DORA – Implementarea rezilienței operaționale digitale. Perspectiva aplicativă

DESCRIERE:

Seminarul prezintă un mod practic de implementare a cerințelor REGULAMENTUL (UE) 2022/2554 privind reziliența operațională digitală a sectorului financiar (DORA).

În cadrul cursului se va face referire la sistemul de guvernanță, management riscuri, transparență, managementul incidentelor, a continuității si a testării rezilienței, a schimbului de informații, a modului de  interacțiune externă prin relația/contractarea cu furnizorii, cu ceilalți stakeholderi, în vederea aplicării DORA. DORA se referă la asigurarea rezilienței sistemelor/funcțiilor de business critice sau importante dintr-o entitate financiară. Fiecare funcție de business se bazează pe un proces de business si un proces de IT care ar trebui să fie bine structurat si monitorizat. Fiecare echipament sau program informatic care sustine o funcție critică este la rândul său critic si trebuie să fie gestionat corespunzător. Dacă o parte, sau tot procesul IT, este externalizat pentru un proces de business critic, atunci furnizorii trebuie să fie tratați la fel ca și când ar fi în interiorul organizației, entitatea rămâne complet responsabilă.

Într-o lume din ce în ce mai digitalizată, dematerializată, riscurile operaționale trebuie să aibă un tratament special, dincolo de abordarea prudențială, financiară. Seminarul va detalia aceste aspecte. Riscurile operaționale sunt cele generate de procese necorespunzătoare (procese nestructurate sau implementate eronat, fără puncte de control, fără indicatori de performanță de proces, fără indicatori de risc extrași din indicatorii de performanță, absența monitorizării), oameni (erori, nemulțumiri, fraude interne, lipsă de instruire etc), sisteme (implementarea si gestionare necorespunzătoare a sistemelor tehnice, lipsa monitorizării, lipsa evidențelor și a managementul activelor și serviciilor, și neindentificare/neplasarea/nemonitorizarea acestora pe procese care susțin o activitate de business, lipsă patchuri, logurilor etc) și mediul extern (în care criminalitatea informatică, fraudele externe necesită o atenție sporită, alături de furnizori necorespunzători sau tehnologii emergente (AI, DLT, IoT, etc) neadaptate corespunzător).

Nevoia unui nivel de disponibilitate a serviciilor, calitatea datelor/informațiilor, continuitatea afacerii în caz de incident operațional (catastrofic sau nu) sunt toate prevăzute de DORA și de seminarul propus. Pentru a asigura un nivel de servicii contractat trebuie să se asigure managementul detaliat ala acestora (pentru respectarea SLA către client, si zona de IT OLA (Operational level agreement) intern in entitate). În caz de incident cibernetic trebuie să se asigure o comunicare corespunzătoare, să fie pus la punct un sistem de schimb de informații și informare.

Din acest motiv DORA și seminarul propus susțin în primul rând asigurarea unei guvernanțe și a unui management al riscurilor profesionist si solicită soluții tehnice specializate. Sunt definiți responsabilii, persoanele responsabile pe toate nivelurile, inclusiv in boardul entității, aplicarea DORA nefiind doar o problemă de IT, ci de management. Este necesar un cadru formal destul de complex, dar cu o abordare pragmatică, cu soluții eficiente. Trebuie dezvoltate strategii, politici si proceduri care vor fi subliniate în seminar. DORA susține un management al riscurilor operaționale, un management IT profesionist. Seminarul prezintă cerințele de igienă a bunei administrări a funcțiilor și proceselor de IT care susțin funcțiile de business.

Seminarul va face referire practică la ce reprezintă DORA, la colecția a celor mai bune practici, extrase din diferite standarde, principalele fiind cele din seria ISO 27.000 referitoare la managementul securității informației, ISO 20.000 (fostul ITIL) standardele aferente proceselor necesare în IT pe care seminarul le va detalia (managementul utilizatorilor, al configurației/asset management, managementul schimbării (inclusiv al proiectelor, al testării etc), managementul disponibilității, al capacității, al incidentelor, al serviciilor etc), frameworkul COBIT privind obiectivele și punctele de control pentru guvernanța IT, standardele de securitate tehnică ale NIST (de exemplu pentru managementul vulnerabilităților, a securității cibernetice în general) etc.

GRUPUL ŢINTĂ: Conducere, management și specialiști din domeniul financiar-bancar (cei prevăzuți de DORA, de reglementările naționale dar și cei care vor fi impactați ca fiind parte a ecosistemului financiar), terțe părți/furnizori ai industriei financiare. Top management responsabili cu reziliența digitală operațională, auditori, manageri de risc, specialisti riscuri IT, manageri specialiști organizare și management procese de afaceri și de IT, manageri departamente audit/conformitate, CIO/manageri IT, CISO/specialiști securitate cibernetică, specialiști IT, specialiști managementul continuității, specialiști achiziții/outsourcing și management furnizori, consilieri juridici, ofițeri GDPR, manageri și angajați ai furnizorilor de servicii si produse IT dedicte entităților financiare etc.

CONŢINUT:

1. Cadrul rezilienței digitale operaționale, principii, activități – guvernanță, identificarea funcțiilor/proceselor critice/importante, managementul riscurilor/toleranța la impact, interconexiuni/dependente, managementul scenariilor, managementul continuității afacerilor, managementul incidentelor, planuri de comunicare, învățarea și îmbunătățirea continuă
2. Ciclul de viață al managementului riscurilor IT&C și raportarea acestora, managementul riscurilor terțelor părți/furnizorilor
3. Analiza măsurilor prevăzute de DORA, provocări, dificultăți, soluții
4. Documentele solicitate de DORA – strategii, politici, proceduri, instrucțiuni, formulare
5. Corelarea cu reglementări sau standardele din domeniu – ISO 27.001, ISO 20.000/ITIL, COBIT etc, managementul riscurilor/registrul riscurilor IT, aplicarea principiului proporționalității, cerințe de conformare pentru furnizori și terți
6. Organizarea pe procese și servicii IT&C ca suport al proceselor critice/importante de afaceri– managementul schimbării/al proiectelor, managementul incidentelor/ managementul activelor/managementul configurațiilor/ managementul capacității, managementul nivelelor de servicii cu furnizorii/SLA, managementul disponibilității, managementul continuității, managementul lansărilor/patchurilor
7. Maparea punctelor de control pe articolele DORA si a RTS-urilor relevante, evaluarea maturității controalelor
8. Analiza de impact si planurile de management a continuității afacerii
9. Managementul securității

• Instrumente, tehnologii și soluții pentru cerințele DORA

• Arhitecturi de sistem
• Testarea rezilienței, gestionarea vulnerabilităților și testarea periodică
• Monitorizarea conformității
• Cooperarea si comunicarea

10. Mod de pregătire și implementare a conformității cu DORA