Wymagania DORA w zakresie podejścia do testów odporności

Wymagania DORA w zakresie podejścia do testów odporności

Wymagania DORA w zakresie podejścia do testów odporności, w tym testów penetracyjnych oraz zarządzania podatnościami.

DORA, czyli Digital Operational Resilience Act,to rozporządzenie przyjęte przez Unię Europejską, które ma na celu zwiększenie odporności cyfrowej podmiotów działających w sektorze finansowym. DORA zawiera szereg wymagań dla podmiotów z tego sektora, które mają na celu zapewnić, aby podmioty te były w stanie stawić czoła różnego rodzaju cyber zagrożeniom.

Chcielibyśmy zwrócić uwagę, na akcent położony w DORA na ofensywne (proaktywne) działania, z którymi podmioty sektora finansowego będą musiały się zmierzyć. DORA wydaje się jako pierwsza zobowiązujących regulacji tak jednoznacznie wskazywać na obowiązek podejmowania działań prewencyjnych i zapobiegawczych poprzez wykonywanie regularnych testów penetracyjnych będących elementem planu (strategii) oraz, łącząc jednocześnie z przeprowadzaną analizą ryzyka.  

DORA, wymaga, aby testowanie odporności:

·     było elementem opracowanego i kompleksowego programu testowania operacyjnej odporności cyfrowej stanowiący, podlegającego przeglądom,

·     stanowiło integralną część ram zarządzania ryzykiem związanym z ICT,

·     było przeprowadzane przez niezależne strony wewnętrzne lub zewnętrzne.

·     obywało się zgodnie procedurami i zasadami ustalania hierarchii, klasyfikowania i rozwiązywania wszystkich problemów ujawnionych w trakcie przeprowadzania testów

·     było przeprowadzane zgodnie wewnętrznymi metodami zatwierdzania w celu dopilnowania, aby w pełni usunięto wszystkie stwierdzone słabości,niedoskonałości lub luki.

Powyższe wskazuje, że jednym z kluczowych aspektów DORA jest konieczność regularnego wykonywania testów odpornościowych.Testy te mają na celu symulację potencjalnych ataków na systemy i aplikacje w celu zidentyfikowania potencjalnych luk i słabości, które mogłyby być wykorzystane przez cyberprzestępców. Jest to podejście ze wszech miar słuszne i faktycznie wpływające na efektywność w usuwaniu podatności w organizacjach, a przez to zmniejszające poziom ryzyka cyber ataku.

Prezentowane podejście cykliczności i regularności działań ofensywnych w połączeniu z analizą ryzyka i ustalonym procesem zarządzania podatnościami, znalazło odzwierciedlenie w zaprojektowanej usłudze FUSE AI.

W ramach świadczonej przez nas usłudze FUSE AI, zaprojektowaliśmy:

  1. Regularne testy penetracyjne. Wykonujemy regularne i cykliczne testy penetracyjne, skany podatności, dostosowane do specyfiki działalności i systemów naszych klientów, z ustalaną częstotliwością. Obejmują one zarówno infrastrukturę sieciową, jak również wykorzystywane aplikacje oraz rozwiązania chmurowe.
  2. Proces  zarządzania podatnościami. FUSE AI posiada zamodelowany proces zarządzania podatnościami, pozwalający zapisać w repozytorium każdą zidentyfikowaną podatność, określając jej krytyczność i priorytet, oraz przypisać odpowiedzialne osoby za ich mitygację wg. ustalonego SLA.  
  3. Mitygacja podatności. Włączamy się aktywnie w mitygację podatności, dzieląc się ekspercką wiedzą z personelem klienta. Nasz zespół dostarcza zalecenia dotyczące mitygacji oraz wsparcie w ich wdrażaniu, co pozwala organizacjom skutecznie zabezpieczyć się przed potencjalnymi atakami poprzez większą efektywność w usuwaniu podatności.
  4. Analiza ryzyka. FUSE AI posiada moduł analizy ryzyka, który pozwala na identyfikację, ocenę i priorytetyzację zagrożeń. Dzięki temu, organizacje mogą lepiej zrozumieć, przed jakimi wyzwaniami stoją i jakie kroki powinny podjąć, aby się przed nimi zabezpieczyć. Prezentujemy ryzyko poszczególnego assetu, jak również zbiorcze, całej organizacji.
  5. Dokumentacja i raportowanie: Całość wyników usługi i podejmowanych działań jest odzwierciedlona w dynamicznych oraz statycznych raportach, dostępnych  z poziomu FUSE AI, które zapewniają osobom zarządzającym obszarem bezpieczeństwa dostęp w czasie rzeczywistym do informacji, m.in. liczby podatności, przypisanego im ryzyka, oraz efektywność w ich usuwaniu. FUSE AI stanowi całościowe narzędzie do zarządzania podatnościami w organizacji.

Podsumowanie Rozporządzenie DORA wprowadza ważne wymagania w zakresie odporności cyfrowej dla podmiotów z sektora finansowego. Kładzie ono nacisk na prewencję i proaktywne działanie,które dopiero w połączeniu z odpowiednimi rozwiązaniami defensywnymi, możezapewnić organizacji maksymalną i efektywną ochronę przed cyber zagrożeniami.