Zarządzanie ryzykiem łańcucha dostaw jest kluczowym elementem zgodności z DORA, jednak wiele instytucji finansowych ma trudności z osiągnięciem wymaganej widoczności i kontroli nad zewnętrznymi dostawcami usług ICT. Podczas tej sesji zbadamy praktyczne wyzwania i typowe pułapki w zarządzaniu ryzykiem łańcucha dostaw w ramach DORA, w tym rzeczywiste przykłady, w których luki w widoczności mogą prowadzić do problemów ze zgodnością i zakłóceń operacyjnych. Omówimy skuteczne praktyki oceny ryzyka stron trzecich, wdrażania ciągłego monitorowania i budowania odpornego środowiska ICT, które chroni przed lukami w zabezpieczeniach łańcucha dostaw. Uczestnicy wyjdą z praktycznymi strategiami zapewniającymi odporność i gotowość do zapewnienia zgodności z przepisami.
Sednem wymogów rozporządzenia DORA jest dysponowanie przez podmiot finansowy solidnymi, kompleksowymi i dobrze udokumentowanymi ramami zarządzania ryzykiem ICT, obejmującymi w szczególności ryzyko ze strony zewnętrznych dostawców usług ICT. Tak ogólnie postawione zadanie raczej nie budzi wątpliwości z punktu widzenia nadrzędnego celu, jakim jest zapewnianie oczekiwanej operacyjnej odporności cyfrowej podmiotów finansowych. Gdy jednak zagłębimy się w szczegóły realizacji tego zadania w zgodzie z nowymi przepisami, to ujawni się prawdopodobnie wiele rozbieżności w rozumieniu poszczególnych pojęć, uznawaniu poszczególnych kwestii za bardziej lub mniej priorytetowe, etc. Podczas wspólnej dyskusji spróbujemy zidentyfikować tego typu rozbieżności, które warto wziąć pod uwagę rozważając zgodność ram zarządzania ryzykiem ICT własnej organizacji z wymogami DORA. W szczególności podejmiemy próbę odpowiedzi na poniższe pytania:
- czy nie dokonujemy zbytniego uproszczenia zakładając, że rozporządzenie DORA silnie wspiera podejście “risk-based” pozwalając podmiotowi finansowemu wprowadzać mechanizmy postępowania z ryzykiem stosownie do przeprowadzonej jego oceny (w tym w oparciu o zasadę proporcjonalności), gdy tymczasem nakłada ono dużą liczbę konkretnych wymogów, które trzeba jednoznacznie spełnić (niezależnie od wielkości i ogólnego profilu ryzyka danej organizacji)?
- czy mówiąc o zarządzaniu ryzykiem technologicznym zgodnym z DORA w równym stopniu myślimy o skutecznych narzędziach i procesach służących zapewnieniu bezpieczeństwa sieci i systemów informatycznych, jak i o samym pomiarze ryzyka ICT, obejmującym m.in. wymagane przez rozporządzenie ewidencjonowanie zmian ryzyka w czasie oraz zatwierdzanie poziomu tolerancji tego ryzyka?
- czy definicja usługi ICT w rozumieniu DORA dotyka sedna łańcucha dostaw mających wpływ na bezpieczeństwo sieci i systemów informatycznych, z których korzysta podmiot finansowy, czy też być może pomija ważny obszar ryzyka operacyjnego, który mogą stwarzać ogólniej rozumiani dostawcy kluczowych mediów i usług?
- jak właściwie podejść do procesu testowania co najmniej raz w roku planów ciągłości działania ICT oraz planów reagowania i naprawy ICT w odniesieniu do systemów ICT obsługujących wszystkie funkcje?
- jakie kluczowe czynniki ryzyka mogą obecnie zakłócić naszą gotowość do dysponowania od 17 stycznia 2025 roku ramami zarządzania ryzykiem ICT spełniającymi wymogi DORA (duża skala wymagań, niejasność przepisów i różny status RTS/ITS do rozporządzenia, ograniczenia budżetowe, negocjacje umów z dostawcami usług ICT, etc.)?
Zapewnienie zgodności z regulacjami takimi jak DORA jest procesem a nie projektem, co wymaga ciągłej pracy i odpowiedniego dokumentowania jej wyników.
Z uwagi na zbliżający się czas stosowalności DORA należy już teraz pomyśleć o tym czy Państwa organizacja jest gotowa do wykazania się przed audytem wewnętrznym bądź regulatorem w kwestii stanu zgodności z tą regulacją.
W ramach dyskusji podejmiemy m.in. następujące zagadnienia:
- W jaki sposób udokumentować przyjęte wewnętrznie podejścia do interpretacji nieoczywistych zagadnień w DORA?
- Jak przygotować się do wykazania, że wymagania regulacyjne nie są jedynie treścią dokumentów, ale również wprowadzone są do bieżącego funkcjonowania organizacji?
- Co zrobić, jeśli dostawcy ICT nie zgadzają się na aktualizację zapisów umownych?
- Jakie są priorytetowe obszary, które organizacje powinny wewnętrznie skontrolować przed ogłoszeniem sukcesu projektu DORA.
- Co zrobić, jeśli nie zdążymy się dostosować w terminie?
Rozporządzenie DORA wprowadza nowe wymagania dotyczące odporności operacyjnej w sektorze finansowym. Celem jest zapewnienie, że instytucje finansowe są w stanie skutecznie zarządzać ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT) oraz szybko i efektywnie reagować na incydenty cybernetyczne. Przygotowanie się na wymagania DORA wymaga kompleksowego podejścia do zarządzania ryzykiem ICT i cyberodporności. Organizacje muszą inwestować w odpowiednie narzędzia, procedury i szkolenia, aby sprostać nowym regulacjom i zapewnić ciągłość działania w obliczu rosnących zagrożeń cybernetycznych. Zapraszamy do dyskusji, o tym jak w praktyce przygotować się na DORA.
W redukcji ryzyka kluczowy jest kontekst, ponieważ̇ nie wszystkie elementy infrastruktury mają równy wpływ na stan zabezpieczeń. Krytyczne podatności, błędy konfiguracyjne, problemy z poświadczeniami to tylko niektóre elementy, które mogą być wykorzystane w skutecznej ścieżce ataku. Jak optymalnie podejść od niekończących się̨ list zagrożeń wymagających usunięcia i zmiany ich na rzecz przejrzystego widoku realnych ryzyk? Jak wskazać na te elementy najbardziej istotne z punktu widzenia ochrony środowisk lokalnych i chmurowych?
Dzięki wykorzystaniu metodologii ciągłego zarzadzania narażeniem na zagrożenia (CTEM) można zmobilizować zespoły do blokowania atakujących w tzw. wąskich gardłach, gdzie zbiegają̨ się̨ ścieżki ataków. Takie podejście pozwala na zastosowanie precyzyjnych i opłacalnych smrodków zaradczych, które szybko poprawiają̨ stan zabezpieczeń.
– Identyfikacja wąskich gardeł i ślepych zaułków,
– Wskazówki dotyczące środków zaradczych uwzględniające kontekst,
– Ocena stanu zabezpieczeń i trendów,
– Zarządzanie najczęstszymi lukami w zabezpieczeniach i podatnościami (CVE), błędnymi konfiguracjami oraz problemami z tożsamością,
To tylko niektóre tematy jakie poruszymy podczas wspólnej rozmowy. Zapraszamy do naszego stolika.
Podczas prelekcji podsumujemy kluczowe wnioski płynące z przeprowadzonych u naszych Klientów analiz luki pod kątem zgodności z DORA. Omówimy główne obserwacje dotyczące dojrzałości sektora w Polsce oraz spróbujemy odpowiedzieć na pytanie, czy już na tym etapie widzimy poprawę w zakresie operacyjnej odporności cyfrowej. Na podstawie rzeczywistych doświadczeń projektowych przedstawimy największe wyzwania i trudności, jakie napotykają nasi Klienci w spełnieniu wymagań regulacji. Zaproponujemy także konkretne, kluczowe kroki przygotowawcze, które pomogą w dalszym dostosowaniu się do DORA.