Organizațiile din domeniul serviciilor financiare au la dispoziție mai puțin de 7 luni pentru a se conforma noilor reglementări privind reziliența operațională digitală (DORA).
Devine obligatoriu în România. Legea intră în vigoare în 7 luni
Un proiect de conformitate cu DORA (Digital Operational Resilience Act) nu poate dura mai puțin de 6 luni iar companiile din România care nu s-au preocupat de acest aspect riscă să nu îndeplinească toate condițiile de conformitate pe 17 ianuarie 2025 și să își piardă autorizațiile de funcționare sau să primească amenzi uriașe
Organizațiile din domeniul serviciilor financiare au la dispoziție mai puțin de 7 luni până la intrarea în vigoare a reglementărilor europene privind reziliența operațională digitală, incluse în DORA, trage un semnal de alarmă Devhd – companie axată pe soluții de transformare digitală inovativă bazate pe tehnologie ServiceNow.
“Un proiect de conformitate cu DORA (Digital Operational Resilience Act) nu poate dura mai puțin de 6 luni iar companiile care nu s-au preocupat de acest aspect riscă să nu îndeplinească toate condițiile de conformitate pe 17 ianuarie 2025 și să își piardă autorizațiile de funcționare sau să primească amenzi uriașe. Trebuie mentionat că reziliența operațională digitală nu înseamnă doar un set de teste de securitate cibernetică ci reprezintă un amplu program de guvernanță cu principii, proceduri si solutii informatice pentru automatizarea proceselor IT si de securitate”, spune Adrian Herdan, CEO Devhd.
Reglementările DORA impun organizațiilor din domeniul financiar să își dezvolte capabilități de protecție, de detecție, de limitare, recuperare și remediere a activelor IT&C în cazul atacurilor cibernetice sau al oricăror incidente legate de infrastructura IT&C.
Care sunt capitolele
Noile reglementări nu privesc doar băncile, ci și companiile de asigurări, firmele de investiții, furnizorii de servicii crypto etc. Pentru a deveni conforme, companiile de servicii financiare trebuie să respecte câteva capitole principale:
- Să își creeze un cadru de management al riscului bazat pe politici și principii-cheie de securitate IT, să identifice serviciile IT&C importante sau critice, să cartografieze activele aferente, terții și interdependențele cu aceștia, să își pună la punct strategii de continuitate a afacerii și de recuperare în cazul unui incident.
- Să stabilească foarte clar cum raportează incidentele pentru că vor fi nevoite să o facă în 24 de ore de la producerea lor, iar în maximum o lună să identifice cauza atacului; de asemenea, să calculeze costul agregat al incidentelor.
- Să testeze în mod regulat reziliența operațională, teste care vor fi obligatorii pentru mai multe companii din domeniul serviciilor financiare decât până în prezent.
- Să asigure o monitorizare solidă a riscurilor care decurg din dependența de furnizorii terți IT&C.
- Să colaboreze cu echipele de securitate la nivel national și internațional precum și cu ale altor entități financiare și să împărtășească informații despre riscurile de securitate, ceea ce va spori reziliența operațională a întregi industrii și va minimiza capacitatea de răspândire a amenințărilor informatice.
“În prezent, potrivit unei analize ServiceNow, pentru companiile de servicii financiare provocarea majoră este identificarea activelor IT&C pe care le dețin, înțelegerea modului în care tehnologiile pe care le folosesc se interconectează și care este implicarea furnizorilor terți în tot acest proces, în special în cazul operațiunilor și serviciilor IT considerate critice.
Informațiile trebuie centralizate
Este esențial pentru companii să centralizeze toate aceste informații pe o platformă unică, folosind o tehnologie care să se poată integra cu toate sistemele IT&C existente în organizație, astfel încât riscul de incidente cibernetice să fie mai ușor de calculat, iar pe baza sa să se poată construi acel cadru de gestionare a riscului care este pilonul de bază în cazul DORA”, explică Florin Daniș, Technical Architect și co-fondator Devhd.
Deși reglementările DORA sunt publice din 2022 iar perioada în care companiile puteau să se pregătească a fost de 2 ani, în a doua jumătate a anului trecut, aproximativ 43% dintre companiile financiare nu știau încă care este gradul de interconectare dintre furnizorii de soluții IT&C, precum cele pentru autorizarea și autentificarea tranzacțiilor de plată, operațiunile IT și tranzacțiile efectuate de clienți prin intermediul canalelor digitale, considerate cele mai critice, potrivit unui studiu Deloitte.
Pentru a ajuta companiile să îndeplinească aceste cerințe, Devhd oferă soluții complete prin platforma ServiceNow, care acoperă toate aspectele necesare pentru a asigura reziliența operațională.
Componentele necesare
Împreună cu echipa Devhd, organizațiile pot dezvolta un plan de adoptare a puternicei platforme ServiceNow, care să răspundă pe deplin nevoilor de reziliență operațională. Devhd crede că reziliența operațională nu este doar o soluție, ci un rezultat.
Realizarea acestui rezultat depinde în mare măsură de tehnologiile utilizate. Pentru a implementa cu succes un program de reziliență operațională, sunt necesare trei componente cheie: experiența, capacitatea și datele.
- Experiența – Este esențial să existe înțelegere și leadership intern pentru a conduce inițiativa, precum și un partener care să ofere ghidare și cunoștințe.
- Capacitatea – Soluțiile punctuale nu pot gestiona un program robust de reziliență operațională. Este necesară o platformă care să ofere toate funcționalitățile necesare pentru a susține programul.
- Datele – Calitatea și accesul la date sunt fundamentale pentru a permite o vedere în timp real a rezilienței. ServiceNow se diferențiază prin baza sa de date de gestionare a configurațiilor (CMDB), care oferă o sursă centralizată și unică de informații. CMDB-ul integrat al ServiceNow permite monitorizarea în timp real și vizibilitatea completă asupra tuturor activelor IT, interdependențelor și vulnerabilităților acestora. Fără date de calitate, programul nu va avea succes.