pl 
Spełnianie wymagań DORA z narzędziami ManageEngine: EventLog Analyzer i ServiceDesk Plus MSP
Rozporządzenie DORA (Digital Operational Resilience Act) narzuca na podmioty finansowe konieczność skutecznego zarządzania ryzykiem związanym z ICT.
W poprzednich artykułach omówiliśmy założenia rozporządzenia DORA oraz systemy ICT w sektorze finansowym.
Przyjrzeliśmy się zagadnieniom artykułów 5 i 6, omawiając zarządzanie ryzykiem związanym z ICT. Opisaliśmy też narzędzia, które pomagają w spełnieniu wymagań paragrafów 11 i 12, czyli w monitorowaniu infrastruktury IT i zarządzaniu odzyskiwaniem danych. Natomiast dzisiaj skupimy się na wzmacnianiu odporności operacyjnej, czym odniesiemy się do artykułów 13 i 14 rozporządzenia.
Kluczowe artykuły 13 i 14 regulują obszary związane z uczeniem się na bazie incydentów oraz efektywną komunikację w sytuacjach kryzysowych. W tym artykule omówimy, jak narzędzia ManageEngine, takie jak EventLog Analyzer oraz ServiceDesk Plus MSP (SDP MSP), wspierają spełnienie wymagań DORA.
Zarządzanie incydentami ICT zgodnie z Artykułem 13 - EventLog Analyzer
Art. 13 pkt. 1
„Podmioty finansowe dysponują zdolnościami i personelem umożliwiającymi im gromadzenie informacji na temat podatności oraz cyberzagrożeń, incydentów związanych z ICT, w szczególności cyberataków, oraz analizę ich prawdopodobnego wpływu na operacyjną odporność cyfrową podmiotów finansowych.”
Art. 13 pkt. 2
„ (…) W ramach przeglądów incydentów związanych z ICT, (…) bada się, czy przestrzegano ustalonych procedur i czy podjęte działania były skuteczne, w tym pod względem:
a ) szybkości reagowania na ostrzeżenia dotyczące bezpieczeństwa i określania skutków incydentów związanych z ICT oraz ich dotkliwości.”
Artykuł 13 podkreśla znaczenie:
- Monitorowania incydentów ICT oraz analizowania ich wpływu na operacyjną odporność cyfrową,
- Przeprowadzania przeglądów incydentów po ich wystąpieniu w celu określenia ich przyczyn,
- Analizowania skuteczności podjętych działań,
- Uczenia się na podstawie rzeczywistych incydentów i wdrażania ulepszeń.
EventLog Analyzer – Kompleksowe narzędzie do zbierania Logów
W drugim artykule opisywałem aplikację AD Audit, która służy przede wszystkim do monitorowania i analizowania zdarzeń na kontrolerze domeny oraz innych źródłach. Natomiast EventLog Analyzer służy do zbierania danych z:
- Urządzeń – Windows Server, Linux, firewalle, urządzenia Cisco i wszelkie systemy obsługujące SysLogi;
- Baz danych – MSSQL, MySQL, Oracle;
- Aplikacji – IIS, skanery podatności, aplikacje obsługujące SNMP Trap, Sysmon i Syslog, rozwiązania ManageEngine i aplikacje security;
- Maszyn wirtualnych;
- Systemów nadzorowania plików;
- Chmury – AWS, Salesforce.
Zbieranie i przetwarzanie logów
System gromadzi dane i klasyfikuje je według kategorii, co umożliwia szybkie wyszukiwanie interesujących nas informacji.
Gdy już mamy potrzebne informacje, możemy przejść do analizy. Na początek warto odfiltrować zbędne zdarzenia, korzystając z filtrów takich jak nazwa urządzenia, rodzaj zdarzenia czy inne kryteria ułatwiające selekcję danych.
Po znalezieniu istotnej informacji możemy dokładniej przeanalizować zdarzenie i sklasyfikować je jako incydent.
Incydenty pomagają spełnić wymagania DORA, umożliwiając analizę problemu i jego skuteczne zarządzanie. Tworząc nowy incydent, możemy przypisać go do konkretnego administratora oraz nadać mu odpowiedni status, aby jak najszybciej otrzymywał powiadomienia.
Dzięki tym działaniom możemy znacznie przyspieszyć reakcję na wszelkie incydenty w organizacji. Jednak administrator nie zajmuje się wyłącznie pojedynczymi zdarzeniami. Jak wiadomo, liczba logów generowanych w organizacji może sięgać zawrotnych liczb na jedno urządzenie. Co ważne EventLog Analyzer posiada natywną integrację z ServiceDesk Plus, co pozwala na automatyczne tworzenie zgłoszeń i dalszym procesowaniem incydentu po stronie SDP.
Korelacje w systemie EventLog Analyzer
Korelacje to powiązane zdarzenia, które występują wielokrotnie w określonym przez administratora odstępie czasu. Przykładem może być atak typu Ransomware – jeśli w ciągu minuty zaszyfrowanych zostanie wiele plików, istnieje duże prawdopodobieństwo, że nasza organizacja padła ofiarą ataku.
Dzięki funkcji łączenia zdarzeń możemy prześledzić pełną linię czasu incydentu – zobaczyć , co się wydarzyło, o której godzinie, z jakiego IP, na jakim urządzeniu, z jakim statusem i wiele więcej.
Co istotne, nie musimy tworzyć własnych korelacji – system zawiera 150 gotowych reguł, które można dostosować do swoich potrzeb. Jeśli jednak zajdzie taka potrzeba, nic nie stoi na przeszkodzie, aby ręcznie skonfigurować korelacje za pomocą wbudowanego kreatora.
Nagłe akcje w systemie
System nie służy jedynie do monitorowania – umożliwia także automatyczną reakcję na zagrożenia. Możemy tworzyć profile alertowe, które wyzwalają niestandardowe akcje. Na przykład, jeśli użytkownik zacznie szyfrować pliki na komputerze, system może uruchomić automatyczny workflow, który zablokuje jego konto i zakończy wszystkie uruchomione przez niego procesy.
A wszystko to można łatwo skonfigurować w intuicyjnym kreatorze alertów.
O wszelkich takich akcjach jesteśmy informowani drogą mailową lub SMS-em. Dodatkowo wszystkie powiadomienia są dostępne w zakładce Alerts, gdzie można je przeglądać i analizować.
Retencja danych
System umożliwia archiwizację danych dzięki zaawansowanej technologii kompresji, która pozwala na przechowywanie logów przez wiele miesięcy, a nawet lat. Domyślnie ustawiony jest okres 7 dni dla archiwizacji logów, a następnie 90 dni ich przechowywania. Możemy jednak wydłużyć ten okres do 9999 dni lub utworzyć katalog, do którego aplikacja nie ma dostępu, co teoretycznie pozwala na przechowywanie logów w nieskończoność. Ta funkcjonalność jest szczególnie przydatna podczas audytów, gdy konieczne jest szczegółowe prześledzenie historii działań w środowisku
System oferuje intuicyjny sposób zarządzania archiwalnymi logami. W razie potrzeby umożliwia szybkie i łatwe odpakowanie oraz odzyskanie z nich niezbędnych informacji, co znacznie ułatwia pracę z historycznymi danymi.
Jak EventLog Analyzer wspiera spełnienie tych wymagań?
- Centralizacja i analiza logów
Event Log Analyzer agreguje i analizuje logi z różnych źródeł (serwery, stacje robocze, firewalle, aplikacje biznesowe), co pozwala na szybkie wykrywanie i reakcję na incydenty. - Automatyczna klasyfikacja incydentów
Narzędzie kategoryzuje incydenty, wskazując m.in. na:- Nietypowe logowania (np. poza standardowymi godzinami),
- Nieudane logowania i próby ataków brute-force,
- Zmiany w uprawnieniach i politykach bezpieczeństwa.
- Alertowanie i eskalacja incydentów
Event Log Analyzer umożliwia konfigurację alertów dla administratorów IT, aby mogli natychmiast reagować na wykryte zagrożenia. Alerty mogą być przesyłane e-mailem, SMS-em lub integrowane z systemami SIEM. - Raportowanie zgodności z DORA
System generuje szczegółowe raporty dotyczące logowań, zmian w systemach oraz wykrytych anomalii, wspierając audyty regulacyjne.
Efektywna komunikacja w sytuacjach kryzysowych – ServiceDesk Plus MSP zgodnie z Artykułem 14
Art. 14 pkt. 1
„(…) podmioty finansowe posiadają plany działań informacyjnych na wypadek wystąpienia sytuacji kryzysowej umożliwiające odpowiedzialne ujawnianie, co najmniej, poważnych incydentów związanych z ICT lub podatności klientom i kontrahentom, a także, w stosownych przypadkach, opinii publicznej.”
Art. 14 pkt. 2
„ W kontekście ram zarządzania ryzykiem związanym z ICT podmioty finansowe realizują politykę komunikacyjną dla pracowników wewnętrznych i interesariuszy zewnętrznych (…).”
Artykuł 14 koncentruje się na:
- Zapewnieniu planu komunikacji na wypadek incydentów ICT,
- Wdrożeniu polityki komunikacyjnej dla pracowników i interesariuszy,
- Wyznaczeniu osoby odpowiedzialnej za komunikację incydentów.
ServiceDesk Plus w kontekście MSP
W artykule Zgodność z DORA – ADAudit i ServiceDesk Plus opisałem już ServiceDesk Plus, koncentrując się głównie na procesach ITILowych oraz kompleksowym zarządzaniu procesami IT. Tutaj natomiast skupimy się na wersji SDP MSP, która oferuje unikalną funkcjonalność zarządzania wieloma organizacjami w ramach jednej instancji aplikacji. Ta cecha idealnie odpowiada naszym wymaganiom, zapewniając elastyczność i efektywność w zarządzaniu różnymi podmiotami.
Zarządzanie problemami w ServiceDesk Plus MSP
Tworzenie problemów w systemie jest możliwe z poziomu różnych miejsc, co zapewnia wygodę i elastyczność. Gdy problem zostanie już zarejestrowany w ServiceDesk Plus MSP, możemy przejść do jego zarządzania. Co istotne, już z poziomu danego problemu istnieje możliwość łączenia poszczególnych zgłoszeń, które przyczyniły się do jego powstania. Ta funkcjonalność pozwala na lepsze zrozumienie źródła problemu oraz efektywniejsze zarządzanie procesem jego rozwiązania.
Przypisywanie zgłoszeń do konkretnych problemów odgrywa kluczową rolę w zarządzaniu incydentami. Ta funkcjonalność nie tylko usprawnia proces rozwiązywania problemów, ale również pomaga spełnić jeden z kluczowych wymogów DORA – zapewnienie, że technicy zostaną odpowiednio powiadomieni o danym problemie. Dzięki temu możliwe jest szybkie i skuteczne reagowanie na potencjalne zagrożenia lub awarie
Powiadamianie kontrahentów i klientów
SDP MSP to niezwykle elastyczna aplikacja, którą można łatwo dostosować do indywidualnych potrzeb. W przypadku powiadomień wykorzystujemy niestandardowe akcje, które pozwalają na precyzyjne zdefiniowanie:
- Kogo chcemy powiadomić – wybór odpowiednich odbiorców,
- Jak powinna wyglądać wiadomość – dostosowanie treści i formatu komunikatu,
- Jakie zmienne powinny zostać zaciągnięte – personalizacja wiadomości poprzez automatyczne wstawienie odpowiednich danych.
Ta funkcjonalność zapewnia spersonalizowane i efektywne komunikowanie się z kontrahentami oraz klientami.
Wszystkie wymienione działania są kluczowe, ponieważ umożliwiają szybkie i przejrzyste sprawdzenie w systemie, czy administrator odpowiedzialny za dany proces wypełnił swoje obowiązki. Dzięki temu możemy zweryfikować, czy klienci i kontrahenci zostali odpowiednio poinformowani, a także czy wszystkie niezbędne kroki zostały wykonane zgodnie z przyjętymi standardami i wymaganiami. To zapewnia transparentność, odpowiedzialność i skuteczność w zarządzaniu procesami.
Baza wiedzy i zarządzanie wiedzą w ServiceDesk Plus MSP
Jedną z kluczowych wartości, które znacząco poprawiają zarządzanie incydentami i problemami w organizacji, jest bogata baza rozwiązań. Dzięki niej można szybko reagować na powtarzalne problemy, minimalizując czas ich rozwiązania. W SDP MSP mamy możliwość kategoryzowania rozwiązań na różne podgrupy, co ułatwia ich organizację i wyszukiwanie. Dodatkowo system oferuje funkcję granulowania dostępu do poszczególnych wpisów, co pozwala na precyzyjne zarządzanie uprawnieniami użytkowników
Dzięki tym wszystkim udogodnieniom jesteśmy w stanie skutecznie zarządzać incydentami oraz odpowiednio je dostosowywać do specyfiki organizacji. To pozwala na szybkie i sprawne reagowanie na problemy, a także na ciągłe doskonalenie procesów zarządzania.
Jak SDP MSP wspiera organizacje w spełnieniu tych wymagań?
- Centralne zarządzanie zgłoszeniami
SDP MSP umożliwia rejestrowanie incydentów i zarządzanie zgłoszeniami, przypisując im priorytety, średni czas reakcji i statusy realizacji. - Automatyczne powiadomienia i eskalacja zgłoszeń
System może automatycznie wysyłać powiadomienia do odpowiednich zespołów oraz eskalować problemy w przypadku braku reakcji w określonym czasie. - Dedykowany moduł komunikacji kryzysowej
SDP MSP oferuje mechanizmy do:- Komunikacji z pracownikami i kontrahentami podczas incydentów,
- Tworzenia standardowych procedur reagowania,
- Dokumentowania kroków podjętych w odpowiedzi na incydent.
- Raportowanie i analiza incydentów ICT
Narzędzie generuje raporty dla zarządu i organów regulacyjnych, pomagając w spełnieniu wymogów DORA w zakresie przejrzystości i dokumentacji.
Podsumowanie
Zarówno EventLog Analyzer, jak i SDP MSP stanowią kluczowe narzędzia wspierające podmioty finansowe w spełnianiu wymagań DORA.
- Event Log Analyzer pozwala na efektywne zarządzanie incydentami ICT, ich analizę i raportowanie,
- SDP MSP zapewnia skuteczną komunikację i nadzór nad reagowaniem na zagrożenia ICT.
Dzięki wdrożeniu tych narzędzi organizacje mogą zapewnić zgodność z regulacjami, zwiększając tym samym swoją operacyjną odporność cyfrową.
