Operationele veerkracht en compliance handhaven met DORA

Nu steeds meer financiële dienstverleners in de EU hun weg proberen te vinden in het doolhof van digitale bedrijfsvoering, is compliance met voorschriften zoals de Digital Operational Resilience Act (DORA) van essentieel belang. Financiële dienstverleners hebben tot 17 januari 2025 de tijd om te voldoen aan DORA, anders kunnen boetes worden opgelegd.

De verordening is bedoeld om ervoor te zorgen dat de informatie- en communicatietechnologie (ICT) die door financiële instellingen wordt gebruikt in staat is om zich te verdedigen tegen, te reageren op en te herstellen van beveiligingsgerelateerde verstoringen om hun bedrijfsvoering, klanten en de markt te kunnen beschermen.

De wettelijke vereisten die in de vorm van vijf pijlers zijn gestructureerd, hebben betrekking op onderwerpen zoals gecentraliseerde frameworks voor ICT-risico's, realtime rapportage van incidenten, risicobeheer van externe leveranciers, regelmatige weerbaarheidstests en pentesten om bedreigingen te verminderen, en het delen van informatie tussen financiële dienstverleners.

Hoewel het misschien een van de vele administratieve uitdagingen lijkt in een al sterk gereguleerde financiële branche, biedt DORA in feite een waardevolle kans voor vooruitstrevende organisaties, waaronder grote technologieproviders.

Zelfs organisaties die niet aan DORA hoeven te voldoen, kunnen profiteren door DORA-compliance te zien als een framework voor verbeterdeveerkracht

Compliancebeheer voor operationele excellentie

Het valideren en delen van compliance-details in overeenstemming met interne regels of externe voorschriften kan behoorlijk omslachtig zijn. Met ServiceNow Operational Resilience Management kunnen organisaties compliance-rapportage nauwkeurig en binnen de voorgeschreven tijdlijn automatiseren.

Gestroomlijnde rapportages en audits kunnen leiden tot een hogere operationele efficiëntie en een betere betrouwbaarheid. Deze voordelen kunnen uiteindelijk leiden tot aanzienlijke concurrentievoordelen doordat hiermee de kosten van ICT-incidenten worden verlaagd en het algehele risicoprofiel wordt verbeterd.

Dit helpt de compliancelast voor teams te verminderen, zodat ze zich kunnen richten op strategische initiatieven en de algehele servicekwaliteit kunnen verbeteren. Serviceniveaudoelen (SLO's) en geautomatiseerde reacties kunnen helpen bij het opbouwen van een cultuur van betrouwbaarheid, die klanten en belanghebbenden ten goede komt.

De rol van technologie bij het ondersteunen van compliance

Voor DORA is meetbare compliance vereist met standaarden voor operationele veerkracht voor financiële instellingen. Veel financiële dienstverleners volgen kritieke services door regelgevingsframeworks te taggen in serviceoverzichten. Dit biedt echter niet altijd inzicht in de interactie tussen de services en de onderliggende infrastructuur.

Dat betekent dat er beperkte geconsolideerde informatie is over service-eigendom, afhankelijkheden, regelgevingsgevoeligheden en risicoposities. Het ServiceNow-platform kan helpen dit probleem op te lossen.

Naast de mogelijkheden die beschikbaar zijn in Operational Resilience Management, kan ServiceNow Service Reliability Management organisaties helpen bij het uitvoeren van digitale operationele veerkrachttests en ICT-gerelateerde incidentrapportage. Het product biedt SLO's, automatisering van waarschuwingsreacties en on-call incidentrespons.

Met Service Reliability Management kunnen organisaties:

• SLO's definiëren en monitoren door specifieke meetwaarden te configureren met betrekking tot uptime, prestaties en incidentoplossing
• Compliance volgen met de DORA-verordening met realtime monitoring, identificeren wanneer SLO's tekortschieten en snelle corrigerende acties mogelijk maken

Met meer controle over hun digitale services kunnen organisaties de verantwoordelijkheid voor de beschikbaarheid van hun digitale voetafdruk dichter naar de teams brengen die eigenaar zijn van de services. Hiermee wordt een nieuwe kennislaag over toepassingsinteracties, gedrag en patronen geïntroduceerd.

Om de voordelen van deze kans volledig te kunnen benutten, is een technologiestrategie nodig die is geïntegreerd in de structuur van organisaties.

Door een configuratiebeheerdatabase (CMDB) en servicemapping te implementeren, kunnen organisaties PCI-, SOX- en DORA-compliancetags toevoegen aan services. Het naleven van SLO's kan organisaties helpen hun toewijding aan de betrouwbaarheid van de service aan te tonen en de zichtbaarheid te krijgen die nodig is voor audits, beveiliging en risicodoeleinden om compliance te handhaven.

DORA benadrukt effectief on-call incidentbeheer. ServiceNow kan organisaties helpen:

• On-call schema's te stroomlijnen door automatisch de juiste teams toe te wijzen om te reageren op incidenten, met escalatiebeleid voor 24/7 compliance
• De reactie op waarschuwingen te automatiseren, om waarschuwingen automatisch te onderdrukken, te verrijken, te groeperen en te escaleren naar incidenten, zodat teams kunnen reageren op de meest kritieke waarschuwingen
• Op basis van waarschuwingen incidenten te creëren om ontwikkelingsteams te informeren wanneer foutbudgetten dreigen te worden overschreden

Een goed gestructureerd on-call beheersysteem kan de responstijden voor incidenten verbeteren en aansluiten bij de verwachtingen van DORA voor operationele veerkracht.

Lees meer over hoe ServiceNow organisaties helpt operationele veerkracht en compliance met regelgeving te bereiken en te handhaven.