Regulamentul DORA solicită explicit reziliența entităților financiare, de la prevenție, la recuperare; DORA nu este doar o problemă de IT, ci de management (Călin Rangu)

Autor: Călin Rangu, Expert în Economia Digitală/Vicepreședinte CIO Council

Regulamentul UE 2022/2554 referitor la reziliența operațională digitală a sectorului financiar, prescurtat DORA (care intră în vigoare la 17 ianuarie), nu este o revoluție, este o uniformizare și impunere a unor bune practici, existente în multe entități financiare mari,  uniform la nivel european, pentru un număr mare de entități, dar și furnizorilor de servicii ai acestora, prin creșterea nivelului de maturitate a tuturor celor implicați.

Practicile, statuate anterior prin diferite standarde si parțial prin reglementări (cum este cazul ASF prin Norma 4/2015 referitoare la riscurile operaționale generate de IT) chiar dacă au o finalitate tehnică, pentru securitatea datelor și a sistemelor informatice, pleacă de la zona de business, de la serviciile critice/importante, acoperă sistemul de guvernanță, management riscuri, transparență,  managementul incidentelor, a continuității si a testării rezilienței, a schimbului de informații, a modului de interacțiune externă prin relația/contractarea cu furnizorii, cu ceilalți stakeholderi, în vederea aplicării DORA. DORA se referă la asigurarea rezilienței sistemelor/funcțiilor de business critice sau importante dintr-o entitate financiară. Fiecare funcție de business se bazează pe un proces de business care are în spate un proces derulat de specialiștii IT si utilizatorii de date/sisteme, care ar trebui să fie bine structurat si monitorizat. Fiecare echipament sau program informatic care susține o funcție critică este la rândul său critic si trebuie să fie gestionat corespunzător. Dacă o parte, sau tot procesul IT, este externalizat pentru un proces de business critic, atunci furnizorii trebuie să fie tratați la fel ca și când ar fi în interiorul organizației, entitatea rămânând complet responsabilă.

Pentru a înțelege cum se implementează DORA trebuie înțelese principiile abordării generale a celor care reglementează/supraveghează, prin aplicare principiului raționamentului calificat, principiul proporționalității și a principiul documentării, la care se adaugă principiul același risc, aceeași abordare.

Conceptul security by design se extinde de la proiectarea și dezvoltarea software la toate componentele de risc și operaționale aferente activităților unei entități financiare, la definirea produselor și serviciilor. Scopul final este păstrarea unor servicii sigure pentru client, pentru susținerea încrederii în sistemul financiar.

Într-o lume din ce în ce mai digitalizată, dematerializată, riscurile operaționale trebuie să aibă un tratament special, dincolo de abordarea prudențială, financiară (cum erau tratate de reglementările Basel IV/Solvency II până acum).

Riscurile operaționale sunt cele generate de procese necorespunzătoare (procese nestructurate sau implementate eronat, fără puncte de control, fără indicatori de performanță de proces, fără indicatori de risc extrași din indicatorii de performanță, absența monitorizării), oameni (erori, nemulțumiri, fraude interne, lipsă de instruire etc), sisteme (implementarea si gestionare necorespunzătoare a sistemelor tehnice, lipsa monitorizării, lipsa evidențelor și a managementul activelor și serviciilor, și neindentificare/neplasarea/nemonitorizarea acestora pe procese care susțin o activitate de business, lipsă patchuri, logurilor etc) și mediul extern (în care criminalitatea informatică, fraudele externe necesită o atenție sporită, alături de furnizori necorespunzători sau tehnologii emergente (AI, DLT, IoT, etc) neadaptate corespunzător).

Nevoia unui nivel de disponibilitate a serviciilor, calitatea datelor/informațiilor, continuitatea afacerii în caz de incident operațional (catastrofic sau nu) sunt toate prevăzute de DORA. Pentru a asigura un nivel de servicii contractat trebuie să se asigure managementul detaliat al acestora (pentru respectarea SLA către client, si zona de IT OLA (Operational Level Agreement) intern in entitate). În caz de incident cibernetic trebuie să se asigure o comunicare corespunzătoare, să fie pus la punct un sistem de schimb de informații și informare.

DORA, prin multitudinea de strategii, politici, proceduri, instrucțiuni solicitate (având peste 100 de cerințe și 40 de astfel de documente) susține asigurarea unei guvernanțe și a unui management al riscurilor profesionist si solicită soluții tehnice specializate. Sunt definiți responsabilii, persoanele responsabile pe toate nivelurile, inclusiv in boardul entității, aplicarea DORA nefiind doar o problemă de IT, ci de management, de asumare și responsabilitate explicită. Este necesar un cadru formal destul de complex, dar cu o abordare pragmatică, se pot indentifica soluții eficiente.

DORA susține un management al riscurilor operaționale, un management IT profesionist. De fapt în regulament identificăm cerințele de igienă a bunei administrări a  funcțiilor și proceselor de IT și securitate cibernetică care susțin funcțiile de business, care trebuie abordate însă proporțional, în funcție de natură, dimensiune, complexitate și impactul riscurilor. DORA prezintă si un model redus de implementare pentru anumite entități, iar unele (clasate în microîntreprinderi, firme mici, medii si mari, în funcție de cifra de afaceri de 2, 10, sau respectiv 50 milioane EURO) nu aplică decât parțial.

DORA este o evoluție spre profesionalizare, comunicare responsabilă în interiorul entității financiare dar și în exterior, atât cu autoritățile, cât și cu clienții și furnizorii.

Se identifică un număr de provocări în implementare:

1. Dimensiunea și complexitatea reglementării (pentru cei care nu au avut viziunea implementării pe procese, a aplicării anterioare a unor cadre de tipul ITIL, ISO 27.001, COBIT, etc poate părea un hățiș de cerințe nelegate între ele. Nu este o reglementare de securitate cibernetică, deși apare, ci în primul rând de management, organizare si guvernanță, cu componente tehnice multiple. Printr-o abordare structurată se lămuresc destul de rapid aspectele esențiale și planul de implementare si mai ales livrabilele. Sistemul de raportare poate ridica probleme în lipsa informațiilor și a colaborării furnizorilor. Trebuie respectat principiul documentării.
2. Cultura organizațională– Reziliența operațională digitală trebuie să treacă de la faza birocratică la cea cu valoare adăugată pe baza dezvoltării unei culturi organizaționale specifice, susținută de top management și promovată de fiecare angajat. O nouă cultură a rezilienței necesită un program de transformare organizațională. Robustețe în noua economie digitală, cu criminalitate informatică în dezvoltare, cu crize și evenimente critice, noi atacuri si tehnologii emergente. Utilizarea lecțiilor primite/învățate din crizelor precedente (ante DORA, de ex COVID, război hibrid etc). Plasarea clientului în centru, cultura susține interesele entități și a clienților pentru un business competitiv sustenabil de lungă durată, ne-expus vulnerabilităților interne și amenințărilor externe. O nouă guvernanță pentru o nouă cultură a rezilienței
3. Guvernanța – un nou tip de guvernanță trebuie implementat, bazat pe o abordare holistică a rezilienței operaționale digitale, bazată pe riscuri. Abordarea pe verticale organizaționale se modifica in una transversală pentru a evita riscurile cibernetice care au caracter global si nu sectorial. Un nou tip de guvernanță trebuie implementat, bazat pe o abordare holistică a rezilienței operaționale digitale, bazată pe riscuri. O structură de strategii, politici, proceduri, instrucțiuni, raportare, asumate la nivel înalt si aplicate de întreaga organizație. Alocarea de resurse, sistemul de auditare capătă noi valențe. Se dezvoltă noi competențe (cunoștințe, aptitudini) la toate nivelurile
4. Schimbarea modului de lucru actual – O abordare mult mai ordonată și corelată business – IT, trebuie acoperit gap-ul comunicațional și de încredere. Trebuie asigurată o tranziție de la modul de lucru actual al cel viitor. Se revăd toate contractele cu furizorii, cu terții, se integrează în serviciile/procesele de business si IT, managementul nivelului de servicii devine esențial, monitorizarea KPI/KRI, testare, scenarii, continuitate, exit. Crearea de noi niveluri de apărare internă și externă fără a afecta continuitatea fluxurilor de lucru. Noi raportări strategice si operaționale. Noi instrumente, aplicații de monitorizare, înregistrare, alertare etc
5. Revederea relației cu furnizorii, noile acorduri de servicii solicitate necesită un nivel apreciabil de maturitate atât a clientului, cât si a furnizorului care trebuie să înțeleagă că este tratat ca o entitate financiară și are multe obligații dacă vrea să furnizeze servicii. Se revăd toate relațiile contractuale, furnizorii devin parteneri de reziliență.
6. Comunicarea – Noi standarde de transparență de comunicare a incidentelor, a modului de soluționare. Informarea clienților privind incidentele majore. Schimbul de informații cu terții. Monitorizarea si comunicarea internă si externa a potențialelor amenințări, adaptarea la acestea. Modul de reacție rapidă la evenimente. Managementul continuității și a recuperării, planuri de criză, planuri de comunicare. Noi notificări, raportări obligatorii sau voluntare
7. Testarea rezilienței – Un program bine definit de testare a rezilienței operaționale digitale, în condiții reale pentru identificare de vulnerabilități, scenarii, exerciții de simulare, evaluări ante evenimente, si post evenimente, aplicarea principiului proporționalității, plecând de la riscuri, TLPT (Threat-Led Penetration Testing) pentru entitățile semnificative, implicarea furnizorilor în testare pentru serviciile importante/critice, dezvoltarea unei culturi solide a rezilienței operaționale.
8. Implementarea continuă – DORA nu este un proces unic, se derulează continuu, pe durata de viață a entității, evaluările, raportarea, măsurile, monitorizarea, testarea, schimbul de informații si multe altele sunt activități continue, repetate anual sau la evenimente majore, la schimbări importante. Schimbarea modelelor de afaceri, a furnizorilor, analiza diferențelor, due-dilligence-ul, modificările tehnologice, emergența inteligenței artificiale si a DLT, cloud computingul, prezenta geografică si evoluțiile exogene vor determina continuu noi riscuri, noi abordări, în cadrul unitar stabilit de DORA. Este necesară o guvernanță solidă. De asemenea costurile pot fi sensibil de mari, iar bugetele de susținere a proceselor IT si a instrumentelor de securitate cibernetică vor trebui luate în considerare.

Deși intră în vigoare pe 17 ianuarie 2025, DORA ridică în continuare multe întrebări, dar la care există răspunsuri, iar beneficiile se vor vedea pe termen mediu și lung, dincolo de faza inițială dificilă.