Operasyonel dayanıklılık, organizasyonları şirket içi odaklı bir iş sürekliliği veya bilgi teknolojisi felaket kurtarma (ITDR) programının ötesine taşıyarak hizmet kesintilerinin daha geniş etkisine dışarıya bakan bir mercekle bakmaya götüren disiplindir. Düzgün bir şekilde tanımlandığında, operasyonel dayanıklılık “firmaların yeteneği, [financial] Pazar altyapıları ve [financial] Operasyonel aksaklıkları önlemek, uyum sağlamak ve müdahale etmek, iyileşmek ve bundan ders çıkarmak için bir bütün olarak sektör.
Dijital Operasyonel Dayanıklılık Yasası (DORA) gibi düzenlemeler, yalnızca Avrupa Birliği’ndeki (AB) finansal hizmet kurumlarının değil, ilgili bilgi ve iletişim teknolojisinin (BİT) ve üçüncü taraf sağlayıcıların da operasyonel dayanıklılığını düzenleme yönünde tamamlayıcı bir adım atmıştır. Finansal hizmetler sektörünün küreselleşmesiyle birlikte, AB içinde finansal hizmetler sağlayan veya kritik bir üçüncü taraf hizmet sağlayıcısı olarak dış kuruluşlar, dayanıklılık çabalarını yeniden gözden geçirmek zorunda kalıyor.
İster DORA’ya, ister diğer güncel dayanıklılık düzenlemelerine bakalım, aralarında ortak gereklilikler var; Verimli olabilmek için bu, birleşik veya bütünsel bir departmanlar arası yaklaşımı gerektirecektir. Düzenlenmiş bir kuruluş olsun ya da olmasın, bu yöntem ve uygulamalar, herkesin yararına olabilecek operasyonel mükemmellik örnekleri olarak görülüyor. İşletim modeliniz genelindeki bağlantıları görebilmek ve güvenlik açıklarının nerede olduğunu anlayabilmek, kuruluşunuzun hizmet sunumu veya para kazanma yönlerinin sürekliliğini sağlamaya yardımcı olur.
Dijital dayanıklılığa ulaşmaya yönelik bir çerçeve
DORA resmi olarak Ocak 2023’te yürürlüğe girmiştir ve Ocak 2024’ten itibaren kamuoyunun katılımıyla yapılan görüşmeler, düzenleyici teknik standartların (RTS’ler) ve uygulama teknik standartlarının (ITS’ler) uygulamaya konulmasının ardından Ocak 2025’ten itibaren geçerli olacaktır. Düzenleyici ve mali sonuçlardan kaçınmak için kuruluşların uyumluluk çabalarına öncelik vermeleri hızlanıyor.
DORA, uyumluluk çabalarını güçlendirmek ve AB çapında çok sayıda mevcut düzenlemeyi tek bir uyumlu yasada birleştirmek için geliştirildi. Bu nedenle, bazı gerekliliklere düzenli uyum programlarının bir parçası olarak halihazırda uyulmaktadır, örneğin Dış Kaynak Kullanımı Düzenlemeleri veya BİT ve Güvenlik Riski Yönetimine ilişkin EBA (Avrupa Bankacılık Otoritesi) Kılavuzları.
Bununla birlikte, mali denetleyici otoriteler artık mali varlıkları daha yakından izleme ve denetleme yetkisine sahip olacak ve mali istikrarın sağlanması, tüketicilerin korunması ve AB üye ülkeleri arasında bilgi paylaşımının artırılması amacıyla tek tip bir olay raporlama mekanizması getirilecek.
DORA ile uyumluluğa yaklaşma
Pek çok kuruluş, dönüştürücü dayanıklılık çabalarını ele alma konusunda nereden başlayacağı konusunda zorluk yaşıyor. Atılacak en iyi ilk adım, kuruluşunuzun dayanıklılık duruşuna ilişkin bütünsel bir anlayış oluşturmaktır. Kuruluşunuzun işlevlerini, karşılıklı bağımlılıklarını ve risklerini değerlendirmek size, mevcut bölgesel mevzuat nedeniyle halihazırda nerede uyumlu olduğunuzu veya nerede daha fazla eylem gerektiğini görmek için düzenleyici gerekliliklere karşı bir boşluk analizi yapabileceğiniz bir temel sağlayacaktır.
Ancak her açıdan DORA ve Avrupa denetleyici otoriteleri (ESA’lar), teknik standart taslağı (Haziran 2023’te yayımlanan) hakkındaki kamuoyunun katılımı oturumları sırasında açıkça orantılı bir yaklaşım sağladılar. Kuruluşlar, hizmetlerinin doğası, ölçeği ve karmaşıklığının yanı sıra boyutlarını ve risk profillerini de göz önünde bulundurmalı ve daha sonra konuya dalmadan önce buna göre plan yapmalıdır. DORA, önceki düzenlemelere göre çok daha kuralcı olsa da, bazı yönleri halihazırda esneklik yoluyla ele alınıyor olabilir. , risk, siber veya üçüncü taraf ekipleri; bu sadece bu siloları yıkmak ve onların tüm çabalarını bir araya getirmek için bir fırsattır.
Başlamak için beş eylem alanı
- Kritik veya önemli işlevleri (CIF’ler) kategorilere ayırın ve eşleyin: İş süreci haritaları ve karşılıklı bağımlılıklar oluşturmak, kuruluşunuzun nasıl çalıştığını anlamanın ilk adımıdır. Nasıl tehdit altında olabileceklerini anlamak için hangi departmanların, süreç sahiplerinin ve üçüncü tarafların kritik işlevlerin sürekli sunumuna katkıda bulunduğunu haritalandırmalısınız.
- BİT risk yönetimi politikalarınız ve prosedürlerinizdeki boşlukları belirleyin: Ağ güvenliğinizde, veri şifrelemenizde, erişim kontrollerinizde, güvenlik eğitiminizde, bakım ve yük testinizde vb. herhangi bir boşluk olduğunu anlayın ve bunları gidermek için önlemler planlamaya başlayın. Bu arada, uyumsuzluktan kaynaklanan etkileri en aza indirmek için yeterli önleyici prosedürlerin ve kontrol önlemlerinin mevcut olduğundan emin olun.
- Olay raporlama çerçevenizi inceleyin: Çoğu kuruluş, BİT olaylarını önlemek (mümkünse) ve daha sonra yönetmek için halihazırda önlemlere sahip olacak ve ayrıca olay kayıtlarına sahip olacaktır; ancak birçoğunun, derslerin öğrenildiğinden ve düzeltildiğinden emin olmak için analiz mekanizmalarını oluşturmanın yanı sıra, erken uyarı sistemlerini geliştirmek için disiplinler arası izlenen verileri nasıl kullandıklarına da bakmaları gerekecek.
- BİT ile ilgili tüm dış kaynak kullanımına ilişkin kayıtlarınızı derlemeye başlayın: Kuruluşunuzun büyük olasılıkla zaten bir maddi dış kaynak kullanımı politikası mevcut olacak ve birinci kademe satıcılar üzerinde ek durum tespiti yapacaktır. Ancak, bu politikayı, CIF’leri destekleyen BİT hizmetlerinin kullanımını ele alacak şekilde uyarlamanız ve ayrıca hangi BİT hizmetlerinin kapsam dahilinde olduğunu ve denetim planına dahil edilmesi gerektiğini belirlemek için bir metodoloji geliştirmeniz gerekebilir.
- Dayanıklılık testi programınızı inceleyin: Artık yalnızca yıllık iş sürekliliği planının gözden geçirilmesini, CMT masaüstü uygulamasını ve ITDR yük devretmesini yürütmek yeterli olmayacak. Operasyonel esneklik politikaları, kuruluşların önemli iş hizmetlerine yönelik çok çeşitli ciddi ancak makul senaryolarda daha katı, kanıta dayalı bir yaklaşım benimsemesini halihazırda gerektirmektedir. DORA bunu daha da genişletiyor ve belirli bir eşiğin üzerindeki kuruluşların, bazı kuruluşlar tarafından halihazırda yürütülen TIBER testlerine uygun olarak her üç yılda bir “gelişmiş” tehdit odaklı sızma testi (TLPT) gerçekleştirmesini zorunlu kılıyor.
Uygulama zorlukları
DORA’nın önündeki en büyük uyumluluk engellerinden biri, bir kuruluş içindeki bilgi veya departman silolarıdır. Yasaya bağlılık, siber, güvenlik, dayanıklılık, üçüncü taraf ve risk ekipleri arasında işbirlikçi bir yaklaşım gerektirecek ve hepsinin aynı veri kaynakları üzerinde çalışması ve çalışmalarından alınan sonuçları ve dersleri birbirleriyle paylaşması sağlanacak.
Departman taleplerinin girdabına kapılmak kolaydır, ancak 17 Ocak 2024’e kadar Komisyon’a kabul edilmek üzere sunulacak olan taslak teknik standartlar ve ikinci bir teknik standartlar grubu ile DORA’daki gelişmeleri gözden kaçırmamak önemlidir. 17 Temmuz 2024’e kadar komisyona sunulacak. Bu ikinci set, tehdide dayalı sızma testi, CIF’lerin alt yüklenicilere verilmesi ve olay raporlamanın içeriği ve zaman çizelgesiyle ilgili bazı gerekliliklerin açıklığa kavuşturulmasına yardımcı olacaktır.
DORA’ya uyumu stratejik bir yatırım olarak gören ve DORA’ya şu anda ihtiyaç duyduğu bütçeyi ve kaynakları tahsis eden yönetim kurulları ve üst düzey yöneticiler, yalnızca uyumluluk gereksinimlerini karşılamakla kalmayıp aynı zamanda çevik bir dayanıklılık duruşuna sahip bir organizasyona sahip olma şansına sahipler. Sürekli değişen risk ortamına hızla uyum sağlayarak onları daha parlak ve daha güvenli bir itibar ve finansal geleceğe hazırlıyoruz.
Kate Needham-Bennett, Fusion Risk Management’ta dirençli inovasyonun kıdemli yöneticisidir.