Dijital Operasyonel Dayanıklılık Yasası (Yönetmelik (AB) 2022/2554), işletmelerin, özellikle de finansal hizmetlerde bulunanların, faaliyet göstermek için Bilgi ve İletişim Teknolojisine (BİT) ve dijital araçlara giderek daha fazla güvendiğinin farkına varılmasıyla doğmuştur. Bu dijitalleşmenin sonucu ağırlıklı olarak müşterilere hız, kullanım kolaylığı ve yenilikçi hizmetler sunmaktır, ancak aynı zamanda veri ihlallerine, kesintilere ve mali kayıplara yol açabilecek siber saldırı veya olay riskini de beraberinde getirir. Finansal hizmetlerde yaşanacak herhangi bir kesinti, diğer işletmeler üzerinde de zincirleme bir etki yaratacak ve potansiyel olarak tüm ekonomileri olumsuz etkileyecektir.
DORA'nın uygulamaya konulması, operasyonel risk yönetimindeki önemli bir boşluğu gidererek AB mali düzenlemesinde çok önemli bir ilerlemeye işaret ediyor. DORA'dan önce finansal kurumlar, operasyonel riskleri azalttıklarını kanıtlamak için öncelikli olarak uyum odaklı sermaye tahsisine güveniyordu, ancak bu tek başına uygun düzeyde bir operasyonel dayanıklılık kanıtlamıyordu.
Ancak DORA'nın uygulanmasıyla birlikte, BİT ile ilgili olaylara karşı sağlam koruma, tespit, kontrol altına alma, kurtarma ve onarım mekanizmalarının oluşturulmasını zorunlu kılan katı kurallar uygulanacaktır. DORA, BİT risk yönetimi, olay raporlama, operasyonel esneklik testi ve BİT üçüncü taraf risklerinin izlenmesi ile ilgili düzenlemeleri tanımlayarak BİT riskini açıkça ele almaktadır. BİT olaylarının ve operasyonel güvenlik açıklarının tüm finansal sistemin istikrarını baltalama potansiyelinin farkında olan DORA, geleneksel sermaye yeterliliği önlemlerinin ötesinde kapsamlı risk yönetiminin gerekliliğini vurguluyor.
DORA, Ocak 2025'te yürürlüğe girecek. Bankalar, yatırım firmaları, sigorta şirketleri, ödeme hizmeti sağlayıcıları ve finansal hizmetlerle uğraşan diğer tüm kuruluşlar için geçerlidir. DORA, kuruluşların BİT ile ilgili tehditlere ve olaylara yanıt olarak koruma, tespit, kontrol altına alma, kurtarma ve onarım yeteneklerine yönelik belirli yönergelere uymasını gerektirir.
Her büyüklükteki kuruluş, güvenlik duruşlarını etkili bir şekilde nasıl güçlendirebilir ve DORA'ya uyum için bir temel oluşturabilir?
PAM ile başlayın
Ayrıcalıklı Erişim Yönetimi (PAM), kuruluşlara kimin hangi kritik sistemlere, hesaplara veya idari işlevlere eriştiği ve oradayken ne yaptıkları konusunda görünürlük sağlamak için insanların, süreçlerin ve teknolojinin bir araya getirildiği disiplindir. Kuruluşlar, DORA'nın dört ana sütununu kapsamlı bir şekilde dikkate alan bir PAM çözümü seçerek yalnızca uyumluluğun önüne geçmekle kalmaz, aynı zamanda kendilerini daha etkili bir şekilde koruyabilirler.
BİT Risk Yönetimi
DORA, sağlam bir risk yönetimi çerçevesi gerektirir; bu, kuruluşların risk toleransına dayalı, risklerin tanımlanmasını ve önlenmesini ele alan ve risklere yanıt verme yeteneğini gösteren bir strateji oluşturması gerektiği anlamına gelir. Kuruluşların BİT risk yönetimi üzerinde daha fazla kontrol sahibi olabilmelerinin bir yolu, kuruluşa yönelik tehditleri vurgulayabilen ve bir erken uyarı sistemi olarak hareket edebilen karanlık web izleme ile riskleri tespit edip önlemektir. Dark web izleme, çalışanların kayıtlı şifrelerini veya PAM kasalarını, dark web'de açığa çıkan şifreler için tarar ve kullanıcıları ve yöneticileri, kuruluşu korumak için gereken her türlü eylem konusunda anında uyarır.
Dijital Operasyon Esnekliği Testi
DORA, üçüncü taraf BİT hizmet sağlayıcılarının dayanıklılığını değerlendirmenin önemini vurguluyor. Bu nedenle, sıfır bilgi ve sıfır güven mimarisi gibi birinci sınıf güvenlik sağlayan teknoloji ortaklarını arayın. Özellikle güvenlik iş ortakları için, sızma testleri de dahil olmak üzere kapsamlı iç ve dış testler yürüttüklerini gösterebilen ve güvenlik açığı raporlama konusunda şeffaf olduklarından emin olan ortakları seçin.
Üçüncü Taraf BİT Hizmet Sağlayıcılarının Yönetimi
DORA, finansal kuruluşların üçüncü taraf BİT hizmet sağlayıcılarının dayanıklılığını değerlendirmesini ve DORA gereksinimlerine uygunluğu sağlamasını gerektirir. Kuruluşlar, ilişki boyunca teknoloji sağlayıcılarının riskini izlemelidir. SOC 2 uyumluluğu ve ISO 27001 sertifikası gibi kritik standartların yanı sıra GDPR, HIPAA veya PCI-DSS gibi sektöre veya bölgeye özgü standartları karşılayan iş ortaklarını arayın.
Raporlama
Pek çok uyumluluk düzenlemesinde olduğu gibi DORA, şirketlerin olay raporlama ve sınıflandırma için standartlaştırılmış bir metodoloji kullanmasını zorunlu kılmaktadır. Özelleştirilmiş raporlamayı ve üçüncü taraf SIEM çözümü gibi diğer siber güvenlik teknolojileriyle entegrasyonu destekleyen bir PAM çözümü, tercih edilen herhangi bir raporlama metodolojisiyle uyumun sağlanmasına yardımcı olacaktır. Kuruluş yöneticilerinin, tüm kuruluş genelinde ayrıcalıklı hesapların erişim izinlerini izleyebildiğinden ve raporlayabildiğinden emin olun.
Kuruluşlar, DORA uyumluluğunu ayrıcalıklı bir erişim yönetimi merceğinden inceleyerek, sonuçta kimin hangi hassas verilere ve sistemlere erişime sahip olduğuna dair gözetimi kanıtlayabilecek ve bu kişilerin bu sistemlerde oturum açmış durumdayken ne yaptıklarına dair görünürlük elde edebilecekler. Bu, onların yeni düzenlemelerin ortaya koyduğu gerekliliklerin çoğunu karşılamalarına yardımcı olacak ve kuruluşları hem şimdi hem de gelecekte riskleri daha iyi tanımlama, yanıtlama, raporlama ve önleme konusunda donatacak.