Anect: DORA donutí firmy udělat si pořádek v IT i v byznysových procesech

21. 6. 2023
Doba čtení: 3 minuty

Sdílet

 Autor: @ tanaonte - Fotolia.com
Co konkrétně budou muset firmy řešit a jak se na nařízení můžou začít připravovat už teď, popisuje v komentáři Petr Frýdl ze společnosti Anect.

Petr Frýdl, information security consultant ze společnosti Anect, informuje, že české firmy budou muset v příštích letech investovat velké úsilí a často i hodně finančních prostředků do posílení své odolnosti proti hackerům a dalším kybernetickým rizikům.

Investice se podle něj nevyhnou především několika tisícům společností, které budou spadat do působnosti nového zákona o kybernetické bezpečnosti či pod evropské nařízení DORA, které se zabývá digitální provozní odolností finančního sektoru.

Mějte přehled o tom, co se u vás děje

Frýdl podotýká, že firmy musejí v první řadě zjistit, co se uvnitř nich děje, s jakými aktivy pracují a jakým způsobem se tato aktiva podílí na chodu jejich služeb. Pro tyto účely musejí zřídit registr aktiv, ze kterého bude možné získat přehled o jejich vzájemných vztazích.

Aktivem se přitom rozumí úplně vše, co se podílí na chodu společnosti. Primárním aktivem může být služba, například poskytování úvěrů. Jsou jím také data o zákaznících nebo obecně data potřebná k poskytování služeb,“ vysvětluje.

Sekundárním aktivem jsou potom zaměstnanci, software, na kterém služba běží, případně hardware (počítače, bankomaty, servery apod.). Takových aktiv přitom mohou být stovky a firmy musejí vědět, co se stane, když některé z nich přestane fungovat.

Poznejte, co vám skutečně hrozí

Když společnost získá přehled o tom, s jakými aktivy pracuje a jak jsou tato aktiva provázaná, může podle Frýdla přistoupit k dalšímu bodu, který nařízení požaduje, a to k řízení rizik a vytvoření potřebného registru.

V registru rizik musí evidovat veškerá rizika, která byla identifikována, míru jejich závažnosti, scénář průběhu tohoto rizika a popis reakce na toto riziko. Jinými slovy firmy musí vědět, co se může stát, jak je to ohrozí a co udělají pro minimalizaci dopadu této události na svůj provoz nebo jak zabrání, aby došlo k poškození jejich zákazníků.

Jakmile společnost získá přehled o tom, co konkrétně se může stát a jaké to bude mít následky, následuje plán zvládání rizik (risk treatment plan). Tedy „jízdní řád“, ve kterém bude uvedeno, kdy se co udělá, kolik času a finančních prostředků k tomu je plánováno, kdo je za celý proces zodpovědný a co konkrétně považujeme za splnění cíle. 

Informace o aktuálním ,rizikovém profilu‘ společnosti jsou nutným podkladem pro efektivní řízení společnosti a musí být vedení společnosti dostupné ve vhodné formě,“ upozorňuje Frýdl.

Zabezpečte činnost i pro případ velké nouze

Frýdl upřesňuje, že DORA po společnostech požaduje také zajištění „Business Continuity“ a provedení tzv. business impact analýzy, která určí a prioritizuje klíčové funkce ve firmě a to, jaký dopad má jejich nedostupnost na chod organizace a poskytované služby.

Pokud není možné klíčovou službu obnovit standardním způsobem, musí společnost zajistit kontinuitu této činnosti nebo služby jinými prostředky, a to v předem definovaných parametrech.

Jinými slovy, zákazníkovi by ,ideálně‘ neměla vzniknout škoda, když finanční instituci či jinou společnost postihne nějaká katastrofa typu zaplaveného datového centra, kybernetického útoku a podobně,“ nastiňuje Frýdl.

bitcoin_skoleni

Pro tyto účely musejí mít firmy vypracované plány kontinuity podnikání, plány reakce na kybernetické incidenty, plány obnovy činnosti a tyto plány by měly také pravidelně testovat, aby zjistily, jestli skutečně fungují a výsledky testů evidovat.

Zdroj: Anect

Čtěte dále

DPD rozšiřuje síť výdejních míst o pobočky České pošty
DPD rozšiřuje síť výdejních míst o pobočky České pošty
GFI Software: Umělá inteligence v IT bezpečnosti automatizuje rutinní činnosti
GFI Software: Umělá inteligence v IT bezpečnosti automatizuje rutinní činnosti
T-Mobilu mírně klesly tržby, spotřeba dat dál stoupá dvouciferně
T-Mobilu mírně klesly tržby, spotřeba dat dál stoupá dvouciferně
Check Point: Počet kyberútoků dosáhl historického maxima, vzrostl o 75 %
Check Point: Počet kyberútoků dosáhl historického maxima, vzrostl o 75 %
eD system bodoval u HPE, je distributorem roku v oblasti SPB
eD system bodoval u HPE, je distributorem roku v oblasti SPB
Gartner: Držte si klobouky, investice do IT v Evropě příští rok vyrostou o 8,7 %
Gartner: Držte si klobouky, investice do IT v Evropě příští rok vyrostou o 8,7 %