Finansal hizmet düzenlemeleri, yeni çerçevelerin ve uyumluluk gerekliliklerinin düzenli olarak uygulamaya konulmasıyla kesintisiz bir taşıma bandı gibi hissedilebilir.
Ancak kritik ulusal altyapıyı destekleyen ve genellikle hem siber suçlular hem de dolandırıcılar için popüler bir hedef olan bir sektör olarak, bu tür katı taleplere çok ihtiyaç var.
Bundan kaçış yok, mali düzenlemenin su geçirmez olması gerekiyor.
AB’nin Dijital Operasyonel Dayanıklılık Yasası (DORA), yeni uygulamalara bir örnektir. siber güvenlik Finansal hizmetler sektörüne yönelik düzenleme.
Ancak, son teslim tarihinin üzerinden altı ay geçmesine rağmen araştırma, EMEA finansal hizmet kuruluşlarının %96’sının DORA’nın uyumluluk gerekliliklerini karşılamak için hâlâ dayanıklılıklarını artırmaları gerektiğini düşündüklerini ortaya çıkardı.
Peki finansal hizmetleri engelleyen ne? AB genelindeki finansal hizmet kuruluşları DORA’yı yalnızca gereksinimleri karşılamak için değil aynı zamanda veri dayanıklılığını maddi olarak iyileştirmek için bir uyandırma çağrısı olarak nasıl kullanabilir?
Erteleme tuşuna basın
Avrupa Komisyonu DORA’nın taslağını hazırlarken düşünceleri, DORA’nın stres seviyeleri üzerinde değil, veri dayanıklılığı üzerindeki etkisi üzerindeydi. BT yönetimi ve güvenlik ekipleri.
Ancak en büyük istenmeyen etkilerden birinin yaşandığı yer burasıdır. Kuruluşların %41’i, DORA gereksinimlerini karşılarken BT ve güvenlik ekipleri üzerindeki artan baskının önemli bir zorluk olduğunu belirtti.
Stres ve tükenmişlik, işin yüksek basınçlı, hızlı tempolu doğası nedeniyle uzun süredir siber güvenlik sektörünün daha geniş bir kesimini rahatsız ediyor. Ancak DORA gerekliliklerini karşılamanın bu soruna çok fazla katkıda bulunması gerekmiyor.
Zaten bunalmış ekipler üzerinde daha fazla baskı oluşturmak ve DORA uyumluluğunu tamamlanacak başka bir proje olarak eklemek yerine, kuruluşların daha bütünsel ve temelden bir yaklaşım benimsemesi gerekiyor.
Kuruluşlar, veri esnekliği olgunluk modellerini (DRMM) kullanarak DORA uyumluluğunu yeni, ayrı bir etkinlik olarak görmek yerine daha geniş bir veri dayanıklılığı planına dahil edebilir.
Bu sadece BT’nin karşılaştığı acil baskıyı azaltmakla kalmayacak ve güvenlik Ancak bu aynı zamanda genel olarak daha iyi veri dayanıklılığına da yol açacaktır.
Güvenlik ve BT ekipleri, günlük dayanıklılık sorunları ve uyumluluk da dahil olmak üzere yarım düzine görev arasında geçiş yapmak yerine, bir bütün olarak veri dayanıklılığına odaklanabilecek.
Test zamanı
Daha pratik olarak, DORA’nın en büyük teknik anlaşmazlık noktalarından bazıları testlerle ilgiliydi. EMEA finans kuruluşlarının neredeyse dörtte biri (%24) henüz kurulmamış veri kurtarma ve süreklilik testleri yapıldı ve %23’ü henüz dijital operasyonel dayanıklılık testini gerçekleştirmedi.
İhlallerin giderek daha yaygın hale gelmesiyle birlikte kuruluşların testleri daha fazla erteleme lüksü yok. Aslında bazı durumlarda veri esnekliği ölçümlerinin kendisinden daha önemli olduğu tartışılabilir.
Sonuçta, yeni önlemlerin ilk kez bir olay sırasında kullanılması durumunda uygulamanın pek bir anlamı yok; en çok ihtiyaç duyulduğu anda başarısız olabilirler.
Neyin ortaya çıkabileceği korkusuyla ilk testi yapmak göz korkutucu olsa da, sorunu ele alırken genellikle en iyi başlangıç noktasıdır. veri esneklik. DORA bunu talep etmekle kalmıyor, aynı zamanda dayanıklılığı yönetmeliğin diğer gerekliliklerinin bile ötesine taşıyacak.
Koyunları unutun, üçüncü şahısları saymaya başlayın
DORA’nın şaşırtıcı derecede sıkıntılı gereksinimlerinden biri üçüncü taraf gözetimiydi. Kuruluşların üçte birinden fazlası (%34) bunu ‘uygulaması en zorlayıcı’ olarak nitelendirdi ve beşte biri (%20) henüz bunu yapmadı. Ama neden?
Çoğu kuruluş DORA’nın gereksinimlerinin çoğunu şirket içinde uygulayabilmiş olsa da, bu tamamen şirket dışında başka bir hikaye.
Çoğu kuruluşun üçüncü taraf ağlarının kapsamını hafife aldığı gerçeğine dayanıyor. Ve ortalama bir işletmenin 88 üçüncü taraf ortakla faaliyet göstermesi nedeniyle, ağ bağlantılarının sayısı kısa sürede çığ gibi kontrolden çıkıyor.
Bunu, üçüncü taraf katılımının ana motivasyonuyla (kurumun iş yükünün bir kısmını hafifletmek) birleştirirseniz, birdenbire kapatmak ve ağın boyutunu küçümsemek kolay hale gelebilir.
Daha önce finans kuruluşları ‘kara kutu’ çözümleri sunan üçüncü taraf satıcılara güvenmekle yetinirken, DORA onlardan daha fazla araştırma yapmalarını istiyor. Daha önce kuruluşlar, savunmasız kaldıklarında dayanıklılığın oluştuğunu varsayarak bir çözüme güvenebilirlerdi.
Ancak şimdi finansal hizmet kuruluşlarından daha derine inmeleri ve ortaklığın her bir yarısının güvenlik sorumluluklarını özetleyen Ortak Sorumluluk Modellerini talep etmeleri isteniyor.
Bunun kolay bir çözümü yok. AB genelindeki finansal hizmet kuruluşlarının, Hizmet Düzeyi Anlaşmalarını (SLA’lar) tüm üçüncü taraf ortaklarla yeniden müzakere etmesi gerekecek. Bu küçük bir istek değil ve bunu başarmak için güvenlik, risk, yönetim ve hukuk ekiplerinin tamamının görev almasını gerektirecek, ancak veri dayanıklılığını artırmanın önemli bir parçası.
Kalkın ve hareket edin
Ne yazık ki, EMEA finansal hizmet kuruluşları veri dayanıklılığına olan güvenlerini bir gecede artıramaz. Bu uzun bir yol olacak ve ileride muhtemelen birkaç tümsekten fazlası olacak.
Ancak şimdi çalışmaya başlarlarsa ve veri dayanıklılığına parça parça, ‘düzenleme yoluyla düzenleme’ yaklaşımı yerine bütünsel bir yaklaşımla yaklaşırlarsa, ekipleri ve veri dayanıklılığı büyük bir artış elde edecek.
Kuruluşlar bunu başka bir güne ertelemek yerine, dayanıklılıklarına ilişkin zor soruları bugün sormalı. DORA’yı hem uyandırma çağrısı hem de sıçrama tahtası olarak kullanarak yalnızca kendi yeteneklerini değil, aynı zamanda üçüncü taraf tedarikçi ağlarının yeteneklerini de değerlendirebilirler.
Ne kadar tavsiye aldıkları önemli değil; Ne olduklarını bilmedikleri sürece benzersiz veri dayanıklılığı zayıflıklarını asla çözemeyecekler. Ve bu ancak sıkı testlerle ortaya çıkarılabilir.
Pek çok kişinin zaten tespit ettiği gibi, kısa vadede kurumsal güveni sarsabilir. Ancak doğru adım atılırsa, uzun vadede hem DORA hem de ötesi açısından veri dayanıklılığına her zamankinden daha güçlü bir güven inşa edilecektir.
En iyi veri kurtarma yazılımı; uzmanlarımız tarafından denenmiş ve test edilmiştir.
Bu makale, günümüz teknoloji endüstrisindeki en iyi ve en parlak beyinleri öne çıkardığımız TechRadarPro’nun Expert Insights kanalının bir parçası olarak üretildi. Burada ifade edilen görüşler yazara aittir ve mutlaka TechRadarPro veya Future plc’ye ait değildir. Katkıda bulunmak istiyorsanız buradan daha fazla bilgi edinin: https://www.techradar.com/news/submit-your-story-to-techradar-pro