Testowanie operacyjnej odporności cyfrowej to jeden z kluczowych obszarów, których dotyczy rozporządzenie DORA. Temat na pierwszy rzut oka wydaj się prosty, ale czy faktycznie tak jest? Czy znasz w pełni wszystkie wymagania które stawia nowe rozporządzenie? Czy zastanawiałeś się jak je spełnisz? Jak się do tego przygotować i co musisz zapewnić? Przed Tobą wiele wyzwań. Wspólnie porozmawiamy o tym jak im sprostać i spróbujemy rozwiać wątpliwości w interpretacji niektórych wymagań.
Pytania, na które będziemy starli się odpowiedzieć to, m.in.:
1. Jak powinny wyglądać testy aby spełnić wymagania DORA?
2. Kto powinien je wykonywać i jak do nich podchodzić?
3. Jak sprostać wymaganiu testowania wszystkich systemów i aplikacji ICT wspierających krytyczne lub istotne funkcje?
4. Jak ustalić zakres w oparciu o analizę ryzyka?
5. Czym się różnią zaawansowane testy penetracyjne pod kątem wyszukiwania zagrożeń (TLPT) od „zwykłych” pentestów?
6. Wykonałem testy i co dalej?

PSD2, UKSC, RODO - co je łączy? Oczywiście - zarządzanie incydentami. Do aktualnie obowiązujących wymagań w obszarze zarządzania incydentami, włączając w to również obligatoryjne raportowanie dołączają teraz te, które narzuci DORA. Jakie dokładnie są to wymagania? Jak wpisują się one w istniejące i obowiązujące już przepisy? Czy jesteśmy u progu rewolucji czy może ewolucji w obszarze zarządzania incydentami? Panel dyskusyjny, który będę miała przyjemność poprowadzić to doskonała okazja do wymiany poglądów na temat przygotowania się do DORY w obszarze zarządzania incydentami.

Zarządzanie ryzykiem ICT to kluczowy element rozporządzenia DORA, który wymaga od organizacji ciągłego monitorowania i kontrolowania ryzyka związanego z technologiami informacyjnymi. Jednak czy zakres tego rodzaju ryzyka jest wystarczająco jasny i precyzyjny? Jaka jest jego relacja do innych rodzajów ryzyka, np. operacyjnego czy bezpieczeństwa informacji? Jakie narzędzia i metody są najbardziej efektywne w identyfikacji ryzyka? W ramach dyskusji wspólnie odpowiemy na te pytania, jak również zastanowimy się:
- Jakie są kluczowe elementy efektywnego zarządzania ryzykiem ICT zgodnie z DORA?
- Jakie są największe wyzwania w identyfikacji i kontroli ryzyka ICT?
- Jakie narzędzia i technologie są najbardziej przydatne w zarządzaniu ryzykiem ICT?
- Jak zintegrować zarządzanie ryzykiem ICT z innymi procesami zarządzania ryzykiem w organizacji?
- Jak ocenić skuteczność działań zarządzania ryzykiem ICT?
- Jakie są konsekwencje nieefektywnego zarządzania ryzykiem ICT dla bezpieczeństwa organizacji?
W trakcie dyskusji będziemy analizować różne scenariusze i przypadki, aby lepiej zrozumieć, jak zarządzanie ryzykiem ICT wpływa na bezpieczeństwo operacyjne i cyfrowe organizacji, oraz jakie są najlepsze praktyki w tej dziedzinie.

Chcemy porozmawiać w gronie zainteresowanych przedstawicieli sektora o kwestiach poruszonych w DORA a dotyczących Ryzyka w łańcuchu dostaw ICT.
Szczególnie chcę zwrócić uwagę na:
1. Czy ocenę ryzyka z DORY można łączyć z inną oceną np. Dpia czy aic?
2. Jak traktować dostawców którzy są: monopolistami, dostawcami chmurowymi, dostawcami rozproszonej infrastruktury (blockchain).
3. Jak kontrolować? Ankieta? Wizyty? I na jakiej podstawie wykonywać kontrole czy wymagane są klauzule w umowach czy wystarczy podstawa z DORA?
4. Rejestr podwykonawców (jest osobny rts na to) ale co z podwykonawcami 2 i 3 stopnia.

Spośród wszystkich kwestii poruszonych w DORA, obszar ustaleń dotyczących wymiany informacji o cyberzagrożeniach z innymi podmiotami i instytucjami wydaje się najmniej kłopotliwy. DORA traktuje ten obszar raczej jako uprawnienie przysługujące podmiotom finansowym niż zestaw obowiązków do spełnienia, ale dzięki temu może być to temat na ciekawą rozmowę, ponieważ dotyczyła ona będzie tego co faktycznie instytucje finansowe chcą wspólnie realizować w tym obszarze.

Od czasu rozpoczęcia rosyjskiej inwazji w Ukrainie, która przyczyniła się do zauważalnego wzrostu poziomu zagrożeń w cyberprzestrzeni, wymiana informacji z zakresu cyberbezpieczeństwa w zaufanym gronie podmiotów finansowych uległa znacznej intensyfikacji. Mając w szczególności na względzie te ostatnie doświadczenia, zastanowilibyśmy nad funkcjonowaniem inicjatyw wymiany informacji o cyberzagrożeniach, w tym próbując odpowiedzieć na poniższe pytania:
1) Czy instytucje finansowe stały się bardziej otwarte na wymianę informacji wierząc, że w obszarze ochrony przed cyberatakami nie są konkurencją, ale grupą podmiotów posiadających wspólny interes?
2) Czy informacje o cyberzagrożeniach udostępniane dotychczas przez inne podmioty pozwalają instytucjom finansowym na istotne zwiększenie własnej odporności cyfrowej?
3) Czy dla efektywnej współpracy odpowiednia jest bardziej jednorodna struktura grupy (np. tylko banki) czy połączenie różnych sektorów (banki, ubezpieczyciele, podmioty infrastruktury rynku, etc.)?
4) Czy problemem jest to, że część uczestników danej inicjatywy może zachowywać się biernie (niekoniecznie ze względu na niechęć do dzielenia się informacjami, ale np. z uwagi na mniejszą bazę własnych obserwacji)?
5) Czy bardziej ścisłe i szczegółowe określenie zasad współpracy w ramach grup wymiany informacji byłoby sposobem na zwiększenie efektywności ich działania?