YORUM
Ocak 2025, finans sektörü için büyük bir ay ve zaman işliyor. Dijital Operasyonel Dayanıklılık Yasası (DORA), bankalar, sigorta şirketleri ve yatırım firmaları gibi finansal kuruluşların BT altyapılarına ve veri güvenliğine nasıl yaklaştıklarını şekillendirecek. Madde 3 (1)’e göre, bu düzenleme “bir finansal kuruluşun operasyonel bütünlüğünü ve güvenilirliğini oluşturma, güvence altına alma ve gözden geçirme yeteneğini” artıracaktır.
BT güvenliği ve dijital esneklik, 2008 mali krizini takip eden reformların bir parçasını oluştursa da, yıllar geçtikçe bunlar arka planda kaldı. DORA, artan siber tehdidi ele almayı hedefliyor.
Avrupa Birliği’ndeki üye devletlerin Ocak ayına kadar bu yeni düzenlemeye uyması gerekiyor, aksi takdirde ciddi sonuçlarla karşılaşılabilir. Bir ihlal, bir kuruluşun dünya çapındaki toplam yıllık gelirinin %2’sine veya şirketin dünya çapındaki ortalama günlük gelirinin %1’ine kadar para cezasıyla sonuçlanabilir.
Acil eylem çağrısına rağmen gecikmeler kurumların hazırlık yapmasını zorlaştırıyor. Kapsam belirleme ve uyumlaştırma şablonlarının Temmuz ayında komisyona sunulması planlansa da, bunların kamuya açıklanması belirsizdir. Şu anda herhangi bir kontrol seti veya teknik standart mevcut değil; peki etkilenenlerin nasıl hazırlanmaları gerekiyor?
Ancak zaman daraldıkça finansal kuruluşların izleme ve bekleme lüksleri kalmıyor. Gerçek bir rehberlik olmadan, meseleyi kendi ellerine almak ve sahip oldukları bilgilerle ellerinden geleni yapmak onların çıkarınadır.
Boyut Eşittir Karmaşıklık
Pek çok yeni düzenlemede olduğu gibi, en önemli zorluklardan biri karmaşıklıktır ve DORA, altı bölüm ve 280’den fazla makaleyle bunu tamamen yeni bir düzeye taşıyor. Şirketlerin karşılaması gereken ve süreçlerin tamamen yeniden yapılandırılması gerekebilecek bir dizi yeni standart ve kontrol getiriyor.
DORA’nın bir çerçeve değil, bir düzenleme olduğunu unutmayın; dolayısıyla birçok gereksinimi kavramak kuruluşların 1 numaralı işidir. Uyumluluğu sağlamak için kuruluşların tüm şirket varlıkları üzerinde tam görünürlüğe ihtiyacı vardır. Bu, kuruluşların tüm sistemleri sürekli olarak izlemesine ve güvenlikteki olası boşlukları belirleyip gidermesine olanak tanır.
Göremediğiniz Şeyi Koruyamazsınız
Teknoloji sınırları olmayan bir varlıktır; DORA, firmalar tarafından kullanılan çok sayıda birbirine bağlı cihaza rağmen tam görünürlük gerektirir. Yeni düzenleme ağırlıklı olarak verilere odaklanıyor ve açık ve uygulanabilir kanıtlar sağlıyor. DORA, şu anda mevcut bir çerçevesi olmayan ve her yıl daha savunmasız hale gelen üçüncü taraf risk, dayanıklılık ve test konularına özellikle vurgu yapmaktadır.
Örneğin PCI güvenlik standartları yalnızca kredi kartı bilgilerinin korunmasına odaklanır. NIST’in Siber Güvenlik Çerçevesi, kurtarmanın belirli unsurlarını kapsar ve PCI’nin bıraktığı boşluğu doldurur, ancak yine de raporlamayı kapsamaz. Öte yandan DORA, penetrasyon testine çok fazla odaklanmıyor, daha çok tehdit tabanlı testlere odaklanıyor ve kuruluşların bir güvenlik açığı taraması yapmak yerine bir tehdidi taklit etmesini gerektiriyor.
Bu nedenle, yeni düzenlemeler, mevcut siber güvenlik açıklarını izlemek yerine kuruluşların potansiyel zayıflıkları izlemesini, gereksiz riskleri tetiklemeden önce bunları tespit etmesini ve düzeltmesini gerektiriyor. Bu yaklaşım, güvenlik açıklarının gelişmesi riskini en aza indirir ve kuruluşların güvenlik durumlarına ilişkin gerçek zamanlı güncellemelere sahip olmalarını sağlar.
İşletme Bu Aşamada Neler Yapabilir?
DORA’nın çok net olduğu konulardan biri de sonuçlara ve tehditlere karşı sürekli izleme ihtiyacına verilen önemdir. Bu düzenleme hafife alınmamalıdır. DORA uyarınca yetkililer, bir şirketin bu düzenlemelere uygunluğunu değerlendirmek için veri talep etme ve yetkileri uygulama yetkisine sahiptir.
İlk adım olarak kuruluşlar, hem kendi işlerinde hem de tedarik zincirlerinde iyileştirilmesi gereken alanları belirlemek için kapsamlı bir boşluk analizi uygulaması yapmalıdır. Ocak ayı öncesinde kuruluşların risk yönetimi stratejilerinin güncel olduğundan emin olmaları gerekiyor. Doğru ya da yanlış DORA, firmaların yeterli bir risk yönetimi çerçevesine sahip olduğunu varsayar. Zincirin ne kadar aşağısında henüz belirlenmemiş olsa da, tedarik zincirindeki taraflardan da aynı şey bekleniyor.
İlgili tüm tarafların herhangi bir zamanda tüm kritik varlıklar hakkında ayrıntılı bilgi edinmesi ve sürdürmesi gerekir. Tüm varlıkları sürekli olarak izleyen araçlar, şirket genelindeki süreçlere ilişkin gerçek zamanlı kritik bilgiler sağlar. Kuruluşlar yalnızca sürekli izleme yoluyla güvenliklerindeki boşlukların nerede olduğunu anlayabilir ve bunların doğru şekilde ele alınmasını sağlayabilir.
Gecikmelere rağmen DORA geliyor ve işletmelerin hazırlıklı olması gerekiyor. Bu yeni düzenlemeyi uyumluluk için bir başka zorlama olarak değil, bunun yerine güvenlik duruşlarını gerçek anlamda geliştirebilecekleri bir platform olarak gören kuruluşlar, bu çok önemli rekabet avantajını kazanacaklar. Sürekli izleme ve etkili tehdit yönetimi sayesinde kuruluşlar, tüm ağlarında yeni bir koruma düzeyine ulaşacak.