Riadenie kybernetickej bezpečnosti

DORA v praxi: čo musia organizácie vedieť a implementovať

Posted by author-avatar
0

Keď sa dnes rozprávam s klientmi z finančného sektora o DORA, prvá reakcia býva často rovnaká:

„Je to ďalšia regulácia, ktorú musíme splniť.“

DORA (Digital Operational Resilience Act) však nie je len ďalšia regulácia.
Je to zásadná zmena v tom, ako sa pozeráme na kybernetickú bezpečnosť a prevádzkovú odolnosť.

Nejde o to, či máte nasadené bezpečnostné nástroje.
Ide o to, či vaša organizácia dokáže zvládnuť incident a pokračovať v prevádzke.

Čo DORA v skutočnosti rieši

DORA vznikla ako reakcia na realitu:

  • finančné inštitúcie sú extrémne závislé od IT

  • útoky sú čoraz sofistikovanejšie

  • dodávatelia (cloud, SaaS) sú kritickou súčasťou prevádzky

Výpadok IT dnes znamená výpadok biznisu.

Preto DORA zavádza koncept digitálnej prevádzkovej odolnosti.

DORA nie je len IT bezpečnosť

Dôležité je pochopiť, že DORA sa netýka len IT oddelenia.

Týka sa:

  • manažmentu

  • risk managementu

  • dodávateľov

  • prevádzky

Bezpečnosť sa tak stáva súčasťou riadenia celej organizácie.

5 pilierov DORA (z pohľadu praxe)

DORA stojí na viacerých oblastiach. Namiesto legislatívnych definícií je dôležité pochopiť ich praktický dopad.

1. ICT Risk Management

Organizácia musí mať funkčný systém riadenia IT rizík.

Nie jednorazový dokument, ale živý systém.

To znamená:

  • identifikáciu aktív

  • hodnotenie rizík

  • definovanie opatrení

  • pravidelnú aktualizáciu

Tento prístup je blízky ISO/IEC 27001, ale ide viac do prevádzkovej reality.

Ako vyzerá riadenie rizík v praxi a ako ho nastaviť systematicky, rozoberám podrobnejšie v článku Riadenie kybernetických rizík efektívne: prečo potrebujete nástroje ako Asign.

Reálna chyba z praxe

Organizácia mala risk register, ktorý nebol aktualizovaný niekoľko rokov.

Z pohľadu DORA je takýto prístup neakceptovateľný.

2. Incident Management a reporting

DORA zavádza jasné požiadavky:

Organizácie musia incidenty:

  • detegovať

  • klasifikovať

  • reportovať

  • analyzovať

A to v definovaných časových lehotách.

V praxi je problém, že mnohé organizácie:

  • nemajú monitoring

  • nemajú SIEM

  • nemajú definovaný proces

Výsledkom je, že často ani nevedia, že incident nastal.

3. Testovanie odolnosti

Bezpečnosť nestačí deklarovať.
Je potrebné ju testovať.

To zahŕňa:

  • penetračné testy

  • red teaming

  • simulácie incidentov

DORA ide ešte ďalej a zavádza pokročilé testovanie, napríklad TLPT.

V praxi často vidím organizácie, ktoré robia jeden penetračný test ročne a považujú to za dostatočné. To však z pohľadu DORA nestačí.

4. Riadenie dodávateľov (third-party risk)

Jedna z najzásadnejších oblastí.

Organizácie si uvedomujú, že najväčšie riziko často nevzniká vo vnútri, ale u dodávateľov.

DORA vyžaduje:

  • evidenciu dodávateľov

  • hodnotenie rizík

  • zmluvné zabezpečenie

  • priebežný monitoring

Typická situácia:

Organizácia využíva cloudové služby a externých dodávateľov, ale nemá prehľad o prístupoch a rizikách.

5. Governance a zodpovednosť

DORA jasne definuje, že zodpovednosť je na úrovni vedenia.

To znamená:

  • board musí byť informovaný

  • rozhodnutia musia byť zdokumentované

  • riziká musia byť riadené

Ide o zásadný posun v tom, ako sa pristupuje k bezpečnosti.

Najväčší problém: DORA ako projekt

Veľa organizácií pristupuje k DORA ako k jednorazovému projektu.

To je zásadná chyba.

DORA nie je projekt.
Je to trvalý spôsob riadenia organizácie.

Prepojenie s NIS2 a ISO 27001

DORA nie je izolovaná regulácia.

Ak má organizácia implementované ISO/IEC 27001, má dobrý základ:

  • riadenie rizík

  • incident management

  • governance

DORA však ide ďalej, najmä v oblasti:

  • testovania

  • riadenia dodávateľov

  • prevádzkovej odolnosti

Rozdiely a prepojenia medzi týmito reguláciami rozoberám detailnejšie v článku DORA vs. NIS2: aký je medzi nimi rozdiel.

Slovenský kontext

Z praxe vidím tri prístupy:

  • organizácie, ktoré reguláciu ignorujú

  • organizácie, ktoré robia minimum

  • organizácie, ktoré pristupujú k bezpečnosti systematicky

Rozdiel medzi nimi sa prejaví najmä pri incidente, nie pri audite.

Ako k tomu pristupujeme v ADCORE

Nezačíname reguláciou.

Začíname pochopením fungovania organizácie.

Postup:

  • analýza aktuálneho stavu

  • identifikácia medzier

  • návrh opatrení

  • prioritizácia podľa rizík

  • implementačný plán

Kľúčové je, že neriešime všetko naraz.

Zameriavame sa na opatrenia s najväčším dopadom.

Čo by ste mali urobiť hneď

Praktické kroky:

  1. Zmapovať aktíva

  2. Skontrolovať monitoring

  3. Nastaviť incident response

  4. Zmapovať dodávateľov

  5. Zapojť vedenie organizácie

Najväčšia chyba

Najväčšou chybou je odkladanie.

DORA už nie je budúcnosť.
Je realita.

Záver

DORA mení spôsob, akým organizácie riadia bezpečnosť.

Nie je to IT projekt.
Je to biznis kritická schopnosť.

Organizácie, ktoré to pochopia:

  • budú odolnejšie

  • budú pripravené na incidenty

  • získajú konkurenčnú výhodu

Ostatné budú reagovať až v momente, keď bude neskoro.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *