Jeżeli jesteś odpowiedzialny za monitorowanie bezpieczeństwa w organizacji, przy podejmowaniu decyzji o korzystaniu z zewnętrznych dostawców usług ICT powinieneś zawsze stosować zasadę proporcjonalności. Przede wszystkim musisz ocenić, czy usługa ICT dotyczy kluczowej lub istotnej funkcji dla działalności. Następnie powinieneś zweryfikować warunki umowne współpracy. Kolejnym krokiem jest analiza ryzyka usługi i jego ocena, w ramach której musisz przekrojowo zwalidować perspektywy prawne, organizacyjne i technologiczne danego ryzyka.
Co uwzględnić w szacowaniu ryzyka?
Szacowanie ryzyka w zakresie bezpieczeństwa ICT jest szerokim zagadnieniem kontroli wewnętrznej, od którego zależy funkcjonowanie podmiotów finansowych. Główne założenia dotyczące szacowania ryzyka zostały omówione w rozdziale drugim “Zarządzanie ryzykiem związanym z ICT” DORA. Jeżeli znane są Tobie; Rekomendacje KNF, Wytyczne EBA czy treść Rekomendacji D, szacowanie ryzyka w kontekście rozporządzenia DORA nie będzie dla Ciebie obcym zagadnieniem.
Dokument sam w sobie nie narzuca konkretnego procesu szacowania ryzyka, ale określa wyłącznie ramy zarządzania ryzykiem w określonych tematach. W rozporządzeniu znajdziemy obszary: identyfikowania (Artykuł 7), ochrony i zapobiegania (Artykuł 8), wykrywania (Artykuł 9), reagowania i przywracania gotowości do pracy (Artykuł 10), kopii zapasowych (Artykuł 11), uczenia się i rozwoju (Artykuł 12) oraz komunikacji (Artykuł 13).
1. Identyfikowanie
Pierwszą czynnością w kontekście rozporządzenia DORA, którą powinieneś zrobić chcąc przeprowadzić szacowanie ryzyka, jest identyfikacja i klasyfikacja wszystkich funkcji biznesowych związanych z ICT oraz cyfrowych zasobów, wewnętrznych i zewnętrznych, związanych z tymi funkcjami. Powinieneś stworzyć ewidencję wszystkich kont w systemach ICT, zasobów sieciowych oraz komputerów jak i określić, która część zasobów jest krytyczna. Musisz opisać konfiguracje i współzależności poszczególnych systemów oraz stworzyć dokumentację procesów, które są realizowane przy pomocy zewnętrznych dostawców usług ICT.
Dopiero w tym momencie mając zidentyfikowane wszystkie składowe, możesz oszacować ryzyko ICT w zakresie bezpieczeństwa informacji.
2. Ochrona i zapobieganie
Wiedząc już konkretnie, co analizujesz, Twoim zadaniem jest weryfikacja, w jaki sposób firma, w której pracujesz planuje cyberbezpieczeństwo. Przede wszystkim zbadaj politykę bezpieczeństwa informacji Twojej organizacji i oceń zasady, wedle których chroniona ma być poufność, integralność i dostępność zasobów i danych w systemach ICT. Sprawdź, jakie techniki wykorzystywane są do zarządzania siecią i infrastrukturą. Zweryfikuj również, w jaki sposób chroniony jest fizyczny dostęp do zasobów i separowane są systemy.
Przeprowadź przegląd polityk uprawnień dostępów oraz ich odbierania. Upewnij się również, że mechanizmy uwierzytelniania oparte są o odpowiednie normy, a sposób szyfrowania nie został skompromitowany.
Zrób inspekcję polityk i procedur w zakresie zarządzania zmianą w systemach ICT w temacie rozwoju i wdrażania nowych zasobów, ale również w poprawkach i aktualizacji obecnych składowych środowiska ICT organizacji.
3. Wykrywanie
Kolejnym krokiem, który musisz wykonać podczas szacowania ryzyka, jest określenie możliwości wykrywania i identyfikowania nietypowych działań, awarii i incydentów w środowisku ICT. Sprawdź, czy podmiot finansowy, w którym pracujesz, ma właściwe procedury i kadrę o odpowiednich umiejętnościach reagowania na te zdarzenia. Co więcej, upewnij się, że wspomniane mechanizmy są regularnie testowane. Brak umiejętności wykrywania zagrożeń wpływa negatywnie na możliwość zarządzania incydentami.
4. Reagowanie i przywracanie gotowości do pracy
Każdy, nawet najlepiej zabezpieczony system może doświadczyć zdarzenia, które zagrozi jakości usług, do których jest wykorzystywany. Z tego powodu DORA nakłada na Twoją organizację obowiązek posiadania polityki ciągłości działania oraz testowania scenariuszy przywrócenia działania. Musisz uwzględnić w szacowaniu ryzyka ewentualną możliwość braku dostępności usług przez dany okres. Procedury zarządzania ciągłością działania należy okresowo testować na możliwość wystąpienia ryzyka związanego z brakiem dostępności usług.
Poprawnie wdrożona polityka ciągłości działania na celu:
- rejestrowanie incydentów ICT,
- zapewnienie ciągłości kluczowych funcji podmiotu,
- adekwatną reakcję na incydenty zasobów ICT,
- możliwość wstępnego oszacowania strat,
- ułatwienie reakcji na zagrożenia,
- stworzenie warunków do klarownej komunikacji w organizacji i poza nią, w tym odpowiednim organom i urzędom.
5. Kopie zapasowe i odzyskiwanie danych
Zarządzanie ciągłością działania nie jest możliwe do zrealizowania bez posiadania kopii zapasowych. Jest to kolejny punkt, który należy uwzględnić w szacowaniu ryzyka. Z tego powodu, każdy podmiot finansowy musi posiadać odpowiednie wytyczne tworzenia backupów, a w ramach tego konkretnie określony zakres zapisywanych danych oraz częstotliwość tworzenia zapisów. Należy również określić metody odzyskiwania danych.
Musisz określić akceptowalny czas braku działania procesów biznesowych i wspierających oraz wypracować akceptowalny poziom utraty danych w odniesieniu do każdego z obszarów działania danej usługi. W szacowaniu ryzyka określ również możliwości podmiotu finansowego do przeprowadzenia kontroli odzyskanych danych pod względem integralności i spójności ich z resztą danych.
6. Rozwój umiejętności kadry
Twoim zadaniem jest upewnienie się, że pracownicy w organizacji posiadają odpowiednie doświadczenie, wykształcenie lub w inny sposób nabyte umiejętności, które pozwalają na zarządzanie zasobami ICT i kontrolowanie zidentyfikowanych ryzyk.
Oprócz tego, powinieneś upewnić się, że pracownicy wiedzą jak przeprowadzać analizy incydentów w zakresie ICT oraz wyciągać wnioski, które pozwolą wdrożyć ulepszenia w zakresie działania usług zewnętrznych, systemów wewnętrznych i hardware’u oraz polityk wykorzystywanych w organizacji.
W ramach każdej z analiz należy zwrócić szczególną uwagę na:
- szybkość reakcji organizacji na incydent,
- jakość badania skutków i przyczyn,
- eskalację incydentów w organizacji,
- komunikację wewnętrzną i zewnętrzną.
7. Komunikacja wewnętrzna i zewnętrzna
Jak zostało wspomniane w poprzednim punkcie, zagadnienie komunikacji ma duże znaczenie w kontekcie zasobów ICT. Niezależnie od tego, czy odnosi się to do planowanych działań, czy incydentów bezpieczeństwa, zarządzanie oczekiwaniami wewnątrz organizacji oraz poza nią, może wpłynąć negatywnie lub pozytywnie, ograniczając skutki zdarzeń.
Z tego powodu, każdy podmiot finansowy powinien posiadać odpowiednie plany działań komunikacyjnych, które pozwolą m.in w odpowiedni sposób ujawnić incydenty bezpieczeństwa wypływające na dane klientów. Istotne jest, żeby organizacja, w której pracujesz posiadała rolę rzecznika, który będzie mieć wpływ za ten obszar i określał komunikacyjne zasady zarządzania kryzysowego. Osoba ta jest odpowiedzialna za ustalenie terminów publikacji danych komunikatów dostosowując przekaz w zależności od scenariusza.
Podsumowanie
Braki w poszczególnych obszarach powinny zostać uwzględnione w analizie ryzyka, inaczej może skutkować to ryzykiem operacyjnym wypływającym na dane klientów. DORA ujednolicając m.in wytyczne EBA, rekomendacje KNF czy zasady rekomendacji D może pomóc osobom odpowiedzialnym za obszar zarządzania ryzykiem w zrozumieniu obowiązków, jakie stoją przed nimi.