W obliczu rosnących zagrożeń cybernetycznych i coraz bardziej złożonych środowisk IT, organizacje muszą sprostać wymaganiom regulacyjnym, które mają na celu zapewnienie odpowiedniej odporności operacyjnej. Dyrektywa DORA (Digital Operational Resilience Act) to kluczowa regulacja Unii Europejskiej, która nakłada na organizacje szereg obowiązków w zakresie odporności cyfrowej.

Information Technology Infrastructure Library (ITIL) to zbiór najlepszych praktyk zarządzania usługami IT, który może znacząco wspierać organizacje w spełnianiu wymagań tych regulacji. Niniejszy dokument analizuje, w jaki sposób praktyki ITIL mogą pomóc organizacjom w realizacji wymagań DORA, identyfikując kluczowe obszary synergii i praktyczne zastosowania.

1. Praktyki i najważniejsze elementy ITIL

1.1 Czym jest ITIL?

ITIL (Information Technology Infrastructure Library) to zbiór szczegółowych praktyk zarządzania usługami IT, który koncentruje się na dostosowaniu usług IT do potrzeb biznesowych. ITIL 4, najnowsza wersja ram, wprowadza holistyczne podejście do zarządzania usługami IT i obejmuje 34 praktyki zarządzania podzielone na trzy kategorie:

Praktyki zarządzania ogólnego:

1. Zarządzanie architekturą
2. Ciągłe doskonalenie
3. Zarządzanie bezpieczeństwem informacji
4. Zarządzanie wiedzą
5. Pomiary i raportowanie
6. Zarządzanie zmianami organizacyjnymi
7. Zarządzanie portfelem
8. Zarządzanie projektami
9. Zarządzanie relacjami
10. Zarządzanie ryzykiem
11. Zarządzanie dostawcami
12. Zarządzanie strategią
13. Zarządzanie talentami
14. Zarządzanie finansami usług IT

Praktyki zarządzania usługami:

1. Zarządzanie dostępnością
2. Analiza biznesowa
3. Zarządzanie potencjałem wykonawczym i wydajnością
4. Umożliwianie zmian
5. Zarządzanie incydentami
6. Zarządzanie zasobami IT
7. Monitorowanie i zarządzanie zdarzeniami
8. Zarządzanie problemami
9. Zarządzanie wydaniami
10. Zarządzanie katalogiem usług
11. Zarządzanie konfiguracją usług
12. Zarządzanie ciągłością usług
13. Projektowanie usług
14. Service Desk
15. Zarządzanie poziomem świadczenie usług
16. Zarządzanie wnioskami o usługi
17. Walidacja i testowanie usług

Praktyki zarządzania technicznego:

1. Zarządzanie wdrożeniami
2. Zarządzanie infrastrukturą i platformą
3. Rozwój i zarządzanie oprogramowaniem

ITIL 4 wprowadza również System Wartości Usług (Service Value System, SVS), który obejmuje: – Łańcuch wartości usług (Service Value Chain) – Cztery wymiary zarządzania usługami – Zasady przewodnie – Praktyki – Ciągłe doskonalenie

1.2 Kluczowe zasady ITIL 4

ITIL 4 opiera się na siedmiu zasadach przewodnich:

1. Koncentracja na wartości: Wszystkie działania powinny przyczyniać się do tworzenia wartości dla interesariuszy.
2. Rozpoczynanie od aktualnego stanu: Wykorzystanie istniejących elementów i wprowadzanie zmian stopniowo.
3. Iteracyjne postępy z informacją zwrotną: Organizowanie pracy w mniejsze, możliwe do zarządzania części z możliwością uzyskania informacji zwrotnej.
4. Współpraca i promowanie widoczności: Praca zespołowa i przejrzystość.
5. Myślenie i praca holistyczne: Uwzględnienie całego systemu, a nie tylko jego części.
6. Prostota i praktyczność: Eliminacja zbędnych złożoności.
7. Optymalizacja i automatyzacja: Optymalizacja procesów przed ich automatyzacją.

2. Wymagania DORA

2.1 Czym jest DORA?

DORA (Digital Operational Resilience Act) to rozporządzenie UE, które ustanawia zharmonizowane podejście do cyfrowej odporności operacyjnej w sektorze finansowym UE. DORA określa wymagania dotyczące bezpieczeństwa systemów sieciowych i informatycznych dla organizacji w sektorze finansowym oraz ich dostawców usług ICT.

2.2 Kluczowe obszary wymagań DORA

Zarządzanie ryzykiem:

• Udokumentowane ramy zarządzania ryzykiem ICT
• Możliwość szybkiego, efektywnego i kompleksowego reagowania na ryzyko ICT
• Zapewnienie wysokiego poziomu cyfrowej odporności operacyjnej
• Regularne testowanie

Zarządzanie incydentami:

• Proces zarządzania incydentami ICT
• Wykrywanie, zarządzanie i powiadamianie o incydentach ICT
• Odpowiednie procedury i procesy zapewniające spójne i zintegrowane monitorowanie, obsługę i śledzenie incydentów ICT

Bezpieczeństwo łańcucha dostaw:

• Zarządzanie ryzykiem związanym z dostawcami ICT
• Umowy uwzględniające ryzyko stron trzecich
• Rejestr dostawców usług i raportowanie do właściwych organów

Wymagania dotyczące umów:

• Określone wymagania dla umów między podmiotami finansowymi a dostawcami usług ICT
• Ramy nadzoru dla krytycznych dostawców usług ICT

Współpraca i nadzór:

• Zasady współpracy między organami nadzorczymi
• Nadzór i egzekwowanie przepisów

3. Jak praktyki ITIL wspierają wymagania DORA

3.1 Zarządzanie ryzykiem

Praktyki ITIL wspierające ten obszar:

Zarządzanie ryzykiem: ITIL dostarcza strukturę do identyfikacji, oceny i zarządzania ryzykiem, co bezpośrednio wspiera wymagania DORA dotyczące ram zarządzania ryzykiem ICT.

Zarządzanie bezpieczeństwem informacji: Ta praktyka ITIL koncentruje się na ochronie poufności, integralności i dostępności informacji, co jest kluczowe dla zapewnienia cyfrowej odporności operacyjnej.

Zarządzanie strategią: Pomaga w dostosowaniu strategii IT do celów biznesowych, w tym do wymagań regulacyjnych.

Przykłady praktycznego zastosowania:

• Wykorzystanie ram zarządzania ryzykiem ITIL do opracowania udokumentowanych ram zarządzania ryzykiem ICT wymaganych przez DORA.
• Wdrożenie praktyk zarządzania bezpieczeństwem informacji ITIL, które wspierają szybkie, efektywne i kompleksowe reagowanie na ryzyko ICT.
• Zastosowanie praktyk zarządzania strategią ITIL do zapewnienia, że zarządzanie ryzykiem ICT jest zintegrowane z ogólną strategią organizacji.

3.2 Zarządzanie incydentami

Praktyki ITIL wspierające ten obszar:

Zarządzanie incydentami: Dostarcza strukturę do wykrywania, klasyfikacji, reagowania i rozwiązywania incydentów, co bezpośrednio wspiera wymagania DORA dotyczące procesu zarządzania incydentami ICT.

Zarządzanie problemami: Pomaga w identyfikacji przyczyn źródłowych incydentów i zapobieganiu ich ponownemu wystąpieniu.

Monitorowanie i zarządzanie zdarzeniami: Umożliwia wczesne wykrywanie potencjalnych incydentów.

Przykłady praktycznego zastosowania:

• Wdrożenie procesu zarządzania incydentami ITIL, który obejmuje wykrywanie, zarządzanie i powiadamianie o incydentach ICT.
• Wykorzystanie praktyk monitorowania i zarządzania zdarzeniami ITIL do zapewnienia spójnego i zintegrowanego monitorowania incydentów ICT.
• Zastosowanie praktyk zarządzania problemami ITIL do analizy przyczyn źródłowych incydentów i zapobiegania ich ponownemu wystąpieniu.

3.3 Bezpieczeństwo łańcucha dostaw

Praktyki ITIL wspierające ten obszar:

Zarządzanie dostawcami: Dostarcza ramy do zarządzania relacjami z dostawcami, w tym oceny ryzyka i monitorowania wydajności dostawców.

Zarządzanie relacjami: Pomaga w budowaniu i utrzymywaniu efektywnych relacji z dostawcami.

Zarządzanie kontraktami: Zapewnia, że umowy z dostawcami zawierają odpowiednie klauzule dotyczące bezpieczeństwa.

Przykłady praktycznego zastosowania:

• Wdrożenie procesu zarządzania dostawcami ITIL, który obejmuje zarządzanie ryzykiem związanym z dostawcami ICT.
• Wykorzystanie praktyk zarządzania kontraktami ITIL do zapewnienia, że umowy z dostawcami ICT uwzględniają ryzyko stron trzecich.
• Zastosowanie praktyk zarządzania dostawcami ITIL do prowadzenia rejestru dostawców usług i raportowania do właściwych organów.

3.4 Wymagania dotyczące umów

Praktyki ITIL wspierające ten obszar:

Zarządzanie dostawcami: Dostarcza ramy do zarządzania relacjami z dostawcami, w tym negocjowania i zarządzania umowami.

Zarządzanie poziomem usług: Pomaga w definiowaniu, monitorowaniu i raportowaniu poziomów usług dostarczanych przez dostawców (SLA).

Przykłady praktycznego zastosowania:

• Wykorzystanie praktyk zarządzania dostawcami ITIL do opracowania umów z dostawcami usług ICT, które spełniają wymagania DORA.
• Zastosowanie praktyk zarządzania poziomem usług ITIL do monitorowania zgodności dostawców z uzgodnionymi poziomami usług (SLA).
• Wdrożenie ram nadzoru dla krytycznych dostawców usług ICT zgodnie z praktykami zarządzania dostawcami ITIL.

3.5 Współpraca i nadzór (Governance)

Elementy ITIL wspierające ten obszar:

Zarządzanie relacjami: Pomaga w budowaniu i utrzymywaniu efektywnych relacji z organami nadzorczymi.

Governance: Zapewnia, że organizacja spełnia wymagania regulacyjne.

Przykłady praktycznego zastosowania:

• Wykorzystanie praktyk zarządzania relacjami ITIL do współpracy z organami nadzorczymi.
• Zastosowanie Governance z Systemu Wartości Usług ITIL do zapewnienia zgodności z wymaganiami DORA.
• Wdrożenie mechanizmów raportowania zgodnych z wymaganiami DORA dotyczącymi nadzoru i egzekwowania przepisów.

4. Praktyczne kroki wdrożenia ITIL dla zgodności z DORA

4.1 Ocena obecnego stanu

Przeprowadzenie analizy luki: Porównanie obecnych praktyk z wymaganiami DORA oraz praktykami ITIL.

Identyfikacja obszarów do poprawy: Określenie, które obszary wymagają największej uwagi.

Priorytetyzacja działań: Ustalenie priorytetów działań na podstawie ryzyka i wymagań regulacyjnych.

4.2 Opracowanie planu wdrożenia

Określenie celów: Zdefiniowanie jasnych celów wdrożenia ITIL dla zgodności z DORA.

Identyfikacja zasobów: Określenie niezbędnych zasobów, w tym personelu, narzędzi i budżetu.

Opracowanie harmonogramu: Ustalenie realistycznego harmonogramu wdrożenia.

Określenie miar sukcesu: Zdefiniowanie wskaźników, które będą używane do mierzenia postępu i sukcesu.

4.3 Wdrożenie kluczowych praktyk ITIL

Zarządzanie ryzykiem: Wdrożenie praktyk zarządzania ryzykiem ITIL, które

wspierają wymagania DORA.

Zarządzanie incydentami: Wdrożenie procesu zarządzania incydentami ITIL, który obejmuje wykrywanie, reagowanie i raportowanie incydentów.

Zarządzanie dostawcami: Wdrożenie praktyk zarządzania dostawcami ITIL, które wspierają bezpieczeństwo łańcucha dostaw.

Zarządzanie ciągłością biznesową: Wdrożenie praktyk zarządzania ciągłością biznesową ITIL, które zapewniają odporność operacyjną.

Zarządzanie zmianami: Wdrożenie procesu zarządzania zmianami ITIL, który minimalizuje ryzyko związane ze zmianami.

4.4 Monitorowanie i ciągłe doskonalenie

Regularne przeglądy: Przeprowadzanie regularnych przeglądów wdrożonych praktyk ITIL.

Audyty zgodności: Przeprowadzanie audytów zgodności z wymaganiami DORA.

Ciągłe doskonalenie: Wdrożenie cyklu ciągłego doskonalenia ITIL do regularnego ulepszania praktyk.

5. Wyzwania i najlepsze praktyki

5.1 Wyzwania

Złożoność regulacji: DORA jest złożoną regulacją, która może być trudna do zrozumienia i wdrożenia.

Ograniczone zasoby: Organizacje mogą mieć ograniczone zasoby do wdrożenia wszystkich wymaganych praktyk.

Zmieniające się zagrożenia: Krajobraz zagrożeń cybernetycznych stale się zmienia, co wymaga ciągłej adaptacji praktyk.

Integracja z istniejącymi procesami: Integracja praktyk ITIL z istniejącymi procesami może być wyzwaniem.

5.2 Najlepsze praktyki

• Podejście oparte na ryzyku: Priorytetyzacja działań na podstawie oceny ryzyka.
• Zaangażowanie kierownictwa: Zapewnienie zaangażowania kierownictwa wyższego szczebla.
• Szkolenia i podnoszenie świadomości: Regularne szkolenia pracowników i kampanie podnoszące świadomość.
• Automatyzacja: Wykorzystanie narzędzi automatyzacji do zwiększenia efektywności.
• Współpraca między działami: Promowanie współpracy między działami IT, bezpieczeństwa i biznesu.
• Dokumentacja: Dokładna dokumentacja wszystkich procesów i procedur.
• Regularne przeglądy i audyty: Przeprowadzanie regularnych przeglądów i audytów w celu zapewnienia zgodności.

6. Podsumowanie

Praktyki ITIL mogą znacząco wspierać organizacje w spełnianiu wymagań DORA. Dzięki swojemu kompleksowemu podejściu do zarządzania usługami IT, ITIL dostarcza ramy, które mogą być wykorzystane do wdrożenia skutecznych procesów zarządzania ryzykiem, incydentami, dostawcami i ciągłością działania, które są kluczowe dla zgodności z tą regulacją.

Wdrożenie praktyk ITIL wymaga systematycznego podejścia, zaangażowania kierownictwa i odpowiednich zasobów, ale korzyści wykraczają poza samą zgodność regulacyjną. Organizacje, które skutecznie wdrażają praktyki ITIL, mogą również poprawić jakość usług IT, zwiększyć efektywność operacyjną i lepiej zarządzać ryzykiem, co prowadzi do większej odporności operacyjnej i konkurencyjności.