Zarządzanie ryzykiem ICT nie jest łatwe. Jednym z narzędzi, które mogą pomóc w zarządzaniu ryzykiem zgodnie z rozporządzeniem DORA jest rejestr procesów. Jest on pośrednio wspomniany w artykule 8 rozporządzenia, zgodnie z którym podmiot finansowy otrzymuje zadanie identyfikacji, klasyfikacji i odpowiedniej dokumentacji wszystkich wspieranych przez ICT funkcji biznesowych, zadań i obowiązków, zasobów informacyjnych i zasobów ICT wspierających te funkcje oraz ich zadań i zależności w odniesieniu do ryzyka związanego z ICT.
Procesy w podmiocie finansowym
Procesy te można zdefiniować, jako sekwencję uporządkowanych czynności, które prowadzą do uzyskania określonego efektu. W kontekście organizacji i zarządzania są one zazwyczaj opisywane, jako zbiory wzajemnie powiązanych czynności, których realizacja jest konieczna dla osiągnięcia określonego celu lub rezultatu. W przypadku procesów biznesowych efektem końcowym może być produkt lub usługa, z których korzysta klient – zarówno wewnętrzny, jak i zewnętrzny.
Podmioty finansowe operują na rynku, na którym nie jest możliwe prowadzenie działalności bez mnogości rozbudowanych procesów. Jednakże, istnieje szereg wyzwań, które wpływają na działania operacyjne czy środowisko ICT poprzez wpływ na skuteczność zarządzania infrastrukturą informatyczną oraz ryzykiem. Kontrola nad ciągłością funkcjonowania i rozwojem infrastruktury informatycznej staje się wyzwaniem, gdy informacje o zasobach, stanie zabezpieczeń i procesach są rozproszone. Dodatkowo brak spójnych informacji o procesach w całej organizacji sprawia, że planowanie i doskonalenie bezpieczeństwa procesów jest utrudnione.
Procesy w rozporządzeniu DORA
Podstawową referencją, z której wynika potrzeba stworzenia rejestru procesów w organizacji, jest artykuł 8 DORA. Według niego podmioty finansowe są zobowiązane identyfikować, klasyfikować i dokumentować wszystkie funkcje biznesowe, zadania, obowiązki oraz zasoby informacyjne i ICT związane z zarządzaniem ryzykiem ICT. Konkretniej określić tr zasoby pozwala artykuł 6 ust.2, który jako zasoby informacyjne i ICT określa “oprogramowanie i sprzęt komputerowy, serwery, a także wszystkie odpowiednie elementy fizyczne i infrastruktury, takie jak obiekty, ośrodki przetwarzania danych i wyznaczone obszary wrażliwe, w celu zapewnienia odpowiedniej ochrony wszystkich zasobów informacyjnych i zasobów ICT przed ryzykiem, w tym przed uszkodzeniem i nieuprawnionym dostępem lub użytkowaniem”. W wyniku wejścia w życie rozporządzenia DORA, stopień skomplikowania procesów zarządzania ryzykiem może osiągnąć wysoki poziom, przez co ocena ryzyka może okazać się trudna bez odpowiednich narzędzi.
Każda organizacja posiada własny zbiór procesów biznesowych, operacyjnych i związanych z technologią. Wiele z nich ma krytyczne znaczenie dla funkcjonowania podmiotu finansowego. Do tego różnego rodzaju incydenty ICT mogą negatywnie wpłynąć na ich działanie. Z tego powodu identyfikacja procesów ma duże znaczenie dla powodzenia analizy ryzyka i późniejszego zarządzania nim.
Zbiór procesów wynikających z rozporządzenia DORA
W rejestrze procesów każda organizacja powinna zidentyfikować indywidualnie swoje procesy. Można natomiast określić konkretny zbiór procesów i zadań wynikający z DORA. Poniżej zostały omówione zadania związane z procesami w pięciu obszarach: zarządzania ryzykiem ICT, zarządzania incydentami ICT, testowania operacyjnej odporności cyfrowej, współpracy z dostawcami ICT oraz wymiany informacji.
Zadania w zakresie zarządzania ryzykiem ICT
Zgodnie z podsumowaniem dotyczącym DORA podmioty finansowe muszą wdrożyć szereg procesów i działań, aby spełnić wymagania tej dyrektywy. Ich zadaniem jest opracowanie kompleksowych ram zarządzania ryzykiem ICT, obejmujących strategie, polityki, procedury, protokoły i narzędzia. Jest nim również zapewnienie niezależności funkcji kontroli i audytu wewnętrznego w zakresie zarządzania ryzykiem ICT. Podmioty finansowe muszą wdrożyć proces regularnych przeglądów oraz ulepszać ramy zarządzania na podstawie wniosków z monitoringu.
Podmioty finansowe muszą wykorzystywać i utrzymywać dostosowane do skali operacji i odporne technologicznie systemy, protokoły i narzędzia ICT, które muszą być stale aktualizowane. Organizacje te muszą identyfikować wszystkie funkcje biznesowe, zasoby informacyjne i zasoby ICT wspierane przez ICT. W następnym kroku oceniają one ryzyko związane z ICT, identyfikują źródła ryzyka, cyberzagrożeń i podatności. W wyniku tego wdrażają narzędzia, polityki i procedury minimalizujące wpływ zidentyfikowanego ryzyka. Stale monitorują i kontrolują bezpieczeństwo systemów i narzędzi ICT w celu szybkiego wykrywania i identyfikacji zagrożeń. Podmioty finansowe wprowadzają mechanizmy wielopoziomowej kontroli oraz określają progi alarmowe. Dodatkowo dostarczają zasoby do monitorowania działalności użytkowników i incydentów ICT oraz tworzą odpowiednie procedury w tym zakresie.
Podmioty finansowe muszą opracować strategię ciągłości działania w zakresie ICT, plany reagowania na incydenty i przywracania sprawności oraz regularnie je testować. W tym kontekście muszą również opracować polityki tworzenia kopii zapasowych i procedur przywracania danych. Co więcej, należy również w ramach procesu tworzenia kopii zapasowych uwzględnić potrzebę separacji fizycznej i logicznej kopii od głównego systemu ICT.
Oprócz powyższych, podmioty finansowe muszą wdrożyć odpowiednie procesy w zakresie nauki, jak gromadzenie informacji na temat zagrożeń i incydentów związanych z ICT oraz szkolenia pracowników. Muszą one również posiadać plany działań informacyjnych na wypadek sytuacji kryzysowych i procesy, wedle których będzie prowadzona komunikacja dla pracowników i interesariuszy zewnętrznych.
Zapewnienie cyfrowej odporności operacyjnej nie jest łatwym zadaniem. Z tego powodu przygotowaliśmy pomocną instrukcję – Jak dokumentować cyber zabezpieczenia zgodnie z DORA?
Zadania w zakresie zarządzania incydentami ICT
Podmioty finansowe zgodnie z DORA muszą wdrożyć szereg procesów związanych zarządzaniem incydentami ICT, klasyfikacją incydentów związanych z ICT i zgłaszaniem poważnych incydentów.
W ramach zarządzania incydentami ICT należy wprowadzić wskaźniki wczesnego ostrzegania oraz ustanowić procedury identyfikacji, rejestrowania, kategoryzacji i klasyfikacji incydentów związanych z ICT. Podmiot finansowy przydziela przydziela role i obowiązki w zależności od rodzaju incydentów związanych z ICT. Określa procedury reagowania na incydenty związane z ICT w celu złagodzenia skutków, przywrócenia operacyjności i zapewnienia komunikacji ze stronami zainteresowanymi.
Po zidentyfikowaniu incydentów podmiot finansowy powinien wdrożyć odpowiedni proces, w ramach którego przeprowadzi klasyfikację incydentów na podstawie kryteriów, takich jak liczba klientów, czas trwania incydentu, zasięg geograficzny, utrata danych, krytyczność usług, i skutki gospodarcze. Sklasyfikowany poważny incydent powinien zostać zgłoszony właściwemu organowi, a do tego, powinien zostać powiadomiony klient podmiotu finansowego. Podmioty finansowe powinny określić zasady, wedle których będą powiadamiać o innych niż poważnych incydentach właściwe organy.
Zadania w zakresie testowania operacyjnej odporności cyfrowej
Podmioty finansowe muszą ustanowić program testowania operacyjnej odporności cyfrowej. Program ten powinien obejmować oceny gotowości do obsługi incydentów związanych z ICT, identyfikację słabości, niedoskonałości i luk oraz natychmiastowe wdrażanie środków naprawczych. Program testowania powinien obejmować różnorodne oceny, testy, metodyki, praktyki i narzędzia, zgodne z określonymi kryteriami. Jego realizacja opiera się na podejściu opartym na analizie ryzyka, uwzględniając zmieniające się środowisko ryzyka związanego z ICT. Testy wszystkich systemów i aplikacji ICT wspierających krytyczne lub istotne funkcje powinny być powtarzane co najmniej raz w roku.
Program testowania operacyjnej odporności cyfrowej powinien obejmować różnorodne testy, takie jak oceny podatności, skanowanie pod tym kątem, analizy otwartego oprogramowania, oceny bezpieczeństwa sieci, analizy braków, fizyczne kontrole bezpieczeństwa, kwestionariusze, itp. Oprócz tego, co najmniej raz na trzy lata większość podmiotów finansowych (wszystkie oprócz tych określonych w art. 16 ust. 1 oraz mikroprzedsiębiorstwa) przeprowadzają zaawansowane testy z użyciem TLPT z możliwością dostosowania częstotliwości zależnie od profilu ryzyka i okoliczności operacyjnych. Testy penetracyjne obejmują kilka krytycznych lub istotnych funkcji danego podmiotu finansowego i są przeprowadzane na działających systemach produkcyjnych. Podmioty finansowe i testerzy zewnętrzni po zakończeniu TLPT przedstawiają właściwemu organowi podsumowanie wyników, plany naprawcze oraz dokumentację potwierdzającą zgodność z wymaganiami.
Zadania w zakresie współpracy z dostawcami ICT
Środowiska ICT zdecydowanej większości podmiotów finansowych korzystają z usług zewnętrznych dostawców. Z tego powodu DORA zwraca szczególną uwagę na to zagadnienie traktując zarządzanie ryzykiem związanym z dostawcami ICT jako integralną część ogólnego zarządzania ryzykiem. W celu nawiązywania bezpiecznej współpracy z dostawcami usług ICT, podmioty finansowe przyjmują strategię dotyczącą ryzyka związanego z dostawcami usług ICT oraz politykę korzystania z usług ICT wspierających krytyczne lub istotne funkcje. Dokumenty te powinny być regularnie analizowane i aktualizowane.
Kolejnym ważnym zadaniem jest utrzymywanie i aktualizacja rejestru informacji dotyczącego umownych ustaleń z dostawcami na różnych poziomach. Podmioty finansowe muszą informować właściwe organy o nowych ustaleniach i udostępniać im pełny rejestr na żądanie. Mają one również wiele zadań związanych z umowami z dostawcami usług ICT. Muszą ocenić , czy ustalenia umowy dotyczą krytycznych lub istotnych funkcji. Oceniają one spełnienie warunków nadzorczych. oraz identyfikują i oceniają ryzyko związane z ustaleniem umownym. Muszą również zapewnić sobie wiele zapisów umownych jak prawo dostępu, kontroli i audytu czy możliwość wypowiedzenia umowy w przypadku naruszenia przepisów, zmiany w wykonywaniu funkcji, słabości dostawcy itp.
Zadania w zakresie wymiany informacji
DORA zapewnia możliwość skutecznej i bezpiecznej wymiany informacji o cyberzagrożeniach wśród podmiotów finansowych, co jest nowością w dotychczasowym otoczeniu regulacyjnym. Podmioty finansowe z tego powodu muszą opracować i ustalić ramy wymiany informacji o cyberzagrożeniach czyli warunki, zasady i zakres wymiany informacji, uwzględniając cele operacyjnej odporności cyfrowej. Muszą one także wdrożyć środki ochronne mające na celu zachowanie poufności i bezpieczeństwa wymienianych informacji. Jest to kluczowy element w procesie wymiany informacji o cyberzagrożeniach.
Jak ułatwić zarządzanie procesami?
Zapewnienie operacyjnej odporności cyfrowej jest szerokim zagadnieniem, którego realizacja wymaga wprowadzenia wielu procesów w różnych działach. Podmioty finansowe muszą mieć kontrolę nad procesami wynikającymi z powyższych zadań, ale również nad procesami biznesowymi, które są indywidualne dla każdej organizacji.Analiza i zarządzanie ryzykiem środowiska ICT są rozproszone na różne działy, co prowadzi do braku spójności danych i trudności w ujęciu całego obrazu ryzyka. Ponadto wymagania DORA nakładają dodatkowe wyzwania związane z aktualizacją procedur IT, szczególnie w kontekście analizy cyberbezpieczeństwa związanego z dostawcami ICT. Warto z tego powodu wziąć pod uwagę skorzystanie z narzędzia umożliwiającego mapowanie procesów. Zwłaszcza po wejściu rozporządzenia DORA staje się ono kluczowe, umożliwiając śledzenie wszystkich aktywów, bez względu na to, czy są one związane z dostawcami wewnętrznymi czy zewnętrznymi i zapewnienie operacyjnej odporności cyfrowej. Dzięki temu osoba odpowiedzialna za zgodność może skutecznie kontrolować zasoby, zabezpieczenia i procesy, co wpływa na spójność działań i pełniejsze zrozumienie ryzyka w organizacji. Właśnie w tym celu powstało narzędzie RIG DORA, które przy użyciu wbudowanego rejestru procesów, pozwala je gromadzić w jednym miejscu i zgodne z wymogami rozporządzenia DORA. Pozwala to wysokopoziomowo spojrzeć na bezpieczeństwo, ułatwia koordynację prac i oszczędza czas podczas wdrożenia DORA i utrzymania zgodności z rozporządzeniem.