DORA والمخاطر الرقمية وتفويض الهوية الجديد في الخدمات المالية

الاستعداد للموعد النهائي لإصدار قانون دورانا لعام 2025

عندما تبنى الاتحاد الأوروبي قانون المرونة التشغيلية الرقمية (DORA)، كان ذلك بمثابة إشارة إلى تحول جوهري في كيفية تعامل المؤسسات المالية مع الأمن السيبراني وإدارة المخاطر واستمرارية التشغيل. فللمرة الأولى، لم يكتفِ المنظمون بذكر أمن الهوية بشكل عابر، بل قاموا بتضمينه مباشرةً في نسيج الامتثال.

يعترف هذا التطور بحقيقة يعرفها العديد من المتخصصين في مجال الأمن منذ سنوات: أن الهوية هي أساس الأمن الرقمي ومحور المرونة التشغيلية. دعونا نلقي نظرة على ما تغير، والتأثيرات التي سيحدثها قانون DORA على أمن الهوية، والتحديات التي تواجهها المؤسسات المالية، وكيف يجب على مدراء أمن المعلومات الاستعداد لضمان تلبية مؤسساتهم لمتطلبات قانون DORA بحلول الموعد النهائي في عام 2025.

لم يعد أمن الهوية وظيفة تكنولوجيا المعلومات فقط بعد الآن

وبموجب قانون DORA، يجب أن تكون كل عملية رقمية داخل المؤسسة المالية - بدءًا من المدفوعات إلى تأهيل العملاء إلى أنظمة التداول - آمنة ومرنة ومتاحة باستمرار. وهذا يضع أمن الهوية في المقدمة والمركز. لأنك إذا لم تتمكن من التحقق من هوية من يدخل إلى ماذا ومتى ومن أين، فإن استراتيجية الهوية الخاصة بك تنهار.

في الواقع التنظيمي الجديد في قانون DORA، لم تعد الهوية وظيفة تكنولوجيا المعلومات في المكاتب الخلفية. بل أصبحت الآن ضرورة استراتيجية يملكها قادة المخاطر ومسؤولو الامتثال ومدراء الأعمال على حد سواء.

تأثير DORA على أمن الهوية

تتطلب العديد من المواد في DORA بشكل مباشر أو ضمني قدرات قوية لإدارة الهوية والوصول (IAM). على سبيل المثال:

التحكم في الوصول والحوكمة: تُلزم DORA المؤسسات بإدارة حقوق وصول المستخدم في الوقت الفعلي وإجراء مراجعات منتظمة للوصول لمنع زحف الامتيازات والوصول غير المصرح به.
متطلبات التوثيق: من المتوقع أن تحمي أساليب المصادقة القوية، مثل المصادقة متعددة العوامل (MFA)، الأنظمة من الوصول غير المصرح به.
الاستمرارية التشغيلية: يجب على المؤسسات أن تضمن بقاء الوظائف الحيوية متاحة أثناء الحوادث السيبرانية أو الانقطاعات أو الأعطال الإلكترونية. ويشمل ذلك الحفاظ على خدمات الهوية تحت الإكراه.
المراقبة والكشف عن الحالات الشاذة: يجب على المؤسسات اكتشاف الحوادث الإلكترونية والاستجابة لها والتعافي منها بسرعة. وتُعد الحالات الشاذة المتعلقة بالهوية، مثل أنماط الوصول غير الاعتيادية، مؤشرات حاسمة.

تؤكد هذه المتطلبات على الحاجة إلى برنامج حديث لأمن الهوية مدرك للمخاطر.

يصادف عام 2025 العام الذي ينتقل فيه الامتثال الآن إلى مراحل الإنفاذ، مما يعني أن المؤسسات التي لا تمتثل لقانون DORA تواجه غرامات تبلغ 21 تيرابايت 3 تيرابايت من متوسط حجم الأعمال العالمي أو 11 تيرابايت 3 تيرابايت من متوسط حجم الأعمال اليومي مع إضافة غرامات يومية تُفرض على المؤسسات غير الممتثلة حتى تحقق الامتثال. المخاطر الآن كبيرة.

تحديات الهوية التي تواجه المؤسسات المالية

على الرغم من زيادة الاستثمارات في مجال الأمن، لا تزال العديد من المؤسسات المالية تعاني من الثغرات المتعلقة بالهوية في وظائفها الأمنية والتشغيلية، بما في ذلك:

أنظمة IAM القديمة التي تفتقر إلى القدرة على التكيف والرؤية
أدوات الهوية المنعزلة عبر البيئات المحلية والسحابة
طرق المصادقة الضعيفة المعرضة للتصيد الاحتيالي
عمليات الحوكمة اليدوية التي تجعل الإبلاغ عن الامتثال بطيئًا وعرضة للأخطاء

هذه التحديات تجعل المؤسسات عُرضة - ليس فقط للمهاجمين، ولكن أيضًا للتدقيق التنظيمي وغرامات الامتثال.

ماذا يعني ذلك بالنسبة لرؤساء أمن المعلومات

يجب على مدراء أمن المعلومات في القطاع المالي أن يأخذوا زمام المبادرة في مواءمة استراتيجية الهوية مع DORA. وهذا يعني:

اعتماد الوصول المستند إلى المخاطر النماذج التي تضبط الضوابط بناءً على السياق والسلوك
ضمان استمرارية الأعمال مع تجاوز الفشل الهجين للمصادقة والوصول
التعزيز الحوكمة مع التوفير الآلي والمراجعات واعتماد الوصول الآلي
احتضان مصادقة بدون كلمة مرور للقضاء على نواقل الهجوم الشائعة

نهج RSA في أمن الهوية المتوافق مع DORA

في RSA، نساعد المؤسسات المالية على تفعيل الهوية كركيزة للمرونة. منصتنا للهوية التي تركز على الأمن أولاً, RSA ID Plus, ، تم تصميمه للبيئات المنظمة مثل التمويل.

الذكاء الاصطناعي للمخاطر RSA يحلل الإشارات السلوكية والسياقية لفرض سياسات الوصول التكيّفية
قفل RSA المحمول يحمي الوصول على الأجهزة غير المُدارة أو المخترقة
RSA iShield سلسلة المفاتيح 2 تتيح أدوات المصادقة إمكانية مصادقة FIDO ومصادقة OTP المقاومة للتصيد الاحتيالي
حوكمة RSA ودورة حياتها أتمتة عمليات سير عمل حوكمة الوصول والامتثال
تجاوز الفشل الهجين RSA الهجين يضمن مصادقة غير منقطعة أثناء انقطاع التيار الكهربائي

توفر هذه الحلول مجتمعةً الضوابط اللازمة للتوافق مع قانون DORA - وتعزز مؤسستك بما يتجاوز الامتثال.

يمثل DORA نقطة تحول للهوية في الخدمات المالية. فهو يرتقي بالخدمات المالية من مجرد اهتمام تقني إلى تفويض تنظيمي - وعامل تمكين استراتيجي للمرونة التشغيلية.

لن تفي المؤسسات المالية التي تتبنى استراتيجيات أمن الهوية أولاً بمتطلبات قانون DORA فحسب، بل ستكتسب أيضاً ميزة تنافسية في الأمن وسرعة الحركة وثقة العملاء. لقد حان الوقت الآن لإعادة التفكير في وضع هويتك قبل أن يبدأ تطبيق قانون DORA.

DORA، والمخاطر الرقمية، وتفويض الهوية الجديد في الخدمات المالية

طلب عرض توضيحي