BLOG – Vanaf 17 januari 2025 geldt de Digital Operational Resilience Act (Dora). Hoewel de invoering ervan voor de deur staat, is deze Europese verordening nog met veel onduidelijkheid omgeven. En dat veroorzaakt onzekerheid bij financiële instellingen die straks compliant moeten zijn.
Ongeacht hoe Dora zich ontwikkelt, kunnen organisaties nu al proactieve stappen ondernemen. Zoals benadrukt in een reeks webinars van Capgemini en Tanium, spelen gegevens en informatie een centrale rol in de in de aanpak en oplossingen voor Dora-compliance.
Het invoeren van een verordening veroorzaakt vaak stress bij ondernemingen. Het is niet altijd duidelijk wat er exact verwacht wordt, en de complexiteit kan zo groot zijn dat de verantwoordelijken niet weten waar te beginnen. ‘Ik heb dit meegemaakt bij de invoering van SOx (Sarbanes-Oxley)’, zegt Marieke van de Putte, global domain lead compliance cyber bij Capgemini in een van deze webinars. ‘Aan het begin van het traject beschouwt men ieder systeem als mission critical, maar dat kan natuurlijk niet. Het is belangrijk om goed te evalueren welke processen en applicaties wél kritiek zijn en welke niet. Anders zie je door de bomen het bos niet meer.’
Veerkrachtig
Bedrijven overschatten vaak wat nodig is om operationeel ‘veerkrachtig’ te zijn en onderschatten de inspanning die daarvoor nodig is. Organisaties bevatten veel blinde vlekken: onbeheerde laptops, servers waarvan niemand weet dat ze nog actief zijn en routers die data uitwisselen met onbekende apparaten. Daarom is een goed systeem voor assetmanagement essentieel: welke endpoints heb je, waarmee zijn ze verbonden, hoe kwetsbaar zijn ze, en welke risico’s brengen ze met zich mee?
Het klinkt simpel: alles start met data. Maar veel bedrijven beschikken niet over een honderd procent accurate configuration management database. Maar het gaat ook verder dan devices, zegt Edwin van den Heuvel, director solution engineering bij Tanium, in een van de webinars. ‘Je moet ook rekening houden met workflows, contracten, service level agreements. Een simpele spreadsheet volstaat allang niet meer om deze complexiteit te beheren. Daarom koppelt Tanium zijn endpoint management-systemen met de applicaties van ServiceNow.’
Rapporteren
Rapportage is één van de belangrijke verplichtingen binnen Dora. Bij een (kritieke) incident dienen financiële instellingen, verplicht de toezichthouders binnen een vastgelegde tijd hierover te informeren. Rapporteren betekent informatie geven. Dus ook hier draait het om data. Wanneer de tijd dringt, is relevante en realtime-data nodig. Data van een jaar oud is nuttig voor statistieken, maar bij een incident heb je er niets aan. Het risico van een jaar geleden is niet meer relevant. Daarom volstaat het niet langer om maandelijks controles uit te voeren, die moeten permanent plaatsvinden.
Permanente controles zijn alleen mogelijk mits een groot deel van de taken geautomatiseerd wordt. Dit is een extra argument om te kiezen voor gespecialiseerde oplossingen in de plaats van spreadsheets. Alleen dan is snel te reageren en zijn eventueel zelfs automatisch remediërende acties te ondernemen.
Hoofdstuk
Third-party risks ofwel supply chain-risico’s vormen een afzonderlijk hoofdstuk binnen Dora. Net als iedere andere sector, vertrouwt de financiële wereld voor veel van zijn processen op externe partijen, zoals integratoren als leveranciers van saas-toepassingen. Een kritieke toepassing als een betaalsysteem kan makkelijk gebruik maken van tien verschillende leveranciers. De weerbaarheid van het betaalsysteem wordt mede gegarandeerd door de weerbaarheid van al die onderliggende applicaties. Uiteraard moeten al deze systemen en hun risico’s in kaart gebracht worden en moeten er goede afspraken worden gemaakt met de leveranciers. Ook hier volstaat een spreadsheet niet, omdat je niet alleen duidelijke afspraken moet vastleggen, maar ook zaken zoals de start en het einde van de samenwerking. Toepassingen die niet meer gebruikt worden, mogen uiteraard niet langer verbonden blijven andere applicaties en moeten automatisch afgekoppeld worden.
Dora vraagt om een fundamentele verschuiving in hoe financiële instellingen hun operationele weerbaarheid aanpakken. Bedrijven kunnen niet langer vertrouwen op statische processen of verouderde tools. Realtime-data zijn cruciaal om de complexiteit te beheersen en snel en accuraat te reageren op incidenten. Bovendien is automatisering niet langer een optie, maar een pure noodzaak. Alleen door processen te automatiseren kunnen organisaties ervoor zorgen dat ze continu compliant blijven en tegelijkertijd de operationele efficiëntie verbeteren.
(De webinars waarop dit artikel gebaseerd is, is hier te bekijken.)
Wytze Rijkmans is regional vice president bij Tanium
