BLOG – Vanaf 17 januari 2025 geldt de Digital Operational Resilience Act (Dora). Hoewel de invoering ervan voor de deur staat, is deze Europese verordening nog met veel onduidelijkheid omgeven. En dat veroorzaakt onzekerheid bij financiële instellingen die straks compliant moeten zijn.
Ongeacht hoe Dora zich ontwikkelt, kunnen organisaties nu al proactieve stappen ondernemen. Zoals benadrukt in een reeks webinars van Capgemini en Tanium, spelen gegevens en informatie een centrale rol in de in de aanpak en oplossingen voor Dora-compliance.
Het invoeren van een verordening veroorzaakt vaak stress bij ondernemingen. Het is niet altijd duidelijk wat er exact verwacht wordt, en de complexiteit kan zo groot zijn dat de verantwoordelijken niet weten waar te beginnen. ‘Ik heb dit meegemaakt bij de invoering van SOx (Sarbanes-Oxley)’, zegt Marieke van de Putte, global domain lead compliance cyber bij Capgemini in een van deze webinars. ‘Aan het begin van het traject beschouwt men ieder systeem als mission critical, maar dat kan natuurlijk niet. Het is belangrijk om goed te evalueren welke processen en applicaties wél kritiek zijn en welke niet. Anders zie je door de bomen het bos niet meer.’
Veerkrachtig
Bedrijven overschatten vaak wat nodig is om operationeel ‘veerkrachtig’ te zijn en onderschatten de inspanning die daarvoor nodig is. Organisaties bevatten veel blinde vlekken: onbeheerde laptops, servers waarvan niemand weet dat ze nog actief zijn en routers die data uitwisselen met onbekende apparaten. Daarom is een goed systeem voor assetmanagement essentieel: welke endpoints heb je, waarmee zijn ze verbonden, hoe kwetsbaar zijn ze, en welke risico’s brengen ze met zich mee?
Het klinkt simpel: alles start met data. Maar veel bedrijven beschikken niet over een honderd procent accurate configuration management database. Maar het gaat ook verder dan devices, zegt Edwin van den Heuvel, director solution engineering bij Tanium, in een van de webinars. ‘Je moet ook rekening houden met workflows, contracten, service level agreements. Een simpele spreadsheet volstaat allang niet meer om deze complexiteit te beheren. Daarom koppelt Tanium zijn endpoint management-systemen met de applicaties van ServiceNow.’
Rapporteren
Rapportage is één van de belangrijke verplichtingen binnen Dora. Bij een (kritieke) incident dienen financiële instellingen, verplicht de toezichthouders binnen een vastgelegde tijd hierover te informeren. Rapporteren betekent informatie geven. Dus ook hier draait het om data. Wanneer de tijd dringt, is relevante en realtime-data nodig. Data van een jaar oud is nuttig voor statistieken, maar bij een incident heb je er niets aan. Het risico van een jaar geleden is niet meer relevant. Daarom volstaat het niet langer om maandelijks controles uit te voeren, die moeten permanent plaatsvinden.
Permanente controles zijn alleen mogelijk mits een groot deel van de taken geautomatiseerd wordt. Dit is een extra argument om te kiezen voor gespecialiseerde oplossingen in de plaats van spreadsheets. Alleen dan is snel te reageren en zijn eventueel zelfs automatisch remediërende acties te ondernemen.
Hoofdstuk
Third-party risks ofwel supply chain-risico’s vormen een afzonderlijk hoofdstuk binnen Dora. Net als iedere andere sector, vertrouwt de financiële wereld voor veel van zijn processen op externe partijen, zoals integratoren als leveranciers van saas-toepassingen. Een kritieke toepassing als een betaalsysteem kan makkelijk gebruik maken van tien verschillende leveranciers. De weerbaarheid van het betaalsysteem wordt mede gegarandeerd door de weerbaarheid van al die onderliggende applicaties. Uiteraard moeten al deze systemen en hun risico’s in kaart gebracht worden en moeten er goede afspraken worden gemaakt met de leveranciers. Ook hier volstaat een spreadsheet niet, omdat je niet alleen duidelijke afspraken moet vastleggen, maar ook zaken zoals de start en het einde van de samenwerking. Toepassingen die niet meer gebruikt worden, mogen uiteraard niet langer verbonden blijven andere applicaties en moeten automatisch afgekoppeld worden.
Dora vraagt om een fundamentele verschuiving in hoe financiële instellingen hun operationele weerbaarheid aanpakken. Bedrijven kunnen niet langer vertrouwen op statische processen of verouderde tools. Realtime-data zijn cruciaal om de complexiteit te beheersen en snel en accuraat te reageren op incidenten. Bovendien is automatisering niet langer een optie, maar een pure noodzaak. Alleen door processen te automatiseren kunnen organisaties ervoor zorgen dat ze continu compliant blijven en tegelijkertijd de operationele efficiëntie verbeteren.
(De webinars waarop dit artikel gebaseerd is, is hier te bekijken.)
Wytze Rijkmans is regional vice president bij Tanium
De waarschuwende balk geldt de opinie, de link naar eigen website de advertorial. Want het security & risk management gaat niet om de endpoints maar de legacy van de bonnetjes die bewaard moeten worden. Sarbanes-Oxley werd tenslotte ingevoerd naar aanleiding van een aantal grote boekhoudschandalen waarin niet alleen Enron en Arthur Andersen duidelijk maakten dat de slager niet zijn eigen vlees moet keuren. Dus wat betreft het scheiden van de adviserende diensten van de controlerende is het misschien een goed idee om eerst de governance in te vullen voordat je de tools kiest. GRC is namelijk meer dan software en grote financiële instanties met legacy hebben hierdoor een voordeel t.o.v. van fintech die in de cloud geboren is. DORA stelt namelijk een cloud exit-strategie verplicht als belangrijk onderdeel van de operationele veerkracht en het risicobeheer nu we zien dat sancties en geopolitieke spanningen zomaar een bank kunnen doen laten omvallen.
Off-topic maar daarom niet oninteressant stelt een depositogarantiestelsel spaarders tot €100.000 schadeloos als een soort van risicobeheersing maar er is niet zoiets als gratis geld. En ook het vertrouwen is niet eindeloos want er valt wat te zeggen voor al die legacy die zich ruimschoots bewezen heeft. Want continu compliant aan de waan van de dag blijkt onmogelijk dus wat is plan B om de bedrijfsvoering weerbaarder te maken tegen de nieuwe risico’s met een hoge kans van optreden en een grote mate van impact op de continuïteit?
Een depositogarantiestelsel is plan B, net zoals dat de back-up een soort brandverzekering is. En hoewel ik de conclusie kan onderschrijven dat maar weinig organisaties de CMDB op orde hebben geldt dat ook voor business continuity plannen (BCP) en een disaster recovery plannen (DRP) omdat het beheer van de back-ups daarin een essentieel onderdeel vormt maar dit nog altijd uitbesteed wordt waardoor er altijd weer op bezuinigd wordt. Zo leveren toepassingen die afgekoppeld worden omdat ze niet meer gebruikt worden een probleem op met een toegang tot de data. We hebben de bonnetjes nog wel maar we kunnen ze niet vinden is er één van want een andere is dat verweesde data aanspoelt en voor een schandaal zorgt.