Nelle agende dei Cio, tra appunti e priorità, Dora è in questi giorni in cima alla lista. Il Digital Operational Resiliency Act (Dora, appunto) comprende le regole UE che hanno come obiettivo stabilire requisiti di sicurezza standardizzati per il settore finance (ma non solo), e si applica a società di investimento, finance, banche, ma anche alle realtà che ‘coniano’ moneta elettronica e a chi fornisce servizi legati allo scambio delle criptovalute, quindi anche a tutti i servizi di negoziazione e depositi. E anche alle assicurazioni ed agli intermediari assicurativi che sono tenuti a dimostrare la resilienza e la sicurezza dei loro sistemi IT, ma anche dei processi, secondo criteri e standard specifici stabiliti dalla normativa. 
Per tante di queste organizzazioni non si tratta di un problema di poco conto, ed allo stesso tempo è per loro naturale coinvolgere sul tema gli stessi fornitori di tecnologie IT che promettono sicurezza del dato. E’ su questo spunto che si attivano le aziende. Ed è per questo che scegliamo di mettere sotto la lente come tre diverse realtà con una proposizione tra loro decisamente differente interpretano il tema. In particolare ServiceNow, per quanto riguarda l’approccio di processo/piattaforma; NetApp, per l’aspetto infrastrutturale, in questo specifico caso legato ai dati (e quindi anche allo storage) e Withsecure per la sicurezza. 

ServiceNow, controllo sui processi

Una ricerca di ServiceNow e Thoughtlab, evidenzia che due terzi delle aziende in Emea, Asia e Stati Uniti hanno già fatto della cybersecurity una delle principali aree di investimento. Circa il 60% riconosce la riduzione dei costi e l’aumento della redditività come risultato delle iniziative di gestione del rischio. Ma c’è anche molto ancora da fare, per esempio, la stessa ricerca mostra che il 39% dei leader del settore finanziario considera la mancanza di una piattaforma integrata per la visualizzazione dei rischi operativi come una sfida alla resilienza aziendale.

Filippo Latona Sales Director ServiceNow Italia
Filippo Latona, sales director ServiceNow Italia

Ricordiamo che Dora prevede che le aziende gestiscano in modo proattivo i rischi di terze parti, e quindi “le organizzazioni di servizi finanziari devono disporre di una visione chiara e completa delle operazioni end-to-end, per individuare e controllare effettivamente i rischi in tempo reale”, sottolinea Filippo Latona, sales director ServiceNow Italia. ServiceNow evidenzia da una parte “il ruolo della tecnologia – framework centralizzato per la gestione del rischio, disponibilità di segnalazioni real-time, gestione proattiva, test regolari, condivisione delle informazioni tra le funzioni aziendali -“, dall’altra l’importanza di implementare le tecnologie nel modo corretto”. Per ottenere una visione olistica e soddisfare i requisiti Dora è quindi necessario un approccio di piattaforma che dovrebbe fornire dati e approfondimenti connessi e coerenti; una struttura di supporto per prendere decisioni consapevoli, avere conversazioni connesse e sviluppare la resilienza operativa; un chiaro flusso di informazioni per migliorare l’esperienza dei dipendenti e dei clienti. E’ tempo quindi di abbandonare sistemi legacy eterogenei e processi manuali obsoleti, così come qualsiasi sistema che non sia in grado di dare la visibilità opportuna sui rischi fosse anche a causa di errori umani o ritardi nell’elaborazione.

NetApp, servizi per Dora

Anche NetApp si è attivata e, già durante l’evento Insight Xtra a Parigi, a fine 2023, ha colto l’occasione per presentare uno specifico servizio per la conformità a Dora.
Si tratta di un programma specifico per assistere le aziende del settore finanziario interessate dal Digital Operational Resiliency Act nel raggiungimento della conformità alle nuove normative, che prevedono sanzioni fino all’1% del fatturato medio giornaliero. “Il supporto fornito dal Professional Services Dora Enablement Consulting Program è un’opportunità preziosa per le aziende bancarie e assicurative che desiderano conformarsi alla normativa Dora”, spiega Arnaud Bretillon, senior director Customer Services Portfolio di NetApp, soprattutto “permette loro di navigare ]…[ nel complesso panorama normativo e di accrescere la fiducia dei clienti nei loro servizi”. 

Arnaud Bretillon
Arnaud Bretillon, senior director Customer Services Portfolio di NetApp

La proposta di NetApp con Dora Enablement Consulting Program comprende un programma personalizzato, che va da poche ore di workshop ad interi corsi fino alla durata di 10 giorni, per offrire una visione di insieme ed aiutare le aziende a raggiungere la conformità desiderata. In particolare, la proposta segue uno schema ben definito in grado di abbracciare esigenze ed impegni diversi, su cinque punti. Punta a consapevolizzare l’organizzazione interessata, individuando anche eventuali assegnazioni di ruolo per i diversi task di approdo alla compliance (1); soprattutto procede con l’analisi dei dati nella prospettiva di valutare una possibile revisione dell’architettura (2) che potrebbe semplificare la compliance a Dora; quindi analizza eventuali lacune dei sistemi in essere (3); pianifica e collabora con i clienti nella definizione di una roadmap (4); ed infine procede con la fase di execution (5).
I vantaggi per aziende, organizzazioni, team IT che partecipano al programma sono in primis la possibilità di a
cquisire una conoscenza approfondita dei regolamenti Dora e delle loro implicazioni per la propria organizzazione, ma nei diversi momenti di incontro è possibile anche approfondire ed evidenziare gli articoli chiave che destano preoccupazione per colmare le lacune.

Capacità di analisi delle autorizzazioni, filtraggio avanzato e verifica, preparazione dell’infrastruttura e di protezione dei dati sensibili sono indirizzate con soluzioni specifiche in modo che i clienti siano pronti ad affrontare attacchi o eventi imprevisti che potrebbero causare la perdita di dati. Fanno parte della proposta anche gli strumenti per la definizione strategica delle priorità e la correzione delle lacune. Ultimo, ma non ultimo, NetApp aiuta nella definizione di un piano di azione concreto i responsabili IT verso la conformità. I piani di supporto attivabili consentono ai clienti a rafforzare la propria infrastruttura, a proteggere i dati sensibili e a rispettare le normative Dora.

WithSecure, modelli per la sicurezza

L’analisi di WithSecure sul tema della resilienza in linea con le direttive Dora pone in primis una riflessione relativa alla reale ed effettiva capacità di governance di tutte le realtà ‘coinvolte’. Se le organizzazioni più grandi, infatti, possono trovare già al loro interno le risorse per gli “aggiustamenti” necessari, lo stesso non si può dire per quelle più piccole, che dispongono di meno risorse e ne soffrono già in fase di “normale amministrazione”.
Sono proprio queste seconde a richiedere l’affiancamento di un partner di supporto, e proprio per indirizzare il tema della sicurezza in un contesto sfidante per cui McKinsey prevede che il costo complessivo delle violazioni a livello globale sarà già nel 2025 di 10,5mila miliardi di dollari. Di WithSecure è interessante la modellizzazione dei passaggi necessari per ottenere la resilienza richiesta da Dora, che riproponiamo qui di seguito. 

WithSecure - I passaggi per la compliance con Dora
WithSecure – I passaggi per la compliance a Dora

La proposta dell’azienda si basa quindi anche sulla conduzione di test specifici per l’implementazione di un approccio Isms all’interno di un framework di risk management consistente. Identificazione, protezione, detection, risposta ed eventuale recupero dati ove necessario sono i cinque aspetti critici indirizzati dalla proposizione WithSecure, critici anche in relazione al contesto operativo individuato dall’azienda. Oggi il 90% del traffico Internet passa da 436 cavi che rappresentano la prima infrastruttura critica ‘sotto scacco’ in caso di conflitti estesi, ed il 60% dei workload è concentrato su tre Csp, ma soprattutto la complessità IT dinamica e crescente sottrae agli operatori un effettivo pieno controllo. Da qui la declinazione di una proposta che comprende advisory consulting, resilience development e assurance.

© RIPRODUZIONE RISERVATA

Condividi l'articolo: