ThousandEyes DORA checklist met drie aandachtspunten - automatisering biedt uitkomst
De Digital Operational Resilience Act (DORA) wordt op 17 januari 2025 van kracht. NetOps-teams van financiële dienstverleners en anderen zullen daarop hun werkzaamheden moeten aanpassen.
Scope
Het zijn niet alleen banken, verzekeringsmaatschappijen, en beleggingsondernemingen die met DORA te maken krijgen. De eisen voor risicobeheer, de veerkracht van netwerken, incidentrapportage en meer gelden ook voor hun externe ICT-leveranciers. De scope van deze regelgeving is wezenlijk breder dan menigeen zich realiseert.
Mijn collega Ian Waters heeft in dit artikel uitgelegd wat de precieze eisen van de DORA-regelgeving en die scope zijn. Hij geeft ook aan hoe ThousandEyes je kan helpen hieraan te voldoen.
Volledige verantwoordelijkheid
DORA is geen eenmalige to-do lijst die na het afvinken kan worden opgeborgen en vergeten. Het is een reeks eisen voor consistente bewaking en waakzaamheid. Niet alleen van de eigen IT-infrastructuur, maar ook van die van alle relevante externe ICT partners.
Dit betekent dat financiële instellingen de volledige verantwoordelijkheid moeten nemen voor hun hele dienstverleningsketen, zelfs voor de onderdelen die ze zelf niet direct beheren.
Checklist
ThousandEyes helpt NetOps-teams werkzaam voor bedrijven waar DORA van toepassing is. We hebben een checklist gemaakt met drie kritieke factoren die deze teams voortdurend moeten bewaken. Automatisering zorgt voor het minimaliseren van deze werklast en het verhogen van de betrouwbaarheid.
1. Back-ups
Je zult bij het lezen van dit punt zeggen dat dit natuurlijk altijd al het geval moet zijn. Maar met DORA mogen back-up systemen gewoon niet meer falen. Je failover-omgeving moet 24/7/365 klaar zijn wanneer er een beroep op wordt gedaan.
Klinkt logisch, maar we hebben in vorig jaar nog twee incidenten gezien waarbij banken pas met een dag vertraging toegang had tot de back-ups, die ook toen pas konden worden gebruikt.
Testen is vereist
Onder DORA is een dergelijke vertraging niet acceptabel. De richtlijn schrijft niet alleen voor dat financiële instellingen een veilig back-up systeem moeten hebben waarmee diensten snel kunnen worden hervat in het geval van een storing. Het eist ook dat deze systemen regelmatig worden getest om hun effectiviteit te garanderen.
Niet naleving, wat na een incident verplicht wordt onderzocht, kan tot boetes leiden. Die zullen niet bevorderlijk zijn voor het imago of the impacted financial institution, or even of the financial sector, dat altijd al te lijden heeft van incidenten die de beschikbaarheid van de dienstverlening beïnvloeden.
Monitoring status back-ups
De status van back-ups monitoren betekent ook dat u realtime moet weten weten wanneer problemen zich voordoen, met gedetailleerde inzichten van de hele serviceketen. Dit vereist automatisering. Systemen van ThousandEyes kunnen voortdurend de status van zowel uw live als back-up operaties minutieus en signaleren wanneer een kritisch onderdeel niet presteert zoals het zou moeten.
2. Monitoringssystemen
Continue valideren dat waarschuwings- en bewakingssystemen goed werken is cruciaal voor het detecteren van beveiligingslekken en andere betrouwbaarheidsproblemen.
Grondig en gedegen valideren van alle processen en systemen, dus ook de monitoringssystemen is exact wat DORA voorschrijft. Dit vereist een doorlopend, geautomatiseerd proces. AI kan hier een rol spelen. Het kan in een hoog tempo miljarden dagelijkse signalen van het internet, de cloud en bedrijfsnetwerken verzamelen, onderzoeken en kijken of er onderlinge verbanden zijn. Zo kunnen in een vroegtijdige fase problemen opvallen die van invloed kunnen gaan zijn op de dienstverlening en de gebruikers.
Met ThousandEyes kun je bijvoorbeeld drempels instellen voor statistieken zoals latentie, responstijd en pakketverlies en dashboards bouwen die je waarschuwen wanneer niet aan afgesproken KPI's wordt voldaan. Deze informatie kan worden gecombineerd met andere datasets om een uitgebreid beeld te geven van de huidige applicatie gezondheid en prestaties.
3. Controleren van ICT dienstverleners
Het is al een paar keer genoemd: onder DORA houdt de verantwoordelijkheid niet op bij de eigen fysieke infrastructuur. De regelgeving verplicht financiële instellingen ook om continu de integriteit en prestaties te valideren van omgevingen van ICT dienstverleners waarvan men gebruik maakt.
Dit valideren omvat veel, zo zal men moeten controleren op potentiële beveiligingsrisico's zoals een BGP-routekaping of DNS-poisoning omdat die gevolgen kunnen hebben voor de klanten.
Dat is geen geringe taak als je bedenkt hoeveel systemen van derden betrokken zijn bij het leveren van services. Cloudproviders, CDN's, SaaS-providers, DDoS-mitigatie services en betalingsgateways zijn slechts enkele van de systemen van derden waar je op vertrouwt.
Zoals we in een recente blogpost hebben benoemd, is het onverstandig om op een servicestatuspagina te vertrouwen als het gaat de status van het netwerk of dienstverlening van een externe ICT-serviceprovider. In plaats daarvan moeten men zelf kunnen beschikken over verschillende gegevenspunten. Ook hiervoor geldt weer dat dit onder DORA onvermijdelijk is en at automatisering hierbij uitkomst biedt.
Ik hoop met dat deze beknopte ThousandEyes DORA-checklist een nuttige aanvulling is op de kennis van elk NetOps-team. Niet alleen voor de teams die nu al weten per volgend jaar met DORA te maken krijgen. Het is ook handig voor de iedereen die door zijn dienstverlening en klanten op termijn met deze Europese wetgeving te maken krijgt.
Mike Hicks is Principal Solutions Analyst bij ThousandEyes