EUの銀行業界はDORAに備えているだろうか?
2025年1月、ヨーロッパの金融機関はデジタル・オペレーショナル・レジリエンス法(DORA)という大きな試練に直面しています。
DORAは、ICTリスクとレジリエンスのルールを1つの統一されたフレームワークに統合します。しかし、金融機関は準備が整っているのでしょうか?
多くの人が時間との戦いをしています。厳しいスケジュールと進化する基準により、準備が難しくなっています。
Illumioのインダストリー・ソリューションズ・マーケティング担当シニア・ディレクターであるRaghu Nandakumara氏は、次のように説明しています。「銀行は、もっと早い段階でより明確な技術基準の恩恵を受けていたでしょう。標準化は 2 つの波に分けて導入されました。1 つは 2022 年初頭に、もう 1 つは 2024 年半ばに導入されました。1月17日の締め切りまであと12か月足らずでした。」
ドーラの開梱
何をする ドーラ 締め切りまでに要求?システムを保護するだけではありません。焦点は、障害が発生しても重要なサービスを稼働させ続けることにあります。
DORAの基準を満たすには、金融機関は次のことを行う必要があります。
- ICTシステムを定期的にテスト
- 第三者プロバイダーによるリスク管理
- 必要不可欠なサービスは何があっても継続して運用できるようにする
「DORAには明確な焦点が当てられています。インシデントの影響を減らすことです。そのアプローチは?セキュリティ侵害は必ず起こると想定してください。」— ラグー・ナンダクマラ
DORA コンプライアンスの上位 6 つの課題
1。厳しいスケジュールと進化する基準
DORAの要件を説明するルールは、 規制技術基準 (RTS)、遅くリリースされました。最初のバージョンは2024年1月にリリースされ、2番目のバージョンは7月にリリースされました。準備期間が 1 年足らずだったため、要件を満たすことは時間との戦いに変わりました。
2。サードパーティプロバイダーの管理
ハイパースケーラーやマネージドサービスプロバイダー(MSP)などのサードパーティプロバイダーは、金融サービスの鍵となります。しかし、ここで課題となるのは、あるベンダーが DORA の適用範囲に含まれるかどうかは、誰が決めるかという点です。「それは 金融機関 それとも規制当局がこれを決定するのか?」ラグーに尋ねる。
小規模なMSPの場合、ハードルはさらに高くなります。コンプライアンスは、財務プロセスにおけるその役割によって決まります。明確なルールがなければ、何が必要かを判断するのは困難です。これを修正するには 2 つのことが必要です。
- より明確なガイドライン
- ベンダーとのより強固なコラボレーション
3。ガバナンスとリーダーシップの調整
DORAは、オペレーショナルレジリエンスをリーダーシップアジェンダの最優先事項としています。 ボード 必須:
- ICTリスク制限を明確に設定する
- 重大インシデントの監視
- 適切なリソースが整っていることを確認する
しかし、多くの組織にはこれらの目標を達成するための体制や意識が欠けています。
4。テストと着実な改善
テストは重要な役割を果たします ドーラコンプライアンス。 組織は次のことを行う必要があります。
- ICTシステムのレジリエンステストを毎年実施
- 3年ごとに高度なペネトレーションテストを実施
「テストは、ギャップを特定して改善計画を策定し、進歩を成熟へと導くのに役立ちます。しかし、これらのテストはリソースを大量に消費し、部門やベンダー間のチームワークを必要とします。— Raghu Nandakumara
5。レジリエントな文化の構築
DORAはチェックボックスをチェックすることではありません。大事なのは準備をしておくことです。指導者は以下のことをしなければなりません。
- チャンピオン オペレーショナル・レジリエンス
- 部門間のチームワークを育む
長期的な成功には、文化的な変化が不可欠かもしれません。
6。スキルギャップ:高まるプレッシャー
グローバル サイバーセキュリティ人材ギャップ (推定400万人)は、DORAの課題を悪化させます。強力なコンプライアンスプログラムがあれば、このプレッシャーを和らげることができます。取り組みを簡素化すると同時に、業務上のメリットも幅広く得られます。
「DORAの新しい義務は、セキュリティ運用、ポリシー、監査チームにプレッシャーをかけています。」— Raghu Nandakumara
DORAとゼロトラストはどのように連携していますか?
DORAは言及していますか ゼロトラスト?直接ではありません。しかし、最小権限アクセスや継続的な監視など、その重要なアイデアは密接に一致しています。
ゼロトラストの理念である「決して信用せず、常に検証する」では、すべてのユーザー、デバイス、アプリケーション、ワークロードがアクセスされる前に認証を受けることでリスクを軽減します。
今日の最大のサイバーリスクにどのように役立つのか?
- ランサムウェアを阻止: 影響を軽減 ランサムウェア攻撃 ネットワークを介して拡散できる範囲を制限することによって。
- クラウドを保護します: 動的ポリシーが保護します ハイブリッドマルチクラウド。
- サードパーティのリスクを管理: 制限 ベンダー 重要なシステムへのアクセス。ベンダーが重要なシステムにどの程度アクセスできるかを制御できます。
1月17日までのカウントダウン
時計は時を刻んでいます。テスト、第三者による監視、レジリエンス計画はオプションではありません。そのためには、先を見越した戦略と、レジリエンスに向けた文化的な転換が必要です。
Raghuが説明したように、「EUは完璧ではなく進歩を望んでいる。彼らは、組織が要件をどのように解釈し、何を達成したかを知りたいのです。」
DORA コンプライアンスについてもっと知りたいですか?無料の電子書籍をダウンロードして、 DORA コンプライアンス戦略:マイクロセグメンテーションの重要な役割。マイクロセグメンテーションによって組織のセキュリティがどのように向上するかをご覧ください。