Wdrożenie rozporządzenia DORA i późniejsze działanie w zgodzie z nim, nie jest łatwym zadaniem. Na te obszary składa się wiele czynności, które manualnie realizowane mogą zajmować dużo czasu, a przez to kosztować znaczną sumę. Czy da się zoptymalizować zapewnienie zgodności z DORA? Poznasz odpowiedź na to pytanie w tym artykule.
Szacowanie ryzyka jako jeden z kluczowych procesów w DORA
Podmioty finansowe przy skali swojej działalności muszą polegać na wielu procesach. Kiedy informacje o zasobach, stanach zabezpieczeń i procesach są rozproszone, kontrola nad ciągłością funkcjonowania oraz rozwój infrastruktury informatycznej staje się wyzwaniem. Dodatkowo brak spójnych informacji o procesach w całej organizacji utrudnia planowanie i doskonalenie bezpieczeństwa procesów. Dlatego instytucje finansowe są zobowiązane do identyfikowania, klasyfikowania i dokumentowania wszystkich funkcji biznesowych, zadań, obowiązków oraz zasobów informacyjnych i ICT związanych z zarządzaniem ryzykiem ICT.
Zarządzanie bezpieczeństwem organizacji wymaga szacowania ryzyka. Proces ten polega na identyfikacji ryzyka oraz jego ocenie. Korzystając z usług ICT nie jest możliwe całkowite wykluczenie ryzyka, ale praktycznie każde zagrożenie można skwantyfikować i ocenić, o ile stosuje się do tego odpowiednią metodykę w podejściu assetowym i narzędzia wspierające jej zastosowanie. Dzięki temu można zracjonalizować działania mające na celu zarządzanie bezpieczeństwem organizacji. Skutkiem tego jest świadomy wybór ryzyk, które są najważniejsze, akceptując te mało prawdopodobne lub/i te o małym poziomie wpływu.
Możesz przygotować się do zarządzania ryzykiem tak by uwzględnić wymagane przez DORA ramy zarządzania ryzykiem, mapowanie organizacji, czy ocenę ryzyka z gotowym harmonogramem.
Mapowanie procesów z dostawcami ICT
Rozporządzenie DORA w wytycznym dotyczących zagadnienia procesu szacowania ryzyka podaje ogólne zasady, którymi należy się kierować. W ramach identyfikacji środowiska ICT, podmioty finansowe muszą stworzyć bazę danych zawierających indeks wszystkich zasobów informacyjnych i zasobów ICT. Muszą ewidencjonować konfigurację zasobów informacyjnych i zasobów ICT oraz powiązania i współzależności między nimi. Podmioty finansowe muszą również zidentyfikować wszystkie procesy, które zależą od zewnętrznych dostawców usług ICT, zwłaszcza związane z krytycznymi lub istotnymi funkcjami.
Podmioty te, mając zmapowane środowisko ICT, muszą identyfikować wszystkie źródła ryzyka związanego z ICT. Szczególnym źródłem jest ekspozycja na ryzyko w odniesieniu do innych podmiotów finansowych i pochodzące od tych podmiotów. Organizacje te oceniają cyberzagrożenia i podatności w obszarze ICT istotne dla ich funkcji biznesowych wspieranych przez ICT, zasobów informacyjnych i zasobów ICT. Muszą przeprowadzać ocenę ryzyka przy każdej większej zmianie w: infrastrukturze sieci i systemów informatycznych, w procesach lub procedurach mających wpływ na ich funkcje biznesowe, które są wspierane przez ICT, zasoby informacyjne lub zasoby ICT.
Ręczne analizowanie ryzyka zgodnie z DORA
Po zaindeksowaniu środowiska ICT podmiot finansowy powinien przeprowadzić analizę i ocenę ryzyka, które razem składają się na szacowanie ryzyka, dla wszystkich usług ICT oraz procesów. Czynność tą w formie okresowych przeglądów powinien przeprowadzać regularnie, a co najmniej raz w roku lub w momencie zmiany w środowisku ICT.
Średniej wielkości organizacja może wykorzystywać setki usług ICT oraz dziesiątki procesów związanych z działaniami operacyjnymi. Ręczne przeprowadzanie szacowania ryzyka dla takiej ilości zasobów, uwzględniając potrzebę aktualizacji i regularnych przeglądów, może być czasochłonne, skomplikowane i podatne na błędy. Brak prostego wglądu w szerszy obraz poziomu ryzyka w organizacji i jego zmiany w czasie mogą skutkować brakiem świadomości osób odpowiedzialnych za zarządzanie ryzykiem na temat aktualnego i przyszłego poziomu operacyjnej odporności cyfrowej.
Automatyzacja procesu szacowania ryzyka
Co można zrobić w zakresie automatyzacji tego procesu? Jak można ograniczyć czas i koszt związany z szacowaniem ryzyka? Jednym z rozwiązań są narzędzia w zakresie IT Governance, Risk and Compliance. Przedstawicielem tej grupy jest RIG DORA, narzędzie które jest wynikiem wieloletniego doświadczenia w doradztwie w obszarach szeroko rozumianego compliance: bezpieczeństwa informacji, ciągłości działania, RODO, doradztwa IT. RIG DORA to efekt 11 miesięcy prac B+R, w wyniku których powstało gotowe narzędzie z pracujące na metodyce.
Na grafice przedstawiliśmy obszary, które można zautomatyzować wraz z RIG DORA. Najważniejszy obszar, którego nie da się zautomatyzować to zmapowanie organizacji: słownik, rejestr procesów i reszta. Z drugiej strony, jest wiele obszarów, które RIG DORA wypełnia automatycznie lub wymaga ręcznego wypełnienia z minimalną potrzebną ilością godzin pracy.
Jeżeli chcesz dowiedzieć się, ile można zaoszczędzić automatyzując proces szacowania ryzyka, sprawdź to na kalkulatorze na naszej stronie. Pozwoli Ci on obliczyć orientacyjny czas i koszt potrzebny na przeprowadzenie wszystkich szacowań ryzyka dla Twojej organizacji.
Kalkulację przygotowaliśmy uwzględniając kilka zmiennych: liczbę aktywów, procesów, zagrożeń, interesariuszy, produktów lub usług. Określiliśmy też kilka założeń. Założyliśmy, że przygotowanie szacowania ryzyka ICT wymaga przemyślenia metodyki oraz stworzenia narzędzia (np. w formie plików excel), które umożliwi oszacowanie ryzyka w organizacji. Kolejnym założeniem jest fakt, że szacowanie ryzyka ICT zgodnie z normami ISO wymaga zebrania informacji o procesach, zasobach, podatnościach, zabezpieczeniach, interesariuszach, produktach i usługach.
W naszej metodyce, na której oparte są poniższe obliczenia przyjęto, że ryzyko to iloczyn oceny konwencji i prawdopodobieństwa. Ocena konwekcji w domenie Ciągłości Działania wymaga połączenia informacji o procesie – aktywie wspierającym wraz z aktywem informacyjnym z oceną powagi konsekwencji utraty atrybutu bezpieczeństwa dla interesariuszy. Z tego powodu wylistowanie takich połączeń w średniej i dużej organizacji może wymagać przygotowania listy kilkunastu tysięcy kombinacji. Ocena prawdopodobieństwa jest drugim składnikiem niezbędnym do oszacowania ryzyka. Wymagane jest połączenie informacji o zagrożeniu z aktywami wspierającym oraz z jego podatnościami i zabezpieczeniami w rozbiciu na atrybuty bezpieczeństwa: poufność, integralność, dostępność, autentyczność i ewentualne zgodność z prawem. Zwykle takiej analizy ryzyka dokonuje ekspert według przyjętej skali.
Ile można zaoszczędzić na automatyzacji?
Oszczędność czasu związana jest z oszczednością pieniędzy. Czas każdego członka zespołu jest na wagę złota, z tego powodu w obliczeniach przyjęta została jednostka godziny. W naszym przykładzie założyliśmy następujące dane wejściowe:
- Liczba aktywów – 50
- Liczba procesów – 35
- Liczba zagrożeń – 80
- Liczba interesariuszy – 5
- Liczba produktów/usług – 5
W tym przykładzie największe oszczędności czasu są w kilku obszarach. Jest to przygotowanie metodyki założeń i narzędzia, które w RIG DORA klienci dostają w pakiecie, przez co w tym przykładzie oszczędzają czas pracy z 80 do 2 godzin. Drugim obszarem jest mapowanie organizacji, które dzięki prostocie narzędzia można ograniczyć z 383 godzin do 255. Kolejną znaczną oszczędnością jest etap samego szacowania w tym oceny konsekwencji oraz prawdopodobieństwa, które odpowiednio ograniczamy ze 105 do 5 oraz z 167 na 11 godzin. Automatyczne narzędzie nie wymaga ręcznego wyliczania ryzyka, więc z 40 godzin ograniczamy ten etap do 0. Nie wymaga również znacznej weryfikacji działań, więc w tym zakresie w tym przykładzie ograniczyliśmy weryfikację z 27 do 2 godzin.
Sumarycznie oszczędność czasu w przykładzie to 526 godzin. Ręczne szacowanie ryzyka w tym przykładzie zajmuje 801 godzin, w przeciwieństwie do szacowania wraz z RIG DORA, które zajmuje 275. Założyliśmy, że wynagrodzenie pracownika realizującego zadania związane z zarządzaniem ryzyka w organizacji to 15000 złotych brutto w zakresie 100 h w miesiącu. Z tego powodu koszt samodzielnej realizacji szacowania ryzyka, przyjmując założenia jak w przykładzie, to 199 150 złotych. Jeśli zostanie zastosowane narzędzie RIG DORA, ten koszt wyniesie 81 250 złotych (czas pracy plus licencja), a czas realizacji projektu ograniczamy dzięki automatyzacji procesu z 8,01 miesiąca do 2,7. Z tego powodu oszczędzamy 66% czasu i 59% kosztów finansowych związanych realizacją szacowania ryzykiem zgodnego z DORA. Jeżeli chcesz samemu się dowiedzieć, ile możesz oszczędzić czasu i pieniędzy dzięki RIG DORA skorzystaj z kalkulatora.
