• compliance,  DORA

    Rozporządzenie DORA a sytuacja dostawcy IT

    Czy dostawca ICT powinien w ogóle przejmować się rozporządzeniem DORA? Niektórzy powiedzą, że dostawcy ICT, nawet ci dostawcy, którzy pracują dla sektora finansowego nie poświęcają zbyt wiele uwagi regulacjom. Rzadko zdarza się, że przedstawiciele dostawców pojawiają się na konferencjach dla sektora finansowego poświęconych regulatorce. Nie zawsze dostawcy są blisko wyzwań, w których, jak można się domyślać, chcą wspierać swoich klientów. Inni powiedzą, że zajmują się systemami IT, a nie zgodnością. I też będą mieli rację. Oczywiście poza największymi, którzy uważają, że zajmują się wszystkim i pokrywają potrzeby klienta w każdym względzie. Wtedy uwaga na dziwny przypadek całkowitej zgodności, o którym pisałem na shadowtech. Niektórzy dostawcy woleliby uznać, że problem ich…

  • compliance,  cybersecurity,  DORA

    DORA – dziwny przypadek całkowitej zgodności

    Zacznę od wyjaśnienia, co mam na myśli pisząc o DORA jako dziwnym przypadku całkowitej zgodności. Odnoszę ostatnio wrażenie, że wszyscy już ją gwarantują albo przynajmniej oczekują. Dostawcy ICT zgłaszają gotowość na DORĘ – w sensie technologicznym oraz regulacyjnym. Podmioty nadzorowane mówią o gotowości, bo mają rekomendację D, mają komunikat chmurowy, polityki outsourcingowe, BCP, czy odpowiednie gwarancje umowne. Nadzór komunikuje zaś, że będzie gotowy do kontroli od 17 stycznia 2025 r. (to dzień, od którego rozporządzenie DORA będzie stosowanie) i będzie tej zgodności oczekiwał. A teraz zapraszam na wejście nieco głębiej… i przyjrzenie się kilku wyimaginowanym ujęciom zgodności. Podejście – zróbmy zgodność dokumentami Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego…

  • DORA,  technologie

    Cyberbezpieczeństwo to gra zespołowa

    W tym tekście będziemy zajmować się rozważaniami nad wdrożeniem rozwiązań w zakresie bezpieczeństwa informacji – w tym także cyberbezpieczeństwa. I ważne jest, by te dwa obszary się widziały, bo przecież zabezpieczenie pomieszczeń na niewiele się zda, jeśli nie będziemy chronić sieci – i odwrotnie. Jeśli przejdziemy z abstrakcyjnego rozważania zagadnień z obszaru cyber do budowy rozwiązań kontekście konkretnej organizacji, to może okazać się, że mamy przed sobą potężny projekt. Projekt, którego nie da się zamknąć bez interdyscyplinarnej współpracy. Zarząd musi działać z IT, IT z bezpiecznikiem, bezpiecznik z IODą. A na koniec przydałby się prawnik – tak do oceny kontekstu, jak i zabezpieczenia outsourcingu, zgłoszeń do organów nadzoru, czy do…

  • cybercrime,  cybersecurity

    Pandemia COVID-19 a cyberprzestępcy [INTERPOL, EUROPOL]

    W tym texcie na podstawie raportów globalnych agencji (INTERPOL, EUROPOL) opowiemy sobie o tym: jakimi wartościami kierują się cyber gangi? czy szpitale są wolne od ataków i czy przestępcy lubią firmy farmaceutyczne? jak przestępcy wykorzystują pandemię? jakie rodzaje ataków są najbardziej popularne? (zob. przykład z dywanem) jak reagują na to największe agencje na świecie? Czy cyber przestępcy atakują szpitale? Niektóre z ransomware’owych gangów ogłosiły, że w czasie pandemii nie będą atakować podmiotów zdrowotnych i medycznych. Co dokładnie cyber gangi mówią? Wczytajmy się więcej w to, co odpowiedział jeden z gangów (ładne słowo w tym kontekście) na zadane mu przez BleebingComputer pytania. CLOP Ransomware potwierdził, że nigdy nie atakował szpitali i…