Con l’entrata in vigore del Digital Operational Resilience Act (DORA), le istituzioni bancarie e assicurative devono ripensare completamente il loro approccio alla cybersecurity, trasformando la resilienza operativa da obiettivo auspicabile a requisito normativo vincolante.
Indice degli argomenti
DORA ridefinisce gli standard di sicurezza nel settore finanziario
Il Regolamento DORA è l’esempio lampante delle rapida evoluzione del panorama legislativo europeo.
Questa nuova normativa sta costringendo il settore dei servizi finanziari e la sua estesa catena di fornitura a riconsiderare seriamente le proprie strategie di cybersecurity. L’obiettivo non è più solo la conformità, ma la costruzione di una intrinseca resilienza operativa.
DORA: non un semplice check, ma un imperativo strategico
L’importanza di DORA è percepita con la massima serietà in tutto il settore finanziario. L’Articolo 8, in particolare, che riguarda la gestione del rischio ICT, ha chiarito in modo esplicito che la gestione degli accessi privilegiati non è più un’opzione, ma un imperativo normativo e le aziende non possono più trattare la conformità a DORA come un semplice esercizio. Stiamo assistendo a un’adozione diffusa di pratiche di sicurezza fondamentali che avrebbero dovuto essere integrate da tempo nelle operazioni.
Gestione degli accessi privilegiati: dalla teoria alla pratica obbligatoria
L’enfasi della regolamentazione sui controlli di identità e accessi, la preparazione agli incidenti e la garanzia di terze parti ha portato questi temi nell’agenda dei consigli di amministrazione, a conferma di quanto DORA sia diventata una priorità. Si prevede maggiore visibilità e controllo sugli accessi dei fornitori che dovranno essere più trasparenti riguardo alla loro gestione della sicurezza e fornire metriche e report quantificabili.
Sempre più aziende riconoscono che funzionalità come single sign-on, autenticazione multi-fattore e gestione continua del ciclo di vita delle identità non sono più facoltative, ma fondamentali per dimostrare resilienza e mantenere la fiducia di clienti e stakeholder.
Le complessità della conformità nei moderni ecosistemi ICT
Raggiungerla è tutt’altro che semplice. La normativa si estende specificamente ai fornitori di servizi ICT, un aspetto nuovo per molte organizzazioni che non sono mai state soggette a questo livello di analisi.
In questo senso, la resilienza è forte solo quanto l’anello più debole dell’ecosistema: data la complessità dei moderni ambienti ICT, che spesso comprendono sistemi legacy, ambienti cloud multipli e un’ampia varietà di fornitori di terze parti, è difficile applicare policy e controlli di sicurezza coerenti in un contesto di accesso privilegiato sempre più esteso.
Una gestione inadeguata delle identità privilegiate crea ulteriori sfide di conformità. Sebbene DORA imponga controlli di accesso a livello aziendale, pochissime organizzazioni hanno visibilità completa sul loro intero ecosistema, inclusi gli accessi dei fornitori, comportando quini spesso una supervisione insufficiente su come vengono concessi, monitorati e revocati gli accessi su sistemi interni e integrazioni critiche di terze parti.
Investimenti necessari per superare le barriere della conformità
Per superare queste sfide, le aziende devono implementare controlli rigorosi, garantire un monitoraggio continuo e definire robuste pratiche di governance dei fornitori. Per molte, ciò richiede un investimento significativo di capitale e tempo, non sempre immediatamente possibile, soprattutto nel quadro delle scadenze di conformità.
I 64 articoli della normativa e il privilegio minimo
Alcuni dei requisiti più impegnativi sono racchiusi nei dettagli dei 64 articoli della normativa. L’applicazione del principio del privilegio minimo su ogni identità – umana, macchina o di terze parti – è complessa, specialmente quando si estende all’intero ciclo di vita dell’identità. Molte organizzazioni faticano a gestire in modo sicuro gli account privilegiati, a mantenere una supervisione continua delle identità non umane e ottenere una visibilità consolidata su sistemi distribuiti.
Tempi stretti per rilevazione e segnalazione degli incidenti ICT
Lavorare entro un lasso di tempo ristretto per rilevare, contenere e segnalare incidenti legati all’ICT richiede la tecnologia giusta, oltre a processi operativi ben rodati in grado di rispondervi senza interrompere le operazioni commerciali o compromettere i requisiti di protezione dei dati dei clienti in base a molteplici framework normativi.
Scenari futuri: identità crescenti e normative sovrapposte
La sfida della conformità si intensificherà con il tempo, poiché volume e diversità delle identità continuano a crescere. I tempi normativi per la segnalazione degli incidenti diventeranno probabilmente più brevi, creando ulteriore pressione sulle capacità di monitoraggio e risposta, oltre alla sincronizzazione con altri requisiti di conformità come GDPR e NIS2. A complicare ulteriormente la situazione, il rispetto di DORA non implica necessariamente la conformità complessiva alle normative UE, specialmente per le entità più complesse e soggette a più giurisdizioni.
Stiamo già assistendo a framework normativi sovrapposti, come la NIS2, che richiede un’interpretazione a livello nazionale, e DORA, che si applica uniformemente a livello UE, creando diversi livelli di complessità, nel caso in cui le imprese debbano essere soggette a entrambi. Sebbene ci sia una certa sovrapposizione tra le due, ci sono anche aree specifiche per ogni normativa o che potrebbero non essere coperte dall’altra.
Trasformare DORA da obbligo a vantaggio strategico
Con l’accelerazione della trasformazione digitale, i quadri normativi si evolvono naturalmente. Le aziende non dovrebbero vedere queste normative come un peso, ma come un’opportunità per garantire sicurezza e resilienza a lungo termine delle loro operazioni digitali.
Soddisfare i requisiti di DORA significa incorporare la sicurezza delle identità nel cuore delle strategie di resilienza. Le organizzazioni più lungimiranti stanno utilizzando gestione degli accessi privilegiati, governance dell’identità e analisi comportamentale per ottenere insight sui rischi su tutte le identità, condensate su un’unica piattaforma per semplicità. L’automazione si sta rivelando preziosa anche per ridurre lo sforzo manuale. Con l’aumento di velocità e sofisticazione delle minacce cyber, l’implementazione di controlli di accesso automatizzati tramite architettura Zero Trust, monitoraggio intelligente e intelligenza artificiale sarà fondamentale per mantenere la resilienza al di sopra delle aspettative normative. La conformità a DORA consiste, in realtà nella creazione di una base di accesso privilegiato Zero Trust in grado di soddisfare i requisiti normativi.
