Günümüzde, ICT ile ilgili olaylar yaygınlığını sürdürüyor ve veri ihlalleri belası azalma belirtisi göstermiyor. Bu yıl, milyonlarca kayıt ne yazık ki bir kez daha etkilenecek ve sonuçları ciddi olacak ve ortalama bir ihlal artık işletmelere yaklaşık 3,5 milyon sterline mal olacak. Bu risklerle karşı karşıya kalındığında, Dijital Operasyonel Dayanıklılık Yasası’na (DORA) uyum her zamankinden daha önemli hale geliyor.
17 Ocak 2025’ten itibaren tüm AB üye ülkelerinde yürürlüğe girecek ve Avrupa Parlamentosu tarafından yürürlüğe konulacak olan DORA’nın kapsamı, bankalardan yatırım şirketlerine ve bu kuruluşlara BT ve siber güvenlik hizmetleri sunan herhangi bir hizmet sağlayıcısına kadar geniş bir yelpazede finansal kuruluşları kapsar. DORA, bu kadar geniş bir ağ oluşturarak, tüm finans sektöründe dijital altyapıları güçlendirmeyi amaçlayan kapsamlı bir yaklaşım sunar. DORA, finansal kuruluşların çok sayıda yeni ve ortaya çıkan zorlukla başa çıkmasına yardımcı olmak için bir rehber çerçeve işlevi görecek ve özünde sağlam siber güvenlik önlemlerini sürdürme ihtiyacı olacak. Peki, işletmelerin korunmalarını sağlamak için ne yapmaları gerekiyor?
Dijital Operasyonel Dayanıklılık Yasası (DORA) nedir?
DORA, yetkisiz veri, ihlal ve hassas finansal veriler üzerinde kontrol eksikliği risklerini azaltmak için kurulmuştur. Önceki AB düzenlemeleri farklı AB üye devletleri arasında farklılık gösterse de, DORA’nın birleşik çerçevesi uyumluluk çabalarını kolaylaştıracak ve kolektif AB finansal sisteminin dayanıklılığını artıracaktır.
Artık standartlaştırılmış uygulamalar, AB genelindeki finans kuruluşlarının ve üçüncü taraf hizmet sağlayıcılarının optimize edilmiş siber güvenlik için aynı çerçeveye uymasını sağlıyor.
Avrupa Parlamentosu ve Avrupa Birliği Konseyi tarafından Kasım 2022’de resmi olarak onaylanmış olmasına rağmen DORA, daha ayrıntılı standartları içerecek şekilde hâlâ geliştiriliyor ve 2025 yılı başlarında kullanıma sunulması bekleniyor.
Birincisi, tüm veri tedarik zincirinin en üstten en alta güvenli olup olmadığını analiz etmektir. DORA, ICT hizmet sağlayıcılarına karşı sözleşme, yönetim ve raporlama için katı gereklilikler belirleyerek, İngiltere’deki ve diğer yerlerdeki firmaların DORA uyumlu içerik iletişim araçlarını kullanmasını zorunlu hale getirir.
Bunu söylemek çoğu zaman yapmaktan daha kolaydır. Üçüncü taraf araçları, çözümleri ve ortaklıkları günümüzde her organizasyonda önemli bir rol oynar. Ve bunun iyi bir nedeni vardır. Personelin diğer ekip üyeleriyle iletişim kurmasına, hassas bilgilere güvenli bir şekilde erişmesine ve proje yönetimi görevlerini kolaylaştırmasına yardımcı olabilirler. Ancak üçüncü taraflar aynı zamanda bir işletmenin güvenliğini tehlikeye atabilecek içsel riskler de getirebilirler.
Öyle ki, yakın tarihli Verizon Veri İhlali Araştırmaları Raporu (DBIR), veri ihlallerinin %15’inin artık tedarik zinciriyle bağlantılı olduğunu, bir önceki yıla göre %68’lik bir artış olduğunu buldu. Benzer şekilde, kendi Hassas İçerik İletişimleri Gizlilik ve Uyumluluk Raporumuz, on kuruluştan dokuzunun (%90) 1.000’den fazla üçüncü tarafla hassas içerik paylaştığını buldu. Bu nedenle, tedarik zinciri boyunca sağlam satıcı risk yönetimi ve güvenlik kontrolleri, bir işletmenin genel dayanıklılığını artırmak için son derece önemlidir.
İşletmenin yalnızca kendi işletmenizin dışarıdan sağlanan yazılımının dayanıklılığını değil, aynı zamanda ortaklarınızın kuruluşunuzla iletişim kurmak, işbirliği yapmak veya içerik paylaşmak için kullandığı teknolojiyi de artırdığından emin olun. İşletme ile tedarik zinciri arasında gönderilen e-postaların güvenli olup olmadığını sormanın zamanı geldi. İşletmenin araçları veya ortaklarının araçları gereksiz siber riskler getiriyor mu? Ve kullanılan herhangi bir dosya paylaşım aracı uyumlu mu ve gönderilen herhangi bir verinin güvenli olmayan bir üçüncü taraf ortamına gitmediğinden emin olabiliyor mu?
Üçüncü taraf güvenlik açıkları çok çeşitli nedenlerle ortaya çıkabilir. Altyapıdaki içsel zayıflıklar, hizmet kesintileri için acil durum planlarının eksikliği veya siber güvenlik standartlarını ele alan yetersiz sözleşme hükümleri nedeniyle olabilir. Bu güvenlik açıklarını erkenden belirleyerek, bir işletme riskleri azaltmak ve genel üçüncü taraf risk yönetimini güçlendirmek için proaktif önlemler alabilir. Sonuç olarak genel dayanıklılığı artırmak ve DORA uyumluluğunu sağlamak.
Kuruluşlar denetimler için dosya paylaşıyor veya AB’de dosya paylaşımını gerektiren hizmetler sağlıyor olsun, bu içeriği korumak için güvenli dosya paylaşım araçlarını kullanmaları önemlidir. Güvenli dosya paylaşım araçları, bir işletmenin kendi sisteminden politikalar belirlemesine ve bunları uygulamasına olanak tanır. Bu şekilde, veri gizliliğinin bozulmadığından emin olarak büyük miktarda hassas veriyi paylaşabilir.
DORA uyumluluk sürecini kolaylaştırmak ve dayanıklılık kültürünü teşvik etmek için, kilit karar vericilerden erken bir aşamada destek almak ve aktif katılımlarını teşvik etmek esastır. DORA uyumluluğunun önemini ve kuruluş için etkilerini iletmek için yönetim kurulu üyeleri, yönetici liderlik ve ilgili departmanlarla etkileşim kurun. İnisiyatif alma uyumluluk çabalarının faydalarını açıkça belirtin. Bu, gelişmiş siber güvenlik, iyileştirilmiş operasyonel verimlilik ve müşteri güveninin korunmasını içerebilir.
Paydaşları bu şekilde dahil ederek, gerekli kaynakları güvence altına almak ve DORA uyumluluk önlemlerinin daha sorunsuz uygulanmasını kolaylaştırmak çok daha kolaydır. Bu işbirlikçi yaklaşım yalnızca işletmenin genel dayanıklılığını güçlendirmekle kalmaz, aynı zamanda işletme içindeki tüm seviyelerde siber güvenlik mükemmelliğine yönelik ortak bir bağlılığı da güçlendirir.
Etkili olay raporlaması ve yönetimi DORA’nın merkezinde olmalıdır. Bu, yeni ve ortaya çıkan zorlukların ardından işletmenin dayanıklılığını güçlendirecektir. ICT risk yönetimi raporlamasının mümkün olduğunca etkili olmasını sağlamak için işletmenin kendine şu soruyu sorması önemlidir:
- Raporlama süreçleri tüm ilgili bilgileri doğru ve etkin bir şekilde yakalıyor mu?
- Raporlama süreçleri siber güvenlik olaylarının hızlı bir şekilde tespit edilmesini, kontrol altına alınmasını ve çözülmesini sağlıyor mu?
- Kullanıcı erişimini ve bunun bir ihlalle ilgili hassas içerikle nasıl ilişkilendirildiğini özetleyen birleştirilmiş bir denetim günlüğü var mı?
- İşletme, öğrenilen dersleri ve iyileştirilecek alanları belirlemek için düzenli olarak olay sonrası incelemeler yapıyor mu?
Olay raporlama ve yönetim süreçlerinin sürekli olarak değerlendirilmesi ve iyileştirilmesi, bir kuruluşun ortaya çıkan tehditlere karşı dayanıklılığını artırmasına, kritik bilgileri korumasına ve DORA’nın katı gerekliliklerine uygunluğunu göstermesine yardımcı olur.
En iyi sonuçlar ve görünürlüğü artırmak için tüm iletişim kanallarını yönetmek üzere tek bir platform kullanın. Tüm etkinliklere karşı kapsamlı günlük kaydı ve raporlama yetenekleri sunan çözümler arayın. Buna veri erişimi, dosya transferleri, oturum açmalar ve daha fazlası dahil olmalıdır. Ancak o zaman işletme tüm içerik iletişimini kaydedebilir ve sonuç olarak DORA UK düzenleyici standartlarına uygunluğu kanıtlayabilir.
Gelişmiş ve güvenli işbirliği için, şu anda mevcut olan yeni nesil dijital haklar yönetimi (DRM) çözümlerinden bazılarını keşfetmeye değer. Kaynak denetiminden vazgeçmeden harici olarak düzenlenebilir dosya erişimine, sahibinin ortamındaki orijinal dosyaların korunmasına, yerel bir uygulama gibi dosya akışlarında düzenleme ve işbirliğine, ayrıntılı denetim günlükleri ve raporlarına ve herhangi bir dosya türünde kısıtlayıcı işbirliğine izin verebilirler.
Otomasyon, son yıllarda çeşitli sektörlerde operasyonel verimliliği ve dayanıklılığı artırmak için güçlü bir araç olarak ortaya çıkmıştır. Sürekli olarak standartlaştırılmış süreçleri devreye alma yeteneğiyle, hata olasılığı düşük olan otomasyon araçları, işletmelerin DORA ile daha iyi uyum sağlamasına yardımcı olmak için mükemmel olabilir. Otomasyonu benimseyerek, kuruluşlar yalnızca operasyonel dayanıklılıklarını artırmakla kalmaz, aynı zamanda kaynak tahsisini optimize edebilir ve günümüzün giderek karmaşıklaşan dijital ortamında DORA’nın gereksinimlerine uyumu gösterebilir.
Başlamak için, temel süreçleri kolaylaştırmak ve operasyonel riskleri azaltmak için otomasyon araçlarını benimsemeyi düşünün. Tehdit algılama, olay müdahalesi ve uyumluluk izleme gibi rutin görevleri otomatikleştirme fırsatlarını keşfedin. Gelişmiş analizler ve makine öğrenimi algoritmalarıyla otomasyon araçları, kuruluşun hayati bilgileri korumak için siber güvenlik tehditlerini gerçek zamanlı olarak tespit etmesine ve bunlara yanıt vermesine de yardımcı olabilir.
DORA uyumluluğunu sağlamak için alınan tüm eylemlerin belgelenmesi, işletmenin gerektiğinde gerekli özeni gösterdiğini ve hesap verebilirliğini göstermesine yardımcı olabilir.
Bunu yapmak için, alınan tüm eylemlerin kapsamlı dokümantasyonuna öncelik verin. Bunlar, herhangi bir risk değerlendirmesinin, olay raporunun ve alınan herhangi bir düzeltme çabasının ayrıntılı kayıtlarını içerebilir. Bu, yalnızca kuruluşun uyumluluk çabalarını göstermesine yardımcı olmakla kalmayacak, aynı zamanda kuruluşun dijital operasyonlar ve siber güvenlik çabalarıyla ilgili politikalarının, prosedürlerinin ve protokollerinin kapsamlı dokümantasyonunu oluşturmak ve sürdürmek için mükemmel bir fırsat sağlayacaktır.
Her içerik iletişim çözümünün aynı güvenlik standartlarına ve yönetim kontrollerine sahip olmadığını unutmayın. Uyumluluklarını korumak için kuruluşların güvenlik duruşlarını artırmak için gelişmiş güvenlik ve yeni nesil DRM yönetim kontrollerine sahip olanları aramaları gerekir.
Kuruluşlar günümüzün dijital ortamının karmaşıklıklarında gezinmeye devam ederken, veri bütünlüğünü, siber güvenliği ve düzenleyici uyumluluğu korumak için DORA uyumluluğunu elde etmek esastır. Yukarıdaki ipuçlarından bazılarını not ederek, işletmeler DORA uyumluluğuna hazır olma durumlarını artırmaya, hassas verileri gelişen siber tehditlere karşı korumaya ve süreçte paydaşlar arasında güveni sürdürmeye başlayabilir.
DORA’ya uyumun sağlanmasının önemi, finansal hizmetler sektöründe deneyimi olan hiç kimse tarafından göz ardı edilmemelidir. Uyumsuz olduğu tespit edilenlerin karşı karşıya kaldığı ağır cezalar ve hassas bilgilere erişim tehdidi oluşturan sürekli riskler göz önüne alındığında, DORA uyumu, standartlaştırılmış ve belgelenmiş uygulamalarla sektörün dayanıklılığını güçlendirmenin katalizörü haline gelecektir.
Hazırlıksız yakalanmayın. DORA düzenlemesini yansıtan içerik iletişim çözümleri ve DORA uyumluluğunu teşvik eden satıcılar arayın. Cyber Essentials Plus, SOC 2 Type II, ISO 27001 vb. gibi standartlar tarafından doğrulanmış veya sertifikalandırılmış çözümler arayın. Bu şekilde işletmenizin Ocak 2025’e kadar DORA’ya hazır olduğundan emin olabilirsiniz.