Finans sektörü, AB’nin Dijital Operasyonel Esneklik Yasası (DORA) Ocak 2025’te yürürlüğe girmeye hazırlandığı için dijital manzarasında önemli bir değişim için hazırlanıyor.
Bu yeni düzenleme, bankalar, sigorta şirketleri ve yatırım firmaları dahil finansal kurumların BT altyapısı ve veri güvenliği protokollerine yönelik yaklaşımını dönüştürmek için hazırlanmıştır. Dora’nın merkezinde, “finansal kuruluşların operasyonel bütünlüklerini ve güvenilirliklerini inşa etme, sağlama ve değerlendirme kapasitesini” desteklemeyi amaçlayan Madde 3.
2008 küresel finansal krizini takip eden yıllarda, BT güvenliğine ve dijital esnekliğe dikkat çekici bir artış vardı. Ancak, bu odak yavaş yavaş zamanla azaldı. Şimdi, sadece ABD ve Çin tarafından aşılan dünyanın üçüncü büyük ekonomisi olarak ortaya çıkan siber suçlarla Dora, bu artan siber tehdidi kafa kafaya ele almaya çalışıyor. AB Üye Devletleri, Ocak 2025 yılına kadar bu yeni düzenlemelere uymazlarsa potansiyel olarak ciddi sonuçlarla karşı karşıyadır. Uyumlu olmayan kurumlar, küresel yıllık cirolarının% 2’sine kadar para cezası veya dünya çapındaki ortalama günlük cirolarının% 1’i de dahil olmak üzere önemli cezalara tabi olabilir.
Durumun aciliyetine rağmen, birçok kurum hazırlık çabalarında gecikmeler yaşıyor. Bu yılın Temmuz ayında komisyona yeni teknik standart belgeler sunulurken, etkilenen kuruluşlar DORA hazır olma planlarında önemli engellerle boğuşmaya devam ediyor.
Son başvuru tarihi belirlendikçe, işletmeler bekleme ve gör yaklaşımını karşılayamazlar. Somut rehberliğin yokluğunda, firmalar şu anda elindeki bilgilere dayanarak proaktif adımlar atmalıdır.
Şeffaflık, Dora uyumunun temel taşıdır
Kapsamlı görünürlüğün önemi abartılamaz. Dora, özellikle veri şeffaflığı ve eyleme geçirilebilir kanıtlarla ilgili olarak bu yöne güçlü bir vurgu yapmaktadır. Düzenleme, geleneksel olarak sağlam çerçevelerden yoksun ve sonuç olarak risklere karşı daha duyarlı olan kritik alanlarda bir spot ışığı parlatır. Bunlar üçüncü taraf risk yönetimi, operasyonel esneklik ve kapsamlı test protokollerini içerir.
Dora’nın önemli bir yönü kesintisiz izleme gereksinimidir. Bu, sürekli bir uyanıklık çağında ilerleyen geleneksel periyodik değerlendirmelerden önemli bir ayrılışa işaret etmektedir. Bu yeni kural uyarınca, kuruluşlar dijital operasyonel esnekliklerine gerçek zamanlı bilgiler sunan sistemleri uygulamakla görevlidir. Bu tür sistemler, ortaya çıkan tehditlere veya güvenlik açıklarına hızlı bir şekilde tanımlanmalı ve yanıt vermelidir.
Özellikle finans sektörü, tüm tedarik ağında güvenlik ve uyum sağlama zorluğu ile karşı karşıyadır. Bu yükümlülük, anında tedarikçilerin ötesine uzanır, potansiyel olarak çok sayıda üçüncü taraf sağlayıcıları ve hatta taşeronlarını kapsar. Sonuç olarak, siber güvenlik uygulamalarını değerlendirme süreci, tedarik zincirinin birden fazla katmanını gözden geçirerek karmaşık ve kaynak yoğun bir uyum ortamı yaratabilir. Bu basamaklı etkinin tam kapsamı belirlenecek olsa da, kuruluşlar tedarik ağlarının birkaç katmanını kapsayabilecek kapsamlı raporlama gereksinimlerine hazırlanmak için ihtiyatlı olacaktır.
Gelişmiş Güvenlik Testi
Ödeme Kartı Endüstrisi (PCI) standartları uzun zamandır kredi kartı bilgilerinin korunmasına odaklanmış olsa da, yıllık penetrasyon testi ve değerlendirmeleri gerektiren önemli değişikliklerden sonra, düzenleyici manzara daha sık ve kapsamlı değerlendirmelere doğru gelişmektedir. ABD Ulusal Standartlar ve Teknoloji Siber Güvenlik Çerçevesi (NIST CSF), kapsamı genişleterek, kurtarma süreçleri gibi ek önemli yönleri ele alarak PCI standartlarının bıraktığı bazı boşlukları doldurdu.
Dora bunu bir adım daha ileri götürür ve kuruluşları hiçbir taş bırakmayan kapsamlı test protokollerini uygulamak için zorunlu kılar. Bu, daha önce düzenli değerlendirme için çok kritik veya hassas kabul edilen sistemleri içerir. Bu düzenleyici vardiya, bir sistemin algılanan operasyonel önemine bakılmaksızın, tüm teknolojik altyapı boyunca daha titiz ve sık bir test rejimi gerektiren bir paradigma değişikliğine işaret eder.
Bu gelişmekte olan düzenlemeler, kuruluşları güvenlik konusunda proaktif bir duruşa yönlendiriyor. Vurgu, önemli risklere dönüşmeden önce zayıflıkları tespit etmek ve ele almak için sürekli izleme üzerinedir. Bu yaklaşım, güvenlik açıklarının geliştirilmesini en aza indirmeyi ve kuruluşların güvenlik duruşları hakkında bir dakika farkındalığını sürdürmesini sağlıyor.
Dora dönemi için işinizi hazırlamak
Dora’nın sürekli tehdit izleme ve sonuç odaklı risk yönetimi konusundaki vurgusu, düzenleyici manzarada önemli bir değişim olduğunu göstermektedir. Yakında, yetkililer veri talep etme ve uyumluluk değerlendirme gücüne sahip olacak ve hazırlığı çok önemli hale getirecekler.
Bu yolculuğa başlamak için, kuruluşlar açıkça tanımlanmış rol ve sorumlulukları olan özel bir çalışma komitesi kurmalıdır. Bu komite, hem operasyonları içinde hem de tedarik zincirlerinde iyileştirme alanlarını belirleyen kapsamlı bir boşluk analizi yürütmede hayati bir rol oynayacaktır. Böyle bir analiz sadece gerekli değişiklikleri vurgulamakla kalmayacak, aynı zamanda kritik bütçe tartışmalarını ve kaynak tahsisi kararlarını da bilgilendirecektir.
Dora’nın beş sütuna kronolojik, adım adım kontrol listesi olarak yaklaşmanın etkisiz olacağını belirtmek önemlidir. Bunun yerine, kuruluşlar, düzenlemenin tüm sütunlarında iç içe geçen üçüncü taraf risk yönetimi ve raporlama gibi kilit alanlara odaklanmalıdır.
Son tarih yaklaşırken, risk yönetimi stratejilerini güncellemek ve güçlendirmek çok önemlidir. Dora, firmaların zaten sağlam bir risk yönetimi çerçevesine sahip olduğunu varsayar. Bununla birlikte, ISO27001 gibi mevcut sertifikaların değerli olsa da, düzenlemenin her sütuna entegre edilmiş kapsamlı üçüncü taraf risk yönetimi gereksinimleri nedeniyle tam DORA uyumluluğunu sağlayamayabileceğini anlamak çok önemlidir.
Uygulama rehberliğindeki olası gecikmelere rağmen, Dora yakındır ve işletmeler hazırlanmalıdır. Bu düzenlemeyi yalnızca bir uyum gereksinimi olarak görmek yerine, ileri görüşlü kuruluşlar bunu genel güvenlik duruşlarını geliştirme fırsatı olarak görmelidir. Sürekli izleme ve etkili tehdit yönetimine odaklanarak, işletmeler sadece düzenleyici standartları karşılamakla kalmaz, aynı zamanda ağlarında daha yüksek bir koruma seviyesine ulaşabilir ve bu da süreçte önemli bir rekabet avantajı elde edebilirler.
Yazar hakkında
Martin Greenfield, sürekli kontroller izleme çözümleri sağlayıcısı Quod Orbis’in CEO’sudur. Siber güvenlik alanında yirmi yılı aşkın bir süredir var. Ekibi ile Martin, Quod Orbis’in Sürekli Kontroller İzleme (CCM) platformu aracılığıyla tek bir cam bölme aracılığıyla müşterilerimiz için tam siber kontrollerin görünürlüğünü sağlamaya yardımcı olur. Müşterileri, güvenlik ve risk duruşlarını gerçek zamanlı olarak görebilir ve anlayabilir, bu da risk yatırım kararlarını kurumsal düzeyde yönlendirir.