De financiële sector telt af naar DORA. Ja, toch?

Vanuit Tanium hebben we alvast een reeks programma’s uitgewerkt die organisaties kunnen opstarten om hun risico’s te beheren en compliant te worden. Op een recente IDC-conferentie gaf onze Chief Security Advisor Zac Warren daar meer uitleg over. Misschien moeten niet alle programma’s in één keer opgezet worden. Maar met de urgentie en de harde deadline van 17 januari 2025 doen organisaties er goed aan minstens enkele van deze adviezen te volgen.

Maar eerst nog even: wat is DORA? De Digital Operational Resilience Act (DORA) is ontworpen om de operationele veerkracht van de financiële sector van de EU te vergroten. Dit wil men bereiken door een uitgebreide reeks eisen op te stellen voor entiteiten die financiële diensten leveren binnen de Europese Unie. De wet omvat eisen voor risicobeheer, incidentenrapportage, het testen van de digitale operationele veerkracht en risicobeheer door derden.

Wat zijn nu precies die vijf programma’s die Zac Warren uitwerkte? Ze hebben betrekking op de volgende situaties:

1. Je kan alleen beheren wat je kent

Heb je een volledig en up-to-date overzicht van alle IT-assets die zich binnen je organisatie bevinden? Weet je of alle endpoints voorzien zijn van de meest recente besturingssystemen en iedere security patch effectief uitgerold is? Is het antwoord twee keer ja, dan bevind je je in een exclusief clubje, want in onderzoek van Tanium geeft 94% van de IT-managers aan dat er zich wel degelijk onbekende toestellen in hun netwerk bevinden. Organisaties moeten hun huidige werkwijzen voor het beheer van IT-middelen evalueren en domeinen identificeren die voor verbetering vatbaar zijn. De verzamelde informatie kan vervolgens worden gebruikt om een uitgebreid programma te ontwerpen en te implementeren dat het vinden van bedrijfsmiddelen automatiseert, om zo naleving van de vereisten van de DORA-richtlijn te garanderen

2. Verhoog de bewustwording, zet in op een betere cyberhygiëne

Een programma rond cyberhygiëne en bewustwording richt zich op het bevorderen van best practices op het gebied van cyberbeveiliging en het vergroten van het bewustzijn onder werknemers om security-problemen te voorkomen. Veel cyberincidenten ontstaan bij een eindgebruiker, bijvoorbeeld omdat deze in een phishing-val trapt of op een foute link klikt. Het goed voorlichten van alle medewerkers en het constant herhalen van de boodschap is één ding. Maar je kan niet alle verantwoordelijkheid bij de eindgebruiker leggen. Het opleggen van sterk wachtwoordbeheer, het verplichten van software updates en het implementeren van multifactor-authenticatie maakt evengoed deel uit van de cyberhygiëne van een organisatie

3. Zorg dat alle patches doorgevoerd zijn

We haalden het daarnet al aan: het constant updaten van software en het implementeren van de patches die software vendors aanbieden, is een cruciaal onderdeel van een goede cyberbeveiliging. Niet-gepatchte endpoints zijn een zegen voor hackers. Daarom is het noodzakelijk om niet alleen de patches uit te rollen, maar ook goed te controleren of die uitrol wel op ieder individueel toestel goed geslaagd is. Een converged endpoint management (XEM) oplossing kan daar wonderen verrichten.

4. Weet hoe je moet reageren op een incident, en leer incidenten detecteren

Hoe goed een bedrijf zich ook beveiligt, toch is het zo goed als onmogelijk om iedere cyberaanval te voorkomen en af te weren. Daarom is het belangrijk om incidenten snel te detecteren en ze ook te beantwoorden. Stel daarom een plan op met soorten en typen aanvallen, hoe kritiek die aanvallen kunnen zijn – afhankelijk van de data of de infrastructuur die bedreigd wordt – en op welke manier de organisatie moet ingrijpen bij een dergelijk incident. Maak een gedetailleerd plan van de stappen die genomen moeten worden. Zorg voor een scherpe omlijning van alle rollen en verantwoordelijkheden, zodat duidelijk is wie welke actie moet ondernemen. Een van die acties zal zijn het rapporteren over het incident naar overheden, zoals DORA eist. De regelgeving is hier heel strikt, wie zijn verantwoordelijkheid niet neemt, loopt kans op forse boetes. En zoals de recente juridische acties in de VS tegen de CISO’s van Uber en Solarwinds aantonen, kunnen functionarissen ook persoonlijk aansprakelijk worden gehouden.

5. Analyseer netwerkverkeer in real time

Lessen trekken uit deze incidenten is een ander cruciaal punt. Niet alle organisaties beschikken over een centraal systeem voor security monitoring dat alle security events bijhoudt en analyseert. Een goede analyse van wat er allemaal op het netwerk en in de applicaties gebeurt, zal aanleiding geven om acties te ondernemen om de beveiliging aan te passen en te verbeteren.

Technologie speelt een sleutelrol bij het voldoen aan de vereisten van DORA, maar het draait niet alleen om techniek. Net zo cruciaal zijn processen, policies en best practices. Door de vijf programma’s op te zetten die Zac uitwerkte, maken organisaties grote stappen om hun cyberweerbaarheid te verhogen en minder kwetsbaar te worden voor cyberaanvallen. Maar tegelijk zorgen ze er ook voor dat ze compliant zijn met DORA, en kunnen ze door alle programma’s goed te documenteren ook hun compliance bewijzen.