A DORA felkészítés, mint folyamat lépései
1. Felmérés
Első lépésként részletesen megvizsgáljuk a szervezet jelenlegi információbiztonsági helyzetét. Feltérképezzük a meglévő szabályozásokat, folyamatokat, rendszereket és a releváns kockázati tényezőket. Ebből átfogó helyzetképet (GAP-analízist) készítünk, ami megmutatja, milyen fejlesztések szükségesek a megfeleléshez.
2. Szabályozási környezet
Egyedileg, az iparági specifikációknak megfelelően és egyéb iparági követelményekkel összhangba hozva kialakítjuk a megfeleléshez szükséges eljárásokat és dokumentációs rendet úgy, hogy illeszkedjen a cég szabályozási környezetébe és napi működésébe megfeleljen a NIS 2 irányelv, és a hazai szabályozás alapján elvárt kötelezettségeknek.
3. Üzleti hatáselemzés és kockázatelemzés
Az üzleti hatáselemzés során segítünk azonosítani a szervezet kritikus folyamatait és az ezekhez kapcsolódó informatikai rendszereket. Az üzleti hatáselemzés amellett, hogy jogszabályi kötelezettség komoly üzleti értéket képvisel, és nem is készíthető el a szervezet munkatársainak aktív közreműködése nélkül, ezért mindig legyünk gyanakvóak, ha “dobozos” vagy “mini” verzióval találkozunk.
Egy szakértői szinten összeállított üzleti hatáselemzés eredményei beépíthetők a humán stratégiába, akár a pénzügyi folyamatokba optimalizálva az erőforrások leghatékonyabb felhasználását.
A kockázatelemzésen feltárt kockázatok kezelésével versenyelőnyhöz juthatunk Azok a szervezetek, amelyek tudatosan kezelik a kockázataikat, gyorsabban fejlődnek, kevesebb hibát követnek el, és jobban teljesítenek. Egy zsarolóvírus támadás sok más kellemetlenség mellett reputációs veszteséget és ügyfélvesztést okoz, melynek valószínűségét jelentősen tudja csökkenteni egy nemzetközi módszertan alapján készített kockázatmenedzsment.
4. Incidenskezelési folyamat kialakítása
Kidolgozzuk a kiberbiztonsági incidensek kezelésének és bejelentésének szabályozott folyamatát. Segítünk meghatározni az ajánlott szerep és felelősségi köröket, valamint a belső és külső kommunikációs lépéseket is.
5. BCP és DRP tervek
Elkészítjük vagy aktualizáljuk az üzletmenet-folytonossági tervet (BCP) és a katasztrófahelyreállítási tervet (DRP), valamint közreműködünk a tesztelésben is. Ezek biztosítják, hogy egy kiberincidens, adatvesztés vagy szolgáltatáskiesés esetén a szervezet gyorsan és irányítottan tudjon reagálni, minimalizálva az üzletre gyakorolt hatásokat.
A médiában gyakran hallani a hosszú leállásokról, amiket egy kibertámadás okoz, viszont csak szűk szakmai körökben ismertek azok az esetek, amikor egy pár óra alatt sikerült kivédeni a támadást. Az utóbbi Társaságok tudják, hogy nem az a kérdés, hogy lesz-e kibertámadás, hanem az, hogy mikor.
6. Oktatás
A NIS 2 megfelelés egyik kulcsa az emberi tényező.
Szerepkörre szabott vezetői és munkavállalói oktatásokat tartunk, amelyek növelik a tudatosságot, megismertetik a NIS 2 követelményeket és a biztonságtudatos viselkedés alapjait.