Vegferðin að DORA hjá SL lífeyrissjóði

Í nýjasta þætti af CCQ Stundinni fengum við til okkar Guðmund Stefán Steindórsson, framkvæmdastjóra SL lífeyrissjóðs. Guðmundur veitir innsýn í hvernig sjóðurinn nýtir reynslu sína af gæða- og öryggismálum til að mæta áskorunum evrópskrar reglugerðar, DORA (Digital Operational Resilience Act).

Hér má sjá viðtalið í heild sinni.

Guðmundur tók við starfi framkvæmdastjóra 1. júní síðastliðinn, en áður var hann tæplega 10 ár yfirmaður áhættustýringar hjá sjóðnum. Hann hefur um 20 ára reynslu í áhættustýringu í fjármálageiranum og býr að því að hafa unnið náið með fyrrum framkvæmdastjóra, Sigurbirni Sigurbjörnssyni, í gæða- og vottanamálum.

DORA: Ný reglugerð og breytt ábyrgð

DORA reglugerðin um stafrænan viðnámsþrótt fjármálamarkaðar kemur upphaflega frá Evrópusambandinu og byggir á NIS2 tilskipuninni. Hún hefur tekið gildi í Evrópu en er ekki formlega orðin að lögum á Íslandi. Guðmundur gerir ráð fyrir að reglugerðin gæti tekið gildi um áramótin og þá verði gefinn aðlögunartími. SL lífeyrissjóður tók þann pól í hæðina að hefja undirbúning strax.

Stór breyting með DORA er að ábyrgðin á þessum málaflokki er færð alveg efst í pýramídann, þ.e.a.s. til stjórnar og stjórnenda.

„Það er ekki lengur hægt að segja að þetta sé eingöngu málefni upplýsingatæknideildar. Stjórn og stjórnendur bera ábyrgð á að fyrirtæki uppfylli kröfurnar og séu að gera allt sem eðlilegt geti talist til að tryggja viðnámsþrótt,“ nefnir Guðmundur.

Hjálpar ISO 27001 við að uppfylla DORA?

SL lífeyrissjóður hefur verið til fyrirmyndar í gæðamálum en sjóðurinn var fyrstur lífeyrissjóða á landinu til að hljóta bæði ISO 27001 (upplýsingaöryggi) og ISO 9001 (gæðastjórnun) vottun. Með því að flytja öll sín gæðaskjöl yfir í CCQ fyrir um sjö árum síðan var kominn góður grunnur að skipulagi.

„Fyrir 7 árum síðan byrjuðum við að flytja öll okkar gæðaskjöl í CCQ. Við vorum rosalega ánægð með það. Það heppnaðist vel og okkur fannst við vera með betri strúktúr utan um hlutina. Það hjálpaði okkur heilmikið,“ segir Guðmundur.

Uppfærsla í 2022 útgáfu ISO 27001 staðalsins var stórt átaksverkefni en kröfurnar voru talsvert meiri og reyndust ágætis fyrsta skref í átt að DORA.

CCQ tryggir skýrt vinnulag og rekjanleika

Vottanir þjálfa fyrirtæki í ákveðnu vinnulagi. Vottanir snúast um að geta sýnt fram á að hlutirnir hafi verið gerðir og hvernig þeir voru gerðir. CCQ tryggir þennan rekjanleika og hjálpar sjóðnum að viðhalda nauðsynlegu vinnulagi.

• Rýni og uppfærsla: Ákveðnir ferlar og gæðaskjöl þurfa að rúlla í gegnum árlega rýni.
• Fræðsla og skráning: CCQ heldur utan um bæði fræðsluefni og skráningu á fræðslufundum.
• Staðfesting á lestri: Starfsfólk þarf að staðfesta lestur skjala, en það er allt tímastimplað.
• Ábyrgðarskipting: Þau sem bera ábyrgð geta átt sín skjöl, sína áhættuþætti og sínar mótvægisaðgerðir á einum stað, sem kjarnar verkefnið vel.

„Manni líður eins og maður hafi verið leiddur langleiðina að DORA verkefninu í gegnum allar þessar vottanir. Þ.e.a.s. við vorum búin að fara í marga hringi, í gegnum margar ítranir vegna þess að við erum með vottanir og þá þurfum við að temja okkur ákveðið vinnulag,“ segir Guðmundur.

Leitaðu ráða hjá sérfræðingum

Guðmundur mælir eindregið með því að sækja sér sérfræðiráðgjöf þar sem DORA er stórt og flókið regluverk, fullt af fræðiorðum. Sjóðurinn fór út í það að ráða ráðgjafa sem vann með þeim kerfisbundið í gegnum kröfurnar og hjálpaði til við að rýna hvað þessi orð þýða í raun og veru.

Skynsemisregla og mikilvægisgreining

Þegar farið er í gegnum kröfur DORA er auðvelt að týna sér í smáatriðum. Markmiðið er að aðlaga kröfurnar að starfseminni en ekki öfugt. Fyrirtæki þurfa að fara í mikilvægisgreiningu til að vita nákvæmlega hvað eru krítískir punktar í ferlinu hjá sér.

Með því að skilgreina þrengra en ítrustu kröfur verður auðveldara að kafa ofan í þessa punkta og útbúa viðbragðsáætlanir í kringum þá. Ekki er æskilegt að setja á sig kröfur sem eru svo umfangsmiklar að þær henta ekki eðli starfseminnar.

„Þá er ég ekki að segja að þú sért að slá af kröfum en það er mjög mikilvægt að færa fókusinn soldið þrengra þannig að þú getir eytt púðrinu þar sem það virkilega skiptir máli að eyða því í þessari vinnu,“ nefnir Guðmundur.

Hverjar eru kröfur til þjónustuaðila?

SL lífeyrissjóður úthýsir ákveðnum þjónustum, sérstaklega varðandi upplýsingatækni, öryggismál og hýsingar. DORA setur skýrar kröfur á þessi sambönd.

Guðmundur nefnir að það þurfi að mappa upp kröfur DORA og sammælast með þjónustuaðilum um hverjir bera ábyrgð á hverjum þætti. Þessi ábyrgðarskipting þarf að vera algjörlega skýr.

DORA gengur lengra en ISO og krefst einhverskonar staðfestingar á því að útvistunaraðilar uppfylli kröfur um resilience og framkvæmi prófanir á kerfum. Mögulegar leiðir til að fá þessa staðfestingu eru:

• Uppfærsla samninga: Sennilega þarf að uppfæra alla útvistunarsamninga til að taka vel á DORA atkvæðum í þeim.
• Ytri staðfesting: Fá ytri aðila til að koma inn og staðfesta að allt sem á að gera til að hlýta DORA sé gert.
• Spurningalistar: Nota spurningalista sem eru sendir til þjónustuaðila þar sem þeir staðfesta ákveðna hluti.

Skýrt vinnulag fyrir atvik

Þó allt sé gert til að koma í veg fyrir atvik, geta þau alltaf gerst. DORA krefst þess að fyrirtæki séu með viðbragðsáætlanir sem eru tilbúnar áður en allt fer í bál og brand. Ein af fimm stoðum DORA er einmitt atvikastjórnun og tilkynningar.

Með því að vinna vottanir á borð við ISO hefur SL lífeyrissjóður tileinkað sér vinnulag sem krefst þess að farið sé yfir, testað og tékkað árlega. Með því að nýta CCQ til að halda utan um þessa vinnu og tryggja rekjanleika telur Guðmundur að sjóðurinn sé vel á veg kominn.

Hvernig er best að byrja?

Fyrir þau fjármálafyrirtæki sem standa nú frammi fyrir DORA er ráðlegging Guðmundar að byrja að skjala allt verklag og setja stefnur. Það er algjör forsenda þess að geta unnið með regluverk og staðla.

Að nota ISO 27001 til hliðsjónar

Skynsamlegt er að nota ISO 27001 staðalinn um upplýsingaöryggi til hliðsjónar við hlýtingu á DORA. Þessi staðall veitir skipulag og vinnulag sem er ágætis fyrsta skref í átt að DORA.

• Guðmundur ráðleggur að fyrirtæki fari í gegnum kröfur staðalsins og haki í box til að staðfesta að þau séu compliant við þær.
• Upplýsingaöryggi verður fljótt mjög flókið verkefni þegar farið er á dýptina. Þess vegna er mikilvægt að nota stjórnunarkerfi.

CCQ sem miðlægt stjórnunarkerfi

SL lífeyrissjóður hefur nýtt CCQ til að halda utan um verkefnið og kjarna það vel. Notkun kerfis sem styður við staðla og regluverk er lykilatriði til að sýna fram á hlýtingu, sérstaklega þar sem DORA færir ábyrgðina á stjórn og stjórnendur.

Með CCQ er hægt að:

• Tengja kröfur við skjöl: Hægt er að tengja greinar staðalsins og DORA reglugerðarinnar við innri skjöl fyrirtækisins, sem sýnir hvernig kröfum er mætt og tryggir rekjanleika.
• Tryggja vinnulag: CCQ styður við rýni á ferlum, skráningu á fræðslu og staðfestingu á lestri skjala hjá starfsfólki.
• Allt á einum stað: Kerfið safnar saman skjölum, ferlum, ábendingum og fræðsluefni sem er mikilvægt til að viðhalda yfirsýn. Einnig er mögulegt að setja upp skýra og einfalda leið fyrir tilkynningar vegna upplýsingaöryggisatvika.

Að takast á við DORA

Þegar grunnurinn er kominn þarf fyrirtækið að halda áfram með kerfisbundna vinnu:

• Leita sér sérfræðiráðgjafar: Mælt er með því að taka til sín ráðgjafa sem þekkir DORA vel til að vinna sig kerfisbundið í gegnum flókinn texta reglugerðarinnar.
• Gatagreining: Fara í gegnum gatagreiningu til að átta sig á hversu langt undirbúningurinn (t.d. með ISO 27001) hefur komið fyrirtækinu í átt að fullri hlýtingu DORA.
• Mikilvægisgreining: Beita skynsemisreglunni og fara í mikilvægisgreiningu til að skilgreina krítíska punkta í ferlinu og beina púðrinu þangað sem það skiptir mestu máli.

Þessi blanda af skjala- og stjórnunarkerfi, sérfræðiráðgjöf og skynsamlegri áhættugreiningu tryggir að fyrirtæki geti tekist á við DORA með skipulögðum og skilvirkum hætti.