DORA...in poi si fa sul serio.
Sappiamo bene come DORA (Digital Operational Resilience Act) sia una normativa che descrive le linee guida utili alle organizzazioni per gestire e affrontare i rischi e le minacce legati all’ICT.
DORA è entrata in vigore il 16 gennaio 2023, con una finestra di attuazione di due anni, periodo in cui gli enti finanziari dovranno conformarsi al regolamento, da non procastinare oltre il 17 gennaio 2025. Attenzione però, in quanto si tratta di una normativa da applicare si alle entità finanziarie ma anche ai fornitori di servizi ICT di cui ci si avvale.
A guardar bene, i requisiti DORA sono ampi ed includono più di 50 articoli a cui è fondamentale prestare attenzione.
Sebbene il focus sia rivolto alla resilienza digitale ed informatica, vi sono numerosi punti di contatto con altre discipline, come la gestione delle crisi, i rischi operativi, la continuità aziendale e la resilienza operativa.
Ora, essendo "immerso" nelle tecnologie di sicurezza e resilienza, ho necessariamente dovuto approfondire la tematica verificando quanto dei contenuti della DORA potessero essere già trattati da altre normative in vigore e quanto invece viene introdotto di nuovo da questa normativa e su cui vi è necessità di lavorare. Dico questo perchè è abbastanza improbabile pensare che gli enti finanziari siano privi di piani di ripristino, quindi impossibile partire da zero. Anzi, nel corso degli anni sono stati implementati o rivisti piani di recovery, magari non strutturati benissimo, ma da cui è fondamentale ripartire, con un'analisi ed una rivisitazione degli stessi per trovare punti di efficientamento che possano portare un allineamento con la DORA.
Come ognuno di noi può constatare, leggendo i requisiti della DORA, si evince come essa possa essere declinata su 5 aree principali che necessitano di trovare un raccordo comune:
Andando ancor più in profondità nella normativa, mi accorgo che non vi è nulla di particolarmente nuovo se non quello di rimarcare con decisione l'attenzione verso le tecnologie adottate ai fini dei requisiti di resilienza operativa e di continuità, ovvero l'attenzione a quelle risorse ICT che risultano critiche o comunque importanti e la cui indisponibilità o malfunzionamento comprometterebbe la sicurezza di un ente finanziario, intesa come efficienza e continuità dei servizi ma anche come protezione dei dati e dell'infrastruttura in generale, mettendo in discussione le conformità a cui si è soggetti in base al legislatore.
Possiamo altresì osservare come DORA estenda il suo raggio d'azione in quanto, oltre ad attenzionare i servizi aziendali importanti/critici già contemplati da altre normative, essa tende ad estendere la verifica anche verso entità critiche non identificate come servizi (es. terze parti). E' proprio quest'ultima, forse, la vera novità, poichè le aziende IT/ICT fornitrici di servizi che operano coi settori finanziari, non sono mai state coinvolte in questi ambiti, ma con la DORA devono ora allinearsi alle stesse normative a cui sono obbligati gli istituti finanziari.
Pertanto, sono molte le organizzazioni interessate dalla DORA e che dovranno stabilire o rivedere la politica globale di continuità aziendale ICT, cioè il famoso Business Continuity Plan.
Non a caso BCE sottopone parte di questi istituti finanziari a stress test volti a verificare proprio i piani di continuità aziendale e di ripristino di emergenza IT, partendo da un disastro causato da un attacco informatico. In particolare
Vengono considerati scenari di perdita tecnologica e perdita di dati, a fronte di attacchi capaci di alterare la risposta ed il conseguente ripristino.
Diventa quindi importante conoscere bene alcuni dei requisiti DORA, come ad esempio l’Art.11 dove si parla di politiche di backup e metodologie di ripristino e dove si evidenzia la necessità, per le entità finanziarie e fornitori ICT, di avere almeno un sito di elaborazione secondaria con risorse commisurate alle esigenze aziendali. Questo sito secondario dovrà essere separato geograficamente in modo da ottenere un grado di rischio distinto dal sito primario.
Poi, il sito secondario dovrà essere capace di garantire la continuità dei servizi critici in modo paritetico al sito primario, in linea con i requisiti RTO/RPO stabiliti nel Business Continuity Plan. Requisiti che possono mutare nel tempo richiedendo un continuo allineamento tramite test ICT, valutazioni di vulnerabilità, analisi del codice, verifiche della sicurezza di rete, analisi dei gap, test di compatibilità, penetration-test, ecc. Tutte attività spesso incluse nei piani di stress test di resilienza proprio per dimostrare come la propria organizzazione possa riuscire a rimanere entro le tolleranze di impatto dichiarate.
Alzando un pò la testa, non è difficile osservare come molti dei più importanti istituti finanziari, non solo europei ma anche mondiali, fondano la loro solidità e sicurezza ICT su sistemi Mainframe IBM sempre più evoluti e sempre più efficienti nell'affrontare le sfide di oggi ma anche quelle dei prossimi anni, tra cui i rischi di sicurezza derivanti dal Quantum Computing e dall'AI, oltre alle normative di compliance dei sistemi proprio come la DORA.
Ed è interessante scoprire come la piattaforma zSystem agisca da pioniere nell'affrontare ciò che DORA richiede, in quanto forte di ciò che la suite zSecure è in grado di proporre in termine di prevenzione, facendo leva sull'integrazione con la tecnologia QRadar capace di interagire ed attivare versioni di backup dei dati istantanee ed immutabili nel tempo grazie alla recnologia Safeguarded Copy, fino ad arrivare all'integrazione con l'ambiente CyberVault e cioè di un ambiente isolato su cui è possibile ripristinare i dati per poter essere investigati e su cui è necessario effettuare la loro validazione per poi procedere con le operazioni di ripristino, in modalità selettiva o chirurgica, di piccole porzioni di dati o in modalità massiva in caso di disastro catastrofico. Validazione che, con Cyber Vault, può essere effettuata su differenti livelli: a livello di sistema operativo, di backup, di database fino a livello applicativo.
Per approfondire: https://www.ibm.com/downloads/cas/08D6QP6N