10 godzin temu
6 miesięcy po wejściu w życie unijnej regulacji firmy wciąż borykają się z kluczowym wyzwaniem dostosowania się do jej wymagań oraz pilną potrzebą wzmocnienia poziomu całościowej odporności danych.
Najnowsze badanie firmy Veeam, zajmującej się odpornością danych cyfrowych ujawnia, iż pół roku po tym, jak zaczęło obowiązywać rozporządzenie UE o cyfrowej odporności operacyjnej (Digital Operational Resilience Act, DORA), 96% instytucji finansowych w regionie EMEA (Europy, Afryki i Bliskiego wschodu) wciąż uważa swój obecny poziom odporności danych za niewystarczający.
Połowa respondentów wprowadziła już przepisy DORA do swoich programów zapewnienia odporności
Badanie zostało przeprowadzone przez firmę Censuswide. Wykazało ono szereg wyzwań, które pojawiają się dla branży w miarę dostosowywania się do wymagań DORA: regulacji EU mającej na celu wzmocnienie ochrony sektora finansowego przed cyberatakami i zakłóceniami IT.
Choć dostosowanie się do przepisów DORA zostało uznane za strategiczny priorytet w całym sektorze finansowym, wiele podmiotów wciąż jest w trakcie tego procesu. Aż 94% ankietowanych firm stawia obszar związany z DORA wyżej w swoich celach, niż na miesiąc przed wejściem regulacji w życie, a 40% określa rozporządzenie jako w tej chwili „najważniejszy priorytet w zakresie odporności cyfrowej”. Połowa respondentów wprowadziła już przepisy DORA do swoich programów zapewnienia odporności, podczas gdy dla 39% pozostaje to głównym celem działań.
Nieoczekiwane skutki DORA
Mimo iż 94% firm jest świadomych, jakie kroki muszą podjąć, to wiele z nich walczy z nieprzewidzianymi wyzwaniami:
- 41% odnotowuje zwiększony stres i presję na zespoły IT i bezpieczeństwa;
- 37% mierzy się z wyższymi kosztami narzucanymi przez dostawców rozwiązań informatycznych (Information and Communications Technology, ICT);
- 22% uważa, iż nadmiar regulacji cyfrowych staje się barierą dla innowacji lub konkurencyjności;
- 20% wciąż nie zabezpieczyło budżetu niezbędnego do spełnienia wymagań DORA.
– Cieszy fakt, iż większość instytucji przyjęła wymagania DORA i pewnie dąży do ich spełnienia – mówi Edwin Weijdema, Field CTO EMEA w Veeam. – Osiągnięcie zgodności z przepisami to istotny pierwszy krok w zapewnieniu odporności organizacji, ale w obliczu złożoności dzisiejszego krajobrazu zagrożeń, nie można na tym poprzestać. Nowe badanie Veeam wskazuje, iż choć DORA zyskuje na strategicznym znaczeniu, wiele podmiotów finansowych przez cały czas dostrzega lukę w ogólnej odporności swojej firmy i walczy z zabezpieczeniem niezbędnych środków na ten cel. Droga do operacyjnej odporności wciąż trwa, i nie ma wątpliwości, iż priorytetowe traktowanie odporności danych pozostaje najważniejsze dla długoterminowego sukcesu organizacji.
Status: realizacja w trakcie
Pomimo traktowania regulacji DORA jako głównego priorytetu, wiele firm wciąż pracuje nad spełnieniem jej kluczowych wymagań:
- 24% nie ustanowiło testów odzyskiwania danych i zapewniania ciągłości działania;
- 24% nie wdrożyło procedury raportowania incydentów;
- 24% nie wyznaczyło lidera odpowiedzialnego za wdrożenie DORA;
- 23% nie przeprowadziło testów cyfrowej odporności operacyjnej;
- 21% nie zapewniło integralności kopii zapasowych i procesu bezpiecznego odzyskiwania danych.
Co stanowi największe wyzwanie we wdrażaniu DORA? Ryzyko związane z nadzorem nad partnerami zewnętrznymi (tzw. stronami trzecimi). Jedna na trzy firmy (34%) wskazała ten element za najtrudniejszy do wdrożenia, chociaż tylko 20% jeszcze tego nie zrobiło. Przyczyn tego stanu rzeczy może być wiele: od ograniczonego wglądu w działania prowadzone przez zewnętrznych dostawców po ogromną liczbę podmiotów zewnętrznych, z którymi instytucja finansowa współpracuje.
W projekcie DORA można było wprowadzić ulepszenia ułatwiające jego wdrożenie
Ponadto 22% badanych podmiotów uważa, iż w projekcie rozporządzenia DORA można było wprowadzić ulepszenia ułatwiające jego wdrożenie. Umożliwiłoby to osiągnięcie zgodności z przepisami, uproszczenie, doprecyzowanie i opracowanie bardziej szczegółowych zasad dotyczących zarządzania ryzykiem związanym z podmiotami zewnętrznymi.
– To bardzo interesujący wniosek, iż nadzór nad dostawcami okazał się tak dużym wyzwaniem dla organizacji. Ponad jedna trzecia firm uznała je za najtrudniejszy element do wdrożenia, a wiele z nich prosiło o dodatkowe wytyczne w tym zakresie – komentuje Andre Troskie, Field CISO EMEA w firmie Veeam. – To często pomijany aspekt odporności danych, dlatego cieszy, iż instytucje analizują swoje zabezpieczenia do tego stopnia. W końcu po to DORA została stworzona. Spełnienie wymagań regulacji jest kluczowe, ale jej celem było także skłonienie organizacji do spojrzenia na swoją odporność całościowo. W tym kontekście DORA wydaje się odnosić sukces – dodaje ekspert.
Wsparcie na drodze do odporności
W odpowiedzi na rosnące zapotrzebowanie w zakresie zapewniania bardziej konkretnych ram strategiom odporności w firmach, firmy Veeam i McKinsey wprowadziły w tym roku pierwszy w branży model dojrzałości odporności danych (DRMM). Stworzony na podstawie spostrzeżeń ponad 500 liderów w zakresie IT, bezpieczeństwa i operacji, model DRMM został zweryfikowany z uwzględnieniem rzeczywistych wdrożeń klientów. Ramy tej struktury umożliwiają organizacjom ocenę odporności danych przy zastosowaniu podejścia interdyscyplinarnego, integrującego IT, bezpieczeństwo i obszar compliance w ujednoliconą strategię. Model dostarcza jasne wskazówki pozwalające na zwiększenie odporności i osiągnięcie zgodności z przepisami, takimi jak DORA.
