Agostino Pellegrino : 22 Gennaio 2023 08:34
Il DORA è una iniziativa dell’Unione Europea per creare un quadro normativo per la resilienza operativa digitale nel settore finanziario.
DORA è un’acronimo che sta per “Digital Operational Resilience Act” e mira a stabilire standard minimi per la resilienza operativa delle infrastrutture critiche del settore finanziario, nonché a garantirne la capacità a operare in caso di incidenti di sicurezza informatica.
L’obiettivo è quello di proteggere i clienti e il sistema stesso, attraverso la creazione di un quadro normativo che garantisca la sicurezza e la stabilità del sistema finanziario dell’UE.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il DORA consente alle aziende di eseguire un assessment ed uno threat scoring specifico per le industrie finanziarie. Il metodo è stato sviluppato dalla BCBS (Banca dei Regolamenti Internazionali) e dalla FSRA (Autorità di Regolamentazione Finanziaria) ed è stato progettato per coadiuvare le banche e le istituzioni finanziarie a gestire i rischi e le mitigazioni per tutelare la CIA Triad e garantire business continuity.
La deadline per l’applicazione delle policy di resilienza operativa è definita al 17 Gennaio 2025. Importante è l’estensione degli stessi criteri non solo all’industria finanziaria ma anche agli attori operanti in crypto assets ed ai cloud providers coinvolti a livello di fornitura “* as a Service”.
Prima di DORA, le istituzioni finanziarie gestivano le principali categorie di rischio operativo principalmente con l’allocazione di capitale, ma non gestivano tutte le componenti della resilienza operativa. Dopo DORA, dovranno mantenere compliance in materia di capacità di protezione, rilevamento, contenimento, ripristino e continuity in seguito a incidenti di sicurezza informatica.
DORA fa esplicito riferimento al rischio ICT e stabilisce regole sulla gestione del rischio, rispetto la segnalazione degli incidenti, sui test di resilienza operativa e rispetto al monitoraggio del rischio ICT derivante dalla Supply Chain. Tale Regolamento riconosce che gli incidenti cyber e la mancanza di resilienza operativa possono compromettere la solidità dell’intero sistema finanziario, anche in presenza di un capitale “adeguato” a copertura delle tradizionali categorie di rischio.
Il DORA si basa su un vero e proprio risk assessment specifico e su un approccio puramente strategico, basato sulle attività particolari gestite dall’impresa in questione. Questi rischi possono essere divisi in tre categorie: rischi tecnologici, rischi di business e rischi di controllo. La particolarità dell’applicazione del metodo DORA risiede nella possibilità di classificare la probabilità con cui un determinato evento, direttamente collegato con le vulnerabilità di sistema rilevate, possa verificarsi e quindi consentire di intervenire con mitigazioni in ordine di priorità in base alla gravità delle vulnerabilità riscontrate.
Il Digital Operations Resilience Act, DORA, prevede che l’azienda si impegni un un follow up costante nel tempo al fine di garantire l’efficienza e la sicurezza delle operazioni finanziarie, introducendo un concetto di Cyber Security differente da quello comunemente diffuso del prodotto “a scaffale” ma bensì basato sull’idea si un sistema “tailored” e del “percorso cyber”: l’industria finanziaria non solo dovrà applicare il metodo ma dovrà garantire continuità di controllo e mitigazione.
La considerazione nasce quindi spontanea: essendo l’idea di base eccezionale dal punto di vista evolutivo sia nell’immediato che a medio lungo termine, perché non “lasciarsi ispirare” e intraprendere un percorso di “revisione metodologica” che porti l’industria cyber a proporre framework simili in ogni settore, definendoli sia in base al budget del cliente che alle priorità a livello di sicurezza e magari proponendo un percorso di crescita continua?
La filosofia giapponese ci viene incontro con il concetto di Kaizen: piccoli miglioramenti progressivi e costanti che definiscono un clinamen verso l’utopica idea di perfezione. In ambito cyber sappiamo di non poter ambire a tanto, in nessun caso ma nessuno ci vieta di pensare che magari, un giorno, questo non possa essere a un soffio dalla nostra portata.
Agostino PellegrinoNel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...
Sul forum underground russo XSS è apparso un post che offre una “Collection di Lead Verificati Italia 2025” con oltre 1 milione di record. Questo tipo di inserzioni evidenzia la con...
Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war. Non è solo uno scenario...
Le autorità iberiche sono impegnate in un’indagine riguardante un pirata informatico che ha divulgato informazioni sensibili relative a funzionari pubblici e figure politiche di spicco. Tr...
Un insolito esempio di codice dannoso è stato scoperto in un ambiente informatico reale , che per la prima volta ha registrato un tentativo di attacco non ai classici meccanismi di difesa, ma dir...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
