ICT شرکت ها و مؤسسات مالی منفرد باشد، این امر مسلم نیست. شما باید بررسی و تأیید کنید که آنها می توانند از DORA پیروی کنند.

همچنین، اکنون خوب است بدانید که DORA ممکن است به یک استراتژی چند ابری برای اجتناب از وابستگی به یک ارائه دهنده نیاز داشته باشد. این به انعطاف‌پذیری می‌افزاید زیرا یک شبکه می‌تواند به شبکه دیگر دچار شکست شود.

تجزیه و تحلیل شکاف خود را شروع کنید

توصیه می کنیم از طریق تجزیه و تحلیل شکاف ارزیابی کنید که سازمان شما چقدر باید انجام دهد تا در سه زمینه اصلی رعایت کند:

آزمایش نفوذ به رهبری تهدید داخلی (TLPT) در صورت امکان
TLPT خارجی سه بار در سال در صورت لزوم
مدیریت دقیق‌تر ریسک‌های شخص ثالث یعنی ارائه‌دهندگان خدمات ابری.

به عنوان بخشی از سیاست‌های انعطاف‌پذیری عملیاتی FCA، بانک انگلستان و PRA که در مارس 2022 به اجرا درآمد، شما باید قبلاً خدمات مهم تجاری را شناسایی کرده و تحمل‌های تأثیر را تنظیم کرده باشید و یک برنامه آزمایش سناریو را آغاز کرده باشید. PRA یک ارزیابی اولیه از اجرای این خط مشی توسط شرکت ها انجام داده و بازخورد نتایج را ارائه کرده است. امسال PRA از نزدیک با FCA برای ارزیابی پیشرفت شرکت‌ها با تمرکز بر توانایی آن‌ها در ارائه خدمات تجاری مهم در چارچوب تحمل ضربه از طریق سناریوهای شدید اما قابل قبول در یک چارچوب زمانی معقول و حداکثر تا مارس 2025 همکاری می‌کند.

هیچ گلوله نقره ای برای دستیابی به انطباق DORA وجود ندارد. این باید یک الزام شرکتی باشد که از بالا به پایین هدایت می شود. با حمایت مدیر عامل از CISO برای اطمینان از پایبندی تجارت گسترده به قوانین با اتخاذ آموزش های لازم، به روز رسانی فرآیندها و اجرای فناوری مناسب.

این احتمال وجود دارد که مقامات نظارتی بتوانند شواهدی مبنی بر انعطاف پذیری کسب و کار همه موسسات مالی و تامین کنندگان شخص ثالث آنها را مطالبه کنند. آنها حتی ممکن است از سازمان‌ها بخواهند که تست تاب‌آوری و مشارکت در تمرین‌های کل بخش و بررسی افراد ماهر از اشخاص ثالث مهم را انجام دهند – بنابراین شروع آماده‌سازی DORA از هم اکنون تضمین می‌کند که یک قدم جلوتر هستید.