Agostino Pellegrino : 22 Gennaio 2023 08:34
Il DORA è una iniziativa dell’Unione Europea per creare un quadro normativo per la resilienza operativa digitale nel settore finanziario.
DORA è un’acronimo che sta per “Digital Operational Resilience Act” e mira a stabilire standard minimi per la resilienza operativa delle infrastrutture critiche del settore finanziario, nonché a garantirne la capacità a operare in caso di incidenti di sicurezza informatica.
L’obiettivo è quello di proteggere i clienti e il sistema stesso, attraverso la creazione di un quadro normativo che garantisca la sicurezza e la stabilità del sistema finanziario dell’UE.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il DORA consente alle aziende di eseguire un assessment ed uno threat scoring specifico per le industrie finanziarie. Il metodo è stato sviluppato dalla BCBS (Banca dei Regolamenti Internazionali) e dalla FSRA (Autorità di Regolamentazione Finanziaria) ed è stato progettato per coadiuvare le banche e le istituzioni finanziarie a gestire i rischi e le mitigazioni per tutelare la CIA Triad e garantire business continuity.
La deadline per l’applicazione delle policy di resilienza operativa è definita al 17 Gennaio 2025. Importante è l’estensione degli stessi criteri non solo all’industria finanziaria ma anche agli attori operanti in crypto assets ed ai cloud providers coinvolti a livello di fornitura “* as a Service”.
Prima di DORA, le istituzioni finanziarie gestivano le principali categorie di rischio operativo principalmente con l’allocazione di capitale, ma non gestivano tutte le componenti della resilienza operativa. Dopo DORA, dovranno mantenere compliance in materia di capacità di protezione, rilevamento, contenimento, ripristino e continuity in seguito a incidenti di sicurezza informatica.
DORA fa esplicito riferimento al rischio ICT e stabilisce regole sulla gestione del rischio, rispetto la segnalazione degli incidenti, sui test di resilienza operativa e rispetto al monitoraggio del rischio ICT derivante dalla Supply Chain. Tale Regolamento riconosce che gli incidenti cyber e la mancanza di resilienza operativa possono compromettere la solidità dell’intero sistema finanziario, anche in presenza di un capitale “adeguato” a copertura delle tradizionali categorie di rischio.
Il DORA si basa su un vero e proprio risk assessment specifico e su un approccio puramente strategico, basato sulle attività particolari gestite dall’impresa in questione. Questi rischi possono essere divisi in tre categorie: rischi tecnologici, rischi di business e rischi di controllo. La particolarità dell’applicazione del metodo DORA risiede nella possibilità di classificare la probabilità con cui un determinato evento, direttamente collegato con le vulnerabilità di sistema rilevate, possa verificarsi e quindi consentire di intervenire con mitigazioni in ordine di priorità in base alla gravità delle vulnerabilità riscontrate.
Il Digital Operations Resilience Act, DORA, prevede che l’azienda si impegni un un follow up costante nel tempo al fine di garantire l’efficienza e la sicurezza delle operazioni finanziarie, introducendo un concetto di Cyber Security differente da quello comunemente diffuso del prodotto “a scaffale” ma bensì basato sull’idea si un sistema “tailored” e del “percorso cyber”: l’industria finanziaria non solo dovrà applicare il metodo ma dovrà garantire continuità di controllo e mitigazione.
La considerazione nasce quindi spontanea: essendo l’idea di base eccezionale dal punto di vista evolutivo sia nell’immediato che a medio lungo termine, perché non “lasciarsi ispirare” e intraprendere un percorso di “revisione metodologica” che porti l’industria cyber a proporre framework simili in ogni settore, definendoli sia in base al budget del cliente che alle priorità a livello di sicurezza e magari proponendo un percorso di crescita continua?
La filosofia giapponese ci viene incontro con il concetto di Kaizen: piccoli miglioramenti progressivi e costanti che definiscono un clinamen verso l’utopica idea di perfezione. In ambito cyber sappiamo di non poter ambire a tanto, in nessun caso ma nessuno ci vieta di pensare che magari, un giorno, questo non possa essere a un soffio dalla nostra portata.
Agostino PellegrinoIl 15 ottobre 2025 segna un anniversario di eccezionale rilievo nella storia della sicurezza nazionale italiana: cento anni dalla nascita del Servizio Informazioni Militare (SIM), primo servizio di in...
Un nuovo post sul dark web offre l’accesso completo a migliaia di server e database MySQL appartenenti a provider italiani di hosting condiviso. Nelle ultime ore è apparso su un forum underground u...
Un grave incidente di sicurezza è stato segnalato da F5, principale fornitore di soluzioni per la sicurezza e la distribuzione delle applicazioni. Era stato ottenuto l’accesso a lungo termine ai si...
Un nuovo e insolito metodo di jailbreaking, ovvero l’arte di aggirare i limiti imposti alle intelligenze artificiali, è arrivato in redazione. A idearlo è stato Alin Grigoras, ricercatore di sicur...
Nel suo ultimo aggiornamento, il colosso della tecnologia ha risolto 175 vulnerabilità che interessano i suoi prodotti principali e i sistemi sottostanti, tra cui due vulnerabilità zero-day attivame...
