Nel mese di gennaio è entrato in vigore in Italia DORA, il Digital Operation Resilience Act con cui il legislatore europeo ha inteso razionalizzare e completare il quadro normativo esistente a garanzia della resilienza operativa nel settore finanziario e non solo. Poiché dall’operatività dei servizi finanziari può dipendere la stabilità economica d’interi Paesi era importante imporre regole comuni nei campi della governance ICT, del risk management, della cyber security e dell’incident reporting.
Di fatto DORA non introduce nulla di nuovo nell’ambito della sicurezza ICT, puntando piuttosto a fare ordine normativo, prescrivendo ciò che molte grandi banche e istituzioni finanziarie hanno già fatto negli ultimi anni per gestire il rischio operativo. Discorso ben diverso per molte realtà piccole o impegnate su business innovativi o in evoluzione, come le società di trading, le borse valori, le società assicurative e previdenziali, decentralized finance (DeFi) e criptovalute. La normativa DORA comprende inoltre alcuni fornitori di asset critici per l’economia, come le agenzie di rating, a cui è affidato un ruolo importante nell’informazione, e di servizi ICT critici per il mondo finance.
Di fatto l’entrata in vigore del regolamento DORA accompagna la necessità di ampliare il perimetro della gestione del rischio (per esempio con l’inclusione delle terze parti) e d’introdurre supporti efficaci nella gestione delle crisi e nel reporting degli incidenti. Iniziative che comportano alcune criticità di cui abbiamo discusso con Marina Miserandino, associate partner di Horizon Security, società di consulenza specializzata sui temi della sicurezza e della compliance normativa.
Quadro di sorveglianza e profili sanzionatori: cosa prevede il Regolamento DORA
Indice degli argomenti
Le criticità della resilienza operativa nel mirino di DORA
Assodato che, per molti aspetti, DORA non presenta novità di rilievo rispetto a ciò che le maggiori aziende del settore finanziario hanno già fatto negli anni passati per migliorare la governance del rischio e la sicurezza, dove risiedono le criticità? “C’è innanzitutto la necessità di rivedere le misure per la resilienza in modo più stringente rispetto al passato – spiega Miserandino – Seguono le capacità di fare test efficaci e di comunicare gli incidenti”.
Alcuni problemi sorgono con sistemi di business continuity. “Se si vanno a controllare i parametri operativi dei sistemi in essere, espressi come RTO (recovery time objective) e RPO (recovery point objective), si scopre spesso che non sono adeguati con le esigenze d’oggi”. La resilienza richiede continuità operativa anche sul medio-lungo periodo (la pandemia è stato un banco di prova significativo soprattutto nei periodi di lockdown), impegno per ridurre interruzioni nei servizi critici per non creare situazioni d’incertezza, dare spazio a fake news e speculazioni sui mercati.
La resilienza di fronte agli attacchi informatici è diventato un requisito normativo fondamentale, assieme alle capacità di governare le crisi e di condividere le informazioni. “Sia DORA sia il 40° aggiornamento della circolare 285 di Banca d’Italia sollecitano una maggiore attenzione ai rischi di security e l’aggiunta degli scenari d’attacco cyber ai test”.
DORA: cosa cambia nei test e nella comunicazione aziendale
Gli attacchi cyber più recenti sollecitano più attenzione nelle fasi di monitoraggio e test per identificare e risolvere le vulnerabilità aziendali. “Molte delle attuali difese risultano testate solo sulla carta o tramite scenari non abbastanza estesi ed efficaci – spiega Miserandino -. Il regolamento DORA comporta la necessità di test più sofisticati basati sulle minacce reali per capire se l’organizzazione è davvero in grado di restare operativa in caso d’attacco cyber e indentificare le misure da attuare per ottenere questo risultato”.
Ma non basta, in caso d’attacco servono azioni precise realizzate in base a piani e processi ben definiti, con responsabilità a tutti i livelli della scala gerarchica aziendale. Già prima di DORA, attraverso GDPR, il legislatore europeo si era preoccupato di normare la comunicazione degli incidenti. La conoscenza degli attacchi e delle perdite di dati sono preziose per il contenimento dei danni e per aiutare altre imprese del settore a difendersi in situazioni simili. Senza obblighi di comunicazione, gli attacchi cyber verrebbero gestiti in modo riservato, dando priorità all’immagine aziendale e alla fiducia dei clienti: “Un comportamento del tutto contrario alla creazione di un fronte comune di difesa delle infrastrutture critiche che è negli obiettivi del legislatore con il regolamento DORA”.
Come si affrontano gli adeguamenti a DORA
Il primo passo da fare per la compliance con DORA è l’health-check sulla maturità delle difese cyber già esistenti. “La capacità di difendersi dagli attacchi richiede l’estensione dell’analisi al livello organizzativo e dei processi – spiega Miserandino -. Con le informazioni ottenute si decidono i piani tattici e strategici per chiudere le falle e ottenere risultati concreti nel breve e nel medio termine. Va considerato che la maturità delle difese interne può non essere sufficiente per limitare i rischi che si acquisiscono dalle terze parti”.
Tra gli interventi, sono critici quelli di gestione delle crisi. “Serve molto tempo per rafforzare i diversi livelli dell’organizzazione con cambiamenti nei ruoli e nelle responsabilità – precisa Miserandino -. Occorre introdurre nuovi processi, mettere in contatto funzioni aziendali differenti con l’ufficio legale e la comunicazione aziendale. Servono inoltre nuove metodologie per l’analisi del rischio, il supporto di programmi specifici a livello di filiera e rivalutazioni dei contratti con i fornitori”.
Cambiamenti tecnologici, del modello operativo, dell’organizzazione e dei piani dovranno inoltre tener conto delle variazioni normative di lungo periodo, non solo di DORA ma degli altri regolamenti di settore sia in sede europea sia nazionale.
Il valore dell’esperienza nei progetti di compliance normativa
La compliance a DORA richiede esperienza nella conduzione delle analisi di business impact necessarie per la definizione dei requisiti per la resilienza operativa. Serve inoltre competenza per agire su processi e servizi critici del business, che coinvolgono sia l’azienda sia le terze parti. Garantire l’operatività è un impegno continuo che va oltre le esigenze delle compliance. “Richiede piattaforme tecnologiche, procedure operative efficienti, contatti e riferimenti ben documentati e piani periodicamente verificati – spiega Miserandino -. In questo senso DORA può essere l’occasione per introdurre miglioramenti d’ampia portata sull’impianto della governance della sicurezza e della business continuity per adeguarla ai nuovi scenari di rischio”.
Sul fronte della prevenzione dagli attacchi è vitale la capacità del partner di disegnare ed effettuare test efficaci. “Serve realizzare dei penetration test basati sulle minacce correnti e l’utilizzo per i test di modalità standardizzate come Tiber-EU e Tiber-IT (Threat Intelligence-based Ethical Red Teaming). Un compito che richiede competenze nell’ethical hacking oltre che sui framework Tiber anche se, al momento, non costituiscono un requisito immediato”.
Poiché il cybercrime organizzato cambia continuamente modalità d’attacco e bersagli (tra questi sono apparsi gli apparati IoT e consumer all’esterno dai tradizionali perimetri di difesa) diventa importante l’aggiornamento continuo delle competenze. “Un contesto che richiede capacità di sviluppare programmi di formazione, che siano efficaci per i team tecnici quanto coinvolgenti e fruibili per gli utenti delle line-of-business e dirigenti”.
Contributo editoriale sviluppato in collaborazione con Horizon
