.



ThousandEyes DORA checklist met drie aandachtspunten - automatisering biedt uitkomst

mike_hicks_thousandeyes

De Digital Operational Resilience Act (DORA) wordt op 17 januari 2025 van kracht. NetOps-teams van financiële dienstverleners en anderen zullen daarop hun werkzaamheden moeten aanpassen.

Scope

Het zijn niet alleen banken, verzekeringsmaatschappijen, en beleggingsondernemingen die met DORA te maken krijgen. De eisen voor risicobeheer, de veerkracht van netwerken, incidentrapportage en meer gelden ook voor hun externe ICT-leveranciers. De scope van deze regelgeving is wezenlijk breder dan menigeen zich realiseert.

Mijn collega Ian Waters heeft in dit artikel uitgelegd wat de precieze eisen van de DORA-regelgeving en die scope zijn. Hij geeft ook aan hoe ThousandEyes je kan helpen hieraan te voldoen.

Volledige verantwoordelijkheid

DORA is geen eenmalige to-do lijst die na het afvinken kan worden opgeborgen en vergeten. Het is een reeks eisen voor consistente bewaking en waakzaamheid. Niet alleen van de eigen IT-infrastructuur, maar ook van die van alle relevante externe ICT partners.

Dit betekent dat financiële instellingen de volledige verantwoordelijkheid moeten nemen voor hun hele dienstverleningsketen, zelfs voor de onderdelen die ze zelf niet direct beheren.

Checklist

ThousandEyes helpt NetOps-teams werkzaam voor bedrijven waar DORA van toepassing is. We hebben een checklist gemaakt met drie kritieke factoren die deze teams voortdurend moeten bewaken. Automatisering zorgt voor het minimaliseren van deze werklast en het verhogen van de betrouwbaarheid.  

1.   Back-ups

Je zult bij het lezen van dit punt zeggen dat dit natuurlijk altijd al het geval moet zijn. Maar met DORA mogen back-up systemen gewoon niet meer falen. Je failover-omgeving moet 24/7/365 klaar zijn wanneer er een beroep op wordt gedaan.

Klinkt logisch, maar we hebben in vorig jaar nog twee incidenten gezien waarbij banken pas met een dag vertraging toegang had tot de back-ups, die ook toen pas konden worden gebruikt.  

Testen is vereist

Onder DORA is een dergelijke vertraging niet acceptabel. De richtlijn schrijft niet alleen voor dat financiële instellingen een veilig back-up systeem moeten hebben waarmee diensten snel kunnen worden hervat in het geval van een storing. Het eist ook dat deze systemen regelmatig worden getest om hun effectiviteit te garanderen.  

Niet naleving, wat na een incident verplicht wordt onderzocht, kan tot boetes leiden. Die zullen niet bevorderlijk zijn voor het imago of the impacted financial institution, or even of the financial sector, dat altijd al te lijden heeft van incidenten die de beschikbaarheid van de dienstverlening beïnvloeden.  

Monitoring status back-ups

De status van back-ups monitoren betekent ook dat u realtime moet weten weten wanneer problemen zich voordoen, met gedetailleerde inzichten van de hele serviceketen. Dit vereist automatisering. Systemen van ThousandEyes kunnen voortdurend de status van zowel uw live als back-up operaties minutieus en signaleren wanneer een kritisch onderdeel niet presteert zoals het zou moeten.

2.   Monitoringssystemen

Continue valideren dat waarschuwings- en bewakingssystemen goed werken is cruciaal voor het detecteren van beveiligingslekken en andere betrouwbaarheidsproblemen.

Grondig en gedegen valideren van alle processen en systemen, dus ook de monitoringssystemen is exact wat DORA voorschrijft. Dit vereist een doorlopend, geautomatiseerd proces. AI kan hier een rol spelen. Het kan in een hoog tempo miljarden dagelijkse signalen van het internet, de cloud en bedrijfsnetwerken verzamelen, onderzoeken en kijken of er onderlinge verbanden zijn. Zo kunnen in een vroegtijdige fase problemen opvallen die van invloed kunnen gaan zijn op de dienstverlening en de gebruikers.  

Met ThousandEyes kun je bijvoorbeeld drempels instellen voor statistieken zoals latentie, responstijd en pakketverlies en dashboards bouwen die je waarschuwen wanneer niet aan afgesproken KPI's wordt voldaan. Deze informatie kan worden gecombineerd met andere datasets om een uitgebreid beeld te geven van de huidige applicatie gezondheid en prestaties.

3.   Controleren van ICT dienstverleners  

Het is al een paar keer genoemd: onder DORA houdt de verantwoordelijkheid niet op bij de eigen fysieke infrastructuur. De regelgeving verplicht financiële instellingen ook om continu de integriteit en prestaties te valideren van omgevingen van ICT dienstverleners waarvan men gebruik maakt.

Dit valideren omvat veel, zo zal men moeten controleren op potentiële beveiligingsrisico's zoals een BGP-routekaping of DNS-poisoning omdat die gevolgen kunnen hebben voor de klanten.

Dat is geen geringe taak als je bedenkt hoeveel systemen van derden betrokken zijn bij het leveren van services. Cloudproviders, CDN's, SaaS-providers, DDoS-mitigatie services en betalingsgateways zijn slechts enkele van de systemen van derden waar je op vertrouwt.  

Zoals we in een recente blogpost hebben benoemd, is het onverstandig om op een servicestatuspagina te vertrouwen als het gaat de status van het netwerk of dienstverlening van een externe ICT-serviceprovider. In plaats daarvan moeten men zelf kunnen beschikken over verschillende gegevenspunten. Ook hiervoor geldt weer dat dit onder DORA onvermijdelijk is en at automatisering hierbij uitkomst biedt.

 

Ik hoop met dat deze beknopte ThousandEyes DORA-checklist een nuttige aanvulling is op de kennis van elk NetOps-team. Niet alleen voor de teams die nu al weten per volgend jaar met DORA te maken krijgen. Het is ook handig voor de iedereen die door zijn dienstverlening en klanten op termijn met deze Europese wetgeving te maken krijgt.  

Mike Hicks is Principal Solutions Analyst bij ThousandEyes

Meer over
Lees ook
DORA: wat ITOps-teams moeten weten

DORA: wat ITOps-teams moeten weten

DORA vestigt een best practice die ThousandEyes bespreekt in The Internet Report: het belang van het nemen van verantwoordelijkheid voor je gehele dienstverleningsketen, inclusief de delen die je niet direct onder controle hebt. Onder DORA zijn financiële instellingen verplicht om zowel hun eigen ICT-infrastructuur als die van hun externe partner1