DORA: Άλλη μια συμμόρφωση ή ευκαιρία για βελτίωση:

Στην ψηφιακή εποχή, όπου η τεχνολογία αποτελεί τον πυρήνα των επιχειρησιακών δραστηριοτήτων, όπου οργανισμοί και επιχειρήσεις βασίζονται σε πολύπλοκα οικοσυστήματα και όπου κριτικές λειτουργίες – υποδομές βασίζονται ή περιλαμβάνουν εξωτερικούς παρόχους ή λύσεις, η έννοια της ψηφιακής επιχειρησιακής ανθεκτικότητας, κρίνεται πιο σημαντική από ποτέ.

ISGRC Business Unit

SYNTAX Πληροφορική ΑΒΕΕ

www.syntaxitgroup.com

Έτσι, καθώς το επιχειρησιακό τοπίο εξελίσσεται ταχύτατα, το κανονιστικό και ρυθμιστικό πλαίσιο ακολουθεί μια παρόμοια λογική, προσθέτοντας στις επιχειρησιακές διαδικασίες σημαντικές παραμέτρους. Υπό το πρίσμα αυτής της λογικής, ο Κανονισμός (ΕΕ) 2022/2554 «Πράξη για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα» (DORA), έρχεται να διαμορφώσει το μέλλον της ψηφιακής ανθεκτικότητας, επιβάλλοντας αυστηρότερές απαιτήσεις διαχείρισης κινδύνων και προστασίας κρίσιμων λειτουργιών.

Αν και το άκουσμα της έλευσης ενός ακόμη κανονισμού, πιθανότατα να εγείρει ως πρώτη αντίδραση, την αντιμετώπισή του ως μια ακόμη υποχρέωση συμμόρφωσης εμπνευσμένη από την ιδέα μιας ακόμη γραφειοκρατικής διαδικασίας, – που απαιτεί μερίδιο εκ των ήδη περιορισμένων πόρων-, ουσιαστικά, είναι πολλά περισσότερα. Μελετώντας πιο προσεκτικά και από μια διαφορετική οπτική τον κανονισμό DORA, η ιδέα πως είναι ικανός να αποτελέσει μια μεγάλη ευκαιρία βελτίωσης της επιχειρησιακής ανθεκτικότητας, της ασφάλειας και της συνολικής ανταγωνιστικότητας ενός οργανισμού παρουσιάζεται σημαντικά καλύτερη.

Η συγκεκριμένη ιδέα έγκειται σε μια από τις βασικότερες αλλαγές που φέρει ο κανονισμός DORA, η οποία αναφέρεται στον τρόπο διαχείρισης κινδύνων και συγκεκριμένα εκείνων που προέρχονται από τρίτους παρόχους Τεχνολογιών Πληροφοριών και Επικοινωνίας (ICT), δηλαδή, διοίκηση επικινδυνότητας τρίτων μερών (TPRM).

Γιατί όμως το TPRM είναι σημαντικό;

Η διαχείριση κινδύνων τρίτων μερών αποκτά ολοένα και μεγαλύτερη αξία για τους οργανισμούς, ανεξάρτητα από τον κλάδο στον οποίο δραστηριοποιούνται. Αυτό οφείλεται κυρίως στην αυξανόμενη πολυπλοκότητα των σχέσεων, σε συνδυασμό με τις τεχνολογικές εξελίξεις που θολώνουν τα όρια της γραμμής ελέγχου και ευθύνης μεταξύ των εταιρειών. Ουσιαστικά, αυτή η «εξάρτηση» από τα τρίτα μέρη, δεν μεταφράζεται μόνο σαν απόκτηση λύσεων ή συνεργατών, αλλά μπορεί κάλλιστα να μεταφραστεί ως ένας αδύναμος κρίκος, ικανός να διαταράξει σημαντικά την λειτουργία ενός οργανισμού.

Τα παραπάνω αποδεικνύονται δυστυχώς από πολλά πρόσφατα παραδείγματα από επιτυχημένες κυβερνοεπιθέσεις ή αστοχίες παρόχων, που κατάφεραν να επηρεάσουν σημαντικά τους άμεσους ή έμμεσους συνεργάτες τους.

Ο κανονισμός DORA λοιπόν, καθώς και αντίστοιχα πρότυπα ασφάλειας, έρχονται να αντιμετωπίσουν εκτός των άλλων, το σημαντικό κενό της διαχείρισης των τρίτων μερών, προσφέροντας αυστηρότερη εποπτεία, αυξημένες απαιτήσεις παρακολούθησης και ενσωμάτωση των κινδύνων τρίτων στο συνολικό πλαίσιο διαχείρισης κυβερνοκινδύνων.

DORA και TPRM, τι αλλαγές επιφέρει!

Για πρώτη φορά οι οργανισμοί καλούνται εκτός από το να ελέγχουν τις επιχειρησιακές τους δραστηριότητες, να ελέγχουν ουσιαστικά τους τρίτους συνεργάτες – παρόχους και τις συμβάσεις που έχουν συνάψει, «παρακολουθώντας» τους διαρκώς και διασφαλίζοντας πως συνεχίζουν να πληρούν συγκεκριμένα πρότυπα ασφαλείας και ανθεκτικότητας. Αυτό πρακτικά σημαίνει, πως οι οργανισμοί χρειάζεται να αναπτύξουν διαδικασίες αξιολόγησης κινδύνων που μπορεί να προκύψουν από τρίτα μέρη, διαμορφώνοντας σχέδια επιχειρησιακής συνέχειας και προσαρμόζοντας τα συμβόλαια τους, ώστε οι πάροχοι τους να συμμορφώνονται με τα νέα πρότυπα.

Από την άλλη πλευρά, με βάση τον κανονισμό DORA, δίνεται η δυνατότητα στις ρυθμιστικές αρχές να εποπτεύουν τους κρίσιμους παρόχους, ένα γεγονός που μπορεί να ωφελήσει σημαντικά την μείωση του συνολικού κινδύνου ενός οργανισμού. Καθώς πρακτικά, ακόμη και αν το επιχειρησιακό τοπίο ενός οργανισμού βρίσκεται σε υψηλά επίπεδα ωριμότητας, ακόμη θα καλείται να διαχειρίζεται τον σημαντικό κίνδυνο των τρίτων μερών και του αντίκτυπου που μπορεί αυτός να έχει, σε συνάρτηση με το σύνολο των επιχειρησιακών του δραστηριοτήτων.

Με αυτήν την προσέγγιση τονίζεται το γεγονός ότι, ανεξαρτήτως του μεγέθους ενός οργανισμού, οι άμεσες επαγγελματικές συνεργασίες με προμηθευτές και τρίτα μέρη, εκτός των πλεονεκτημάτων τα οποία προσδίδουν στην επιχειρησιακή καθημερινότητα, ελλοχεύουν σημαντικούς κινδύνους για την επιχειρησιακή του συνέχεια.

DORA και Στρατηγικό όφελος

Όπως γίνεται κατανοητό, η συμμόρφωση με τον κανονισμό DORA απαιτεί σημαντικές προσαρμογές αλλά και μια ευκαιρία στις εταιρίες και τους οργανισμούς να αξιοποιήσουν αυτή την «απαίτηση», αποκομίζοντας σημαντικά οφέλη.

Αυτά μπορεί να περιλαμβάνουν κυρίως:

Τη μείωση κινδύνου κυβερνοεπιθέσεων και λειτουργικών διακοπών

Την διασφάλιση σταθερότητας και αξιοπιστίας στις υπηρεσίες τους

Τα παραπάνω, θα προωθήσουν σημαντικά την βελτίωση και της εσωτερικής επιχειρησιακής λειτουργίας, ενισχύοντας παράλληλα την εμπιστοσύνη των πελατών και συνεργατών, οι οποίοι βρίσκονται στην συνεχή αναζήτηση περισσότερο ασφαλών και ανθεκτικών οργανισμών – εταιριών. Εκτός αυτών, η έγκαιρη συμμόρφωση, επιτρέπει στις εταιρίες την διατήρηση σχέσεων σε καλό βαθμό, με τις ρυθμιστικές αρχές, αποφεύγοντας κανονιστικές ρήτρες που θα μπορούσαν να σταθούν τροχοπέδες στο πεδίο της ανάπτυξής τους.

Συμπληρωματικά με τα όσα αναφέρθηκαν, το DORA προσφέρει και μια σημαντική ευκαιρία βελτίωσης της εσωτερικής διακυβέρνησης ενός οργανισμού καθώς και της συνολικής διαχείρισης κινδύνων. Πρακτικά, μέσω της υιοθέτησης σύγχρονων εργαλείων διαχείρισης τρίτων μερών (TPRM), προσφέρεται η δυνατότητα απόκτησης μεγαλύτερης διαφάνειας, καλύτερου ελέγχου προμηθευτών και τελικά μιας ισχυρότερης προστασίας από ψηφιακές απειλές, γεγονός που ωφελεί όχι μόνο για τον οργανισμό αλλά και για τους παρόχους του.

SYNTAX IT Group και TPRM

Η SYNTAX IT , αναγνωρίζοντας αυτή την ανάγκη των οργανισμών για άμεση και αποτελεσματική εφαρμογή του κανονισμού DORA, προσφέρει ένα ολοκληρωμένο πρόγραμμα διαχείρισης κινδύνων τρίτων μερών – προμηθευτών με σκοπό την ενίσχυση της διαδικασίας αξιολόγησης σε συνδυασμό με εκείνη της καθιέρωσης υψηλής ποιότητας, συστηματικού ελέγχου και συνεργασίας.

Αυτό επιτυγχάνεται με την χρήση μιας πλατφόρμας leader στην αγορά, για την κεντρικοποιημένη και αυτοματοποιήσιμη διαχείριση των τρίτων μερών, καλύπτοντας ένα ευρύ φάσμα, από την επιλογή τους αλλά και καθ’ όλη τη διάρκεια σχέσης, συνοδευόμενη από υπηρεσίες υλοποίησης και διαχείρισης της πλατφόρμας.

Συγκεκριμένα, η πλατφόρμα που παρέχει η SYNTAΧ IT , προσφέρει:

Ολιστική και συνεχή παρακολούθηση τρίτων μερών: Με χρήση ερωτηματολογίων, προσφέρεται η δυνατότητα παρακολούθησης κάθε είδους πληροφορίας που είναι σημαντική για την αξιολόγηση ενός προμηθευτή, πληροφορίες που δεν περιορίζονται μόνο σε αυτές που είναι διαθέσιμες στο Internet αλλά ούτε μόνο που αφορούν την ασφάλεια. Στην ουσία, δίνεται η δυνατότητα πρόσβασης σε πληροφορίες νομικής, κανονιστικής, ESG ή οποιαδήποτε άλλης πληροφορίας κριθεί απαραίτητη για την αξιολόγηση τρίτων.

Πλήρως διαμορφώσιμες αξιολογήσεις κινδύνου και ροές εργασίας προμηθευτών: Κρίσιμοι προμηθευτές λαμβάνουν αναλυτικότερες αξιολογήσεις και παρακολούθηση συμμόρφωσης, ενώ οι λιγότερο ή μη κρίσιμοι αξιολογούνται με «ελαφρύτερα» ερωτηματολόγια για βέλτιστη αξιοποίηση πόρων, αυτοματοποιώντας την παρακολούθηση κινδύνων έως την πλήρη αποκατάσταση. Ακόμη, ερωτηματολόγια, αναφορές και απεικονίσεις πλήρως παρεμετροποιήσημες δίχως την χρήση κώδικα.

Προληπτική διαχείριση κινδύνου με προηγμένες ενσωματώσεις: Δυνατότητα Ενσωμάτωσης με API και λύσεις απειλών για πρόληψη και μετριασμό κινδύνων. Πρόσβαση σε πληροφορίες κινδύνου προμηθευτών σε πραγματικό χρόνο μέσω συνεργασιών με ηγέτες της αγοράς.

Αύξηση μακροπρόθεσμης ωριμότητας κινδύνου και ρυθμιστική ετοιμότητα: Δυνατότητα κλιμάκωσης από βασική παρακολούθηση σε πλήρως βελτιστοποιημένο πρόγραμμα διαχείρισης κινδύνου, με δυνατότητες προσαρμογής στις εξελισσόμενες κανονιστικές απαιτήσεις.

Αυτοματοποιημένη επικοινωνία και παρακολούθηση προμηθευτών: Αυτοματοποιημένες υπενθυμίσεις, επικοινωνία με προμηθευτές και παρακολούθηση αποκατάστασης μέσω ειδοποιήσεων και προτροπών παρακολούθησης.

Αυτοματοποιήσιμες ροές για την δημιουργία ρίσκων, αιτημάτων, και ευρημάτων ανάλογα με την διαδικασία κάθε οργανισμού.

Δυνατότητα για πλήρως αυτοματοποιημένη δημιουργία των αναφορών που απαιτεί η κανονιστική αρχή στα πλαίσια του DORA.

Διαχειριζόμενες Υπηρεσίες και Συμβουλευτική: Παροχή στρατηγικής καθοδήγησης για την πλήρη εκμετάλλευση των δυνατοτήτων της διαχείρισης κινδύνου προμηθευτών, με στόχο τη βελτιστοποίηση και εκσυγχρονισμό των διαδικασιών και αναφορών συμμόρφωσης

Συμπερασματικά, ο κανονισμός DORA δεν αποτελεί μια ακόμη νέα ρυθμιστική απαίτηση αλλά μια ευκαιρία για θωράκιση των επιχειρήσεων και της λειτουργίας τους έναντι ενός ταχύτατα εξελισσόμενου τοπίου απειλών. Οι οργανισμοί που θα επιλέξουν να δράσουν έγκαιρα και αποτελεσματικά, όχι μόνο θα φροντίσουν για την προστασία των δεδομένων και των λειτουργιών τους, αλλά θα αποκτήσουν ένα ισχυρό ανταγωνιστικό πλεονέκτημα στην αγορά, αφήνοντας μια κριτική επιλογή, συμμόρφωση για αποφυγή κυρώσεων ή αξιοποίηση ενός στρατηγικού εργαλείου βελτίωσης και ανάπτυξης;

Cybersecurity Compliance Framework

Η Pylones Hellas και η SecurityHQ αναλύουν το Μέλλον της Κυβερνοασφάλειας

Yuliya Novikova, Kaspersky: Οι χάκερς έχουν επάγγελμα… το έγκλημα!

Digital Operational Resilience Act (DORA)

Η Πράξη Ψηφιακής Επιχειρησιακής Ανθεκτικότητας (DORA) και οι Κίνδυνοι Μη Συμμόρφωσης

Ψηφιακή Ανθεκτικότητα – Θωράκιση πέρα από την Κυβερνοασφάλεια

“D.O.R.A the Resilience Explorer” (pun stops now!)

Κανονισμός DORA: Ενίσχυση της Ψηφιακής Ανθεκτικότητας στον Χρηματοπιστωτικό Τομέα

Πλοηγώντας στο Νέο Τοπίο: Ο DORA και η Αυγή της Ενισχυμένης Ψηφιακής Ανθεκτικότητας

DORA και Privileged Access Management: Ενισχύοντας την ψηφιακή ανθεκτικότητα στον χρηματοοικονομικό τομέα

Bitdefender | Κανονισμός DORA-Το Game Changer που δεν πρέπει να υποτιμήσετε