Praktični nasveti za uspešno implementacijo DORA v vašem podjetju
Uredba o digitalni operativni odpornosti, DORA postavlja enotne zahteve glede varnosti omrežnih in informacijskih sistemov, ki podpirajo poslovne procese finančnih subjektov.
24.04.2024
V svetu nenehnih tehnoloških in digitalnih sprememb se pojavlja vedno več izzivov in groženj na področju informacijske varnosti. Zavedanje o pomembnosti odpornosti informacijskih in komunikacijskih tehnologij (IKT) je postalo ključno za zagotavljanje stabilnega in varnega poslovanja, še posebej v finančnem sektorju. V tem kontekstu je bila uvedena Uredba o digitalni operativni odpornosti, DORA. Ta postavlja enotne zahteve glede varnosti omrežnih in informacijskih sistemov, ki podpirajo poslovne procese finančnih subjektov.
Vas zanima praktična delavnica za zagotavljanje kontinuiranega delovanja vašega podjetja?
Obvladovanje tveganj na področju IKT z uredbo DORA
Uredba DORA s to zahtevo narekuje, da vsa podjetja v finančnem sektorju vzpostavijo sistematičen pristop k prepoznavanju, ocenjevanju in obvladovanju tveganj, ki izhajajo iz uporabe IKT. S tem namenom morajo podjetja izvesti temeljito analizo svojih informacijskih sistemov, identificirati potencialne grožnje in ranljivosti ter oceniti verjetnost in vpliv morebitnih incidentov. S proaktivnim pristopom k varnosti se podjetja lahko hitreje odzivajo na morebitne grožnje ter preprečujejo ali vsaj zmanjšujejo morebitne negativne posledice varnostnih incidentov. Poleg tega uredba DORA s sistematičnim upravljanjem tveganj omogoča podjetjem tudi boljšo usmerjenost v prihodnje naložbe v varnostne ukrepe in tehnološke izboljšave, kar še dodatno krepi odpornost poslovnih sistemov.Poročanje o incidentih in grožnjah
Finančni subjekti so obvezani poročati pristojnim organom o vseh večjih incidentih, ki so povezani z IKT, kot so napadi, zlorabe ali drugi varnostni incidenti, ki lahko vplivajo na delovanje finančnih sistemov. Poleg obveznega poročanja pa DORA spodbuja tudi prostovoljno deljenje informacij o pomembnih kibernetskih grožnjah med podjetji in regulatorji, kar omogoča hitro identifikacijo in odzivanje na potencialne nevarnosti. S tem, ko se z uredbo DORA vzpostavi učinkovit sistem poročanja o incidentih in grožnjah, se izboljša sposobnost pristojnih organov, da hitro prepoznajo in ukrepajo ob morebitnih varnostnih incidentih. Poleg tega krepi sodelovanje med podjetji in regulatorji, kar vodi v boljše razumevanje in skupno delovanje pri zagotavljanju varnosti in stabilnosti finančnega sektorja.Vas zanima praktična delavnica za zagotavljanje kontinuiranega delovanja vašega podjetja?
Testiranje digitalne operativne odpornosti
Uredba DORA zahteva, da finančni subjekti redno izvajajo preizkuse svojih sistemov. To vključuje simulacijo različnih scenarijev napadov, kot so hekerski vdori, distribuirani napadi z zavračanjem storitve (DDoS) in druge vrste kibernetskih groženj, ter preverjanje učinkovitosti njihovih protiukrepov in obnovitvenih načrtov. Takšno testiranje omogoča podjetjem, da preverijo svojo pripravljenost na morebitne varnostne incidente in ugotovijo morebitne ranljivosti v svojih sistemih in postopkih. Z rednim testiranjem digitalne operativne odpornosti se podjetja lahko učinkovito pripravijo na morebitne grožnje in hitro odzovejo v primeru napada ali drugega varnostnega incidenta. To tudi omogoča stalno izboljševanje varnostnih ukrepov in obnovitvenih načrtov na podlagi pridobljenih izkušenj in spoznanj iz testiranj, kar še dodatno krepi odpornost poslovnih sistemov na področju IKT.Z uredbo DORA do izmenjave informacij o kibernetskih grožnjah
Izmenjava informacij o kibernetskih grožnjah v skladu z uredbo DORA spodbuja finančne subjekte k aktivnemu deljenju relevantnih informacij in obveščevalnih podatkov o kibernetskih grožnjah in ranljivostih. S tem se vzpostavi boljša osveščenost o trenutnih tveganjih in grožnjah, ki lahko vplivajo na delovanje finančnega sektorja, ter omogoča hitrejše ukrepanje za njihovo obvladovanje. Z izmenjavo informacij o kibernetskih grožnjah med finančnimi subjekti se krepi tudi skupna obrambna sposobnost proti kibernetskim napadom. Sodelovanje in deljenje obveščevalnih podatkov omogočata identifikacijo novih vrst groženj in razvoj učinkovitih protiukrepov ter obvladovanje tveganj na kolektivni ravni.Vas zanima praktična delavnica za zagotavljanje kontinuiranega delovanja vašega podjetja?
Upravljanje tveganj ključnih tretjih ponudnikov storitev IKT
Uredba DORA uvaja tudi zahtevo po uvedbi pravil za vzpostavitev in izvajanje okvira nadzora za ključne tretje ponudnike storitev IKT, ki opravljajo storitve za finančne subjekte. To pomeni, da morajo finančni subjekti vzpostaviti jasne smernice in mehanizme nadzora za tretje ponudnike storitev, ki imajo dostop do njihovih informacijskih sistemov ali podatkov. To vključuje postavitev jasnih zahtev glede varnosti in odpornosti v pogodbenih odnosih s tretjimi ponudniki storitev IKT, kar zagotavlja, da so upoštevani najvišji standardi varnosti in odpornosti pri dostopu do informacijskih sistemov in podatkov finančnih subjektov. Poleg tega uredba DORA zahteva vzpostavitev nadzornega okvira za ključne tretje ponudnike storitev, ki opravljajo storitve za finančne subjekte. Ta okvir omogoča nadzor in spremljanje dejavnosti ključnih tretjih ponudnikov, kar omogoča finančnim subjektom, da zagotovijo skladnost s predpisi in učinkovito obvladujejo tveganja, povezana s sodelovanjem s tretjimi strankami na področju IKT. Uredba DORA predstavlja pomemben korak k zagotavljanju večje digitalne operativne odpornosti v finančnem sektorju. Z enotnimi zahtevami glede varnosti in odpornosti omrežnih in informacijskih sistemov ter jasnimi smernicami za obvladovanje tveganj, poročanje incidentov in sodelovanje med subjekti in regulatorji, se krepi varnost in stabilnost celotnega finančnega sistema. S tem se zagotavlja zaupanje v digitalno okolje in omogoča nemoteno poslovanje v današnjem digitalnem svetu.Vas zanima praktična delavnica za zagotavljanje kontinuiranega delovanja vašega podjetja?
 |
Delavnico vodi: BOŽO BERIČ Božo je izkušen strokovnjak na področju kibernetske varnosti, operativne odpornosti in infrastrukture podatkovnih centrov. Je nosilec številnih certifikatov in nagrad ter vodilni presojevalec za standarde ISO 27001 in ISO 22301. Božo se ne omejuje zgolj na teorijo, temveč si prizadeva za praktično implementacijo rešitev. S svojim pristopom podjetjem pomaga razumeti in izboljšati svojo operativno odpornost ter se soočiti z izzivi kibernetske varnosti. |