DORA in Thales: Pomagajte svojim strankam na področju finančnih storitev spremeniti skladnost v konkurenčno prednost

Ali ste vi (in vaše stranke) pripravljeni na DORA?

Zakon o digitalni operativni odpornosti (Digital Operational Resilience Act ali DORA) se bo v vseh državah članicah EU začel uporabljati 17. januarja 2025. Njegov cilj je povečati odpornost organizacij v sektorju finančnih storitev na nenehno naraščajočo grožnjo kibernetskih napadov z uskladitvijo zahtev glede digitalne operativne odpornosti in kibernetske varnosti po vsej EU, namesto da bi vsaka država članica določala svoje predpise.

DORA vpliva na vse organizacije za finančne storitve v EU in EGP, verjetno pa bodo morale zahteve DORA izpolnjevati tudi organizacije zunaj tega območja, da bi lahko poslovale v Evropi. Poleg tega je uredba GDPR ustvarila precedens na področju zasebnosti podatkov, ki mu je sledil preostali svet, zato strokovnjaki pričakujejo, da bo imela uredba DORA enak globalni učinek.

Organizacije na področju finančnih storitev morajo razumeti nova pravila in zagotoviti, da so pripravljene. Nikoli pa ni slaba ideja, da svojim strankam pomagate pri izboljšanju njihove kibernetske varnosti. Pravzaprav je to lahko tisto, kar jih loči od njihovih konkurentov - in vas od vaših.

Podjetje Thales ponuja nabor izdelkov, ki organizacijam pomagajo izpolnjevati zahteve DORA in pridobiti pomembne strateške koristi. V tem članku bomo povedali več o DORA in kako lahko svojim strankam pomagate, da bodo v najboljšem položaju za doseganje teh koristi.

Zahteve za skladnost z DORA

• DORA velja za širok nabor organizacij v panogi finančnih storitev, vključno s tistimi v:
• bančništvo in kreditiranje
• Zavarovalništvo
• Plačila
• informacijske in komunikacijske tehnologije (IKT) za finančne storitve
• finančnih trgih
• Upravljanje premoženja
• Ponudniki storitev na področju kriptoaktiv

DORA je obsežen sklop zahtev, katerih izpolnjevanje morajo organizacije, ki spadajo v njeno področje uporabe, dokazati do 17. januarja 2025. Predpisi DORA se osredotočajo na pet ključnih stebrov:

• Upravljanje in vodenje tveganj na področju IKT - organizacije morajo opredeliti, izvajati in vzdrževati okvir za upravljanje tveganj na področju kibernetske varnosti in povečanje odpornosti.
• Poročanje o incidentih - Če pride do incidenta na področju kibernetske varnosti, mora DORA od organizacij zahtevati, da ga v strogo določenih rokih sporočijo ustreznim organom.
• Testiranje digitalne operativne odpornosti - Organizacije morajo izvesti letni program testiranja, s katerim zagotovijo, da so motnje v primeru incidenta minimalne.
• Tveganje tretjih oseb na področju IKT - Finančne organizacije se pri velikem delu svojega okolja IT zanašajo na zunanje ponudnike tehnologije (nekateri s sedežem zunaj EU). Ta tveganja tretjih oseb morajo upoštevati v svoji strategiji upravljanja tveganj kibernetske varnosti.
• Izmenjava informacij - DORA spodbuja izmenjavo znanja o kibernetskih grožnjah med organizacijami, da se poveča odpornost v celotni panogi.

Če se ugotovi, da organizacija krši direktivo DORA, ji lahko grozi kazen v višini do 2 % letnega svetovnega prometa.

Zdaj lahko vidite, kako pomembno je, da imajo organizacije za finančne storitve, ki jih zajema DORA, do januarja 2025 zagotovljene vse podlage. Prenesite najnovejšo belo knjigo DORA podjetja Thales in si oglejte podrobnejši seznam novih zahtev.

PRENESI BELO KNJIGO

Delovne vloge in odgovornosti za skladnost s standardom DORA

DORA je uredba, kar pomeni, da gre za zakon in ne "zgolj" za tehnični certifikat, kot sta PCI ali ISO27k. Skladnost z DORA ni nekaj, kar bi lahko vodje prepustili svoji ekipi za varnost IT. Zahteva usklajena prizadevanja v celotni organizaciji s prispevkom več funkcij, vključno z:

• upravnega odbora - direktorji se morajo osebno zanimati za kibernetsko varnost in sprejemati prave odločitve o politikah, procesih in dodeljevanju sredstev.
• kibernetska varnost - ekipe za kibernetsko varnost so v prvi liniji, vzdržujejo politike in kontrole ter se dnevno ukvarjajo z incidenti.
• Upravljanje tveganj - Ta skupina je odgovorna za prepoznavanje in izvajanje ukrepov za zmanjšanje kibernetskih tveganj ter načrtovanje kontinuitete v primeru motečega kibernetskega incidenta.
• Skladnost - Ekipa za skladnost organizacije mora vzpostaviti postopke za pravočasno poročanje o kibernetskih varnostnih incidentih, da se izpolnijo obveznosti poročanja DORA.
• Človeški viri - kadrovska služba ima ključno vlogo pri izvajanju usposabljanja o kibernetski varnosti za zaposlene in zagotavljanju kulture ozaveščanja o kibernetski varnosti.
• IT - Ta skupina je odgovorna za izvajanje številnih pravil DORA, vključno z obvezno večfaktorsko avtentikacijo in zaupnostjo podatkov.

Upoštevanje DORA mora biti prizadevanje celotnega podjetja. Vendar je na voljo nekaj odličnih tehnologij, ki podpirajo prehod.

Predstavljamo Thalesove tehnologije za skladnost

Podjetje Thales ima obsežen portfelj rešitev za varnost aplikacij, varnost podatkov ter upravljanje identitetom in dostopom, ki lahko vašim strankam pomagajo pri doseganju skladnosti z DORA.

Thales ponuja vrsto rešitev za varnost aplikacij, ki ščitijo aplikacije in vmesnike API v velikem obsegu, bodisi v oblaku, na lokaciji ali v hibridnem modelu. Gartner je rešitev za varnost aplikacij podjetja Thales Imperva uvrstil na vodilno mesto v segmentu zaščite spletnih aplikacij in vmesnikov API (WAAP). Ključna orodja v portfelju vključujejo požarni zid za spletne aplikacije, rešitve za zaščito pred napadi DDoS (Distributed Denial of Service) in napadi zlonamernih botov ter varnost API.

Na področju varnosti podatkov Thales ponuja rešitve za odkrivanje in razvrščanje podatkov, analitiko tveganj za podatke in upravljanje ranljivosti. Pomagajo prepoznati strukturirane in nestrukturirane občutljive podatke, ki so ogroženi na lokaciji in v oblaku. Na področju upravljanja identitetom in dostopom Thales ponuja rešitve za upravljanje nadzora dostopa, vključno z določanjem, kdo ima dostop do določenih virov znotraj organizacije.

Na področju kriptografije in šifriranja je Cipher Trust Manager vodilni sistem za upravljanje ključev Thales, ki tudi največjim organizacijam pomaga upravljati šifrirne ključe in politike dostopa z osrednje lokacije, z obsežnimi možnostmi poročanja. Strojni varnostni moduli (HSM) Thales Luna pomagajo zavarovati poslovno kritične aplikacije in občutljive podatke z upravljanjem kriptografskih ključev znotraj omrežja, medtem ko je Thalesova zaščita podatkov na zahtevo (DPoD) sistem za upravljanje ključev v oblaku, ki ne potrebuje strojne opreme.

Ti izdelki bi lahko vašim strankam neposredno pomagali pri izpolnjevanju zahtev direktive DORA, saj obravnavajo bistvene zahteve za upravljanje tveganj kibernetske varnosti ter zagotavljajo popolna, natančna in pravočasna poročila v skladu s členi 8, 9, 10, 11, 19 in 28.

DORA finančnim subjektom zlasti izrecno nalaga opredelitev in izvajanje politik za šifriranje podatkov ter upravljanje kriptografskih ključev, vključno s kriptografsko agilnostjo (t. i. Post Quantum Crypto). V primeru incidentov na področju IKT DORA od finančnih subjektov zahteva, da se na večji incident odzovejo v štirih urah, v 72 urah pa zagotovijo zgodnjo forenziko, kot je analiza podatkovnih dejavnosti. Poročila in portali za varnost podatkov Thales omogočajo preprosto izpolnjevanje teh pravil, saj zagotavljajo 12-mesečno hrambo zapisov, ki so zlahka dostopni za podrobno iskanje in preiskave. Revizijski podatki se samodejno arhivirajo, vendar ostanejo dostopni v nekaj sekundah za poizvedbe in poročanje.

Izpolnjevanje zahtev v prednost

Z uporabo Thalesovih tehnologij za doseganje skladnosti s pravili DORA lahko podpirate svoje stranke pri izboljšanju njihove varnostne ureditve, kar vam in njim zagotavlja konkurenčno prednost.

Seveda je glavna prednost skladnosti z DORA ta, da se vaše stranke izognejo pravnim težavam in morebitnim uničujočim globam. Vendar pa lahko na izjemno konkurenčnem področju finančnih storitev postavitev kibernetske varnosti v središče svojega delovanja prinese pomembne strateške koristi:

• Kibernetski incidenti lahko znatno škodijo ugledu organizacije, zlasti na področju financ. Kateri vlagatelji bi želeli vložiti svoj denar v institucijo, ki ne more zagotoviti svoje varnosti?
• Izpadi, ki jih povzročijo kibernetski incidenti, so moteči tako za zaposlene kot za stranke, zlasti če ljudje ne morejo upravljati svojega denarja. Zaščita okolja pred kibernetskimi napadi pomaga zagotavljati kakovostnejše storitve.
• Nemoteno delujoč informacijski sistem, brez kibernetskih groženj, pa tudi brez okornih ukrepov za nadzor dostopa, omogoča večjo produktivnost zaposlenih.

Upoštevanje zahtev standarda DORA zahteva usklajena prizadevanja na ravni celotnega podjetja. Vendar je v današnjem svetu vse bolj izpopolnjenih kibernetskih groženj to nujno. Če pa svoje stranke podpirate s pravim strokovnim znanjem in najboljšo tehnologijo, to ni nujno prevelik izziv. Zakaj ne bi namesto zgolj izpolnjevanja zahtev standarda DORA presegli skladnosti in začeli resnično izkoriščati te poslovne koristi?

Preberite več

Prenesite najnovejšo belo knjigo Thalesa, da bi izvedeli več o skladnosti z DORA (vključno s podrobnimi razlagami zahtev) - in kako vam lahko pri tem pomaga Thalesov nabor rešitev.

PRENESI BELO KNJIGO

Če iščete strokovno podporo in vodenje na svoji poti do skladnosti s standardom DORA, je čas, da se obrnete na Exclusive Networks. Pomagali vam bomo izkoristiti priložnosti, ki jih prinaša DORA, tako da bo skladnost postala vaša konkurenčna prednost.

STOPITE V STIK Z NAMI