
Zarządzanie ryzykiem związanym z ICT w kontekście DORA
Rozporządzenie DORA (Digital Operational Resilience Act) nakłada na podmioty finansowe obowiązek zarządzania ryzykiem związanym z ICT (Information and Communication Technology) w sposób kompleksowy i systematyczny. Kluczowe wymagania artykułów 5. i 6. rozporządzenia podkreślają znaczenie ustanowienia ram zarządzania ryzykiem ICT oraz zapewnienia operacyjnej odporności cyfrowej.
Art.5 ust.1
„Podmioty finansowe posiadają wewnętrzne ramy zarządzania i kontroli, które zapewniają skuteczne i ostrożne zarządzanie wszystkimi rodzajami ryzyka związanego z ICT, zgodnie z art. 6 ust. 4, w celu osiągnięcia wysokiego poziomu operacyjnej odporności cyfrowej.”
Art.5 ust.3
„Podmioty finansowe inne niż mikroprzedsiębiorstwa ustanawiają funkcję w celu monitorowania ustaleń zawartych z zewnętrznymi dostawcami usług ICT w sprawie korzystania z usług ICT lub wyznaczają członka kadry kierowniczej wyższego szczebla jako odpowiedzialnego za nadzorowanie związanej z tym ekspozycji na ryzyko i odpowiedniej dokumentacji.”
Art.6 ust.1
„Podmioty finansowe dysponują (…) solidnymi, kompleksowymi i dobrze udokumentowanymi ramami zarządzania ryzykiem związanym z ICT, które umożliwiają im szybkie, skuteczne i kompleksowe reagowanie na ryzyko związane z ICT oraz zapewnienie wysokiego poziomu operacyjnej odporności cyfrowej.”
W tym artykule omówimy, jak narzędzia ManageEngine, takie jak ADAudit i ServiceDesk Plus mogą pomóc organizacjom w spełnieniu tych wymagań.
Podstawowe wyzwania wynikające z DORA
Zgodnie z Artykułem 5. organizacje finansowe są zobowiązane do:
- Ustanowienia wyraźnych ról i obowiązków w zakresie zarządzania ICT.
- Wprowadzenia polityk zapewniających wysokie standardy dostępności, autentyczności, integralności i poufności danych.
- Nadzorowania strategii operacyjnej odporności cyfrowej oraz regularnego przeglądu wdrażanych planów.
Artykuł 6. natomiast wymaga posiadania solidnych ram zarządzania ryzykiem ICT, które obejmują:
- Strategie, procedury, protokoły i narzędzia wspierające zarządzanie ryzykiem.
- Zapobieganie incydentom oraz przywracanie sprawności systemów.
Kompleksowe zarządzanie bezpieczeństwem i dostępami w organizacji
Monitorowanie krytycznych zmian w AD
Każda zmiana w kluczowych obiektach domeny, takich jak użytkownicy, grupy, OU, polityki GPO czy strefy DNS, może stanowić potencjalne zagrożenie. Przykładowo:
- Zmiana uprawnień grup bezpieczeństwa może prowadzić do nieautoryzowanego dostępu do poufnych danych.
- Usunięcie kluczowych użytkowników lub grup może zaburzyć ciągłość działania systemów.
Reakcja na nietypowe logowania
Poniższe próby mogą wskazywać na naruszenie bezpieczeństwa:
- Próby wielokrotnego logowania (tzw. brute force).
- Logowania z nieautoryzowanych lokalizacji geograficznych.
- Logowania w nietypowych godzinach.
Zapobieganie wyciekom danych
- Śledzenie dostępu do poufnych plików i ich modyfikacji.
- Monitorowanie transferów danych na nośniki zewnętrzne (np. pendrivy).
- Identyfikacja prób usuwania plików krytycznych.
Audyt działań administracyjnych
- Sprawdzanie, kto i kiedy zmienił ustawienia polityk domenowych.
- Monitorowanie wdrożonych aktualizacji systemowych.

Wszystkie zdarzenia w obrębie kontrolera domeny, które system loguje są zapisywane w logach w kategorii „Security”. Problem pojawia się w momencie, gdy w zależności od wielkości organizacji, w ciągu kilku minut może pojawić się od kilkudziesięciu do kilkuset zdarzeń, które domyślnie nie są kategoryzowane. Utrudnia to wyodrębnienie najważniejszych danych.

Przeglądanie takich informacji pojedynczo jest wyjątkowo nieefektywne ze względu na interfejs zdarzeń. W przypadku DORA istotne są konkretne zdarzenia, takie jak dostęp do określonych plików. Odnalezienie jednej akcji w tysiącach wpisów jest niemal niemożliwe. Dlatego kluczowym rozwiązaniem jest system, który obsługuję zdarzenia i je kategoryzuje. Dlatego wart uwagi jest ADAudit, który obsługuje zarówno środowiska lokalne (on-premise) jak i chmurowe. Jest to szczególnie istotne dla organizacji hybrydowych.
System może również audytować:
- Serwery plików (np. Windows File Server, NetApp, EMC).
- Serwery wydruku.
- Poszczególne urządzenia końcowe (endpointy).
Warto wziąć pod uwagę, że ADAudit należy do jednej ze składowych produktu LOG360, czyli kompleksowego SIEMa. Jest on narzędziem do zbierania logów z urządzeń sieciowych, serwerów, firewalli, komputerów, domen itp.
Wsparcie zgodności z DORA dzięki ADAudit
Rozporządzenie DORA wymaga systematycznego monitorowania i dokumentowania działań, co ADAudit realizuje dzięki następującym funkcjom:
Strukturyzacja i przejrzystość danych
Logi systemowe są rejestrowane w kategorii „Security”, ale ich natłok w dużych organizacjach utrudnia analizę. ADAudit pozwala na:
- Automatyczne kategoryzowanie zdarzeń według typów (logowania, zmiany obiektów, modyfikacje plików itp.).
- Tworzenie czytelnych raportów, które można łatwo przeszukiwać, filtrować i dostosowywać pod kątem konkretnych potrzeb organizacji.

Tworzenie dedykowanych raportów zgodności
Dzięki ADAudit można przygotować raporty dla audytorów i organów regulacyjnych, obejmujące:
- Aktywność użytkowników w AD.
- Zmiany w politykach bezpieczeństwa.
- Wykorzystanie danych wrażliwych.


Raporty te pozwalają nam otrzymać interesujące dane. Czy rzeczywiście są one bardziej przejrzyste, niż logi z domeny? Jak widać na zrzucie ekranu, system posiada znaczącą przewagę – podaje nam dane w ustrukturyzowany sposób, wraz z możliwością:
- Wyszukiwania
- Filtrowania
- Datowania zdarzeń
- Zarządzanie wyświetlanymi kolumnami
Pozwala to na uproszczenie naszej pracy – możemy w bardzo szybki sposób uzyskać niezbędne dane i wyraportować je np. dla zewnętrznych podmiotów.
Alertowanie w czasie rzeczywistym
DORA kładzie nacisk na szybkie reagowanie na ryzyko ICT. ADAudit wspiera to poprzez konfigurację alertów:
- Wykrycie zmiany uprawnień na krytycznych plikach skutkuje wysłaniem e-maila/SMS-a do administratora.
- Możliwość uruchamiania skryptów naprawczych lub automatycznego tworzenia zgłoszeń w ServiceDesk Plus.
Reakcja na incydenty w czasie rzeczywistym
ADAudit wspiera procesy reagowania poprzez:
- Automatyczne wykrywanie podejrzanych działań (np. wielokrotne nieudane logowania).
- Tworzenie logów i zgłoszeń, które mogą być analizowane przez zespoły SOC.
- Proaktywną ochronę poprzez integrację z systemami zarządzania incydentami (SIEM).

Podsumowanie – Jak ADAudit wpisuje się w wymogi DORA?
Dzięki ADAudit organizacje mogą w pełni wdrożyć ramy zarządzania ryzykiem ICT, zapewniając:
- Wysoką dostępność i integralność danych dzięki audytowi działań w systemach IT.
- Szybką reakcję na incydenty, zgodnie z wymaganiami DORA, poprzez alertowanie i automatyzację działań naprawczych.
- Kompleksową dokumentację i raportowanie, co ułatwia przeglądy regulacyjne oraz współpracę z zewnętrznymi podmiotami.
ServiceDesk Plus – Zarządzanie incydentami i zasobami IT
ServiceDesk Plus to narzędzie ITSM (IT Service Management), które pomaga organizacjom zarządzać incydentami, zmianami oraz zasobami IT w sposób przejrzysty i efektywny. Jak wspiera zgodność z DORA?
- Rejestracja i śledzenie incydentów: ServiceDesk Plus umożliwia centralne rejestrowanie incydentów związanych z ICT, co ułatwia analizę ich przyczyn i skutków. Narzędzie wspiera także dokumentowanie działań naprawczych, co jest istotne dla realizacji planów ciągłości działania.

Dzięki integracji systemów ADAudit możliwe jest automatyczne logowanie kluczowych zgłoszeń i zarządzanie nimi w zgodzie z pełnym modelem ITIL. W sytuacjach, gdy zgłoszenie wykracza poza ramy standardowego incydentu, istnieje możliwość przekształcenia go w problem.

Rozwiązanie problemu odbywa się wewnętrznie i pozwala na bardziej szczegółową analizę krytycznego incydentu. Dzięki temu organizacja może wprowadzić odpowiednie zabezpieczenia, aby zapobiec podobnym sytuacjom w przyszłości. W przypadku rozwiązania problemu związanego z usterką, która nie wymagała żadnych zmian w systemach, warto udokumentować procedurę w bazie wiedzy. Umożliwi to szybki dostęp do informacji w przyszłości, jeśli podobne problemy wystąpią ponownie. Jednak w sytuacji, gdy problem dotyczył istotnych zmian, takich jak modyfikacje uprawnień, konfiguracji sieciowej czy dostępowej, należy szczegółowo udokumentować te zmiany w dedykowanych modułach, takich jak zmiany, projekty czy wydania.
- Zarządzanie zmianami: Rozporządzenie DORA wymaga przeprowadzania analiz ryzyka przed wprowadzaniem istotnych zmian w systemach ICT. ServiceDesk Plus pozwala na dokładne planowanie, zatwierdzanie i wdrażanie zmian, minimalizując ryzyko związane z nieprzewidzianymi konsekwencjami.

Analiza ryzyka odgrywa kluczową rolę w procesach związanych ze zmianami i wydaniami. W tych modułach stosowane są trzy etapy, które precyzyjnie określają zakres pracy, potencjalne zagrożenia i inne istotne aspekty. Finalna ocena przeprowadzana jest przez uprawnione osoby w organizacji. Pozwala to na zatwierdzenie planu działań i jego skuteczne wdrożenie. Utrzymywanie standardów ITIL jest nie tylko zalecane, ale i korzystne – umożliwia kompleksową dokumentację wszystkich działań w systemie ServiceDesk Plus. Dzięki temu odejście kluczowych pracowników, np. seniora, nie stanowi zagrożenia dla organizacji, ponieważ cała jego wieloletnia praca pozostaje zapisana w systemie. Każda osoba z odpowiednim dostępem może łatwo odnaleźć informacje o podjętych działaniach i ich kontekście.
- Zarządzanie zasobami IT: Dzięki funkcjom zarządzania zasobami, organizacje mogą śledzić wykorzystanie oprogramowania, sprzętu oraz innych kluczowych elementów infrastruktury ICT. Ułatwia to optymalizację zasobów i zapewnienie odpowiedniego poziomu bezpieczeństwa.

Na wcześniejszych zrzutach ekranu dołączyłem zasoby do modułów dotyczących problemów i zmian. To rozwiązanie jest jedną z wielu zalet efektywnej inwentaryzacji sprzętu w organizacji. Pozwala ona na pełną kontrolę nad zasobami – od historii ich użytkowania, przez listę zainstalowanych aplikacji, aż po przypisanie ich do konkretnych pracowników. Taka szczegółowa ewidencja umożliwia szybkie uzyskanie wszelkich potrzebnych informacji. Znacząco ułatwia to codzienną pracę i zarządzanie zasobami IT.
Przykładowe wdrożenie narzędzi ManageEngine w kontekście DORA
Wyobraźmy sobie średniej wielkości bank, który musi spełnić wymagania Artykułów 5. i 6. rozporządzenia DORA. Oto, jak może skorzystać z ADAudit i ServiceDesk Plus:
- Monitorowanie bezpieczeństwa:
Bank wdraża ADAudit, aby monitorować aktywność użytkowników lub potencjalne naruszenia bezpieczeństwa. Dzięki centralizacji logów i analizie w czasie rzeczywistym, zespół IT szybko identyfikuje i neutralizuje zagrożenia.
- Zarządzanie incydentami i ciągłość działania:
Korzystając z ServiceDesk Plus, bank rejestruje wszystkie incydenty związane z ICT, analizuje ich przyczyny i dokumentuje działania naprawcze. Planowanie zmian w systemach ICT odbywa się w sposób kontrolowany, co minimalizuje ryzyko zakłóceń.
- Raportowanie zgodności:
ADAudit generuje raporty dotyczące zgodności z DORA, które są przedstawiane organom nadzorczym. ServiceDesk Plus wspiera dokumentowanie działań operacyjnych, co ułatwia przeprowadzanie audytów.
Podsumowanie
Zarządzanie ryzykiem związanym z ICT i zapewnienie operacyjnej odporności cyfrowej to kluczowe elementy regulacji DORA. Narzędzia ManageEngine, takie jak ADAudit i ServiceDesk Plus, oferują kompleksowe rozwiązania, które pomagają organizacjom finansowym spełnić te wymagania. W następnych trzech artykułach, będziemy omawiać dalsze artykuły i związane z nimi aplikacje, które pozwolą osiągnąć zgodność z rozporządzeniem DORA.
Jeśli umknął Ci pierwszy artykuł, w którym wyjaśniamy czym jest rozporządzenie DORA oraz opisujemy systemy ICT w sektorze finansowym, to znajdziesz go tutaj.
29.01.2025
Autor: Mateusz Szudrowicz
Kategorie: Aktualności Artykuł

Mateusz Szudrowicz
Product Manager Specialist