Holenderski Urząd ds. Rynków Finansowych (AFM) opublikował piątą aktualizację #DORA, zawierającą wskazówki dla firm finansowych dotyczące testowania ich cyfrowej odporności operacyjnej.
Poprzednie publikacje AFM:
Aktualizacja 1: Przegląd ogólny
To wydanie wprowadziło sektor finansowy w cele DORA i nakreśliło kluczowe obszary zainteresowania, w tym zarządzanie ryzykiem IT, zgłaszanie incydentów i odporność operacyjną.
Podkreślono znaczenie harmonizacji zarządzania ryzykiem ICT w całej branży finansowej w celu ochrony przed rosnącym zagrożeniem cybernetycznym.
Aktualizacja 2: Zarządzanie ryzykiem stron trzecich
Skupiono się na zarządzaniu ryzykiem związanym z zewnętrznymi dostawcami ICT.
Ta aktualizacja poprowadziła firmy w zakresie zawierania umów, opracowywania strategii wyjścia i zapewniania nadzoru nad krytycznymi dostawcami zewnętrznymi.
Aktualizacja 3: Zarządzanie ryzykiem ICT
Publikacja ta zawierała dogłębne spojrzenie na ramy zarządzania ryzykiem ICT, wzywając firmy do opracowania ustrukturyzowanych podejść do monitorowania, oceny i ograniczania ryzyka IT.
Obejmowała ona wymagania dotyczące #BCM, szkolenie pracowników w zakresie bezpieczeństwa #ICT oraz wdrażanie narzędzi monitorujących w celu wykrywania i eliminowania zagrożeń.
Aktualizacja 4: Zarządzanie incydentami
Koncentrowała się na wymaganiach dotyczących zarządzania incydentami związanymi z ICT, w tym klasyfikowania i zgłaszania istotnych incydentów cybernetycznych.
Aktualizacja ta podkreśliła znaczenie tworzenia procesów wykrywania i zarządzania incydentami przy jednoczesnym zachowaniu zgodności z wymogami raportowania DORA.
Testy:
- Skanowanie podatności: Zautomatyzowane testy identyfikujące luki w zabezpieczeniach.
- Analizy luk: Ocena wydajności systemu w stosunku do oczekiwanych wyników.
- Oceny bezpieczeństwa fizycznego: Zapewnienie, że nieautoryzowany dostęp do krytycznych lokalizacji jest ograniczony.
- Przeglądy kodu źródłowego: Niezależna ocena kodu w celu zidentyfikowania potencjalnych błędów przed wdrożeniem.
- Testy kompatybilności: Zapewnienie działania oprogramowania w różnych środowiskach.
Testy całościowe: Kompleksowe testy obejmujące całą aplikację w celu weryfikacji funkcjonalności w rzeczywistych scenariuszach.
- Testy penetracyjne: Symulowane cyberataki w celu wykrycia luk w zabezpieczeniach.
- Advanced Threat-Led Penetration Testing (TLPT): Symuluje rzeczywiste cyberataki, zapewniając bardziej szczegółową i opartą na danych wywiadowczych ocenę odporności firmy.
Digital Operational Resilience Act: Latest Update on Testing Requirements
The Dutch Authority for the Financial Markets (AFM) has released its fifth update on #DORA, providing guidance for financial firms to test their digital operational resilience.
Previous AFM Publications:
Update 1: General Overview
This edition introduced the financial sector to DORA’s objectives and outlined the key focus areas, including IT risk management, incident reporting, and operational resilience.
It emphasized the importance of harmonizing ICT risk management across the financial industry to protect against the growing cyber threat landscape.
Update 2: Third-Party Risk Management
Focused on managing risks associated with third-party ICT providers.
This update guided firms on setting up contracts, developing exit strategies, and ensuring oversight of critical third-party providers.
Update 3: ICT Risk Management
This publication provided an in-depth look at ICT #riskmanagement frameworks, urging firms to develop structured approaches to monitor, assess, and mitigate IT risks.
It covered requirements around #BCM, training employees in #ICT security, and implementing monitoring tools to detect and address risks.
Update 4: Incident Management
Focused on the requirements for managing ICT-related incidents, including classifying and reporting significant cyber incidents.
This update stressed the importance of creating processes for detecting and managing incidents while maintaining compliance with DORA’s reporting requirements.
Update 5: Testing Requirements and Operational Resilience
Focused on the requirements for testing programs to ensure digital operational resilience.
Testing Program Implementation:
All firms must set up a risk-based testing program as part of their ICT risk management framework. This includes:
- Establishing regular tests for the resilience of ICT systems and tools.
- Ensuring the testing program is aligned with the firm’s size, risk profile, and operational complexity.
Tests:
- Vulnerability Scans: Automated tests to identify security gaps.
- Gap Analyses: Evaluation of system performance against expected outcomes.
- Physical Security Assessments: Ensuring unauthorized access to critical locations is restricted.
- Source Code Reviews: Independent assessment of code to identify potential flaws before deployment.
- Compatibility Testing: Ensuring software works across different environments.
End-to-End Testing: Comprehensive tests covering the entire application to verify functionality in real-world scenarios.
- Penetration Testing: Simulated cyberattacks to uncover vulnerabilities.
- Advanced Threat-Led Penetration Testing (TLPT): Simulates real-life cyberattacks, providing a more detailed and intelligence-driven evaluation of the firm’s resilience.
Autor: Sebastian Burgemejster
Comments