يمكن أن تبدو لوائح الخدمات المالية وكأنها حزام ناقل لا يتوقف، مع تقديم أطر جديدة ومتطلبات الامتثال بانتظام.
ولكن باعتباره قطاعًا يدعم البنية التحتية الوطنية الحيوية، وقطاعًا غالبًا ما يكون هدفًا شائعًا لمجرمي الإنترنت والمحتالين على حد سواء، فإن هناك حاجة ماسة إلى مثل هذه المطالب الصارمة.
لا يوجد مجال للالتفاف حول هذا الأمر، فالتنظيم المالي يجب أن يكون محكمًا.
يعد قانون المرونة التشغيلية الرقمية (DORA) التابع للاتحاد الأوروبي أحد الأمثلة على تنظيم الأمن السيبراني الجديد لقطاع الخدمات المالية.
ومع ذلك، بعد ستة أشهر من انقضاء الموعد النهائي، كشفت الأبحاث أن 96% من مؤسسات الخدمات المالية في أوروبا والشرق الأوسط وأفريقيا لا تزال تشعر أنها بحاجة إلى تحسين مرونتها من أجل تلبية متطلبات الامتثال الخاصة بـ DORA.
إذًا، ما الذي يعيق الخدمات المالية؟ وكيف يمكن لمؤسسات الخدمات المالية في جميع أنحاء الاتحاد الأوروبي استخدام DORA كنداء تنبيه ليس فقط لتلبية المتطلبات، ولكن أيضًا لتحسين مرونة بياناتها بشكل ملموس؟
ضرب قيلولة بعد الظهر
عندما كانت المفوضية الأوروبية تقوم بصياغة مشروع DORA، كانت أفكارهم تدور حول تأثيره على مرونة البيانات، وليس على مستويات الضغط لدى فرق إدارة تكنولوجيا المعلومات والأمن.
ولكن هذا هو المكان الذي كان فيه أحد أكبر التأثيرات غير المقصودة. أشارت 41% من المؤسسات إلى الضغط المتزايد على فرق تكنولوجيا المعلومات والأمن باعتباره تحديًا كبيرًا عند تلبية متطلبات DORA.
لقد عانى قطاع الأمن السيبراني الأوسع من الإجهاد والإرهاق منذ فترة طويلة بسبب طبيعة العمل ذات الضغط العالي والسرعة. لكن تلبية متطلبات DORA لا يجب أن تساهم كثيرًا في هذه المشكلة.
بدلاً من فرض المزيد من الضغط على الفرق المثقلة بالفعل وإضافة الامتثال لـ DORA كمشروع آخر يجب إكماله، يجب على المؤسسات اتباع نهج أكثر شمولية وشاملاً.
باستخدام نماذج نضج مرونة البيانات (DRMM)، يمكن للمؤسسات دمج امتثالها لـ DORA في خطة أوسع لمرونة البيانات، بدلاً من النظر إليها كنشاط جديد منفصل.
لن يؤدي هذا إلى تقليل الضغط الفوري الذي تواجهه فرق تكنولوجيا المعلومات والأمن فحسب، بل سيؤدي أيضًا إلى تحسين مرونة البيانات بشكل عام.
بدلاً من القفز بين ست مهام، بما في ذلك مشكلات المرونة اليومية والامتثال، ستتمكن فرق الأمن وتكنولوجيا المعلومات من التركيز على مرونة البيانات ككل.
الوقت للاختبار
وبشكل عملي أكثر، كانت بعض أكبر النقاط الفنية الشائكة بالنسبة لـ DORA تتعلق بالاختبار. ما يقرب من ربع (24%) المؤسسات المالية في أوروبا والشرق الأوسط وأفريقيا لم تقم بإنشاء اختبار استعادة البيانات والاستمرارية، و23% منها لم تقم بعد بإجراء اختبار المرونة التشغيلية الرقمية.
ومع استمرار شيوع الانتهاكات، لا تستطيع المؤسسات تحمل تأجيل الاختبار لفترة أطول. في الواقع، يمكن القول إنها أكثر أهمية في بعض الحالات من مقاييس مرونة البيانات نفسها.
ففي نهاية المطاف، ليس هناك أي فائدة كبيرة في تنفيذ تدابير جديدة إذا كانت المرة الأولى التي يتم استخدامها فيها أثناء وقوع حادث – فقد تفشل عندما تشتد الحاجة إليها.
على الرغم من أنه قد يكون من الصعب إجراء هذا الاختبار الأول خوفًا مما قد يتم اكتشافه، إلا أنه غالبًا ما يكون أفضل نقطة بداية عند معالجة مرونة البيانات. لا تطلب DORA ذلك فحسب، بل إنها ستعزز المرونة بشكل يتجاوز حتى المتطلبات الأخرى للتنظيم.
انسَ الأغنام، وابدأ في عد الأطراف الثالثة
كان أحد متطلبات DORA الأكثر إثارة للدهشة هو إشراف طرف ثالث. ووصفها أكثر من ثلث (34٪) المنظمات بأنها “الأكثر صعوبة في التنفيذ”، بينما لم يفعلها الخمس (20٪) بعد. لكن لماذا؟
في حين أن معظم المؤسسات تمكنت من تنفيذ غالبية متطلبات DORA داخليًا، إلا أن الأمر مختلف تمامًا على المستوى الخارجي.
يتلخص الأمر في حقيقة أن معظم المؤسسات قللت من تقدير نطاق شبكات الطرف الثالث الخاصة بها. ومع وجود مؤسسة متوسطة تعمل مع 88 شريكًا خارجيًا، فإن عدد اتصالات الشبكة سرعان ما يخرج عن نطاق السيطرة.
ادمج هذا مع الدافع الرئيسي لمشاركة الطرف الثالث – وهو تخفيف بعض عبء العمل عن المؤسسة – وقد يصبح من السهل فجأة إيقاف العمل والتقليل من حجم الشبكة.
في حين كانت المؤسسات المالية في السابق تكتفي بالاعتماد على البائعين الخارجيين الذين يقدمون حلول “الصندوق الأسود”، تطلب منهم DORA إجراء مزيد من الاستجواب. في السابق، كان من الممكن أن تعتمد المنظمات على الحل، على افتراض أن المرونة قد تم بناؤها عندما تُركت عرضة للخطر.
ولكن الآن، يُطلب من مؤسسات الخدمات المالية أن تتعمق أكثر، وأن تطالب بنماذج المسؤولية المشتركة التي تحدد المسؤوليات الأمنية لكل نصف من الشراكة.
ليس هناك حل سهل لهذا. ستحتاج مؤسسات الخدمات المالية في جميع أنحاء الاتحاد الأوروبي إلى إعادة التفاوض بشأن اتفاقيات مستوى الخدمة (SLAs) الخاصة بها في جميع المجالات مع جميع الشركاء الخارجيين. ليس بالأمر البسيط، وهو أمر سيتطلب تحقيق الأمن والمخاطر والإدارة والفرق القانونية – ولكنه جزء أساسي من تحسين مرونة البيانات.
انهض، وتحرك
للأسف، لا تستطيع مؤسسات الخدمات المالية في أوروبا والشرق الأوسط وأفريقيا تحسين ثقتها في مرونة البيانات بين عشية وضحاها. سيكون الطريق طويلاً، ومن المرجح أن يكون هناك أكثر من بضع مطبات أمامنا.
ولكن، إذا بدأوا العمل الآن، واتبعوا مرونة البيانات بشكل كلي، وليس بطريقة مجزأة، مثل “التنظيم عن طريق التنظيم”، فإن فرقهم ومرونة بياناتهم ستحصل على دفعة كبيرة.
وبدلاً من تأجيل الأمر ليوم آخر، يجب على المنظمات أن تطرح الأسئلة الصعبة المتعلقة بقدرتها على الصمود اليوم. باستخدام DORA كنداء تنبيه ونقطة انطلاق، يمكنهم تقييم ليس فقط قدراتهم الخاصة ولكن أيضًا قدرات شبكات الموردين الخارجية الخاصة بهم.
لا يهم مقدار النصائح التي يتلقونها؛ لن يتمكنوا أبدًا من معالجة نقاط الضعف الفريدة في مرونة البيانات لديهم ما لم يعرفوا ما هي. ولا يمكن الكشف عن ذلك إلا من خلال اختبارات صارمة.
وقد يؤدي ذلك إلى ضرب الثقة التنظيمية على المدى القصير، كما اكتشف كثيرون بالفعل. ولكن إذا تم اتخاذ الإجراء الصحيح، فسوف يؤدي ذلك على المدى الطويل إلى بناء ثقة أقوى من أي وقت مضى في مرونة البيانات، سواء من حيث DORA أو خارجها.
أفضل برامج استعادة البيانات. تم تجربتها واختبارها من قبل خبرائنا.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات