Verslui

Kaip DORA reglamentas pakeis skaitmenines verslo praktikas ir kokių priemonių būtina imtis jau dabar?

Podcast’ai Spotify platformoje

Dėl neginčijamo potencialo verslo našumui ir augimui, skaitmeniniai procesai šiandien atsispindi įvairiuose organizacijos lygiuose: stiprinamos darbuotojų žinios ir skaitmeniniai įgūdžiai, vystomi automatizuoti arba dalinai automatizuoti veiklos procesai, kuriami į skaitmeninių įrankių taikymą ir priežiūrą orientuoti padaliniai. Vis dėlto, įspūdingą potencialą vejasi augančios duomenų apsaugos, kibernetinio saugumo bei skaitmeninės infrastruktūros pažeidžiamumo rizikos.

2023 m. sausio 16 d. paskelbtas DORA reglamentas (angl. Digital Operational Resilience Act) visos ES mastu iškėlė ambicingą tikslą padėti finansų sektoriaus verslams suvaldyti šias rizikas ir padidinti skaitmeninės veiklos atsparumą ateities iššūkiams. Numatyti pakeitimai oficialiai įsigaliojo šių metų sausio 17 d., o nuostatos galioja tiek finansų sektoriaus įmonėms, tiek jas aptarnaujantiems IT paslaugų tiekėjams. „Blue Bridge“ saugumo architekto Patryk Gulbinovič teigimu, iš daugumos finansų sektoriaus įmonių reglamentas jau dabar reikalauja papildomų veiksmų, laiko ir investicijų, tačiau teisingas priemonių taikymas žada konkurencinę naudą bei geresnį pasiruošimą ateities pokyčiams.

Nuo ko priklausys pokyčiai ir koks bus jų pobūdis?

 

DORA reglamento aktualumą lemia įvairūs kintamieji: organizacijos IT infrastruktūros dydis, jau turimų saugumo priemonių lygis, darbuotojų kompetencija ir t.t. Svarbu pabrėžti, kad tai pirmoji iniciatyva, kuria siekiama suvienodinti finansų sektoriaus įmonėms taikomus standartus visos ES mastu. Anksčiau reikalavimai skirtingose šalyse buvo taikomi nevienodai, o šie skirtumai kėlė administracinius bei teisinius iššūkius verslams, siekiantiems veikti tarptautiniu lygmeniu.
Saugumo architekto P. Gulbinovič teigimu, visomis taikytinos priemonėmis siekiama integruoti IT rizikų valdymo praktikas į bendrą įmonės rizikos valdymo sistemą. Pavyzdžiui, įmonės turi įdiegti tam tikrus įrankius (sistemas) ir sukurti atitinkamus procesus, leidžiančius rinkti informaciją apie duomenų apsaugos procesus bei jų efektyvumą. Ji reikalinga reikšmingų incidentų ataskaitų rengimui, periodiniam organizacijos atsparumo kibernetinėms grėsmėms testavimui ir keitimuisi duomenimis apie kibernetines grėsmes ir IT incidentus su kitomis finansų sektoriaus įmonėmis.

Remiantis naująja metodika, reikia skirti daugiau dėmesio ir darbuotojų kvalifikacijos kėlimui. Naujos žinios padės prisitaikyti prie kintančios situacijos ir naujų grėsmių, periodiškai testuojant organizacijos atsparumą kibernetinėms grėsmėms, analizuojant testų rezultatus ir pritaikant įžvalgas vidinių procesų tobulinimui. Reikalavimai taip pat sugriežtino finansų sektoriaus įmonių santykį su trečiosiomis šalimis: nuo šiol būtina nuolat stebėti tiekėjų vykdomas paslaugas ir vertinti jų atsparumą bei patikimumą.

Siekiant ilgalaikio rezultato svarbiausia nuoseklumas

 

Pagal DORA reglamente pateiktą metodologiją, už IT rizikos valdymo politiką ir su ja susijusių sprendimų priėmimą atsakingi aukščiausio lygio vadovai. Taip užtikrinamas didesnis atsakomybės prisiėmimas ir platus saugumo priemonių integravimas organizacijos lygmeniu. Nors įmonėms taikomi reikalavimai skiriasi, tačiau P. Gulbinovič išskiria esminius žingsnius, kurie padės ne tik išpildyti esamus reikalavimus, bet ir lanksčiau žvelgti į ateityje laukiančius iššūkius bei reguliacinius pokyčius.

Pirmiausia reikia atlikti atitikties vertinimą (GAP analizę), kuri parodys skirtumus tarp esamos įmonės IT rizikų valdymo praktikos ir DORA reikalavimų. Remiantis analizės rezultatais, bus galima sudaryti aiškų veiksmų planą atotrūkio šalinimui. Taip pat rekomenduojama parengti aiškų procesą, kaip identifikuoti IT incidentus, juos registruoti, klasifikuoti pagal DORA reikalavimus, analizuoti ir spręsti. Šiame žingsnyje į IT rizikos valdymo planavimą ir stebėseną būtina įtraukti aukščiausią įmonės vadovybę. Personalo klausimu būtina skirti resursų ir specialiam darbuotojams skirtų mokymo programų rengimui bei naujų IT procesų pristatymui.

Siekiant kryptingai diegti pokyčius visos įmonės mastu, specialistas rekomenduoja nuo pirmųjų žingsnių žiūrėti į pokyčius plačiu kampu: sukurti vidaus stebėsenos procesą, nustatyti KPI, skirtus IT rizikos valdymui įvertinti, sukurti reguliarų vidaus audito procesą, kuriuo būtų vertinamas DORA reikalavimų laikymasis. Pagal DORA reikalavimus taip pat reikia suplanuoti kibernetinio atsparumo testavimą ir numatyti, kaip bus gaunami reikalingi resursai (vidinė įmonės komanda, išoriniai tiekėjai). Dirbant (ar ruošiantis dirbti) su IT paslaugų tiekėjais, kartu būtina sudaryti visų paslaugų tiekėjų ir jų teikiamų paslaugų sąrašą, o juo remiantis toliau atlikti sutartinių susitarimų peržiūrą bei vykdyti rizikos vertinimą, ypatingą dėmesį skiriant tiekėjų patikimumui ir atsparumui.

Darbas su trečiosiomis šalimis: kada verta investuoti?

 

Tiek pokyčių diegimas naudojant vidinius resursus, tiek darbas su trečiosiomis šalimis turi savų privalumų ir trūkumų. Trečiųjų šalių įtraukimas ypač naudingas tada, kai įmonė neturi pakankamų pajėgumų (ypač kvalifikuotų specialistų atžvilgiu) ar patirties, nes šiuo būdu galima greičiau ir sklandžiau įdiegti sudėtingus procesus bei technologijas. Vis dėlto, būtina priminti, kad, pagal DORA reglamentą, išorinius partnerius privaloma atidžiai vertinti ir stebėti, tad šis aspektas vis tiek pareikalaus papildomų resursų.

Verslo praktikoje dažnai pasirenkamas mišrus metodas: įmonės savarankiškai įgyvendina paprastesnius atnaujinimus ir palaikomąsias užduotis, o dėl sudėtingesnių pokyčių kreipiasi į trečiąsias šalis. Toks požiūris leidžia sklandžiai apjungti vidaus resursus su išorine pagalba, užtikrinant optimalų išteklių panaudojimą bei reikalavimų laikymąsi.

Įgyvendintų pokyčių nauda – visokeriopa

 

DORA reglamentas – reikšminga teisinė iniciatyva, kurianti pokytį visos Europos finansų sektoriuje. Ši metodika sprendžia kibernetines grėsmes ir IT rizikas bei siekia sudaryti palankias sąlygas verslo plėtrai.

Kadangi šis reglamentas jau įsigaliojo, svarbu pažymėti, kad būtinus pokyčius svarbu integruoti ne tik sklandžiai, bet ir operatyviai, o reikalavimų neatitinkančioms organizacijoms gresia baudos, administracinės nuobaudos ir kitos taikomosios priemonės. Kalbant apie vykdomų pokyčių naudas, aukštus saugumo standartus atitinkantiems verslams žadamas didesnis konkurencingumas, stipresnis klientų pasitikėjimas, užtikrintas veiklos tęstinumas kibernetinių rizikų akivaizdoje bei sumažintos rizikos tiekimo grandinėje.

 

Siekiate visapusiško DORA reglamento atitikimo? Susisiekite su „Blue Bridge” atstovais. 

 

Partneriai:         

 

 

 

 

  

DORAdora reglamentas

Įvertink šį straipsnį

    Prenumeruokite ir gaukite žinias pirmieji

    Taip pat skaitykite

    Skaityti daugiau
    Skaityti daugiau