Sfide e soluzione per la normativa DORA nel settore finanziario
Troskie (Veeam): il 96% delle organizzazioni finanziarie necessita di rafforzare la resilienza
Pochi settori sono sottoposti allo stesso livello di controllo normativo dei servizi finanziari. Nuovi framework vengono introdotti continuamente, e a ragione: il settore sostiene l'infrastruttura nazionale ed è un obiettivo privilegiato per attacchi informatici e frodi. In altre parole, la regolamentazione deve essere a prova di falla. Il Digital Operational Resilience Act (DORA) dell'UE è l'ultimo di una lunga serie di provvedimenti volti a innalzare gli standard su come le istituzioni finanziarie e i loro fornitori terzi si preparano, resistono e si riprendono dalle interruzioni operative. Introdotto a gennaio, si concentra sulla segnalazione degli incidenti, sul monitoraggio dei fornitori terzi e sui test di resilienza. Tuttavia, a sei mesi dall'entrata in vigore, quasi tutte le organizzazioni dei servizi finanziari intervistate (96%) riconoscono di dover ancora rafforzare la propria resilienza per soddisfare i requisiti della normativa.
Cosa sta rallentando il processo? E cosa può davvero aiutare le aziende ad andare avanti? Alleggerire il carico dei team
Uno degli effetti collaterali più rilevanti di DORA finora è stato il carico aggiuntivo imposto ai team IT e di sicurezza: il 41% delle organizzazioni intervistate lo ha citato come una sfida significativa nel soddisfare i requisiti della normativa. Considerando che il settore della cybersecurity è già un ambiente ad alta pressione, non sorprende che il burnout rappresenti un problema persistente. Tuttavia, rispettare i requisiti di DORA non dovrebbe contribuire così tanto a questo problema. La soluzione non consiste nell'aggiungere DORA come un progetto in più da completare in una lista già affollata. Le aziende devono invece affrontare la resilienza in modo più olistico. L'uso dei modelli di maturità della resilienza dei dati (DRMM) consente di integrare la conformità a DORA all'interno di un piano di resilienza più ampio, anziché trattarla come un esercizio isolato. Questo approccio non solo riduce la pressione sui team, ma migliora anche la resilienza dei dati dell'azienda nel suo complesso.
"Test, test?"
Un altro punto critico nel rispetto dei requisiti di conformità riguarda le difficoltà legate ai test. Quasi un quarto delle aziende EMEA non ha ancora implementato test di ripristino e continuità operativa, e quasi altrettante non hanno iniziato alcun test di resilienza. Un rischio non da poco. Senza test regolari, non è possibile sapere se i nuovi controlli funzioneranno realmente quando sarà necessario. Effettuare il primo test può sembrare scoraggiante - credetemi, lo so. Nessuno vuole scoprire problemi che potrebbero essere complicati da risolvere. Ma in realtà, il testing è uno dei modi migliori per fare progressi. È un requisito chiaro di DORA, ma, soprattutto, crea fiducia nel fatto che i sistemi resisteranno di fronte a un reale incidente informatico.
Riconsiderare i rapporti con i fornitori terzi
Infine, l'ultimo grande ostacolo per la conformità a DORA riguarda la supervisione dei fornitori terzi: oltre un terzo delle organizzazioni la definisce "la sfida più difficile da implementare", e un quinto non l'ha affrontata affatto. Il problema principale? La maggior parte delle aziende ha sottovalutato il numero di fornitori esterni su cui fa affidamento. In media, un'impresa ha 88 partner terzi, molti più di quanto la maggior parte delle strategie di resilienza consideri, e un numero enorme di connessioni da gestire. In passato, le aziende finanziarie presumevano spesso che questi fornitori avessero la resilienza già integrata, ma DORA richiede di più: modelli chiari di responsabilità e SLA trasparenti che specifichino esattamente chi è responsabile di cosa. Ciò significa rinegoziare i contratti e coordinare team di sicurezza, rischio, legale e management per portare a termine il lavoro. Non è un compito semplice, ma è necessario se le organizzazioni vogliono avere una vera fiducia nella propria resilienza.
Guardando al futuro
Le questioni di conformità legate a DORA non si risolveranno dall'oggi al domani. Dopotutto, costruire resilienza richiede tempo, e inevitabilmente ci saranno degli ostacoli lungo il percorso. Ma le aziende che affrontano DORA come parte di un più ampio percorso di resilienza, anziché come un progetto di conformità a sé stante, ne trarranno alla fine vantaggio e diventeranno più solide. Il punto migliore da cui partire è porsi alcune domande: quali sono i punti deboli della mia azienda? Conosciamo davvero quanto siano resilienti i nostri fornitori? E stiamo testando a sufficienza per avere fiducia nelle nostre difese? Le risposte potrebbero risultare scomode nel breve termine, ma costituiscono la base per una fiducia duratura nella resilienza dei dati - sia per DORA sia oltre.