DORA, Le quattro sfide per raggiungere la piena conformità al regolamento : ChannelCity.it

A due anni dalla ratifica, il Digital Operational Resilience Act (DORA) dell’Unione Europea è applicabile dal 17 gennaio. Ciò significa che le aziende del settore dei servizi finanziari e i fornitori di ICT devono ora essere conformi. Come molti altri settori, anche quello finanziario dipende dalla tecnologia e, in ultima analisi, dalle aziende che forniscono tali soluzioni tecnologiche. Se da un lato la trasformazione digitale dei servizi finanziari ha portato enormi benefici in aree quali l’esperienza del cliente e l’efficienza operativa, dall’altro ha generato ambienti IT sempre più complessi che possono essere difficili da gestire e proteggere.

Poiché il settore è così importante per l’economia nazionale, regionale e globale, qualsiasi interruzione può avere conseguenze significative. È qui che entra in gioco DORA. Il suo obiettivo è rafforzare la sicurezza informatica di banche, compagnie assicurative e società di investimento in tutta Europa, migliorare la resilienza operativa e, in ultima analisi, mitigare l’impatto di un’interruzione legata all’IT, e non è una questione di “se” ma di “quando”. A livello globale, il settore finanziario ha subito più di 20.000 attacchi informatici, causando perdite per 12 miliardi di dollari negli ultimi 20 anni, con un numero di attacchi raddoppiato rispetto a prima della pandemia. Le conseguenze di un attacco o di un’interruzione sono ben note: impatto sui ricavi, interruzione delle operazioni, danni alla fiducia dei clienti e degli altri stakeholder e, sempre più spesso, sanzioni normative.

Le sfide della conformità al DORA

Il fatto che nuove regole come il DORA non siano negoziabili non significa che la loro osservanza sia semplice. In generale, la conformità al DORA presenta quattro sfide che le aziende devono superare:

• Complessità tecnologica continua: i servizi finanziari operano in ambienti complessi con numerose applicazioni, infrastrutture cloud ibride e fornitori terzi. Più della metà (54%) delle aziende di servizi finanziari prevede che la complessità aumenterà nei prossimi 12 mesi. Questa complessità aumenta i rischi di cybersecurity e complica la governance: l’84% dei leader tecnologici afferma che la complessità multi-cloud rende più difficile proteggere le applicazioni da vulnerabilità e attacchi alla sicurezza. Inoltre, aumenta il rischio di non rispettare le scadenze strette per la segnalazione iniziale degli incidenti critici (24 ore).

• Preoccupazioni per la sicurezza della supply chain: sebbene il DORA enfatizzi la gestione dei rischi associati ai fornitori terzi di servizi ICT, le istituzioni finanziarie hanno un controllo limitato sulle pratiche di sicurezza di questi fornitori. Per valutare e mitigare efficacemente questi rischi esterni sono necessari solidi termini contrattuali e un monitoraggio continuo della loro posizione in materia di sicurezza informatica.

• Un incremento del carico di lavoro per i team, già molto sollecitati: la conformità al DORA richiede personale qualificato, tecnologie avanzate e investimenti significativi. Tuttavia, le scadenze stringenti possono distogliere le risorse dall’innovazione e dal miglioramento dell’esperienza del cliente.

• L’onere amministrativo delle nuove normative: la gestione delle modifiche e l’introduzione di processi per le nuove normative richiedono tempo e sono soggette a errori. La conformità al DORA deve integrarsi perfettamente con i processi di gestione del rischio, di risposta agli incidenti e di continuità operativa esistenti per affrontare queste sfide e gestire in modo efficiente le risorse.

La promessa dell’osservabilità

Vale la pena notare che molte di queste sfide esistono anche senza il DORA; la crescente complessità, il personale sovraccarico e le preoccupazioni per la sicurezza dei provider sono punti dolenti costanti. L’osservabilità end-to-end è emersa come un valido fattore abilitante di operazioni migliori e più efficaci, in quanto consente ai team di accedere a informazioni attraverso il monitoraggio dell’intero stack tecnologico di un’organizzazione. Questo migliora la trasparenza e cerca di costruire un quadro chiaro di tutto ciò che accade nell’ambiente IT di un’azienda. Con la necessità di una conformità continua ai sensi del DORA e l’importanza di mitigare le interruzioni, questa visibilità e resilienza sono inestimabili. In base al DORA, rispondere agli incidenti non è più sufficiente; la gestione proattiva del rischio è la nuova parola d’ordine, quindi essere in grado di identificare i problemi e impedire che si trasformino in situazioni più gravi sarà sempre più critico. La convergenza di osservabilità e sicurezza consente il rilevamento delle anomalie in tempo reale, alimentato dall’intelligenza artificiale, essenziale per identificare i rischi prima che degenerino in incidenti veri e propri che violano anche le soglie di conformità. Le funzionalità di automazione di una piattaforma di osservabilità possono anche aiutare a ridurre l’onere dei report di conformità per i team oberati di lavoro e rimuovere parte del carico amministrativo, mentre una migliore visibilità aiuta ad affrontare la complessità degli stack tecnologici in espansione.

Essere conformi ed efficaci

DORA è qui per restare. La conformità non è negoziabile; le aziende hanno la possibilità di scegliere come adeguare il proprio approccio per soddisfare i requisiti normativi. Per raggiungere questo obiettivo è necessario acquisire una comprensione completa dell’ambiente IT, non solo per identificare i potenziali rischi per la sicurezza, che è fondamentale, ma anche per garantire che regolamenti come il DORA vengano applicati nel modo più efficiente possibile. La combinazione di osservabilità e sicurezza può fornire una visibilità end-to-end sull’intero ambiente IT per aiutare in modo proattivo le organizzazioni a prevenire, rilevare e correggere i rischi di cybersecurity e resilienza operativa.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
ChannelCity.it iscriviti alla nostra
Newsletter gratuita.