DORA wprowadza szczegółowe wymagania dotyczące współpracy z zewnętrznymi dostawcami usług ICT, których celem jest zapewnienie, że partnerzy zewnętrzni spełniają standardy bezpieczeństwa i odporności operacyjnej. Partnerzy tacy jak dostawcy chmurowi, infrastruktury IT, narzędzi analitycznych, a także usług backupowych, muszą być poddani regularnym audytom i monitorowaniu zgodności. Kluczowe wymogi obejmują:
– Ocenę zgodności z przepisami: Każdy dostawca musi spełniać określone normy cyfrowej odporności operacyjnej zgodnie z DORA, co oznacza, że ich procesy zarządzania ryzykiem i bezpieczeństwa muszą być zgodne z przepisami unijnymi.
– Dokumentację i raportowanie: Dostawcy muszą prowadzić szczegółową dokumentację swoich procedur bezpieczeństwa oraz regularnie raportować wyniki swoich testów i incydentów do organów nadzoru.
– System monitorowania ryzyka: Instytucje finansowe muszą wdrożyć narzędzia do bieżącego monitorowania ryzyka wynikającego ze współpracy z dostawcami.
Jak skutecznie zarządzać ryzykiem związanym z outsourcingiem ICT? 5 istotnych kroków
Skuteczne zarządzanie ryzykiem outsourcingu ICT jest kluczowe dla zgodności z DORA i wymaga wprowadzenia kilku kluczowych kroków, które zapewniają pełną kontrolę nad działaniami dostawców usług ICT. Kluczowe kroki obejmują:
Krok 1: Wstępna ocena ryzyka dostawcy
Ocena ryzyka powinna być przeprowadzona przed nawiązaniem współpracy, aby zidentyfikować potencjalne zagrożenia związane z outsourcingiem usług ICT. W ramach tej analizy należy ocenić:
1. Stabilność finansową dostawcy – czy dostawca ma wystarczające zasoby, by zapewnić ciągłość swoich usług w razie kryzysu?
2. Wpływ lokalizacji dostawcy – np. czy serwery i infrastruktura znajdują się w krajach, w których obowiązują odpowiednie przepisy dotyczące ochrony danych.
3. Zdolność dostawcy do spełniania wymogów DORA w zakresie raportowania incydentów i cyberbezpieczeństwa.
Przykład: mała instytucja finansowa może wybierać dostawców usług backupu danych, biorąc pod uwagę nie tylko ich technologię, ale także to, czy ich centra danych są zgodne z europejskimi przepisami dotyczącymi ochrony danych.
Wybór dostawców zgodnych z DORA może być trudny, dlatego warto rozważyć współpracę z ekspertami ds. compliance DORA, którzy pomogą ocenić dostawców pod kątem zgodności i ryzyka. Konsultanci mogą przeprowadzić szczegółowy audyt dostawcy, aby upewnić się, że spełnia on wszystkie niezbędne normy.
Krok 2: Zgodność z normami
Zanim nawiążesz współpracę, sprawdź, czy dostawcy posiadają odpowiednie certyfikaty bezpieczeństwa, takie jak:
– ISO 27001: Potwierdza wdrożenie skutecznych procesów zarządzania bezpieczeństwem informacji, zapewniając poufność, integralność i dostępność danych.
– SOC 2: Ocenia zgodność dostawcy z zasadami bezpieczeństwa, dostępności, poufności i prywatności, kluczowymi dla ochrony danych wrażliwych.
– PCI DSS: Dotyczy firm przetwarzających dane kart płatniczych, zapewniając ochronę przed nieautoryzowanym dostępem i wyciekami danych finansowych.
Przykład: Współpraca z dostawcą chmurowym, takim jak AWS lub Google Cloud, które mają liczne certyfikacje bezpieczeństwa, pozwala na lepsze zarządzanie ryzykiem ICT. Certyfikacje te powinny być weryfikowane przynajmniej raz w roku, aby upewnić się, że są aktualne i obowiązujące.
Krok 3: Określenie warunków umowy SLA:
SLA to kluczowy dokument w relacjach z dostawcami, określający standardy dostępności usług, szybkość reakcji na incydenty oraz wymogi bezpieczeństwa. DORA wymaga, aby umowy SLA były bardziej szczegółowe i zawierały:
1. Poziom dostępności usług:
Minimalny poziom dostępności, np. 99,9%, gwarantuje, że systemy są gotowe do użytku przez większość czasu. W umowach SLA należy także określić, jak długo mogą trwać ewentualne przestoje oraz jakie procedury naprawcze zostaną podjęte w przypadku ich wystąpienia. DORA wymaga, aby te zasady były szczegółowo opisane i przestrzegane przez dostawców.
2. Czas reakcji na incydenty:
SLA powinny precyzyjnie określać czas, w którym dostawca musi odpowiedzieć na incydent (np. 1 godzina). Ważne jest, aby określić również proces eskalacji i śledzenia postępów, zapewniając szybkie wdrożenie działań zapobiegawczych. DORA podkreśla, że szybka reakcja ma kluczowe znaczenie w minimalizacji skutków cyberataków.
3. Audyt zgodności:
Regularne audyty pozwalają zweryfikować, czy dostawca spełnia warunki określone w umowie SLA. Wszelkie niezgodności muszą być natychmiast zgłaszane, a procedury naprawcze wdrożone. DORA wymaga, aby te audyty były częścią stałego procesu monitorowania i zapewnienia zgodności z regulacjami.
Checklista: Jak zarządzać zgodnością z SLA?
- Przeprowadź wstępny audyt bezpieczeństwa dostawcy.
- Opracuj szczegółową umowę SLA, obejmującą dostępność, czas reakcji i wymagania bezpieczeństwa.
- Zautomatyzuj monitorowanie zgodności SLA i raportowanie incydentów.
- Regularnie oceniaj dostawców i przeprowadzaj audyty w oparciu o ustalone kryteria.
Spełnienie tych wymogów zapewnia pełną kontrolę nad relacjami z dostawcami oraz minimalizuje ryzyko wynikające z outsourcingu kluczowych funkcji ICT.
Krok 4: Ciągłe monitorowanie ryzyka
Systemy monitorowania dostawców w czasie rzeczywistym są kluczowym narzędziem do śledzenia działań i reagowania na incydenty w sposób natychmiastowy, co pozwala na szybszą identyfikację i minimalizację ryzyka operacyjnego.
Śledzenie wskaźników wydajności:
Monitorowanie takich wskaźników jak dostępność usług, czas reakcji na incydenty oraz inne kluczowe wskaźniki wydajności (KPI) pozwala na bieżąco oceniać, czy dostawca spełnia ustalone standardy. Przykład: monitorowanie uptime’u (czas pracy) może wskazać, czy dostawca utrzymuje obiecaną dostępność usług na poziomie np. 99,9%.
Monitorowanie infrastruktury:
Narzędzia te automatycznie analizują zmiany w systemach ICT dostawcy, takie jak aktualizacje oprogramowania, modyfikacje w infrastrukturze czy zmiany w konfiguracji. To pozwala na szybkie wykrywanie potencjalnych problemów, zanim wpłyną one na działalność firmy. Przykład: automatyczna analiza może wykryć nieautoryzowane zmiany w ustawieniach zabezpieczeń serwerów dostawcy, co może świadczyć o naruszeniu bezpieczeństwa.
Szybka reakcja na zagrożenia:
Dzięki automatycznym powiadomieniom systemy monitorowania w czasie rzeczywistym informują o potencjalnych zagrożeniach, takich jak próby naruszenia bezpieczeństwa, nieprawidłowości w działaniach systemu lub opóźnienia w reakcji na incydenty. Przykład: narzędzie SIEM może natychmiast powiadomić dział IT o nietypowej aktywności, jak np. próba nieautoryzowanego dostępu do danych.
Dzięki takim systemom instytucje zyskują większą przejrzystość w relacjach z dostawcami oraz możliwość szybszego reagowania na pojawiające się zagrożenia, co minimalizuje ryzyko operacyjne i zapewnia zgodność z przepisami, takimi jak DORA.
Krok 5: Reagowanie na incydenty
Raportowanie obejmuje dokładny opis incydentu, skutki operacyjne oraz działania naprawcze. Jest to kluczowe, aby organizacje finansowe mogły szybko zareagować i zapobiec dalszym zakłóceniom.
Wartość tych raportów leży w precyzji – szczegółowe informacje o naruszeniu, np. o czasie trwania incydentu, liczbie dotkniętych użytkowników czy potencjalnych zagrożeniach dla systemów, pozwalają na natychmiastowe wdrożenie planów naprawczych.
Przykładem może być dostawca chmurowy. Może on zgłosić awarię infrastruktury, która wpłynęła na dostępność usług bankowych. Raport opisuje czas trwania awarii, jej przyczynę (np. atak DDoS), oraz podjęte kroki w celu przywrócenia pełnej funkcjonalności systemu.
Możliwe ryzyka związane z outsourcingiem ICT
Outsourcing ICT, choć przynosi wiele korzyści, niesie ze sobą pewne istotne ryzyka, które należy odpowiednio zarządzać. Poniżej przedstawiono najważniejsze zagrożenia związane z tym procesem:
1. Naruszenia danych klientów:
Jeżeli dostawca nie stosuje odpowiednich środków zabezpieczających, takie jak szyfrowanie danych lub regularne testy penetracyjne, istnieje ryzyko wycieku danych klientów.
Przykład: Dostawca chmurowy przechowujący dane klientów banku nie zabezpieczył odpowiednio baz danych, co doprowadziło do wycieku danych osobowych, takich jak numery kont i adresy, co wiązało się z ogromnymi kosztami i karami nałożonymi na bank.
2. Opóźnienia w raportowaniu incydentów:
Jeżeli dostawca nie zgłosi incydentu w ciągu wymaganych 72 godzin, może to doprowadzić do eskalacji zagrożenia.
Przykład: Operator płatności online nie zgłosił incydentu naruszenia systemu przez cyberatak w odpowiednim czasie, co spowodowało utratę większej ilości danych klientów oraz dodatkowe straty finansowe, które mogły zostać zminimalizowane przy wcześniejszej reakcji.
3. Niska dostępność usług:
Jeśli dostawca nie zapewnia wysokiej dostępności usług, może to prowadzić do przestojów, które zakłócają działanie firmy.
Przykład: Przerwa w działaniu dostawcy usług chmurowych obsługujących infrastrukturę bankową spowodowała przestoje w transakcjach, co skutkowało utratą dochodów i niezadowoleniem klientów.
4. Zagrożenia geopolityczne:
Dostawcy posiadający infrastrukturę w niestabilnych regionach mogą być narażeni na wpływ lokalnych konfliktów, które wpłyną na dostępność usług.
Przykład: W wyniku sankcji nałożonych na kraj, w którym dostawca usług ICT ma swoje centra danych, firma straciła dostęp do kluczowych danych, co wpłynęło na przestoje w działalności finansowej organizacji.
Podsumowanie
Skuteczne zarządzanie relacjami z dostawcami w ramach DORA wymaga wdrożenia kluczowych kroków, takich jak regularne audyty, monitorowanie w czasie rzeczywistym oraz jasne umowy SLA, a także scenariusza rezygnacji z usług zewnętrznych. Odpowiednie zarządzanie ryzykiem związanym z outsourcingiem ICT oraz ścisłe raportowanie incydentów zwiększa cyfrową odporność operacyjną organizacji, zapewniając bezpieczeństwo systemów i ciągłość operacji.
Jeśli potrzebujesz wsparcia w zarządzaniu relacjami z dostawcami zgodnie z DORA, skontaktuj się z ekspertami TTSW, którzy pomogą wdrożyć skuteczne strategie zapewniające pełną zgodność i bezpieczeństwo.