W artykule przedstawiamy siedem kluczowych obszarów, które mogą budzić wątpliwości podczas kontroli KNF w kontekście zgodności z DORA. Od nieoczekiwanie rozległego łańcucha dostawców ICT, przez problemy z klasyfikacją dostawców, aż po kwestie związane z oceną ryzyka i skanowaniem podatności – te zagadnienia wymagają szczególnej uwagi i mogą stanowić pułapki dla nieprzygotowanych organizacji.
Niezależnie od tego, czy Twoja instytucja jest na początku drogi wdrażania DORA, czy już poczyniła znaczące postępy, ten artykuł pomoże Ci zidentyfikować potencjalne luki i obszary wymagające dodatkowej uwagi. Przygotuj się na dogłębną analizę najczęstszych wątpliwości, które mogą pojawić się podczas kontroli KNF, i dowiedz się, jak skutecznie się do nich przygotować.
Łańcuch Twoich dostawców ICT może okazać się większy niż myślisz
Ilu tak naprawdę masz dostawców? Pewnie trwa analiza zakresu umów z dostawcami ICT, a może nawet spór w tym zakresie. Chciałoby się powiedzieć kilku, ale:
– pamiętaj, że dostawcy są wewnętrzni i zewnętrzni, a w zestawieniach należy uwzględniać oba te rodzaje dostawców,
– oraz, że z jednym dostawcą masz wiele umów albo jedną umowę i wiele relacji biznesowych,
– na dodatek to, że masz jedną umowę na wiele usług nie oznacza, że masz mniej pracy, oznacza to tylko tyle, że taką umowę umowę powinieneś dokładniej opisać w zakresie funkcji i na dodatek zbadać zależności między nimi.
Widzieliśmy już sporo przykładów w których na starcie organizacja zaniża liczbę dostawców o 50 %, a w trakcie procesu inwentaryzacji liczba dostawców rośnie geometrycznie, zwykle widzisz swoje powiązania z nimi jako mniej rozległe niż jest w rzeczywistości. Definicja dostawcy niby jest oczywista, ale przez to że jest szeroka i według niej łapie się w nią wszystko co wiąże się z ICT, a na pewno wszystko co wiąże się z aplikacjami.
Aplikacje są systemami technologii informacyjno-komunikacyjnej (ICT). Powinno teraz pojawić się pytanie z ilu aplikacji w naszych organizacjach korzystamy? Najczęściej są to liczby powyżej 100. Organizacje starają się więc wyłączyć niektórych dostawców by ograniczyć zakres prac i raportowania, ale na dłuższą metę to strategia, która prowadzi w kierunku braku efektywności organizacyjnej.
Ilość krytycznych dostawców ICT może się zmieniać
Może wydawać się, że krytycznych dostawców ICT organizacja ma niewielu i jest to liczba niezmienna, bo trudno jest spełnić aż tyle kryteriów takich jak: wysoki wpływ i znaczenie systemowe, brak zastępowalności dostawcy, wpływ na stabilność finansową, szeroka skala działalności dostawcy w regionach i jego znaczenie dla ciągłości działania sektora finansowego.
Po przeprowadzeniu analizy BIA zobaczysz, że Twoje usługi zależą od całkiem sporej liczby zorkiestrowanej grupy dostawców.
Wystarczy jednak żeby dostawca ICT spełniał jedno z kryteriów. Prawdopodobnie też Twoich dostawcy ICT spełniają więcej kryteriów niż myślisz. Proces klasyfikacji jest złożony, rozciągnięty w czasie i musi być elastyczny. Wymaga on:
- Oceny całościowej:
Europejskie Urzędy Nadzoru (ESA) dokonują oceny, biorąc pod uwagę wszystkie wymienione kryteria, ale wystarczy żeby dostawca spełniał jedno kryterium, żeby podlegał tej ocenie.
- Ustalenia wagi kryteriów:
Niektóre kryteria mogą mieć większe znaczenie w zależności od kontekstu i specyfiki dostawcy. Na przykład, systemowy wpływ lub brak zastępowalności mogą być kluczowe w pewnych przypadkach.
- Ustalenia progu znaczenia:
Dostawca może zostać uznany za krytycznego, jeśli spełnia jedno lub więcej kryteriów w stopniu uznanym za znaczący przez organy nadzoru.
- Analiza przypadku:
Każdy dostawca jest oceniany indywidualnie, uwzględniając specyfikę jego działalności i wpływ na sektor finansowy.
- Okresowa weryfikacja:
Klasyfikacja dostawców ICT musi podlegać regularnym przeglądom i może ulec zmianie w czasie. Dlatego bardzo prawdopodobne jest, że nie wiesz jeszcze ilu dokładnie masz krytycznych dostawców ICT.
Shadow IT czyli zasoby nieznane działowi IT, które mogą wyjść na jaw zbyt późno
Możliwe, że w Twojej organizacji istnieją aplikacje, usługi chmurowe czy niestandardowe rozwiązania, o których nie wie IT i siłą rzeczy nie znajdują się one pod ich nadzorem.
Praktyka używania systemów informatycznych, urządzeń, oprogramowania, aplikacji lub usług bez formalnej zgody lub wiedzy działu IT organizacji jest często spotykana i ma swoją nazwę – shadow IT. Praktyka ta wiąże się z takim przykładowymi postępowaniami:
- Pracownicy instalują i korzystają z aplikacji niezatwierdzonych przez organizację.
- Korzystają z zewnętrznych usług przechowywania danych lub narzędzi współpracy bez zgody IT.
- Używają prywatnych smartfonów lub laptopów do pracy z danymi firmowymi.
- Tworzą własne arkusze kalkulacyjne lub bazy danych zamiast korzystania z oficjalnych systemów.
Shadow IT może stwarzać poważne zagrożenia dla bezpieczeństwa i zgodności organizacji, ale jednocześnie często wynika z potrzeby zwiększenia produktywności lub obejścia nieefektywnych procesów firmowych. Niestety strefa tych ukrytych usług ICT, to wiele danych, które mogą być zauważone jako niechronione w sytuacji kontroli.
Twoja kategoryzacja umów z dostawcami ICT może nie pasować do klasyfikacji umów zgodnej z DORA
Jednym z najpopularniejszych i najbardziej efektywnych sposobów zarządzania umowami z dostawcami ICT jest “kategoryzacja umów”. Prawdopodobnie przypisujesz umowy do określonych kategorii lub grup na podstawie różnych kryteriów, takich jak: typ umowy,
wartość umowy, czas trwania umowy, poziom ryzyka, dział odpowiedzialny za umowę, strategiczne znaczenie dla firmy.
DORA wprowadza szczegółowe wymagania dotyczące klasyfikacji umów z dostawcami ICT, które mogą różnić się od dotychczas stosowanych metod w firmach. Kluczowe aspekty klasyfikacji według DORA obejmują znacznie więcej aspektów. Należy zrewidować kryteria klasyfikacji, uwzględniając specyficzne wymagania DORA. Wprowadzić dodatkowe kategorie oceny, takie jak krytyczność dostawcy czy możliwość audytu. Dostosować proces oceny ryzyka do standardów określonych w DORA. Uwzględnić w klasyfikacji aspekty związane z ciągłością działania i odpornością operacyjną.
Na koniec trzeba poukładać to w sformalizowanym rejestrze informacji umownych przygotowanym przez ESMA oraz raportować do KNF.
Możesz nie wiedzieć, które umowy odpowiadają konkretnym narzędziom i usługom ICT
Brak wiedzy na ten temat może wynikać, z tego, że Twoja organizacja finansowa ma skomplikowane środowiska IT z wieloma narzędziami i usługami. Integracje między systemami mogą utrudniać identyfikację powiązań.
Każda organizacja w sektorze finansowym funkcjonuje dzięki rozbudowanemu środowisku ICT, ale nie w każdej jest świadomość istnienia tych uwarunkowań.
Różnorodność działów, które mogą samodzielnie nabywać narzędzia ICT bez centralnej koordynacji w połączeniu z brakiem systematycznego podejścia do dokumentowania powiązań między umowami a narzędziami. To przyczyny trudności w prowadzeniu rejestru informacji o postanowieniach umownych.
Do tego należy wymienić niewystarczające zarządzanie umowami i inwentaryzacją zasobów IT. Częste aktualizacje, migracje i zmiany dostawców. Trudności w utrzymaniu aktualnej dokumentacji. Brak efektywnej wymiany informacji między działem IT, zakupów i innymi jednostkami.
Może okazać się, że Twoja organizacja ma po kilka umów z jednym dostawcą ICT i podczas klasyfikowania umów trudno jest przyporządkować, które narzędzie należy przyporządkować do odpowiedniej umowy. Często stosuje się umowy ramowe lub pakietowe, które z definicji obejmują wiele narzędzi i usług. Różnice w nazewnictwie narzędzi między umowami a rzeczywistym użyciem to ogromne wyzwanie.
Istnieje więc znaczące prawdopodobieństwo, że próba przypisania konkretnych narzędzi do umów może generować wiele błędów, które będą zauważone w czasie kontroli zgodności z DORA.
Metodyka oceny ryzyka może okazać się niezgodna z DORA
Jeżeli w Twojej organizacji została przeprowadzona ocena ryzyka, w której szacowano ryzyko na procesach, a nie na aktywach wspierających, to w trakcie kontroli będzie to weryfikowane. DORA wymaga metodyki, która skupia się na wartości i krytyczności posiadanych aktywów informacyjnych i wspierających (np. Art. 5 RTS JC 2023 86) i wpływie utraty przez nie atrybutów bezpieczeństwa (poufność, integralność, dostępność, autentyczność) na funkcje biznesowe organizacji.
Załóżmy, że konsultant, któremu zlecono przeprowadzenie oceny ryzyka zgodnie z DORA wykonał, to zadanie poprawnie, czyli ocenił ryzyko na aktywach wspierających i powiązał je ze wszystkimi aktywami głównymi i procesami w organizacji. Wydaje się więc, że Twoja organizacja powinna pozytywnie przejść kontrolę zgodności z rozporządzeniem DORA. Tak, ale istnieje znaczące prawdopodobieństwo, że jeżeli konsultant nie będzie mógł zaktualizować tej oceny ryzyka po wystąpieniu poważnych incydentów związanych z ICT, po otrzymaniu instrukcji nadzorczych KNF lub w wyniku z istotnych testów odporności cyfrowej lub procesów audytowych, to metodyka której nie da się wykonać wielokrotnie nie będzie wystarczająca. Warto więc korzystać z rozwiązań automatyzujących ocenę ryzyka i móc ją aktualizować sprawnie i taniej niż koszt usługi doradczej.
Założenie, że skanowanie podatności będzie się odbywać raz na pół roku lub rok, może być błędne
DORA wymaga aby organizacje stale doskonaliły swoje ramy zarządzania ryzykiem ICT, co może wpływać na częstotliwość i zakres skanowania podatności. Celem rozporządzenia jest wprowadzenie w sektorze finansowym podejście do zarządzania organizacjami, które oparte jest na ryzyku. Częstotliwość i zakres testów powinny więc być proporcjonalne do poziomu ryzyka ICT danej instytucji finansowej.
Założenie, że przyjmiemy z góry minimalną częstotliwość skanowania podatności, czyli raz na rok, może okazać się niewystarczające dla KNF. Właściwe organy nadzoru mogą dostosować wymagania dotyczące częstotliwości testów w zależności od okoliczności operacyjnych danej instytucji finansowej.
Jeżeli wiesz, że jedna lub więcej z tych sytuacji dotyczy Twojej organizacji, to zastanów się z końcem 2024 r., nad korektą przyjętego podejścia do wdrożenia rozporządzenia. To dobry czas na uwzględnienie w budżecie na 2025 r. takiego rozwiązania, które reprezentuje metodykę opartą o aktywa wspierające, posiada wsparcie w prowadzeniu rejestru dostawców i prowadzi przez wdrożenie DORA.
