Dora Compliance: optimaliseer jouw information security plan
Blog 3 van 9
De Digital Operational Resilience Act (DORA) introduceert maatregelen die van invloed zijn op de manier waarop security en continuïteit in organisaties moeten worden ingericht. Het centrale uitgangspunt is de weerbaarheid van de digitale ondersteuning, waarbij bewijsbaarheid door audits een eis is. Hoewel veel organisaties al werken met security standaarden zoals ISO27001 en NIST, legt DORA extra nadruk op een uitgebreid ICT-risk management framework. Dit framework omvat de gehele IT-omgeving: van data en verwerkende systemen tot toegangsbeheer.
ICT Risk Management Framework
Het doel van een ICT-risk management framework is om de weerbaarheid tegen onverwachte gebeurtenissen te verhogen. Dit is niet alleen gericht op cyberdreigingen, maar ook op het kunnen reageren op verstoringen in het IT-landschap. Legacy systemen verdienen speciale aandacht vanwege hun grotere impact op de continuïteit.
Daarnaast legt DORA de nadruk op effectieve communicatie en samenwerking bij verstoringen en het delen van informatie. Dit is vaak nog geen onderdeel van bestaande processen en procedures. Ook de kwaliteit van dienstverleners in de keten valt onder de verantwoordelijkheid van de opdrachtgever, een nieuw aspect binnen het DORA-raamwerk.
Complexiteit van Moderne IT-Omgevingen
Moderne IT-omgevingen zijn vaak hybride, met delen on-premise en delen in (private) cloud-oplossingen. De complexiteit neemt toe met de mogelijkheden van Software as a Service (SaaS). Data worden vaak opgeslagen in fysiek gescheiden omgevingen, wat vragen oproept over de invloed van data-eigenaren op continuïteit en weerbaarheid. Dit vraagt om extra aandacht, los van DORA. De opmerking die wel eens wordt geuit: ‘als Azure onderuit gaat heeft de wereld een heel ander probleem’ is misschien wat te kort door de bocht, maar is in essentie wel waar het hierover gaat.
Analyse van Huidige en Vereiste Maatregelen
De eerste stap naar DORA-compliance is een IST-SOLL analyse om te identificeren waar omissies zijn. Een aanpak die inzicht geeft in prioriteit, impact en doorlooptijd is essentieel. De analyse begint bij de processen en governance en eindigt bij de beschikbare IT-middelen en inrichting. Belangrijke aandachtspunten zijn:
- Welke garanties kunnen nu al gegeven worden op IT-continuïteit, veiligheid en beschikbaarheid van data en functionaliteit?
- In hoeverre is er voldoende overzicht en inzicht in het beheer van data binnen de IT-keten?
- Welke rol spelen servicepartners in de keten en is er een eenduidige set aan afspraken in het kader van DORA?
- Welk proces en welke (te auditen) resultaten zijn beschikbaar voor regelmatige testen van de IT-oplossing onder een procesketen?
- Hoe is de communicatie ingericht?
- Hoe worden bovenstaande aspecten bestuurd, bewaakt en verantwoord (governance)?
Procesgerichte Benadering
Door processen en data centraal te stellen in het denkproces, kan worden bepaald wat de status is en wat aangevuld of aangepast moet worden. Deze aanpak maakt snel duidelijk waar de echte uitdagingen liggen en wat de prioriteiten moeten zijn. Het opnemen van deze aspecten in een riskmanagement framework voldoet aan de voorschriften van DORA en biedt houvast voor opvolging. Diverse tools kunnen dit proces ondersteunen en de opvolging vastleggen, waardoor rapportage (een verplichting) eenvoudiger wordt.
Conclusie
Binnen het kader van DORA zijn organisaties verplicht om risico’s in kaart te brengen en mitigerende maatregelen te treffen voor digitale weerbaarheid, met data beschikbaarheid als prioriteit. Dit vereist een continu proces van risico-inventarisatie en management. Inzicht leidt tot overzicht en stelt organisaties in staat te handelen in lijn met de voorschriften.
BPSOLUTIONS kan helpen bij het gedetailleerd in kaart brengen van IT-ketens en bijbehorende data, en de mogelijke risico’s identificeren. Wij maken gebruik van standaard tools en methodieken en kunnen adviseren over digitale hulpmiddelen voor overzicht en rapportage. Neem contact op met Louis Joosse voor op maat gemaakt advies over DORA-compliance en de implementatie van een robuust ICT-risk management framework.
Meer weten? Neem contact op met Louis Joosse of lees alles hier alles over DORA.
Wil je ook onze andere blogs over DORA lezen?
Blog 1: De impact van Dora op de Financiële sector: Wat u moet weten
Blog 2: BPSOLUTIONS is klaar voor de DORA Richtlijnen
Je kunt je hieronder ook abonneren op onze DORA nieuwsbrief
Wil je jouw wereld een stukje slimmer maken?
Neem dan contact op met Mark Jenster.