Pochodzisz z nowoczesnego sektora finansowego? Nie może działać bez technologii informacyjno-komunikacyjnych (ICT). Każdy bank, ubezpieczyciel czy inny przedstawiciel rynku musi posiadać skuteczne, szybkie i bezpieczne systemy i infrastrukturę. Za ich stworzenie i wdrożenie odpowiedzialny jest dział IT. Rozporządzenie dotyczące cyfrowej odporności operacyjnej nakłada na zespół IT szereg zadań.
Istotność działu IT w procesie wdrożenia DORA
Tak jak zarząd przyjmuje strategię odporności cyfrowej, tak i Ty w dziale IT jesteś wykonawcą zadań wynikających z tego dokumentu. Twój zespół ma za zadanie przygotowanie odpowiedniej infrastruktury oraz zapewnienie sprzętu pracownikom. Ponadto, jest odpowiedzialny za napisanie lub zakup systemów umożliwiających działanie nowoczesnej firmy.
DORA nakłada szereg zadań, które przedstawiciele działu IT muszą wykonać w celu zapewnienia operacyjnej odporności cyfrowej. Dział IT musi wspierać instytucje finansowe poprzez zastosowanie odpowiednich systemów IT oraz procedur odzyskiwania po awarii. Dodatkowo, musi regularnie testować i udoskonalać te procesy.
Trzy linie obrony w rozporządzeniu DORA
Podział zadań wpisuje się w model trzech linii obrony (Three Lines of Defense – 3LoD), który jest zaproponowany w artykule 6 ust. 4. Umożliwia on organizacyjne oddzielenie odpowiedzialności i zarządzania ryzykiem. Dział IT jest pierwszą linią w tym modelu – jest zespołem operacyjnym.
Pierwsza linia to osoby, które obsługują środowisko ICT i są odpowiedzialne za uproszczenie zarządzania ryzykiem dla kolejnych linii, uwzględniając czynniki ryzyka. Druga linia to funkcje zarządzania ryzykiem i zgodności, takie jak CISO. Trzecia linia obrony to niezależni audytorzy, którzy muszą zapewnić, że działania poprzednich dwóch zespołów są wystarczające. W modelu trzech linii obrony ważna jest niezależność i separacja poszczególnych linii.
Za co odpowiada dział IT?
Jak zostało wspomniane w modelu trzech linii obrony, zespół IT jest organem wykonawczym. Zarząd, CISO, czy dział bezpieczeństwa identyfikują ryzyka i określają zabezpieczenia, które dział IT później wdraża i utrzymuje w działaniu. DORA opisuje zadania związane z tym zagadnieniem przede wszystkim w drugim rozdziale w artykułach takich jak; artykuł 7 “Systemy, protokoły i narzędzia ICT”, artykuł 9 “Ochrona i zapobieganie”, czy artykuł 11 “Reagowanie i przywracanie sprawności”. W następnych punktach zostały opisane zadania wynikające m.in z tych artykułów.
Możesz ułatwić zespołowi IT przygotowanie się do realizacji wymienionych poniżej odpowiedzialności Twojego działu korzystając z przygotowanego harmonogramu wdrożenia rozporządzenia DORA. Sprawdź w praktycznym materiale wdrożeniowym zadania rozpisane dla całej organizacji finansowej w kontekście ich kolejności i rozłożenia w czasie.
Środowisko ICT
DORA nakłada na podmioty finansowe obowiązek posiadania oraz utrzymywania zaktualizowanych systemów, protokołów i narzędzi ICT. Precyzuje jednocześnie konieczne kroki do osiągnięcia tego celu. W tym kontekście środowisko ICT musi być dostosowane do skali działań operacyjnych firmy, przestrzegając zasady proporcjonalności. Taka struktura umożliwia efektywne przetwarzanie szczytowych wolumenów danych, nawet w skrajnych warunkach, przy zachowaniu pełnej funkcjonalności systemów.
Organizacje, które nie są mikroprzedsiębiorcami muszą przeprowadzać ocenę ryzyka przy każdej istotnej zmianie w infrastrukturze sieci i systemów IT. Muszą ją takżę przeprowadzić w procesach i procedurach wpływających na działanie funkcji biznesowych wspieranych przez ICT, zasoby informacyjne oraz zasoby ICT. Dodatkowo konieczne jest dokładne opisanie wszystkich zasobów informacyjnych i zasobów ICT. Zasoby te obejmują m.in. zasoby zdalne, zasoby sieciowe oraz komputery, a także zarejestrowanie tych, które uznano za kluczowe. Zespół IT powinien również utworzyć spis konfiguracji zasobów uwzględniając powiązania i zależności między nimi.
Ważnym aspektem jest także wiarygodność elementów składowych środowiska oraz pozyskiwanie ich z rzetelnych źródeł. Projektując środowisko ICT należy uwzględnić różnorodne scenariusze, zachowując elastyczność i gotowość do dostosowania się do ewentualnych dodatkowych potrzeb. Ostatecznym celem jest stworzenie zrównoważonego, dynamicznego środowiska, które nie tylko spełnia wymagania DORA, ale także stanowi solidną podstawę dla długofalowego rozwoju i efektywnego funkcjonowania podmiotu finansowego. Co więcej, sieć powinna być zaprojektowana w sposób umożliwiający jej szybkie odłączenie w przypadku incydentu.
Dział IT powinien również aktywnie uczestniczyć w opracowywaniu polityki bezpieczeństwa informacji. Ten dokument precyzyjnie określa zasady ochrony dostępności, autentyczności, integralności oraz poufności danych, zasobów informacyjnych i zasobów ICT zarówno organizacji, jak i jej klientów. Bazując na dokładnej analizie ryzyka, zespół IT zobowiązany jest do efektywnego wykorzystania odpowiednich narzędzi w celu zabezpieczenia sieci i infrastruktury.
Zgodnie z postanowieniami DORA konieczne jest wdrożenie polityki dotyczącej, zarówno fizycznego, jak i logicznego dostępu do zasobów, a także sprecyzowanie zasad zarządzania dostępem. Dział IT ma obowiązek skonfigurowania silnych mechanizmów uwierzytelniania zgodnych z odpowiednimi standardami oraz ich zintegrowanie z formalnymi politykami. Dodatkowo konieczne jest wdrożenie procedur zarządzania zmianą w systemach ICT opartych na ocenie ryzyka, przy jednoczesnym skrupulatnym opisie polityki aktualizacji. W ten sposób dział IT odgrywa kluczową rolę w zapewnieniu kompleksowego i skutecznego zarządzania bezpieczeństwem informacji.
Ciągłość działania
Dział IT stanowi kluczowy zespół wpływający na utrzymanie ciągłości działania w obszarze ICT. Odgrywa istotną rolę w egzekwowaniu polityki ciągłości działania zgodnie z wytycznymi określonymi przez DORA. Szczególny nacisk nałożony jest na zapewnienie ciągłości funkcji krytycznych i istotnych, co wymaga szybkiego, właściwego i skutecznego reagowania na incydenty związane z ICT, przy jednoczesnym minimalizowaniu szkód.
Po zidentyfikowaniu incydentu zespół IT przechodzi do uruchamiania planów, które mają na celu zastosowanie środków ograniczających potencjalne szkody. Niezbędne jest wstępne oszacowanie rozmiaru strat. Należy również rozpocząć działania komunikacyjne we współpracy z osobami odpowiedzialnymi za zarządzanie kryzysowe, celem przekazania informacji do zainteresowanych stron.
Ważnym aspektem jest regularne testowanie planów i procedur, zwłaszcza w kontekście krytycznych lub istotnych funkcji, które organizacja powierza zewnętrznym dostawcom ICT. Taka praktyka pozwala na skuteczne dostosowanie działań, minimalizując potencjalne ryzyko i zabezpieczając organizację przed skutkami ewentualnych incydentów związanych z ICT.
Kopie zapasowe i przywracanie danych
Nawet najbardziej zaawansowany system z profesjonalnymi planami ciągłości działania może zawieść. W związku z tym DORA nakłada na podmioty finansowe obowiązek tworzenia kopii zapasowych oraz ustalania procedur przywracania danych. Celem tego zadania jest przywracanie funkcji operacyjnych przy minimalnej przerwie, co pozwoli ograniczyć zakłócenia i straty.
Rozporządzenie dostarcza szereg wytycznych dotyczących tego obszaru. Polityki tworzenia kopii zapasowych powinny obejmować opisany zakres danych oraz minimalną częstotliwość ich tworzenia, uwzględniając ocenę krytyczności danych. Dokumentacja powinna precyzyjnie opisywać metody przywracania i odzyskiwania danych. Proces tworzenia kopii zapasowych nie może negatywnie wpływać na bezpieczeństwo sieci i systemów ani na dostępność, autentyczność, integralność czy poufność danych. Procedury tworzenia kopii oraz metody przywracania i odzyskiwania danych powinny być regularnie testowane.
Aktualizacje środowiska na bazie wyników testów, incydentów i audytów
Jakość zabezpieczeń oraz poziom dostępności, autentyczności, integralności, i poufności danych, zasobów informacyjnych oraz zasobów ICT w środowisku ICT podmiotu finansowego są stale poddawane weryfikacji. Bez względu na to czy są to audyty, testy penetracyjne, czy po prostu incydenty bezpieczeństwa, te zdarzenia dostarczają szeregu informacji dotyczących jakości zabezpieczeń. DORA nakłada obowiązek utworzenia procesu, który prowadzi do podjęcia działań w odpowiedzi na wnioski płynące z tych zdarzeń, obejmując implementację środków zaradczych i określenie terminów weryfikacji wprowadzonych zmian.
Za co odpowiadają poszczególne zespoły zgodnie z DORA?
Jeżeli zastanawiasz się, jakie zadania DORA nakłada na inne zespoły takie jak Zarząd, Cyber Security czy Compliance, przygotowaliśmy artykuły opisujące te zagadnienia:
Pamiętaj, że jest to propozycja podziału zadań pomiędzy zespołami zważywszy na ich kompetencje, a wdrożenie DORA w Twojej firmie musi odpowiadać strukturze Twojej organizacji.
Cyfrowa odporność operacyjna – odpowiedzialność IT
Dział IT w dzisiejszych czasach ma szereg zadań, bez których nie jest możliwa praca nowoczesnego podmiotu finansowego. DORA zauważa to i dodaje do tej listy te, które przybliżają organizację do zapewnienia wysokiego poziomu cyfrowej odporności operacyjnej. Rozporządzenie zwraca również uwagę na model trzech linii obrony, w którego ramy, jako pierwsza linia, wpisuje się dział IT.
Zespół IT jest odpowiedzialny za wdrożenie i utrzymanie zabezpieczeń, które są identyfikowane i określane przez zarząd, CISO i dział bezpieczeństwa. Rozporządzenie określa szereg zadań związanych z środowiskiem ICT, w tym konieczność posiadania i utrzymywania zaktualizowanych systemów, protokołów i narzędzi ICT. Określa także konieczność przeprowadzania oceny ryzyka przy istotnych zmianach infrastruktury sieci i systemów IT. Dział IT jest również odpowiedzialny za uczestnictwo w opracowywaniu polityki bezpieczeństwa informacji, wdrożenie polityki dotyczącej dostępu do zasobów oraz zapewnienie ciągłości działania w obszarze ICT poprzez egzekwowanie polityki ciągłości działania i przywracanie danych w przypadku incydentów. Ponadto, dział IT ma obowiązek aktualizacji środowiska ICT na bazie wyników testów, incydentów i audytów, co obejmuje implementację środków zaradczych i określenie terminów weryfikacji wprowadzonych zmian. Dział IT odgrywa zatem kluczową rolę w zapewnieniu kompleksowego i skutecznego zarządzania bezpieczeństwem informacji, zgodnie z wymogami DORA.
