ضمان توافق بنية السحابة والشبكة الخاصة بك مع معايير الامتثال DORA

يُعدّ قانون مرونة العمليات الرقمية (DORA) تغييرًا كبيرًا في طريقة قيام القطاع المالي الأوروبي بإدارة مخاطر التكنولوجيا. بدلًا من التركيز فقط على الملاءة المالية، يؤكد قانون DORA على إبقاء الخدمات الرقمية تعمل بسلاسة. وبالنسبة للمؤسسات على مستوى الشركات، يعني ذلك أن كل جزء من مكدس التكنولوجيا، ولا سيما البنية التحتية للشبكات التي تربط بيئات السحابة ومراكز البيانات، يجب مراجعته مع مراعاة مرونة العمليات والأمن.

وبموجب هذا الإطار الجديد، تتحمل المؤسسات المالية في النهاية مسؤولية مرونتها الرقمية، حتى مع اعتمادها بشكل أكبر على شبكة معقدة من مزودي خدمات الطرف الثالث من مزودي خدمات تكنولوجيا المعلومات والاتصالات. ولإدارة ذلك، يتعين على فرق تقنية المعلومات والامتثال الانتقال من الأمن التفاعلي إلى بناء أنظمة تُدمج فيها المرونة من البداية.

الركائز الأساسية للامتثال لقانون DORA

يتطلب قانون DORA من المؤسسات المالية أن تمتلك استراتيجية شاملة لإدارة مخاطر تكنولوجيا المعلومات والاتصالات (ICT). ينبغي أن تتناول هذه الاستراتيجية خمس مجالات رئيسية: إدارة مخاطر تكنولوجيا المعلومات والاتصالات، والإبلاغ عن الحوادث، واختبارات مرونة العمليات، وإدارة مخاطر الطرف الثالث، وتبادل المعلومات.

ومن منظور البنية التحتية، ينصّ التنظيم على ضرورة أن تعامل المؤسسات مزودي الشبكات والسحابة باعتبارهم أجزاءً أساسية من تقديم الخدمة. ينبغي لفرق تقنية المعلومات التأكد من أن مقدمي الخدمات يتجاوزون مجرد تقديم اتفاق مستوى الخدمة، وأن يوفّروا أيضًا معلومات واضحة حول كيفية بناء أنظمتهم وإدارتها وتأمينها.

الأمن بالتصميم في البنية التحتية للشبكات

لبناء الأمن بالتصميم، ابدأ باختيار منصات البنية التحتية التي تتبع معايير صناعية معروفة على نطاق واسع. عند مراجعة مزود شبكة، ينبغي لفرق تقنية المعلومات البحث عن مؤشرات على نهج «مولود في السحابة» أو «الأمن أولًا». يبيّن ذلك أن المنصة بُنيت للعمل في بيئات عالية المخاطر، مع خضوعها لتنظيمات صارمة بإحكام.

تشمل المؤشرات الرئيسية لنهج الأمن بالتصميم ما يلي:

• حوكمة الهوية وإدارة الوصول: ينبغي أن يمتلك مقدمو الخدمات ميزات قوية لإدارة الهوية وإدارة الوصول (IAM)، مثل المصادقة متعددة العوامل (MFA)، والتحكم التفصيلي بالوصول القائم على الأدوار (RBAC) و«التحكم بالوصول استنادًا إلى السياسات» (PBAC). يساعد ذلك على ضمان أن الأشخاص المخولين فقط يمكنهم تغيير إعدادات الشبكة المهمة.

• اتصال مشفّر: يعني الأمن بالتصميم أن البيانات يجب حمايتها أثناء النقل وعند التخزين. ينبغي لمقدمي الشبكات أن يجعلوا من السهل استخدام التشفير عبر إعدادات متعددة السحابة والهجينة دون تعقيد أكبر في العمليات.

• تحقق مستقل: يجب دعم ادعاءات الأمن بعمليات تدقيق من جهات طرف ثالث. تُعد الشهادات مثل SOC 2 Type II، التي تغطي الأمن والتوافر والسرية، معايير مهمة. توفر هذه التقارير الدليل المطلوب للعناية الواجبة التي تتطلبها DORA.

البناء من أجل مرونة العمليات

تعني مرونة العمليات أن الشركة يمكنها التعامل مع مشاكل التكنولوجيا والاستجابة لها والتعافي منها. وبالنسبة لقانون DORA، هذا يعني أن الشبكة لا ينبغي أن يكون لها نقطة فشل واحدة. عادةً ما تكون الإعدادات المرنة موزعة، بحيث إذا فشل جزء ما، يتم إعادة توجيه حركة المرور للحفاظ على استمرار الخدمات.

يجب على فرق تقنية المعلومات اختيار مقدمي خدمات يركزون على التوافر العالي باعتباره جزءًا أساسيًا من خدماتهم. وهذا يعني وجود مراقبة مستمرة وتنبيهات لاكتشاف المشكلات مبكرًا. ينبغي أيضًا أن يكون لدى مقدم الخدمة خطة واضحة ومختبرة للاستجابة للحوادث. يتطلب قانون DORA من المؤسسات المالية الإبلاغ بسرعة عن الحوادث الرئيسية المتعلقة بتكنولوجيا المعلومات والاتصالات إلى الجهات التنظيمية، لذا يجب أن يكون مزود الشبكة قادرًا على توفير البيانات وسجلات اللازمة لإجراء التحقيق والإبلاغ بسرعة.

إدارة مخاطر الطرف الثالث والإشراف

تتمثل إحدى التحديات الكبرى المتعلقة بقانون DORA في الإشراف الإضافي على مزودي الطرف الثالث. يتعين على المؤسسات المالية الآن تضمين شروط تعاقدية واضحة بشأن الإشراف وحقوق التدقيق. قد يكون هذا الاحتياج إلى الشفافية صعبًا على بعض مزودي التكنولوجيا التقليديين التعامل معه.

عند اختيار شريك للبنية التحتية، ينبغي للمؤسسات اختيار مقدمي خدمات لديهم عمليات واضحة للتعامل مع أسئلة الامتثال. وهذا يعني أنه يمكنهم مشاركة سياسات الأمن والإجراءات التشغيلية وإثباتات الاختبار المنتظم لاختراق دون اتفاقيات عدم الإفصاح. ينبغي أن يتصرف مقدم الخدمة كشريك، يساعد العميل على تلبية المتطلبات التنظيمية، وليس مجرد توفير خدمة تقنية.

دور البنية التحتية كخدمة (IaaS)

مع قيام المؤسسات المالية بتحديث شبكاتها، يختار كثيرون نماذج البنية التحتية كخدمة (IaaS) للتعامل مع تعقيد بيئات متعددة السحابة. تربط هذه المنصات مراكز البيانات الموجودة داخل مقر المؤسسة (on-premises) مع مختلف مزودي خدمات السحابة، لتعمل كالمحور المركزي للنظام.

وللوفاء بمتطلبات DORA، يجب على منصة IaaS أن تُظهر أنها لا تُنشئ مخاطر جديدة. ينبغي أن تُبنى على بنية سحابية معروفة مسبقًا تلبي معايير أمن قوية بالفعل. يساعد استخدام نموذج IaaS مرن فرق تقنية المعلومات على رؤية شبكتها بأكملها بوضوح، مما يجعل إدارة المخاطر والامتثال أسهل.

خطوات عملية لفرق تقنية المعلومات

للاستعداد لقانون DORA، ينبغي على فرق تقنية المعلومات وإدارة المخاطر اتخاذ هذه الخطوات العملية مع مزودي الشبكات:

2. إجراء عناية واجبة شاملة: راجع/تحقق من مزودي الخدمات الحاليين والمحتملين للتأكد من أنهم يلبون قواعد DORA المتعلقة بضوابط الأمن، والاستجابة للحوادث، واختبارات المرونة.

3. تدقيق الترتيبات التعاقدية: تأكد من أن العقود تنص بوضوح على حقوق التدقيق ومستويات الخدمة وواجب مقدم الخدمة للمساعدة أثناء استفسار تنظيمي.

4. تقييم استراتيجية متعددة السحابة: تحقق مما إذا كان إعداد شبكتك الحالي يسمح لك بالانتقال بسرعة بين مزودي السحابة إذا تعطل أحدهم.

5. تحديد خطوط إبلاغ واضحة: قرر كيف سيقوم مزود الشبكة بالتواصل أثناء وقوع حادث ما، وما المعلومات التي سيقدمها لدعم احتياجات الإبلاغ الخاصة بك.

نظرة إلى الأمام

يُعدّ قانون DORA عملية تشغيلية مستمرة وليس مشروعًا لمرة واحدة. ومع تغيّر اللوائح، ستزداد الحاجة إلى مرونة العمليات فقط. المؤسسات المالية التي تركز على الأمن بالتصميم وتختار شركاء للبنية التحتية يقدرون الشفافية والاعتمادية ستكون أكثر استعدادًا لهذه التغييرات.

وفي النهاية، تُعد المرونة شيئًا يشاركه الجميع. ما تزال المؤسسة المالية مسؤولة أمام الجهة التنظيمية، لكن نجاح امتثالها يعتمد على مزودي تقنيتها. ومن خلال اختيار مزودين ينظرون إلى الامتثال باعتباره جزءًا رئيسيًا من تصميمهم، يمكن للمؤسسات بناء أساس رقمي يلبي DORA ويدعم مستقبل التمويل الرقمي.