Verso la sicurezza informatica dei sistemi finanziari

Il regolamento dell’Unione Europea sulla resilienza operativa digitale (DORA) promuove la convergenza a livello europeo in merito ai requisiti che gli enti finanziari devono adottare per innalzare la sicurezza dei propri sistemi digitali. Si applica a tutti gli operatori del settore finanziario, inclusi i fornitori di servizi ICT quali i provider di servizi cloud computing, software, data analytics e data center, ovvero terze parti che, attraverso la tecnologia, favoriscano il percorso degli attori finanziari verso la digitalizzazione.

La norma entrerà in vigore a metà del 2022 e dovrà essere implementata dalle organizzazioni interessate entro la metà del 2023. La conformità degli operatori alle regole emanate dalla normativa sarà assicurata da un costante monitoraggio svolto dalle autorità europee competenti che avranno facoltà di applicare sanzioni in caso di violazione.

Cosa chiede la normativa

I requisiti definiti dal regolamento fanno riferimento alle seguenti aree:

ICT Governance. L’organo di gestione degli operatori deve a mantenere un ruolo attivo e cruciale nella gestione dei rischi di sicurezza e dovrà garantire il rispetto di una scrupolosa igiene informatica. Devono altrettanto essere garantiti relativamente alla sicurezza: una chiara definizione di ruoli e responsabilità aziendali, un impegno costante nel controllo e nel monitoraggio dei rischi tramite processi definiti, una adeguata allocazione di investimenti e formazione.

1

Coinvolgere direttamente l’organo di gestione nel processo di valutazione del rischio ICT e prevedere l’esplicita valutazione e il controllo dei rischi residui.

2

Prevedere investimenti specifici dedicati alla sicurezza.

3

Implementare e documentare l’esecuzione dei programmi di security awareness.

ICT Risk Management. Gli operatori devono minimizzare continuativamente il rischio ICT implementando le adeguate misure di protezione e devono definire soluzioni di continuità in grado di coprire tutti gli scenari rilevanti.

1

Aggiornare il framework di gestione del rischio ICT, prevendendone l’integrazione con un piano di Business Continuity e Disaster Recovery.

2

Evolvere il piano di Business Continuity e Disaster Recovery verso un piano di Operational Resilience considerando gli scenari di attacchi cyber e le relative contromisure.

ICT incident reporting. Gli operatori devono implementare un processo per il monitoraggio e la gestione degli incidenti IT, prevedendone la classificazione sulla base di criteri prescritti che saranno sviluppati da un comitato congiunto delle Autorità di Vigilanza Europee (ESAs).

1

Predisporre report costantemente aggiornati sugli incidenti in essere, prevedendo di informare i clienti sugli eventuali impatti qualora li coinvolgessero.

2

Definire o modificare i processi di segnalazione degli incidenti attualmente implementati, in aderenza alle nuove linee guida.

Digital operational resilience testing. In accordo al principio di proporzionalità, cioè in funzione delle dimensioni, del profilo commerciale e di rischio delle entità finanziarie, vi è l’obbligo di condurre test di penetrazione avanzati basati su minacce di strumenti, sistemi e processi ad uso dei servizi digitali. Sono previsti requisiti specifici per il personale che esegue questi test e il riconoscimento dei risultati dei test in tutta l'Unione per ogni entità finanziaria operante negli Stati membri.

1

Prevedere il coinvolgimento di Terze Parti qualificate nella conduzione di attività di red-teaming in accordo al framework TIBER-EU.

2

Richiedere esplicitamente l’utilizzo di personale avente le qualifiche richieste per l’esecuzione dei test.

ICT Third-Party management. Abilitare un monitoraggio completo del rischio delle Terze Parti ICT durante le fasi preliminari, di esecuzione, e post-contrattuali del rapporto. Mantenere un Registro delle Terze Parti definendo precisi requisiti e clausole all’interno dei contratti tra Entità Finanziarie e Terze Parti ICT.

1

Prevedere processi continuativi di definizione e revisione delle misure di sicurezza contrattuali e tecniche relative alle terze parti in funzione dei livelli di servizio erogati.

Reporting alle Autorità. Stabilire modalità di scambio e condivisione delle informazioni tra gli operatori in merito a minacce e incidenti di sicurezza con l’obiettivo di ridurne la propagazione e sostenere le capacità di difesa.

1

Definire il protocollo di scambio e condivisione delle informazioni con altri operatori finanziari in merito a minacce relative alla sicurezza, anche avvalendosi del supporto delle strutture dei sistema nazionali.

Cosa offriamo per ottenere valore

Per rispondere ai requisiti regolamentari in modo adeguato è necessario identificare delle azioni specifiche che, oltre a consentire di raggiungere la conformità alla normativa, consentano di rafforzare in modo misurabile il livello di sicurezza aziendale.

Tra le azioni che Accenture Security, in aggiunta ai servizi di definizione e improvement dei processi e delle soluzioni di sicurezza del nostro catalogo servizi offerto ai principali Clienti italiani da anni, evidenziamo:

  • Threat Intelligence-based Ethical Red Teaming (Tiber). Abbiamo definito una metodologia specifica per la conduzione di attività di Red Teaming in accordo al framework Tiber-EU con personale specializzato che opera a livello globale e nazionale. Accenture ha contribuito direttamente alla definizione del framework CBEST TI & RT e del CREST TI Maturity Assesment e ha supportato numerose Banche Centrali nella definizione del framework TIBER-EU TI e nelle relative declinazioni operative. In aggiunta, è un fornitore accreditato CREST-CBEST per l’erogazione di attività di Threat Intelligence e Penetration Testing, fondamentali per l’esecuzione di test di red teaming in grado di simulare scenari reali di attacco garantendo i più elevati standard;
  • Secure Cloud Express. Abbiamo definito uno strumento per verificare i livelli di sicurezza delle soluzioni cloud based, ospitate dai principali provider di riferimento. Avere una chiara visibilità dei livelli di sicurezza di tali ambienti è fondamentale per conoscere i rischi cui si è attualmente esposti e, di conseguenza, definire le azioni di minimizzazione del rischio residuo richieste della normativa;
  • Third Party Risk Management as a service. Forniamo un servizio end to end di definizione e gestione dei requisiti di sicurezza da applicare alle terze parti che si distingue per: proporzionalità dei controlli in funzione della tipologia di servizi forniti, esecuzione di controlli di natura tecnica sulle infrastrutture utilizzate per i clienti, inclusa la relativa connettività, e la flessibilità nell’ingaggio in funzione dei controlli da eseguire nel tempo;
  • Security Awareness. Forniamo una piattaforma di security awarenessgamification e testing per tutte le principali tematiche di sicurezza, inclusa la possibilità di eseguire campagne di phishing. La piattaforma viene resa disponibile ai nostri clienti “on demand” ed in modalità multi-lingua.
    È inoltre definita un’offerta specifica per la formazione dei Board aziendali che include l’esecuzione di role play supportati da una piattaforma web;
  • Operational resilience. Aiutiamo i nostri Clienti ad evolvere il proprio piano di Business Continuity e Disaster Recovery verso un piano di Operational Resilience che includa anche scenari di attacco di natura cyber, divenuti sempre più rilevanti nel panorama internazionale. Proponiamo inoltre una revisione delle misure di ripristino standard per gli scenari di indisponibilità fisica e del personale, valorizzando le tecnologie implementate per abilitare il remote working e ridurre, di conseguenza, i costi di gestione. Proponiamo infine l’integrazione completa del framework di IT Risk Management con quello di Operational Resilience, al fine di evitare l’effort e la complessità nell’esecuzione dei processi di valutazione degli impatti e dei rischi.

Come offriamo valore

Accenture in Italia conta numerose risorse dedicate alla sicurezza che operano su attività di consulenza, trasformazione, validazione, risposta agli incidenti e gestione in outsourcing di soluzioni di sicurezza. L’unione di queste persone genera un mix unico di competenze che consente di offrire soluzioni di adeguamento ai requisiti normativi che vanno oltre la semplice conformità normativa e garantiscono una vista concreta dei rischi sui servizi digitali dei nostri Clienti.

Fabio Colombo

Financial Services Security Portfolio Lead Europe, Accenture


Marco Valsecchi

Managing Director, Accenture Security


Luca Ticchiati

Security Consulting Manager, Accenture

ALTRI ARTICOLI SU QUESTO TEMA

UNIQA: DORA regulatory compliance roadmap
Beyond NIS: obiettivo resilienza
Mettere in sicurezza il cloud

CENTRO ISCRIZIONI
Resta informato con la nostra Newsletter (in inglese) Resta informato con la nostra Newsletter (in inglese)