LOW comp 3-2024 004 - Flipbook - Page 23
SOFTRONIC
Ӏr vi exponerade
så är våra kunder
exponerade”
Sandra Madstedt
Sandra Madstedt
rism som behöver riskhanteras utan DORA
ställer tydligt krav på en enhetlig struktur för
helhetsgrepp på effektiv riskhantering.
- I DORA tittar man på en verksamhetsförmåga kopplat till IT- och cybersäkerhet
och framför allt sett till tredjepartsrisker för
att uppnå kontroll över hela värdekedjan, säger Sandra Madstedt.
”Ambitionen med DORA är att
öka motståndståndskraften i finanssektorn. Både penningtvättslagstiftningen och DORA ställer
krav på riskhantering och att kontinuerligt monitorera risk samt
proaktivitet för att bibehålla motståndskraft”
Inom DORA så är det fem
områden som är centrala:
• IKT-riskhantering
• Rapportering av IKT-relaterade incidenter
• Test av digitalt försvar
• Riskhantering av tredjepartsleverantörer
• Informationsdelning
För att minimera IKT-riskerna så behöver
systemstöden vara motståndskraftiga och det
behöver finnas tydliga avtal mellan kund och
leverantör som kravställer vilken dokumentation som ska vara på plats, hur övervakning sker och vilka förebyggande åtgärder
som görs för att upprätthålla motståndskraft.
Det behöver också finnas kontrollmekanismer i
avtalen som reglerar vad för krav som ställs och
vilka konsekvenserna blir om kraven inte följs.
- Att exempelvis testa systemets exponering
genom sårbarhetstestning/penetrationstestning
är en sådan viktig sak. En annan är att säkerställa att kontinuitet av tjänsten testas regelbundet,
säger Sandra Madstedt.
För att upprätthålla och efterleva DORA-lagstiftningen och erbjuda en säker tjänst till kund
behöver banker och finansiella institut göra följande:
• Ta fram styrande dokument och policys för
att upprätthålla regelefterlevnad
• Tydliggör leverantörskedjan och ansvaret.
Du som IKT-leverantör ansvarar för dina
underleverantörer
• Definiera en tydlig risktolerans för din verksamhet
• Ta fram KPI:er så att trend och eventuell
avvikelse kan dokumenteras och actions
kan tas.
• Uppdatera kundavtalen för att säkerställa
regelefterlevnad
• Utbilda och förankra operativt
• Säkerställ att tester av kritiska tillämpningar genomförs och dokumenteras.
I CM1 arbetar vi mycket i organisationen
med att förankra processer och riktlinjer.
Årligen håller kvalitetsansvarig utbildning i
GDPR och vid upprepade tillfällen under
året repeteras nuläget sett till säkerhetsläget
i Sverige och globalt.
- Det är viktigt att arbeta både strategiskt
och operativt med säkerheten. Är vi exponerade så är våra kunder exponerade, säger
Sandra Madstedt.
Sandra Madstedt avslutar:
- Det är viktigt att olika roller och med
olika ögon omvärldsbevakar säkerhetsområdet och ser till vilka justeringar som bör göras för att vidmakthålla god motståndskraft.
* Information, Kommunikation, Teknik
Compliance Nytt
23
