Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Scopriamo il Digital Operations Resilience Act (DORA)

Agostino Pellegrino : 22 Gennaio 2023 08:34

Il DORA è una iniziativa dell’Unione Europea per creare un quadro normativo per la resilienza operativa digitale nel settore finanziario.

DORA è un’acronimo che sta per “Digital Operational Resilience Act” e mira a stabilire standard minimi per la resilienza operativa delle infrastrutture critiche del settore finanziario, nonché a garantirne la capacità a operare in caso di incidenti di sicurezza informatica.

L’obiettivo è quello di proteggere i clienti e il sistema stesso, attraverso la creazione di un quadro normativo che garantisca la sicurezza e la stabilità del sistema finanziario dell’UE.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Il DORA consente alle aziende di eseguire un assessment ed uno threat scoring specifico per le industrie finanziarie. Il metodo è stato sviluppato dalla BCBS (Banca dei Regolamenti Internazionali) e dalla FSRA (Autorità di Regolamentazione Finanziaria) ed è stato progettato per coadiuvare le banche e le istituzioni finanziarie a gestire i rischi e le mitigazioni per tutelare la CIA Triad e garantire business continuity.

La deadline per l’applicazione delle policy di resilienza operativa è definita al 17 Gennaio 2025. Importante è l’estensione degli stessi criteri non solo all’industria finanziaria ma anche agli attori operanti in crypto assets ed ai cloud providers coinvolti a livello di fornitura “* as a Service”.

Prima e Dopo

Prima di DORA, le istituzioni finanziarie gestivano le principali categorie di rischio operativo principalmente con l’allocazione di capitale, ma non gestivano tutte le componenti della resilienza operativa. Dopo DORA, dovranno mantenere compliance in materia di capacità di protezione, rilevamento, contenimento, ripristino e continuity in seguito a incidenti di sicurezza informatica.

DORA fa esplicito riferimento al rischio ICT e stabilisce regole sulla gestione del rischio, rispetto la segnalazione degli incidenti, sui test di resilienza operativa e rispetto al monitoraggio del rischio ICT derivante dalla Supply Chain. Tale Regolamento riconosce che gli incidenti cyber e la mancanza di resilienza operativa possono compromettere la solidità dell’intero sistema finanziario, anche in presenza di un capitale “adeguato” a copertura delle tradizionali categorie di rischio.

Categorizzazione del rischio

Il DORA si basa su un vero e proprio risk assessment specifico e su un approccio puramente strategico, basato sulle attività particolari gestite dall’impresa in questione. Questi rischi possono essere divisi in tre categorie: rischi tecnologici, rischi di business e rischi di controllo. La particolarità dell’applicazione del metodo DORA risiede nella possibilità di classificare la probabilità con cui un determinato evento, direttamente collegato con le vulnerabilità di sistema rilevate, possa verificarsi e quindi consentire di intervenire con mitigazioni in ordine di priorità in base alla gravità delle vulnerabilità riscontrate.

Operatività specifiche

Il Digital Operations Resilience Act, DORA, prevede che l’azienda si impegni un un follow up costante nel tempo al fine di garantire l’efficienza e la sicurezza delle operazioni finanziarie, introducendo un concetto di Cyber Security differente da quello comunemente diffuso del prodotto “a scaffale” ma bensì basato sull’idea si un sistema “tailored” e del “percorso cyber”: l’industria finanziaria non solo dovrà applicare il metodo ma dovrà garantire continuità di controllo e mitigazione.

Metodo standard?

La considerazione nasce quindi spontanea: essendo l’idea di base eccezionale dal punto di vista evolutivo sia nell’immediato che a medio lungo termine, perché non “lasciarsi ispirare” e intraprendere un percorso di “revisione metodologica” che porti l’industria cyber a proporre framework simili in ogni settore, definendoli sia in base al budget del cliente che alle priorità a livello di sicurezza e magari proponendo un percorso di crescita continua?

Evoluzione continua

La filosofia giapponese ci viene incontro con il concetto di Kaizen: piccoli miglioramenti progressivi e costanti che definiscono un clinamen verso l’utopica idea di perfezione. In ambito cyber sappiamo di non poter ambire a tanto, in nessun caso ma nessuno ci vieta di pensare che magari, un giorno, questo non possa essere a un soffio dalla nostra portata.

Agostino Pellegrino
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Lista degli articoli

Articoli in evidenza

Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

WindTre comunica un DataBreach che ha coinvolto i sistemi dei rivenditori

Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...

Non sono ancora chiari i motivi del grande blackout in Spagna e Portogallo

Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...