Scopriamo il Digital Operations Resilience Act (DORA)

Agostino Pellegrino : 22 Gennaio 2023 08:34

Il DORA è una iniziativa dell’Unione Europea per creare un quadro normativo per la resilienza operativa digitale nel settore finanziario.

DORA è un’acronimo che sta per “Digital Operational Resilience Act” e mira a stabilire standard minimi per la resilienza operativa delle infrastrutture critiche del settore finanziario, nonché a garantirne la capacità a operare in caso di incidenti di sicurezza informatica.

L’obiettivo è quello di proteggere i clienti e il sistema stesso, attraverso la creazione di un quadro normativo che garantisca la sicurezza e la stabilità del sistema finanziario dell’UE.

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il DORA consente alle aziende di eseguire un assessment ed uno threat scoring specifico per le industrie finanziarie. Il metodo è stato sviluppato dalla BCBS (Banca dei Regolamenti Internazionali) e dalla FSRA (Autorità di Regolamentazione Finanziaria) ed è stato progettato per coadiuvare le banche e le istituzioni finanziarie a gestire i rischi e le mitigazioni per tutelare la CIA Triad e garantire business continuity.

La deadline per l’applicazione delle policy di resilienza operativa è definita al 17 Gennaio 2025. Importante è l’estensione degli stessi criteri non solo all’industria finanziaria ma anche agli attori operanti in crypto assets ed ai cloud providers coinvolti a livello di fornitura “* as a Service”.

Prima e Dopo

Prima di DORA, le istituzioni finanziarie gestivano le principali categorie di rischio operativo principalmente con l’allocazione di capitale, ma non gestivano tutte le componenti della resilienza operativa. Dopo DORA, dovranno mantenere compliance in materia di capacità di protezione, rilevamento, contenimento, ripristino e continuity in seguito a incidenti di sicurezza informatica.

DORA fa esplicito riferimento al rischio ICT e stabilisce regole sulla gestione del rischio, rispetto la segnalazione degli incidenti, sui test di resilienza operativa e rispetto al monitoraggio del rischio ICT derivante dalla Supply Chain. Tale Regolamento riconosce che gli incidenti cyber e la mancanza di resilienza operativa possono compromettere la solidità dell’intero sistema finanziario, anche in presenza di un capitale “adeguato” a copertura delle tradizionali categorie di rischio.

Categorizzazione del rischio

Il DORA si basa su un vero e proprio risk assessment specifico e su un approccio puramente strategico, basato sulle attività particolari gestite dall’impresa in questione. Questi rischi possono essere divisi in tre categorie: rischi tecnologici, rischi di business e rischi di controllo. La particolarità dell’applicazione del metodo DORA risiede nella possibilità di classificare la probabilità con cui un determinato evento, direttamente collegato con le vulnerabilità di sistema rilevate, possa verificarsi e quindi consentire di intervenire con mitigazioni in ordine di priorità in base alla gravità delle vulnerabilità riscontrate.

Operatività specifiche

Il Digital Operations Resilience Act, DORA, prevede che l’azienda si impegni un un follow up costante nel tempo al fine di garantire l’efficienza e la sicurezza delle operazioni finanziarie, introducendo un concetto di Cyber Security differente da quello comunemente diffuso del prodotto “a scaffale” ma bensì basato sull’idea si un sistema “tailored” e del “percorso cyber”: l’industria finanziaria non solo dovrà applicare il metodo ma dovrà garantire continuità di controllo e mitigazione.

Metodo standard?

La considerazione nasce quindi spontanea: essendo l’idea di base eccezionale dal punto di vista evolutivo sia nell’immediato che a medio lungo termine, perché non “lasciarsi ispirare” e intraprendere un percorso di “revisione metodologica” che porti l’industria cyber a proporre framework simili in ogni settore, definendoli sia in base al budget del cliente che alle priorità a livello di sicurezza e magari proponendo un percorso di crescita continua?

Evoluzione continua

La filosofia giapponese ci viene incontro con il concetto di Kaizen: piccoli miglioramenti progressivi e costanti che definiscono un clinamen verso l’utopica idea di perfezione. In ambito cyber sappiamo di non poter ambire a tanto, in nessun caso ma nessuno ci vieta di pensare che magari, un giorno, questo non possa essere a un soffio dalla nostra portata.

Agostino Pellegrino
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Lista degli articoli