Organizatiile active in industria serviciilor financiare incep sa inregistreze progrese semnificative in implementarea modificarilor menite sa asigure conformarea cu noul regulament UE Legea privind rezilienta operationala digitala (Digital Operational Resilience Act - DORA), in contextul in care o treime dintre acestea (29%) au inceput sa se pregateasca inca din 2022 si, dintre acestea, 29% au finalizat deja, pana in februarie 2023, 75% din pasii de implementare planificati, conform celei mai recente editii a studiului Deloitte despre DORA. Intrata in vigoare in 2023, DORA este cea mai importanta initiativa de reglementare a UE privind rezilienta operationala si securitatea cibernetica in sectorul serviciilor financiare si impune organizatiilor sa implementeze modificari specifice in termen de 24 de luni de la adoptarea sa.
Toti cei patru piloni ai DORA – gestionarea riscurilor legate de tehnologia informatiei si comunicatii (TIC), raportarea incidentelor, testarea operationala si de rezilienta digitala, precum si managementului riscului generat de furnizorii TIC – genereaza la fel de multe provocari entitatilor din domeniul financiar, subliniaza studiul, insa o treime dintre respondenti (33%) mentioneaza ca al patrulea este cel mai greu de respectat. Raportul evidentiaza faptul ca companiile sunt in urma in ceea ce priveste evaluarea riscului generat de terti, in conditiile in care sapte din zece organizatii participante la studiu (69%) le efectueaza doar o data pe an, insuficient pentru a respecta cerintele DORA, in timp ce doar 13% le efectueaza in mod continuu, asa cum cere noul regulament. Respectarea acestor cerinte implica, de asemenea, revizuirea periodica a strategiei privind riscul generat de furnizorii de solutii TIC, luand in considerare strategia de a distribui serviciile pe furnizori multipli. O astfel de abordare va fi o provocare pentru jucatorii din industria serviciilor financiare, deoarece 29% dintre respondenti inca isi definesc o strategie holistica privind colaborarea cu mai multi furnizori de solutii de tehnologia informatiei si comunicatii, iar 21% dintre ei vor trebui sa si-o actualizeze pana in 2025, pentru ca au definit-o mai devreme de 2022.
Intelegerea gradului de interconectare dintre furnizorii de solutii TIC si cei de solutii de tehnologie considerate critice este, de asemenea, una dintre provocarile cu care organizatiile se pot confrunta pe parcursul implementarii DORA. Patru din zece institutii financiare participante la studiu (43%) au mentionat ca nu au demarat inca acest proces care sustine functiile critice si importante ale companiei. Studiul evidentiaza faptul ca functiile considerate critice si importante sunt autorizarea (14%) si autentificarea tranzactiilor de plata (12%), urmate de operatiunile IT si tranzactiile efectuate de clienti prin intermediul canalelor digitale (12% fiecare).
„Pentru a se conforma cerintelor DORA, organizatiile vor fi nevoite sa faca o clasificare a functiilor critice sau importante, a caror intrerupere le-ar afecta rezultatele financiare si continuitatea serviciilor, dar si sa-si actualizeze constant lista acestor functii si sa le identifice de-a lungul intregului lant al furnizorilor de servicii de tehnologia informatiei si comunicatii, critice sau nu, astfel cum sunt definite in Standardele Tehnice de Reglementare, care vor intra in curand in vigoare. In plus, institutiile financiare vor trebui sa dezvolte metode de testare a scenariilor de rezilienta si strategii multi-furnizor pentru toate sistemele care sustin functii critice si importante”, a declarat Sergiu Zaharia, Director Cyber Strategy Advisory, Deloitte Romania.
DORA impune, de asemenea, institutiilor financiare sa efectueze anual teste ale planului de raspuns la incidente. Patru din zece respondenti (36%) au efectuat astfel de exercitii in ultimele 12 luni, testand functiile critice si pe cele importante, in timp ce 64% nu au efectuat astfel de teste in ultimele 12 luni.
Avand in vedere cerintele DORA, organizatiile financiare vor trebui, de asemenea, sa efectueze teste de penetrare bazate pe amenintari (TLPT) asupra tuturor sistemelor si aplicatiilor TIC critice si asupra functiilor importante, in mediul de productie. Jumatate dintre entitatile financiare chestionate au efectuat astfel de teste, iar restul au testat doar in mediu non-live. Institutiile financiare prefera sa efectueze teste de penetrare bazate pe amenintari utilizand un mix de echipe interne si de consultanti, 57% dintre respondenti avand experti angajati de Blue Team, responsabili de asigurarea eficientei masurilor de securitate din cadrul unei organizatii, in timp ce rolurile de Red Team, care vizeaza incercarea de intruziune fizica sau digitala intr-o organizatie, si cele de Purple Team, o combinatie intre echipele Blue si Red, sunt acoperite de consultanti externi.
Ce mai recenta editie a studiului Deloitte privind DORA sondeaza opiniile directorilor de securitate a informatiei (CISO), a directorilor IT (CIO), a managerilor de risc operational, de risc IT si de risc (CRO) din institutii financiare din 20 de tari din Europa. Raportul isi propune sa inteleaga cat de pregatite sunt institutiile financiare pentru implementarea modificarilor impuse de DORA, precum si care sunt provocarile asociate cu care se confrunta aceste institutii.
Echipa de securitate cibernetica a Deloitte Romania este specializata in oferirea de servicii de strategie, incluzand exercitii de simulare a crizelor cibernetice si evaluari holistice ale nivelului de maturitate cibernetica de tip deep dive, servicii de aparare, inclusiv managementul identitatii si accesului, operatiuni de securitate, procese si tehnologii de pregatire si de raspuns la incidente, precum si servicii de atac, vizand in special efectuarea de teste de penetrare, precum exercitiile de tip red-teaming (TIBER-EU).
Echipa locala contribuie activ la cele mai importante exercitii cibernetice organizate in Romania. In ultimii ani, Deloitte Romania a fost una dintre putinele organizatii private selectate pentru a participa, alaturi de Ministerul Apararii Nationale, la exercitiile anuale organizate de NATO. In 2022, echipa Deloitte a participat la unul dintre cele mai mari exercitii de securitate cibernetica organizate in Romania de Centrul National CYBERINT din cadrul Serviciului Roman de Informatii. In plus, expertii locali in securitate cibernetica, care detin zeci de certificari de specialitate, ofera cursuri si certificari recunoscute international prin intermediul Deloitte Academy, divizia de formare profesionala a Deloitte Romania. Deloitte este si centru oficial autorizat de training in Romania pentru Consiliul International de Consultanti in E-Commerce, cunoscut si ca EC-Council.
La nivel global, pentru al unsprezecelea an consecutiv, Gartner a clasat Deloitte pe pozitia de lider in servicii de consultanta in securitate dupa cota de piata.
Deloitte furnizeaza la nivel global servicii de audit, consultanta fiscala si juridica, consultanta, consultanta financiara si managementul riscului catre aproximativ 90% din companiile prezente in topul Fortune Global 500® si catre mii de companii din sectorul privat. Expertii firmei contribuie la atingerea unor rezultate masurabile si de durata, care ajuta la consolidarea increderii in pietele de capital, care permit companiilor sa se transforme, sa prospere si sa deschida calea catre o economie mai puternica, catre o societate mai echitabila si o lume sustenabila. Cu o istorie de peste 175 de ani, Deloitte acopera peste 150 de tari si teritorii. Obiectivul sau este sa creeze un impact vizibil in societate cu ajutorul celor aproximativ 415.000 de profesionisti la nivel mondial.
Deloitte Romania este una dintre cele mai mari firme de servicii profesionale din tara noastra si ofera, in cooperare cu Reff & Asociatii | Deloitte Legal, servicii de audit, de consultanta fiscala, servicii juridice, de consultanta si managementul riscului, consultanta financiara, solutii de servicii si consultanta in tehnologie, precum si alte servicii adiacente, prin intermediul a peste 3.000 de profesionisti.
Pentru a afla mai multe despre reteaua globala a firmelor membre, va rugam sa accesati www.deloitte.com/ro/despre.
