I. ICT kockázatkezelés bevezetése
A DORA követelményeinek középpontjában egy olyan szilárd ICT kockázatkezelési keretrendszer létrehozása áll, amely növeli az üzletileg kritikus rendszerek ellenálló képességét a kiberfenyegetettségekkel szemben. Ennek a keretrendszernek átfogónak, a teljes szervezetre bevezetettnek, jól dokumentáltnak és a pénzügyi szervezet átfogó kockázatkezelési rendszerébe integráltnak kell lennie.
Ahol a Pentera segíteni tud:
A kritikus ICT-eszközök és üzleti funkciók dokumentálása. A kritikus eszközök azonosítása és ezeknek a kritikussági szintek alapján történő osztályozása.„Gap analízis” végrehajtása és a megállapítások dokumentálása. A felhasználók felfedezhetik a kitettségi kockázatokat és a védelem gyengeségeit, amelyek hatással lehetnek az ICT-rendszerek és -szolgáltatások integritására és rendelkezésre állására.Kockázati tűréshatárok meghatározása. A platform segítségével rendszeresen megerősíthető, hogy a meghatározott veszélyérzékelési küszöbértékek hatékonyak-e, és hogy a kapcsolódó folyamatok biztosítják-e a kívánt tűréshatár betartását.Folyamatos tesztelési és fejlesztési ütemezés kialakítása. Rendszeresen felülvizsgálhatja és optimalizálhatja az ICT kockázatkezelési keretrendszer hatékonyságát.II. ICT-vel kapcsolatos incidensek kezelése, osztályozása és jelentése
A DORA előírja a szervezet ICT rendszerét érintő súlyos incidensek hatóságoknak történő bejelentését. Ez kiterjed a még be nem következett, de már felfedezett jelentős kiberfenyegetések önkéntes bejelentésére is. Ennek eléréséhez a szervezeteknek átfogó stratégiát kell kialakítaniuk, amely magában foglalja a technológiát, az embereket és a folyamatokat, mind az incidensek, mind a kiberfenyegetések észlelésére, kezelésére és jelentésére.
Egyszerűsített folyamatokat kell kialakítani az összes ICT-vel kapcsolatos incidens észlelésére, naplózására és osztályozására, egyértelmű információgyűjtési követelményekkel és dokumentált jelentési ütemezéssel. Végezetül meg kell határozni az incidensek minősítési szintjeinek küszöbértékeit. A kritériumok között szerepelhet az érintettség, az időtartam és a leállási idő, az érintett kritikus szolgáltatások, a földrajzi kiterjedtség és a gazdasági hatás számszerűsítése.
Ahol a Pentera segíteni tud:
A kiberfenyegetések kategorizálási és hatáselemzési folyamatának létrehozása. Ennek ki kell terjednie a betörés valószínűségére és üzleti hatására, a kritikus rendszerekre és üzleti műveletekre gyakorolt előre jelzett hatás alapján.Az ICT-kezelési folyamatok harmonizálása és fejlesztése. Rendszeresen felül vizsgálhatók és optimalizálhatók az ICT-vel kapcsolatos incidenskezelési és jelentési folyamatok.III. Digitális működési rugalmassági tesztelés
Ehhez egy olyan programra van szükség, amely különböző értékeléseket, módszereket, gyakorlatokat és eszközöket tartalmazó tesztelési ütemtervvel rendelkezik. A program az ICT-vel kapcsolatos incidenskezelési folyamatok, rendszerek és válaszintézkedések rendszeres tesztelését is megköveteli.
Ahol a Pentera képes segíteni:
Az ICT kockázatokkal kapcsolatos tesztelési ütemezés kezdeményezése.Az IT-biztonsági megoldások tesztelésének ütemezése. Az összes biztonsági megoldás és fenyegetésérzékelő rendszer tesztelése.Felkészülés a fenyegetésvezérelt behatolásvizsgálatra (TLPT – Threat-Led Penetration Testing)IV. A „Third-party” szolgáltatókon keresztül érkező ICT kockázatok kezelése
Intézkedéseket kell hozni az ICT rendszer külső szolgáltatókkal kapcsolatos kockázatainak kezelésére. A szervezeteknek nyilvántartást kell létrehozniuk külső szolgáltatóikról, amely tartalmazza az összes kiszervezett tevékenységet, az általuk a digitális szolgáltatásokra és a rugalmasságra jelentett esetleges kockázatot, valamint azt, hogy mely szolgáltatásokat tekintik kritikusnak az üzleti működés szempontjából.
Ezt követően egy felügyeleti bizottságnak felül kell vizsgálnia az egyes szolgáltatókra vonatkozó követelményeket.
Ahol a Pentera tud segíteni:
Az ICT-vel kapcsolatos, harmadik féltől származó kockázatok tesztelési ütemezésének kezdeményezése. Az ICT rendszeréhez kapcsolódó szolgáltatók rendszeres tesztelése.A partnerekkel folytatott folyamatok és kommunikáció harmonizálása. Fejleszthetők a kockázatelemzési, tesztelési és kommunikációs folyamatok az ICT-hez kapcsolódó szolgáltatókkal.V. A DORA-megfelelőség elérése és túlteljesítése
A DORA-megfelelés ugyan kötelező, de egyben kiváló lehetőség is arra, hogy hosszú távú ellenálló képességeket építsünk ki az egyre összetettebbé váló fenyegetettségi környezetben. A Pentera használatával a szervezet nem csak támogatást kap a nehezen teljesíthető követelmények teljesítéséhez, hanem egy skálázható, automatizált megoldást is, amely igazodik a költségvetési korlátokhoz, javítja az érintett felek jelentéseit és támogatja a stratégiai üzleti célokat.
A Penteráról A Pentera az automatizált biztonsági validáció (ASV) globális vezetője és megújítója. Lehetővé teszi a szervezetek számára, hogy könnyűszerrel tesztelhessék az összes kiberbiztonsági réteg integritását, feltárva a valós biztonsági kitettségeket bármely pillanatban és bármilyen méretű hálózatban. A Pentera platformja segít valós időben felfedezni a tényleges biztonsági kitettségeket, méghozzá valós penetrációs tesztek végrehajtásával. Az automatizált biztonsági validáció azt eredményezi, hogy a Pentera ügyfeleinek nem kell többé kísérletezgetniük és emiatt késlekedniük, hanem a kockázataik folyamatos láthatóságának biztosításával megszabadulnak a hamis riasztásoktól és a folyamatosan újratermelődő sérülékenységektől.
A Pentera megoldásaival kapcsolatos kérdéseivel keresse bizalommal a RelNet munkatársait, akik személyes konzultáció keretében tájékoztatják a lehetőségekről az igényfelmérés, a tervezés, a tesztelés, az implementálás, az oktatás, vagy például az auditálás kapcsán.
Forrás
Achieve DORA Compliance and Strengthen ICT Risk Management (pentera.io)Kapcsolódó tartalom
Pentera képzések a RelNet eLearning programban
