21 Novembre 2024 / 10:20
Trend topics
Sicurezza
Nuovi Test DORA: cosa cambia per la sicurezza informatica degli istituti finanziari
A cura della redazione
-
11 Ottobre 2024
In un e-book (gratuito) realizzato da Berilo i dettagli e le strategie da adottare per cogliere al meglio le opportunità del nuovo Digital Operational Resilience Act
Con l’entrata in vigore della normativa DORA (Digital Operational Resilience Act), prevista per il 17 gennaio 2025, cambiano i requisiti di sicurezza per le istituzioni finanziarie europee. Rispetto ai classici test di penetrazione (Pentesting), DORA introduce due nuovi test obbligatori: il Digital Operational Resilience Testing (DORT) e il Threat-Led Penetration Testing (TLPT), che mirano a rafforzare la resilienza operativa digitale degli istituti.
Pentesting vs DORA: cosa cambia?
Il tradizionale Pentesting consiste in una valutazione della sicurezza che simula attacchi informatici su sistemi, reti e applicazioni per identificare vulnerabilità. Viene solitamente eseguito in contesti specifici, come il lancio di nuove applicazioni o aggiornamenti di sistema. Tuttavia, con DORA, queste attività non bastano più: il regolamento europeo richiede un approccio più complesso e integrato per gestire i rischi operativi e garantire la continuità delle operazioni in scenari di crisi.
DORT: un programma strutturato di resilienza
Il DORT prevede un programma completo di test su misura per ciascun istituto, basato su un’analisi dei rischi e dei processi aziendali critici. Non si tratta solo di identificare vulnerabilità tecniche, ma di verificare la capacità dell’organizzazione di rispondere e riprendersi da interruzioni di servizio, simulando scenari di attacco reali e valutando l’efficacia dei piani di disaster recovery.
TLPT: test guidati dalla Threat Intelligence
Il TLPT, invece, è un test di sicurezza avanzato che simula tattiche e tecniche di attacco utilizzate da attori reali, con un approccio Red Team che imita minacce specifiche per l’istituto. Coinvolge team indipendenti di tester che mettono alla prova le difese aziendali in condizioni realistiche. È obbligatorio per le istituzioni finanziarie critiche, ogni tre anni, e richiede il coinvolgimento di provider esterni per garantire l’oggettività dei risultati.
Perché adottare questi nuovi test?
DORA impone requisiti più rigorosi per garantire una protezione uniforme e sistematica delle infrastrutture digitali nel settore finanziario europeo, riducendo i rischi di interruzioni che potrebbero avere ripercussioni sistemiche. Entro la data di attuazione, tutte le entità finanziarie dovranno aver pianificato e implementato i nuovi test, con una particolare attenzione alla selezione di fornitori qualificati e indipendenti.
Questa evoluzione normativa rappresenta una sfida, ma anche un’opportunità per rafforzare le difese e allinearsi agli standard più elevati di sicurezza e resilienza.
Tutti i dettagli e le strategie da adottare nell'e-book gratuito realizzato da Berilo. Per riceverlo, contattare l'indirizzo: [email protected].
Supervision, Risks & Profitability è l’evento annuale promosso da ABI in collaborazione con DIPO dedicato...
Banche e Sicurezza è l’evento annuale promosso da ABI, in collaborazione con ABI Lab, CERTFin e OSSIF,...
