Dzień pierwszy - 23 października 2024
DORA will soon be a requirement in Financial Services throughout the EU. Any Financial Services firm, wherever headquartered, will need to comply with DORA in their operations in the EU by 17 January 2025. But the adventures of DORA have already begun for most financial institutions.
DORA will bring many benefits but also many challenges. While many of the requirements of DORA are familiar and covered by other standards and regulations, new elements are introduced, and others require a higher standard and/or contain more detailed requirements.
One of the key aims of DORA is to harmonise national rules on operational resilience and cybersecurity regulation across the EU. However, already some national differences in approach are starting to appear. For example, some competent authorities have published additional guidance on DORA just for their country.
This presentation will focus on:
- What are the most significant challenges in DORA and how might they best be overcome?
- What should firms do if they can’t complete every requirement in DORA by 17 January 2025?
- How are different EU countries and nations approaching DORA, and what variations are being seen?
FS-ISAC (Financial Services Information Sharing and Analysis Center)
to organizacja, która wspiera sektor finansowy w zakresie bezpieczeństwa cybernetycznego. Działa jako platforma do wymiany informacji o zagrożeniach, incydentach i najlepszych praktykach, umożliwiając członkom lepszą ochronę przed atakami. FS ISAC organizuje także szkolenia i warsztaty, aby zwiększyć świadomość i przygotowanie na wypadek cyberzagrożeń.
Podczas prelekcji podsumujemy kluczowe wnioski płynące z przeprowadzonych u naszych Klientów analiz luki pod kątem zgodności z DORA. Omówimy główne obserwacje dotyczące dojrzałości sektora w Polsce oraz spróbujemy odpowiedzieć na pytanie, czy już na tym etapie widzimy poprawę w zakresie operacyjnej odporności cyfrowej. Na podstawie rzeczywistych doświadczeń projektowych przedstawimy największe wyzwania i trudności, jakie napotykają nasi Klienci w spełnieniu wymagań regulacji. Zaproponujemy także konkretne, kluczowe kroki przygotowawcze, które pomogą w dalszym dostosowaniu się do DORA.
W trakcie debaty eksperci podsumują najważniejsze zmiany, jakie zaszły w ciągu ostatniego roku w obszarze regulacji związanych z DORA. Omówione zostaną Regulatory Technical Standards (RTS) i Wdrożeniowe Standardy Techniczne i Implementation Technical Standards (ITS) i wyzwania, jakie napotkały firmy podczas wdrażania nowych przepisów.
DORA wymaga wielu zmian w procesach związanych z zarządzaniem ryzykiem ICT. W celu zapewnienia zgodności z rozporządzeniem, w wymaganym terminie, zmiany te będą istotnie angażowały zespoły projektowe jeszcze przez kilka kolejnych miesięcy. Co jednak dalej? Po wdrożeniu kurz opadnie, priorytet wróci do projektów biznesowych, a kwestia szerokorozumianej odporności wróci na półkę z napisem „business as usual”. Jak zapewnić, żeby wdrożone procesy, utrzymały wysoką jakość a co za tym idzie odporność nie pozostała tylko tytułem na stronach procedur? Tu z pomocą mogą przyjść kluczowe kontrole w procesach ICT.
Dobra strategia ochrony danych - wdrożona, utrzymywana i rozwijana poprawnie - umożliwia spełnienie wielu wymagań regulacji DORA w zakresie zarządzaniem ryzykiem IT i poprawy odporności operacyjnej. Opowiem o tym na czym taką strategię oprzeć (podejście, technologie) i jaka ją zaimplementować w konkretnych działaniach operacyjnych. Tak aby finalnie pomogła w zwiększeniu odporności cyfrowej. Powiemy także o tym co nasz czeka w przyszłości w zakresie ochrony danych i szyfrowania.
Zapraszam na dyskusję o konsekwencjach wdrożenia regulacji DORA w zakresie, m.in. współpracy z dostawcami zewnętrznymi i ograniczania ryzyka dostępu osób niepowołanych do kluczowych zasobów przedsiębiorstwa. A ponadto dlaczego nie pobłażać księgowym oraz dlaczego nie zaniedbywać maszyn.
Case study w sektorze finansowym, czyli dlaczego wykrycie potencjalnych ścieżek ataku jest takie ważne?
Z analizy firmy XM Cyber wynika, że u Klientów widocznych jest średnio ponad 15 000 podatności, które mogą być wykorzystane w różnych atakach, a w przypadku 79% organizacji występują problemy związane z lokalnymi danymi uwierzytelniającymi oraz uprzywilejowanymi kontami w usłudze Active Directory.
Podczas prezentacji zaprezentowane zostanie case study, które pozwoliło na wykrycie nowych z perspektywy klienta potencjalnych technik ataku.
Integracja wymagań DORA, w zakresie ram zarządzania ryzykiem IT, to pokazanie jak zmienić, zmodyfikować istniejące rozwiązania w zakresie IT Risk, aby zademonstrować zgodność z DORA. Narracja prezentacji bazuje na rozwiązaniach IT Risk w organizacjach, które stosowały wytyczne EBA w zakresie zarządzania ryzykiem IT lub zarządzanie ryzykiem IT oparte o normę ISO27005.
Zarządzanie ryzykiem łańcucha dostaw jest kluczowym elementem zgodności z DORA, jednak wiele instytucji finansowych ma trudności z osiągnięciem wymaganej widoczności i kontroli nad zewnętrznymi dostawcami usług ICT. Podczas tej sesji zbadamy praktyczne wyzwania i typowe pułapki w zarządzaniu ryzykiem łańcucha dostaw w ramach DORA, w tym rzeczywiste przykłady, w których luki w widoczności mogą prowadzić do problemów ze zgodnością i zakłóceń operacyjnych. Omówimy skuteczne praktyki oceny ryzyka stron trzecich, wdrażania ciągłego monitorowania i budowania odpornego środowiska ICT, które chroni przed lukami w zabezpieczeniach łańcucha dostaw. Uczestnicy wyjdą z praktycznymi strategiami zapewniającymi odporność i gotowość do zapewnienia zgodności z przepisami.
W trakcie wdrożenia DORA w 2 zakładach ubezpieczeń w aspekcie zarządzania ryzykiem ze strony zewnętrznych dostawców ICT (outsourcing) musieliśmy się zmierzyć z wyzwaniami regulacyjnymi wynikającymi z zarówno z wymogów wynikających z ustawy ubezpieczeniowej, ale również z „niestabilnego kształtu” RTS doprecyzowującego szczegółową treść polityki w zakresie ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT (opublikowanego dopiero 25.06.2024). Dodatkowo w trakcie prac wdrożeniowych KNF wydało stanowisko z dnia 25.03.2024 dotyczące niektórych aspektów stosowania outsourcingu przez zakłady ubezpieczeń i zakłady reasekuracji, które nawiązuje do DORA i referuje do kwestii ICT w zakresie:
- przechowywania i archiwizacji danych prawnie chronionych;
- zapewniania ciągłego utrzymania i wsparcia systemów informatycznych.
W trakcie prelekcji postaram się pokazać nasze podejście do tej mozaiki regulacyjnej ze szczególnym uwzględnieniem poszukiwania wspólnych elementów, a także istotnej materii wynikającej z opublikowanego RTS.
Jak badać bezpieczeństwo AI wykorzystywanej lub tworzonej przez dostawcę? Jeszcze do niedawna tylko największe firmy mogły sobie pozwolić na wymuszenie bezpiecznych rozwiązań na dostawcach typu OpenAI, mniejsi nie korzystali (oficjalnie) z AI w ogóle z obawy o bezpieczeństwo. Za chwilę, w związku z ofertami Mety i VmWare, AI pojawi się wszędzie. Jakie kwestie sprawdzać u dostawcy gdy używa AI u siebie do świadczenia nam usługi, a jakie gdy wbudował AI w oferowany nam produkt? Opowiem czym AI różni się od standardowych systemów, jakie w niej drzemią ryzyka i jak zbadać, czy dostawca jest ich świadom i sensownie nimi zarządza.
W dobie rosnących zagrożeń cybernetycznych, proces cyber recovery staje się kluczowym elementem strategii bezpieczeństwa każdej organizacji. Nowe regulacje, takie jak NIS2 i DORA, podkreślają znaczenie skutecznego zarządzania incydentami cybernetycznymi i odzyskiwania po nich. Proces cyber recovery jest kluczowy z kilku powodów: zgodność z regulacjami, minimalizacja przestojów, ochrona reputacji, zarządzanie ryzykiem. Zapraszamy na prezentację podczas, której skupimy się na znaczeniu procesów cyber recovery w zapewnieniu ciągłości działania i ochronie przed zagrożeniami cybernetycznymi.
Ramy, strategie, filary i setki wymagań w RTSach… niełatwo to wszystko ogarnąć, a jeszcze trudniej wdrożyć w praktyce. W gąszczu wymagań biznesowych, funkcjonalnych czy bezpieczeństwa trudno jest zachować dynamikę i efektywność (także, a nawet przede wszystkim, kosztową), której oczekuje konkurencyjny rynek i klienci. Wymagania DORA z perspektywy kierownika projektu to prawdziwe wyzwanie. W obszarze zarządzania incydentami temat ma dwa oblicza: z jednej strony powinniśmy zapobiegać takim zdarzeniom z drugiej, sprawnie realizować działania naprawcze, aby łagodzić ich skutki i jeszcze dopełnić obowiązki raportowe. W świecie rozproszonych technologii, zróżnicowanych zespołów projektowych to zadanie wymaga systematycznego, ustrukturyzowanego i rozliczanego podejścia. Podczas prezentacji, wcielając się w rolę kierownika projektu, przyjrzymy się realnym wyzwaniom, z jakimi spotykają się zespoły projektowe podczas integracji, wdrażania i utrzymania usług w obszarze zarządzania incydentami ICT, zgodnie z wymaganiami DORA. Pokażemy również, jak można skutecznie im zaradzić - na poziomie strategicznym i operacyjnym - wykorzystując dostępne technologie oraz sprawdzone metody zarządzania projektami.
Uczestnicy zostaną podzieleni na równoliczne zespoły, które mają czas na wymianę opinii i odniesienie się do innych – jak widzą swoją drogą do spełnienia wymogów DORA.
4 zespoły – każdy z zespołów ma swojego moderatora.
W redukcji ryzyka kluczowy jest kontekst, ponieważ̇ nie wszystkie elementy infrastruktury mają równy wpływ na stan zabezpieczeń. Krytyczne podatności, błędy konfiguracyjne, problemy z poświadczeniami to tylko niektóre elementy, które mogą być wykorzystane w skutecznej ścieżce ataku. Jak optymalnie podejść od niekończących się̨ list zagrożeń wymagających usunięcia i zmiany ich na rzecz przejrzystego widoku realnych ryzyk? Jak wskazać na te elementy najbardziej istotne z punktu widzenia ochrony środowisk lokalnych i chmurowych?
Dzięki wykorzystaniu metodologii ciągłego zarzadzania narażeniem na zagrożenia (CTEM) można zmobilizować zespoły do blokowania atakujących w tzw. wąskich gardłach, gdzie zbiegają̨ się̨ ścieżki ataków. Takie podejście pozwala na zastosowanie precyzyjnych i opłacalnych smrodków zaradczych, które szybko poprawiają̨ stan zabezpieczeń.
- Identyfikacja wąskich gardeł i ślepych zaułków,
- Wskazówki dotyczące środków zaradczych uwzględniające kontekst,
- Ocena stanu zabezpieczeń i trendów,
- Zarządzanie najczęstszymi lukami w zabezpieczeniach i podatnościami (CVE), błędnymi konfiguracjami oraz problemami z tożsamością,
To tylko niektóre tematy jakie poruszymy podczas wspólnej rozmowy. Zapraszamy do naszego stolika.
Rozporządzenie DORA wprowadza nowe wymagania dotyczące odporności operacyjnej w sektorze finansowym. Celem jest zapewnienie, że instytucje finansowe są w stanie skutecznie zarządzać ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT) oraz szybko i efektywnie reagować na incydenty cybernetyczne. Przygotowanie się na wymagania DORA wymaga kompleksowego podejścia do zarządzania ryzykiem ICT i cyberodporności. Organizacje muszą inwestować w odpowiednie narzędzia, procedury i szkolenia, aby sprostać nowym regulacjom i zapewnić ciągłość działania w obliczu rosnących zagrożeń cybernetycznych. Zapraszamy do dyskusji, o tym jak w praktyce przygotować się na DORA.
Zapewnienie zgodności z regulacjami takimi jak DORA jest procesem a nie projektem, co wymaga ciągłej pracy i odpowiedniego dokumentowania jej wyników.
Z uwagi na zbliżający się czas stosowalności DORA należy już teraz pomyśleć o tym czy Państwa organizacja jest gotowa do wykazania się przed audytem wewnętrznym bądź regulatorem w kwestii stanu zgodności z tą regulacją.
W ramach dyskusji podejmiemy m.in. następujące zagadnienia:
- W jaki sposób udokumentować przyjęte wewnętrznie podejścia do interpretacji nieoczywistych zagadnień w DORA?
- Jak przygotować się do wykazania, że wymagania regulacyjne nie są jedynie treścią dokumentów, ale również wprowadzone są do bieżącego funkcjonowania organizacji?
- Co zrobić, jeśli dostawcy ICT nie zgadzają się na aktualizację zapisów umownych?
- Jakie są priorytetowe obszary, które organizacje powinny wewnętrznie skontrolować przed ogłoszeniem sukcesu projektu DORA.
- Co zrobić, jeśli nie zdążymy się dostosować w terminie?
Sednem wymogów rozporządzenia DORA jest dysponowanie przez podmiot finansowy solidnymi, kompleksowymi i dobrze udokumentowanymi ramami zarządzania ryzykiem ICT, obejmującymi w szczególności ryzyko ze strony zewnętrznych dostawców usług ICT. Tak ogólnie postawione zadanie raczej nie budzi wątpliwości z punktu widzenia nadrzędnego celu, jakim jest zapewnianie oczekiwanej operacyjnej odporności cyfrowej podmiotów finansowych. Gdy jednak zagłębimy się w szczegóły realizacji tego zadania w zgodzie z nowymi przepisami, to ujawni się prawdopodobnie wiele rozbieżności w rozumieniu poszczególnych pojęć, uznawaniu poszczególnych kwestii za bardziej lub mniej priorytetowe, etc. Podczas wspólnej dyskusji spróbujemy zidentyfikować tego typu rozbieżności, które warto wziąć pod uwagę rozważając zgodność ram zarządzania ryzykiem ICT własnej organizacji z wymogami DORA. W szczególności podejmiemy próbę odpowiedzi na poniższe pytania:
- czy nie dokonujemy zbytniego uproszczenia zakładając, że rozporządzenie DORA silnie wspiera podejście "risk-based" pozwalając podmiotowi finansowemu wprowadzać mechanizmy postępowania z ryzykiem stosownie do przeprowadzonej jego oceny (w tym w oparciu o zasadę proporcjonalności), gdy tymczasem nakłada ono dużą liczbę konkretnych wymogów, które trzeba jednoznacznie spełnić (niezależnie od wielkości i ogólnego profilu ryzyka danej organizacji)?
- czy mówiąc o zarządzaniu ryzykiem technologicznym zgodnym z DORA w równym stopniu myślimy o skutecznych narzędziach i procesach służących zapewnieniu bezpieczeństwa sieci i systemów informatycznych, jak i o samym pomiarze ryzyka ICT, obejmującym m.in. wymagane przez rozporządzenie ewidencjonowanie zmian ryzyka w czasie oraz zatwierdzanie poziomu tolerancji tego ryzyka?
- czy definicja usługi ICT w rozumieniu DORA dotyka sedna łańcucha dostaw mających wpływ na bezpieczeństwo sieci i systemów informatycznych, z których korzysta podmiot finansowy, czy też być może pomija ważny obszar ryzyka operacyjnego, który mogą stwarzać ogólniej rozumiani dostawcy kluczowych mediów i usług?
- jak właściwie podejść do procesu testowania co najmniej raz w roku planów ciągłości działania ICT oraz planów reagowania i naprawy ICT w odniesieniu do systemów ICT obsługujących wszystkie funkcje?
- jakie kluczowe czynniki ryzyka mogą obecnie zakłócić naszą gotowość do dysponowania od 17 stycznia 2025 roku ramami zarządzania ryzykiem ICT spełniającymi wymogi DORA (duża skala wymagań, niejasność przepisów i różny status RTS/ITS do rozporządzenia, ograniczenia budżetowe, negocjacje umów z dostawcami usług ICT, etc.)?
Debata ta będzie koncentrować się na wnioskach wyciągniętych z dotychczasowej implementacji DORA oraz na planach na przyszłość. Eksperci przedstawią kluczowe spostrzeżenia, omówią najważniejsze wyzwania i korzyści oraz zaprezentują, jakie kolejne kroki powinny podjąć organizacje, aby zapewnić zgodność z przepisami i bezpieczeństwo cyfrowe na podstawie najnowszego pakietu RTS i ITS.
Pobieranie biorgamu... Proszę czekać...
Dzień drugi - 24 października 2024
Dołącz do warsztatów skupionych na dogłębnej analizie, tego co oznacza "testowanie" cyberodporności zgodnie z najlepszymi praktykami, jak to jest określone w artykule 24. Aktu o Cyfrowej Odporności Operacyjnej (DORA), który nakłada na sektor finansowy wymóg testowania cyberodporności. Warsztaty obejmą cztery kluczowe komponenty, które wdrażają organizacje o najwyższych standardach:
1) fundamenty: dobrze zaprojektowane scenariusze zagrożeń, z wyraźnym uwzględnieniem krytycznych zasobów
2) planowanie awaryjne: rozszerzanie planów na wypadek zagrożeń niekonfrontacyjnych z disaster recovery
3) symulacje i ćwiczenia: przygotowanie na skrajne, ale prawdopodobne scenariusze
4) symulacje działań atakujących: ciągłe i w warunkach rzeczywistych.
Uczestnicy wezmą udział w interaktywnych sesjach, aby opracować skuteczne strategie testowania i wrócą do swoich organizacji przygotowani do radzenia sobie z incydentami związanymi z ICT i utrzymaniem ciągłości działania.
Po warsztatach uczestnicy otrzymają certyfikat ukończenia kursu.
Pobieranie biorgamu... Proszę czekać...