Strategii de ieșire pentru furnizori terți de servicii TIC conform DORA, susținute de controale ISO 27001

La 07:42, într-o zi de luni, un responsabil de operațiuni dintr-o companie fintech primește mesajul pe care nimeni nu vrea să îl citească: furnizorul cloud utilizat pentru monitorizarea tranzacțiilor companiei a suferit o indisponibilitate regională severă. La 08:15, directorul de risc (CRO) întreabă dacă serviciul afectat susține o funcție critică sau importantă. La 08:40, departamentul juridic vrea să știe dacă firma are prevăzute contractual asistență la tranziție, exportul datelor, ștergerea datelor și drepturi de audit. La 09:05, directorul securității informației (CISO) caută dovezi că planul de ieșire a fost testat, nu doar redactat.

Într-o altă firmă de servicii financiare, Sarah, CISO al unei platforme fintech cu creștere rapidă, deschide o solicitare de informații înaintea auditului pentru o evaluare a conformității DORA. Întrebările îi sunt familiare până ajunge la secțiunea privind furnizorii terți de servicii TIC care susțin funcții critice sau importante. Auditorii nu întreabă dacă organizația are o politică privind furnizorii. Ei solicită strategii de ieșire documentate, testate și viabile.

Gândul îi sare la furnizorul cloud principal care găzduiește platforma, apoi la furnizorul de servicii de securitate administrate care monitorizează amenințările 24/7. Ce se întâmplă dacă furnizorul cloud este afectat de o perturbare geopolitică? Ce se întâmplă dacă furnizorul de servicii de securitate administrate (MSSP) este achiziționat de un concurent? Ce se întâmplă dacă un furnizor SaaS critic intră în insolvență, încetează furnizarea serviciului sau pierde încrederea clienților după un incident major?

Răspunsul incomod este același în multe firme. Există o evaluare a riscului asociat furnizorilor, un plan de continuitate a activității, un dosar contractual, un inventar cloud și poate un raport privind backup-urile. Dar nu există o strategie unitară de ieșire pentru furnizori terți de servicii TIC conform DORA, pregătită pentru audit, care să lege criticitatea activității, drepturile contractuale, portabilitatea tehnică, planurile de continuitate, dovezile privind backup-urile, obligațiile de confidențialitate și aprobarea conducerii.

DORA schimbă abordarea managementului furnizorilor. În temeiul Regulamentului (UE) 2022/2554, entitățile financiare trebuie să gestioneze riscul asociat terților TIC ca parte a cadrului de management al riscurilor TIC. Acestea rămân pe deplin responsabile pentru conformitate, mențin un registru al acordurilor contractuale privind serviciile TIC, disting acordurile TIC care susțin funcții critice sau importante, evaluează riscurile de concentrare și subcontractare și mențin strategii de ieșire pentru dependențele critice față de terții TIC. DORA se aplică de la 17 ianuarie 2025 și stabilește cerințe uniforme la nivelul UE pentru managementul riscurilor TIC, raportarea incidentelor, testarea rezilienței, schimbul de informații și managementul riscurilor asociate terților TIC pentru o gamă largă de entități financiare.

O strategie de ieșire DORA nu este un paragraf într-un contract cu un furnizor. Este un sistem de control. Trebuie guvernată, evaluată din perspectiva riscului, fezabilă tehnic, opozabilă contractual, testată, susținută prin dovezi și îmbunătățită continuu.

Abordarea Clarysec combină Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, șabloane de politici pentru mediul enterprise și Zenith Controls: The Cross-Compliance Guide Zenith Controls pentru a transforma întrebarea de luni dimineață într-un răspuns pregătit.

De ce eșuează strategiile de ieșire DORA în auditurile reale

Cele mai multe eșecuri ale strategiilor de ieșire TIC conform DORA sunt structurale înainte de a fi tehnice. Organizația are un responsabil de furnizor, dar nu are un proprietar de risc desemnat. Are procese de backup, dar nu are dovezi de restaurare. Are un chestionar de due diligence pentru furnizori, dar nu are o decizie documentată privind susținerea unei funcții critice sau importante de către furnizor. Are clauze de încetare a contractului, dar nu are o perioadă de tranziție aliniată cu planul de continuitate a activității.

DORA obligă aceste elemente să funcționeze împreună. Article 28 stabilește principiile generale pentru managementul riscurilor asociate terților TIC, inclusiv necesitatea de a gestiona riscul furnizorilor terți de servicii TIC pe întregul ciclu de viață și de a menține strategii de ieșire adecvate. Article 30 stabilește cerințe contractuale detaliate pentru serviciile TIC care susțin funcții critice sau importante, inclusiv descrierea serviciilor, locațiile de prelucrare a datelor, măsurile de protecție a securității, drepturile de acces și audit, asistența în caz de incident, cooperarea cu autoritățile competente și drepturile de încetare.

Reglementarea este, de asemenea, proporțională. Articles 4 și 16 permit anumitor entități mai mici sau exceptate să aplice un cadru simplificat de management al riscurilor TIC. Dar simplificat nu înseamnă nedocumentat. Entitățile financiare mai mici au în continuare nevoie de management documentat al riscurilor TIC, monitorizare continuă, sisteme reziliente, identificarea promptă a incidentelor TIC, identificarea dependențelor esențiale față de terții TIC, backup și restaurare, continuitatea activității, răspuns și recuperare, testare, lecții învățate și instruire.

O companie fintech mică nu poate spune: „Suntem prea mici pentru planificarea ieșirii.” Poate spune: „Strategia noastră de ieșire DORA este dimensionată în funcție de mărimea, profilul de risc și complexitatea serviciilor noastre.” Diferența este dată de dovezi.

Pentru entitățile care intră și în domeniul național de aplicare al NIS2, DORA funcționează ca act juridic al Uniunii specific sectorului pentru obligațiile de securitate cibernetică suprapuse în sectorul financiar. NIS2 rămâne relevantă în ecosistemul mai larg, în special pentru furnizorii de servicii administrate, furnizorii de servicii de securitate administrate, furnizorii cloud, centrele de date și entitățile de infrastructură digitală. NIS2 Article 21 consolidează aceleași teme: analiza riscurilor, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, achiziția securizată, evaluarea eficacității, instruirea, criptografia, controlul accesului, managementul activelor și autentificarea.

Autoritățile de supraveghere, clienții, auditorii și consiliile de administrație pot formula întrebarea diferit, însă problema de fond este aceeași: puteți ieși din relația cu un furnizor TIC critic fără a pierde controlul asupra continuității serviciului, datelor, dovezilor sau impactului asupra clienților?

Integrați strategia de ieșire în SMSI

ISO/IEC 27001:2022 oferă structura de sistem de management pentru planificarea ieșirii conform DORA.

Clauzele 4.1-4.4 cer organizației să își definească contextul, părțile interesate, cerințele legale, de reglementare și contractuale, domeniul de aplicare al SMSI, interfețele, dependențele și procesele. Aici o entitate financiară identifică obligațiile DORA, angajamentele față de clienți, așteptările privind externalizarea, dependențele cloud, obligațiile de confidențialitate, subcontractorii și serviciile TIC aflate în limitele SMSI.

Clauzele 5.1-5.3 cer leadership, politică, resurse, atribuirea rolurilor și responsabilităților. Acest lucru se aliniază cu modelul de guvernanță DORA, în care organul de conducere definește, aprobă, supraveghează și rămâne responsabil pentru managementul riscurilor TIC, inclusiv continuitatea activității TIC, planurile de răspuns și recuperare, planurile de audit TIC, bugetele, strategia de reziliență și politica privind riscurile asociate terților TIC.

Clauzele 6.1.1-6.1.3 transformă planificarea ieșirii în tratament al riscului. Organizația definește criterii de risc, efectuează evaluări repetabile ale riscurilor, identifică riscurile pentru confidențialitate, integritate și disponibilitate, atribuie proprietari de risc, evaluează consecințele și probabilitatea, selectează opțiuni de tratament, compară controalele cu Anexa A, produce o Declarație de aplicabilitate, pregătește un plan de tratament al riscurilor și obține aprobarea proprietarului de risc și acceptarea riscului rezidual.

Clauza 8.1 cere apoi planificare și control operațional. Organizația trebuie să planifice, să implementeze și să controleze procesele SMSI, să mențină informații documentate care demonstrează că procesele au fost realizate conform planificării, să gestioneze schimbările și să controleze procesele, produsele sau serviciile furnizate extern care sunt relevante pentru SMSI.

ISO/IEC 27005:2022 consolidează această abordare. Clauza 6.2 recomandă organizațiilor să identifice cerințele părților interesate, inclusiv controalele din Anexa A ISO/IEC 27001:2022, standardele specifice sectorului, reglementările naționale și internaționale, regulile interne, cerințele contractuale și controalele existente rezultate din tratamente anterioare ale riscului. Clauzele 6.4.1-6.4.3 explică faptul că criteriile de risc trebuie să ia în considerare aspecte legale și de reglementare, relațiile cu furnizorii, confidențialitatea, impactul operațional, încălcările contractuale, operațiunile terților și consecințele reputaționale. Clauzele 8.2-8.6 susțin o bibliotecă de controale și un plan de tratament care pot combina Anexa A ISO/IEC 27001:2022 cu DORA, NIS2, GDPR, angajamentele față de clienți și politicile interne.

Modelul operațional este simplu: un inventar al cerințelor, un registru al riscurilor asociate furnizorilor, o Declarație de aplicabilitate, un plan de tratament al riscurilor și un pachet de dovezi pentru fiecare scenariu critic de ieșire.

Controalele ISO/IEC 27001:2022 care ancorează planificarea ieșirii DORA

Strategiile de ieșire DORA devin pregătite pentru audit atunci când guvernanța furnizorilor, portabilitatea cloud, planificarea continuității și dovezile privind backup-urile sunt tratate ca un singur lanț de controale conectate.

Zenith Controls al Clarysec mapează controalele din Anexa A ISO/IEC 27001:2022 la atribute de control, dovezi de audit și așteptări de conformitate încrucișată. Nu este un cadru de control separat. Este ghidul Clarysec de conformitate încrucișată pentru înțelegerea modului în care controalele ISO/IEC 27001:2022 susțin rezultatele de audit, de reglementare și operaționale.

Pentru o strategie de ieșire pentru furnizori terți de servicii TIC conform DORA, pista de audit trebuie să arate că:

• Furnizorul este clasificat și legat de procesele de afaceri.
• Serviciul este evaluat pentru a stabili dacă susține o funcție critică sau importantă.
• Riscul de ieșire este înregistrat și are un proprietar de risc desemnat.
• Clauzele contractuale susțin tranziția, accesul, auditul, returnarea datelor, ștergerea datelor, cooperarea și continuitatea.
• Portabilitatea și interoperabilitatea cloud au fost validate.
• Backup-urile și testele de restaurare demonstrează recuperabilitatea.
• Substituirea temporară sau prelucrarea alternativă a fost documentată.
• Rezultatele testării ieșirii au fost revizuite, remediate și raportate conducerii.

Limbajul contractual este primul control de continuitate

Contractul trebuie să fie primul control de continuitate, nu un obstacol în calea continuității. Dacă furnizorul poate înceta rapid serviciul, întârzia exporturile, restricționa accesul la jurnale, percepe taxe de tranziție nedefinite sau refuza suportul pentru migrare, strategia de ieșire este fragilă.

În Zenith Blueprint, faza Controls in Action, Step 23, Control 5.20, explică faptul că acordurile cu furnizorii trebuie să includă cerințele practice de securitate care fac posibilă ieșirea:

Domeniile-cheie abordate de regulă în acordurile cu furnizorii includ:

✓ Obligații de confidențialitate, inclusiv domeniul de aplicare, durata și restricțiile privind divulgarea către terți;

✓ Responsabilități de control al accesului, cum ar fi cine poate accesa datele, cum sunt gestionate credențialele și ce monitorizare este implementată;

✓ Măsuri tehnice și organizatorice pentru protecția datelor, criptare, transmitere securizată, backup și angajamente de disponibilitate;

✓ Termene și protocoale de raportare a incidentelor, adesea cu intervale de timp definite;

✓ Drepturi de audit, inclusiv frecvență, domeniu de aplicare și acces la dovezi relevante;

✓ Controale pentru subcontractori, prin care furnizorul este obligat să transfere obligații de securitate echivalente partenerilor săi din aval;

✓ Prevederi de încetare a contractului, cum ar fi returnarea sau distrugerea datelor, recuperarea activelor și dezactivarea conturilor.

Această listă creează puntea dintre așteptările contractuale din DORA Article 30 și controlul A.5.20 din Anexa A ISO/IEC 27001:2022.

Limbajul politicilor enterprise Clarysec formulează aceeași cerință în termeni operaționali. În Politica de management al riscului de dependență față de furnizori Politica de management al riscului de dependență față de furnizori, secțiunea „Cerințe de implementare”, clauza 6.4.3 prevede:

Mecanisme tehnice de revenire: asigurați portabilitatea și interoperabilitatea datelor pentru a susține tranziția serviciului atunci când este necesar (de exemplu, backup-uri regulate în formate standard de la un furnizor SaaS pentru a permite migrarea).

Aceeași politică, clauza 6.8.2, cere:

Dreptul la asistență la tranziție (clauză de asistență la ieșire) atunci când este necesară schimbarea furnizorului, inclusiv continuarea serviciului pe o perioadă de tranziție definită.

Această clauză decide adesea dacă o strategie de ieșire rezistă la audit. Ea transformă ieșirea dintr-un eveniment abrupt într-o tranziție gestionată.

Pentru entitățile mai mici, Politica de securitate privind terții și furnizorii - IMM Politica de securitate privind terții și furnizorii - IMM, secțiunea „Cerințe de guvernanță”, clauza 5.3.6, cere:

Termeni de încetare, inclusiv returnarea sau distrugerea securizată a datelor

Pentru mediile enterprise, Politica de securitate privind terții și furnizorii Politica de securitate privind terții și furnizorii, secțiunea „Cerințe de implementare a politicii”, clauza 6.5.1.2 cere:

Returnarea sau distrugerea certificată a tuturor informațiilor deținute de organizație

Aceste cerințe de politică trebuie să fie trasabile direct către clauze contractuale, proceduri ale furnizorului, runbook-uri de ieșire și dovezi de audit.

Ieșirea din cloud: testați portabilitatea înainte să aveți nevoie de ea

Serviciile cloud sunt zona în care strategiile de ieșire DORA devin adesea vagi. Firma presupune că poate exporta datele, dar nimeni nu a testat formatul. Presupune că ștergerea va avea loc, dar modelul de retenție al furnizorului include backup-uri și stocare replicată. Presupune că un furnizor alternativ poate primi datele, dar schemele, integrările de identitate, cheile de criptare, secretele, jurnalele, API-urile și limitarea ratei solicitărilor fac migrarea mai lentă decât permite toleranța la impact.

Controlul A.5.23 din Anexa A ISO/IEC 27001:2022 tratează această problemă de ciclu de viață prin cerința de a avea controale de securitate a informației pentru achiziția, utilizarea, managementul și ieșirea din serviciile cloud.

Politica de utilizare a serviciilor cloud - IMM a Clarysec Politica de utilizare a serviciilor cloud - IMM, secțiunea „Cerințe de implementare a politicii”, clauza 6.3.4 cere:

Capabilitatea de export al datelor confirmată înainte de integrare (de exemplu, pentru a evita dependența de furnizor)

Clauza 6.3.5 cere:

Confirmarea procedurilor de ștergere securizată înainte de închiderea contului

Aceste cerințe aparțin începutului ciclului de viață al furnizorului. Nu așteptați până la încetare pentru a întreba dacă datele pot fi exportate. Nu așteptați până la închiderea contului pentru a întreba dacă există dovezi ale ștergerii.

Un test practic de ieșire din cloud conform DORA trebuie să includă:

1. Exportul unui set de date reprezentativ în formatul agreat.
2. Validarea completitudinii, integrității, marcajelor temporale, metadatelor și controalelor de acces.
3. Importul setului de date într-un mediu de staging sau într-un instrument alternativ.
4. Confirmarea modului de gestionare a cheilor de criptare și a rotației secretelor.
5. Confirmarea exportului jurnalelor și a păstrării pistei de audit.
6. Documentarea procedurilor de ștergere ale furnizorului, inclusiv retenția backup-urilor și certificarea ștergerii.
7. Înregistrarea problemelor, acțiunilor de remediere, proprietarilor și termenelor-limită.
8. Actualizarea evaluării riscului asociat furnizorului, a Declarației de aplicabilitate și a planului de ieșire.

Portabilitatea nu este o promisiune de achiziție. Este o capabilitate testată.

Un sprint de o săptămână pentru un plan de ieșire DORA pregătit pentru audit

Să luăm exemplul unei instituții de plată care utilizează un furnizor SaaS de analiză antifraudă. Furnizorul ingerează date de tranzacții, identificatori ai clienților, date de telemetrie ale dispozitivelor, semnale comportamentale, reguli antifraudă, rezultate de scorare și note de caz. Serviciul susține un proces critic de detectare a fraudei. Firma folosește și un depozit de date cloud pentru stocarea rezultatelor analizelor exportate.

CISO dorește o strategie de ieșire pentru furnizori terți de servicii TIC conform DORA care să reziste auditului intern și revizuirii de supraveghere. Un sprint de o săptămână poate evidenția lacunele și poate construi lanțul de dovezi.

Ziua 1: clasificați furnizorul și definiți scenariul de ieșire

Folosind Zenith Blueprint, faza Controls in Action, Step 23, Action Items pentru controalele 5.19-5.37, echipa începe prin revizuirea și clasificarea portofoliului de furnizori:

Compilați o listă completă a furnizorilor și furnizorilor de servicii curenți (5.19) și clasificați-i în funcție de accesul la sisteme, date sau control operațional. Pentru fiecare furnizor clasificat, verificați că așteptările de securitate sunt incluse clar în contracte (5.20), inclusiv confidențialitatea, accesul, raportarea incidentelor și obligațiile de conformitate.

Furnizorul este clasificat drept critic deoarece susține o funcție critică sau importantă, prelucrează date operaționale sensibile și afectează rezultatele monitorizării tranzacțiilor.

Echipa definește trei declanșatoare de ieșire:

• Insolvența furnizorului sau întreruperea serviciului.
• Încălcare semnificativă a securității sau pierderea încrederii.
• Migrare strategică pentru reducerea riscului de concentrare.

Ziua 2: construiți inventarul cerințelor și înregistrarea riscului

Echipa creează un inventar unic al cerințelor care acoperă riscul asociat terților TIC conform DORA, controalele ISO/IEC 27001:2022 privind furnizorii și serviciile cloud, obligațiile GDPR pentru datele cu caracter personal, angajamentele contractuale față de clienți și apetitul intern la risc.

În baza GDPR, firma confirmă dacă identificatorii tranzacțiilor, ID-urile dispozitivelor, semnalele de localizare și analiza comportamentală se referă la persoane identificate sau identificabile. Principiile GDPR Article 5, inclusiv integritatea, confidențialitatea, limitarea stocării și responsabilitatea, devin parte a cerinței de dovezi pentru ieșire. Dacă ieșirea implică transferul către un nou furnizor, temeiul juridic, scopul, minimizarea, retenția, termenii pentru persoana împuternicită și măsurile de protecție trebuie documentate.

Înregistrarea riscului include următoarele:

Ziua 3: remediați lacunele contractuale

Departamentele Juridic și Achiziții compară contractul cu clauzele Clarysec privind furnizorii. Adaugă asistență la tranziție, continuarea serviciului pe o perioadă de tranziție definită, acces la audit și la dovezi, notificarea subcontractorilor, formatul de export al datelor, certificarea ștergerii securizate, cooperarea în caz de incident și angajamente privind timpii de recuperare.

Politica privind continuitatea activității și recuperarea în caz de dezastru Politica privind continuitatea activității și recuperarea în caz de dezastru, secțiunea „Cerințe de implementare a politicii”, clauza 6.5.1 prevede:

Contractele cu furnizorii critici trebuie să includă obligații privind continuitatea și angajamente privind timpii de recuperare.

Pentru IMM-uri, Politica privind continuitatea activității și recuperarea în caz de dezastru - IMM Politica privind continuitatea activității și recuperarea în caz de dezastru - IMM, secțiunea „Tratamentul riscului și excepții”, clauza 7.2.1.4 cere echipelor să:

documenteze planuri temporare de substituire a furnizorilor sau partenerilor

Această clauză transformă „vom migra” într-o soluție de revenire acționabilă: care furnizor, ce soluție alternativă internă, ce proces manual, ce extras de date, ce proprietar și ce cale de aprobare.

Ziua 4: testați portabilitatea datelor și recuperabilitatea backup-urilor

Echipa tehnologică exportă regulile antifraudă, datele de caz, rezultatele scorării tranzacțiilor, jurnalele, configurația, documentația API și listele de acces ale utilizatorilor. Echipa testează dacă datele pot fi restaurate sau reutilizate într-un mediu controlat.

Politica de backup și restaurare - IMM Politica de backup și restaurare - IMM, secțiunea „Cerințe de guvernanță”, clauza 5.3.3 cere:

Testele de restaurare sunt efectuate cel puțin trimestrial, iar rezultatele sunt documentate pentru a verifica recuperabilitatea

Politica de backup și restaurare enterprise Politica de backup și restaurare, secțiunea „Aplicare și conformitate”, clauza 8.3.1 adaugă:

Auditați periodic jurnalele de backup, setările de configurare și rezultatele testelor

În Zenith Blueprint, faza Controls in Action, Step 19, Control 8.13, Clarysec avertizează de ce contează acest lucru:

Testarea restaurării este punctul în care cele mai multe organizații nu reușesc să îndeplinească așteptările. Un backup care nu poate fi restaurat la timp sau deloc este o răspundere, nu un activ. Programați exerciții regulate de restaurare, chiar și parțiale, și documentați rezultatul.

Echipa descoperă că notele de caz exportate nu includ atașamentele, iar limitările de rată ale API-ului fac exportul complet prea lent pentru obiectivul de recuperare definit. Problema este înregistrată, atribuită și remediată printr-un act adițional contractual și reproiectarea tehnică a exportului.

Ziua 5: derulați exercițiul tabletop de ieșire și revizuirea dovezilor

Echipa efectuează un exercițiu tabletop: furnizorul anunță încetarea în 90 de zile după un incident major. Operațiunile trebuie să continue monitorizarea fraudei în timp ce datele sunt migrate.

În Zenith Blueprint, faza Controls in Action, Step 23, Control 5.30, Clarysec explică standardul de testare:

Pregătirea TIC începe cu mult înainte de apariția perturbării. Ea implică identificarea sistemelor critice, înțelegerea interdependențelor acestora și maparea lor la procesele de afaceri.

Aceeași secțiune adaugă:

Obiectivele privind timpul de recuperare (RTO) și obiectivele privind punctul de recuperare (RPO) definite în planul de continuitate a activității trebuie reflectate în configurațiile tehnice, contracte și proiectarea infrastructurii.

Pachetul de dovezi include clasificarea furnizorului, evaluarea riscurilor, clauzele contractuale, runbook-ul de ieșire, rezultatele exportului de date, dovezile privind restaurarea backup-ului, procedura de ștergere, evaluarea furnizorului alternativ, procesul-verbal al exercițiului tabletop, registrul de remediere, aprobarea conducerii și decizia privind riscul rezidual.

CISO poate acum răspunde consiliului de administrație cu dovezi, nu cu optimism.

Conformitate încrucișată: un plan de ieșire, mai multe perspective de audit

O strategie de ieșire DORA solidă reduce munca duplicată de conformitate în raport cu așteptările de guvernanță ISO/IEC 27001:2022, NIS2, GDPR, NIST și COBIT 2019.

Ideea importantă nu este că un cadru îl înlocuiește pe altul. Valoarea constă în faptul că un SMSI bine construit permite organizației să genereze dovezi o singură dată și să le reutilizeze inteligent.

Zenith Controls al Clarysec ajută echipele să se pregătească pentru aceste perspective de audit prin conectarea controalelor ISO/IEC 27001:2022 la dovezi de audit și așteptări din mai multe cadre.

Un eșec comun de audit este fragmentarea dovezilor. Responsabilul furnizorului are contractul. IT are jurnalele de backup. Juridicul are acordul de prelucrare a datelor. Riscul are evaluarea. Conformitatea are maparea reglementărilor. Nimeni nu are imaginea completă.

Clarysec rezolvă acest lucru prin proiectarea pachetului de dovezi în jurul scenariului de ieșire. Fiecare document răspunde unei întrebări de audit: ce serviciu este părăsit, de ce este critic, ce date și sisteme sunt afectate, cine deține riscul, ce drepturi contractuale fac posibilă ieșirea, ce mecanisme tehnice fac posibilă migrarea, ce aranjamente de continuitate mențin activitatea în funcțiune, ce test dovedește că planul funcționează, ce probleme au fost remediate și cine a aprobat riscul rezidual.

Lista de verificare Clarysec pentru strategia de ieșire DORA

Utilizați această listă de verificare pentru a transforma o strategie de ieșire pentru furnizori terți de servicii TIC conform DORA dintr-un document într-un set de controale verificabil prin audit.

Transformați planificarea ieșirii într-un control de reziliență pregătit pentru consiliul de administrație

Dacă strategia dumneavoastră de ieșire DORA este doar o clauză contractuală, nu este pregătită. Dacă backup-ul nu a fost niciodată restaurat, nu este pregătit. Dacă furnizorul cloud poate exporta datele, dar nimeni nu a validat completitudinea, nu este pregătit. Dacă organul de conducere nu poate vedea decizia privind riscul rezidual, nu este pregătită.

Clarysec ajută CISO, managerii de conformitate, auditorii și proprietarii de procese de afaceri să construiască strategii de ieșire pentru furnizori terți de servicii TIC conform DORA care sunt practice, proporționale și pregătite pentru audit. Combinăm Zenith Blueprint Zenith Blueprint pentru secvențierea implementării, Zenith Controls Zenith Controls pentru maparea conformității încrucișate și șabloane de politici precum Politica de management al riscului de dependență față de furnizori Politica de management al riscului de dependență față de furnizori, Politica de utilizare a serviciilor cloud - IMM Politica de utilizare a serviciilor cloud - IMM, Politica de securitate privind terții și furnizorii - IMM Politica de securitate privind terții și furnizorii - IMM și Politica privind continuitatea activității și recuperarea în caz de dezastru Politica privind continuitatea activității și recuperarea în caz de dezastru pentru a crea un lanț complet de la control la dovezi.

Următorul pas este simplu și cu valoare ridicată: selectați săptămâna aceasta un furnizor TIC critic. Clasificați-l, revizuiți-i contractul, testați un export de date, verificați o restaurare, documentați un plan de substituire și creați un pachet de dovezi.

Acest singur exercițiu va arăta dacă strategia dumneavoastră de ieșire DORA este o capabilitate reală de reziliență sau doar un document care așteaptă să eșueze la audit.